Você é o proprietário da empresa de courier SpeeDelivery. Você emprega algumas pessoas que, enquanto
esperam para fazer uma entrega, podem realizar outras tarefas. Você percebe, no entanto, que eles usam
esse tempo para enviar e ler seus e-mails particulares e navegar na Internet. Em termos legais, de que
forma o uso da Internet e dos recursos de e-mail pode ser melhor regulamentado? Instalação de um aplicativo que impede o acesso de determinados sites e filtra os anexos de e-mails Elaborar um código de conduta para o uso da Internet e do e-mail no qual sejam definidos os direitos e
obrigações do empregador e do pessoal Implementando regulamentos de privacidade Instalando um antivírus. Por que o ar-condicionado é colocado na sala do servidor? Na sala dos servidores, o ar deve ser resfriado e o calor produzido pelo equipamento deve ser extraído.
O ar da sala também é desumidificado e filtrado. Quando uma empresa deseja resfriar seus escritórios, a sala do servidor é o melhor lugar. Dessa
forma, nenhum espaço de escritório precisa ser sacrificado por um equipamento tão grande. Não é agradável para o pessoal de manutenção ter que trabalhar em uma sala de servidores que é
muito quente As fitas de backup são feitas de plástico fino que não suporta altas temperaturas. Portanto, se ficar
muito quente na sala de um servidor, elas podem ser danificadas. Quem está autorizado a alterar a classificação de um documento? O autor do documento O administrador do documento O dono do documento O gerente do proprietário do documento. A empresa Midwest Insurance tomou várias medidas para proteger suas informações. Utiliza um Sistema
de Gestão de Segurança da Informação, a entrada e saída de dados nas aplicações são validadas,
documentos confidenciais são enviados de forma criptografada e a equipe usa tokens para acessar os
sistemas de informação.
Qual destas não é uma medida técnica? Sistema de Gestão de Segurança da Informação O uso de tokens para obter acesso aos sistemas de informação Validação de dados de entrada e saída em aplicativos Criptografia de informação. O que é um exemplo de medida de segurança física? Um código de conduta que exige que os funcionários sigam a política de mesa limpa, garantindo que
informações confidenciais não sejam deixadas visivelmente na mesa no final do dia de trabalho Uma política de controle de acesso com passes que devem ser usados de forma visível A criptografia de informações confidenciais Extintores de incêndio especiais com gás inerte, como argônio. Qual medida de segurança física é necessária para controlar o acesso às informações da empresa? Ar condicionado Usuário e senha O uso de vidro resistente a quebra e portas com as fechaduras, molduras e dobradiças certas Proibindo o uso de pen drives. Por que as organizações possuem uma política de segurança da informação? Para demonstrar a operação do ciclo Planejar-Executar-Verificar-Agir dentro de uma organização. Para garantir que o pessoal não infrinja nenhuma lei. Para orientar como a segurança da informação é configurada dentro de uma organização. In order to ensure that everyone knows who is responsible for carrying out the backup procedures. Você trabalha no departamento de TI de uma empresa de médio porte. Informações confidenciais caíram
nas mãos erradas várias vezes. Isso prejudicou a imagem da empresa. Você foi solicitado a propor
medidas de segurança organizacional para laptops em sua empresa. Qual é o primeiro passo que você
deve dar? Formule uma política em relação à mídia móvel (PDAs, laptops, smartphones, pendrives) Nomear o pessoal de segurança Criptografe os discos rígidos de laptops e dispositivos USB Configure uma política de controle de acesso. Você trabalha para uma grande organização. Você percebe que tem acesso a informações confidenciais
que não deveria ser capaz de acessar em seu cargo. Você relata este incidente de segurança ao helpdesk.
O ciclo de incidentes é iniciado. Quais são os estágios do ciclo de incidente de segurança? A. Ameaça, dano, incidente, recuperação B. Ameaça, dano, recuperação, incidente C. Ameaça, Incidente, Danos, Recuperação D. Ameaça, Recuperação, Incidente, Danos. Sua organização possui um escritório com espaço para 25 estações de trabalho. Essas estações de
trabalho estão totalmente equipadas e em uso. Devido a uma reorganização, 10 estações de trabalho
extras são adicionadas, 5 das quais são usadas para uma central de atendimento 24 horas por dia. Cinco
estações de trabalho devem estar sempre disponíveis. Que medidas de segurança física devem ser
tomadas para garantir isso? Obtenha um escritório extra e configure 10 estações de trabalho. Portanto, você teria um equipamento
sobressalente que pode ser usado para substituir qualquer equipamento que não esteja funcionando Obtenha um escritório extra e configure 10 estações de trabalho. Certifique-se de que haja pessoal de
segurança tanto à noite quanto à noite, para que a equipe possa trabalhar lá com segurança. Obtenha um escritório extra e conecte todas as 10 novas estações de trabalho a uma fonte de
alimentação de emergência e UPS (fonte de alimentação ininterrupta). Ajuste o sistema de controle de
acesso ao horário de trabalho da nova equipe.
Informe o pessoal de segurança do prédio que o trabalho também será realizado à noite e à noite. Obtenha um escritório extra e forneça um UPS (Fonte de Alimentação Ininterrupta) para as cinco
estações de trabalho mais importantes. Qual das seguintes medidas é uma medida preventiva? Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas Desligar todo o tráfego da Internet depois que um hacker obteve acesso aos sistemas da empresa Colocar informações confidenciais em um cofre Classificar um risco como aceitável porque o custo de abordar a ameaça é maior do que o valor das
informações em risco. Para que serve uma análise de risco? Uma análise de risco é usada para expressar o valor das informações para uma organização em
termos monetários. Uma análise de risco é usada para esclarecer a gestão de suas responsabilidades Uma análise de risco é usada em conjunto com medidas de segurança para reduzir os riscos a um
nível aceitável. Uma análise de risco é usada para garantir que as medidas de segurança sejam implementadas de
maneira econômica e oportuna. Uma análise de risco bem executada fornece muitas informações úteis. Uma análise de risco tem quatro
objetivos principais. O que não é um dos quatro objetivos principais de uma análise de risco? Identificar ativos e seu valor Determinando os custos das ameaças Estabelecer um equilíbrio entre os custos de um incidente e os custos de uma medida de segurança Determinando vulnerabilidades e ameaças relevantes. O que é um exemplo de incidente de segurança? A iluminação do departamento não funciona mais Um membro da equipe perde um laptop Você não pode definir as fontes corretas em seu software de processamento de texto Um arquivo foi salvo com um nome incorreto. Qual das seguintes medidas é uma medida corretiva? Incorporando um Sistema de Detecção de Intrusão (IDS) no projeto de um centro de informática Instalando um antivírus em um sistema de informação Fazer um backup dos dados que foram criados ou alterados naquele dia Restaurar um backup do banco de dados correto depois que uma cópia corrompida do banco de dados
foi gravada sobre o original. Podemos adquirir e fornecer informações de várias maneiras. O valor da informação depende se ela é
confiável. Quais são os aspectos de confiabilidade das informações? Disponibilidade, valor da informação e confidencialidade Disponibilidade, integridade e confidencialidade Disponibilidade, integridade e integridade Oportunidade, Exatidão e Completude. Sua empresa deve garantir que cumpre os requisitos estabelecidos na legislação de proteção de dados
pessoais. Qual é a primeira coisa que você deve fazer? Torne os funcionários responsáveis pelo envio de seus dados pessoais. Traduzir a legislação de proteção de dados pessoais em uma política de privacidade voltada para a
empresa e os contratos com os clientes. Designe uma pessoa responsável por apoiar os gerentes na adesão à política. Proibir o fornecimento de informações pessoais. Que tipo de segurança oferece uma infraestrutura de chave pública (PKI)? Ele fornece certificados digitais que podem ser usados para assinar documentos digitalmente. Essas
assinaturas determinam irrefutavelmente de quem o documento foi enviado. Ter uma PKI mostra aos clientes que um negócio baseado na web é seguro. Ao fornecer acordos, procedimentos e uma estrutura organizacional, uma PKI define qual pessoa ou
qual sistema pertence a qual chave pública específica. Uma PKI garante que os backups dos dados da empresa sejam feitos regularmente. Um funcionário do departamento administrativo da Smiths Consultants Inc. descobre que a data de
vencimento de um contrato com um dos clientes é anterior à data de início. Que tipo de medida pode evitar
esse erro? Medida de disponibilidade Medida de integridade Medida organizacional
Medida técnica. Qual é o maior risco para uma organização se nenhuma política de segurança da informação foi definida? Se todos trabalharem com a mesma conta, é impossível descobrir quem trabalhou em quê.
As atividades de segurança da informação são realizadas por apenas algumas pessoas.
Muitas medidas são implementadas.
Não é possível para uma organização implementar a segurança da informação de maneira consistente. Qual é o objetivo de classificar as informações? Qual é o objetivo de classificar as informações? Criação de um rótulo que indica o quão confidencial as informações são Definir diferentes níveis de sensibilidade em que as informações podem ser organizadas Exibindo nenhum documento quem tem acesso permitido. O que os funcionários precisam saber para relatar um incidente de segurança? Como relatar um incidente e para quem Se o incidente ocorreu antes e qual foi o dano resultante. As medidas que deveriam ter sido tomadas para prevenir o incidente em primeiro lugar. Quem é o responsável pelo incidente e se foi intencional. Você acabou de começar a trabalhar em uma grande organização. Você foi convidado a assinar um código
de conduta, bem como um contrato. O que a organização deseja alcançar com isso? Um código de conduta ajuda a prevenir o uso indevido das instalações de TI. Um código de conduta é uma obrigação legal que as organizações devem cumprir. Um código de conduta evita o surgimento de um vírus. Um código de conduta fornece orientação à equipe sobre como relatar suspeitas de uso indevido de
instalações de TI. Peter trabalha na empresa Midwest Insurance. Sua gerente, Linda, pede que ele envie os termos e
condições de uma apólice de seguro de vida para Rachel, uma cliente. Quem determina o valor das
informações do documento de termos e condições do seguro? O destinatário, Rachel A pessoa que elaborou os termos e condições do seguro A gerente, Linda O remetente, peter. Quando estamos na nossa mesa, queremos que o sistema de informação e as informações necessárias
estejam disponíveis. Queremos poder trabalhar com o computador e acessar a rede e nossos arquivos.
Qual é a definição correta de disponibilidade? O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários trabalhem
com ele O grau em que a continuidade de uma organização é garantida O grau em que um sistema de informação está disponível para os usuários A quantidade total de tempo que um sistema de informação está acessível aos usuários. Qual é um exemplo de ameaça não humana ao ambiente físico?
Transação fraudulenta Arquivo corrompido Tempestade Vírus. Na maioria das organizações, o acesso ao computador ou à rede é concedido somente após o usuário
inserir um nome de usuário e uma senha corretos. Este processo consiste em 3 etapas: identificação,
autenticação e autorização. Qual é o objetivo da segunda etapa, autenticação? Na segunda etapa, você torna sua identidade conhecida, o que significa que você tem acesso ao
sistema.
A etapa de autenticação verifica o nome de usuário em uma lista de usuários que têm acesso ao
sistema O sistema determina se o acesso pode ser concedido determinando se o token usado é autêntico.
Durante a etapa de autenticação, o sistema fornece os direitos de que você precisa, como poder ler os
dados no sistema.
. Qual destes não é software malicioso? Phishing Spyware Vírus Worm. Algumas ameaças são causadas diretamente por pessoas, outras têm uma causa natural. O que é um
exemplo de ameaça humana intencional? Relâmpago Incêndio culposo Incêndio culposo Perda de um stick USB. Qual é a definição de expectativa de perda anual? A Expectativa de Perda Anual é a quantidade de danos que podem ocorrer como resultado de um
incidente durante o ano. A Expectativa de Perda Anual é o tamanho das reclamações de sinistros resultantes da não realização
eficaz das análises de risco A Expectativa de Perda Anual é o dano médio calculado por seguradoras para empresas em um país.
A expectativa de perda anual é o valor mínimo pelo qual uma organização deve se segurar.
. Qual é o motivo mais importante para aplicar a segregação de funções? A segregação de funções deixa claro quem é responsável por quê.
A segregação de funções garante que, na ausência de uma pessoa, se possa apurar se a mesma
cometeu fraude.
Tarefas e responsabilidades devem ser separadas a fim de minimizar as oportunidades de uso
indevido ou alteração dos ativos de negócios, seja a alteração não autorizada ou não intencional.
A segregação de funções torna mais fácil para uma pessoa que está pronta com sua parte no trabalho
tirar uma folga ou assumir o trabalho de outra pessoa.
. Uma ameaça não humana para os sistemas de computador é uma inundação. Em que situação uma
inundação é sempre uma ameaça relevante? Se a análise de risco não foi realizada Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo. Quando os sistemas de computador não estão segurados. Quando a organização está localizada perto de um rio. Por que a conformidade é importante para a confiabilidade das informações? Conformidade é outra palavra para confiabilidade. Portanto, se uma empresa indica que está em
conformidade, significa que a informação está sendo gerenciada de maneira adequada. Ao cumprir os requisitos legislativos e os regulamentos do governo e da gestão interna, uma
organização mostra que gerencia suas informações de maneira sólida. Quando uma organização emprega uma norma como a ISO / IEC 27002 e a usa em todos os lugares,
ela está em conformidade e, portanto, garante a confiabilidade de suas informações. When an organization is compliant, it meets the requirements of privacy legislation and, indoing so,
protects the reliability of its information. Você é o proprietário da empresa de courier SpeeDelivery. Com base na sua análise de risco, você decidiu
tomar uma série de medidas. Você faz backups diários do servidor, mantém a sala do servidor trancada e
instala um sistema de alarme de intrusão e um sistema de sprinklers. Qual dessas medidas é uma medida
de detetive? Fita de backup
Alarme de intrusão
Instalação de sprinkler Restrição de acesso a salas especiais
. Qual é a relação entre dados e informações? Os dados são informações estruturadas.
Informação é o significado e o valor atribuído a uma coleção de dados. Que tipo de malware constrói uma rede de computadores contaminados? Bomba Lógica Storm Worm ou Botnet Trojan Vírus. Você trabalha no escritório de uma grande empresa. Você recebe uma ligação de uma pessoa que afirma
ser do Helpdesk. Ele pede sua senha. Que tipo de ameaça é essa? Ameaça natural Organizational threat Engenharia social
. Você é um consultor e regularmente contratado pelo Ministério da Defesa para realizar análises. Como as
atribuições são irregulares, você terceiriza a administração do seu negócio para trabalhadores temporários.
Você não quer que os trabalhadores temporários tenham acesso aos seus relatórios. Qual aspecto de
confiabilidade das informações em seus relatórios você deve proteger? Disponibilidade Integridade Confidencialidade. Sua empresa está no noticiário como resultado de uma ação infeliz de um de seus funcionários. Os
telefones não param de tocar, com clientes querendo cancelar seus contratos. Como chamamos esse tipo
de dano? Dano direto Dano indireto. Uma funcionária da companhia aérea percebe que tem acesso a um dos aplicativos da empresa que não
usou antes. Este é um incidente de segurança da informação? Sim Não.
|