CLASSIFICAÇÃO DE INFORMAÇÕES

Question 1

Qual é o papel da segurança da informação em uma organização?

Answer 1

O papel da segurança da informação em uma organização é mitigar ao máximo os riscos de perdas de informações que afetam diretamente a área de negócios, incluindo informações sigilosas que, quando expostas para pessoas não autorizadas, podem representar sérios riscos para a organização.

Question 2

De acordo com Fontes (2012), quais são os cinco princípios fundamentais para garantir a segurança da informação?

Answer 2

De acordo com Fontes (2012), os cinco princípios fundamentais para garantir a segurança da informação são:

1 - Disponibilidade: A informação deve estar acessível para o funcionamento da organização.
2 - Integridade: A informação deve estar correta, verdadeira e não corrompida.
3 - Confidencialidade: A informação deve ser acessada apenas por aqueles que necessitam dela, com autorização prévia.
4 - Legalidade: O uso da informação deve estar de acordo com leis, regulamentos, contratos e princípios éticos.
5 - Auditabilidade: O acesso e uso da informação devem ser registrados para identificar quem acessou e o que foi feito com a informação.

Question 3

Qual é o princípio de “não repúdio de autoria” em relação à segurança da informação?

Answer 3

O princípio de “não repúdio de autoria” significa que o usuário que gerou ou alterou a informação não pode negar o fato, pois existem mecanismos que garantem sua autoria. Esse princípio ajuda a evitar a negação de responsabilidade em relação às ações realizadas com a informação.

Question 4

Qual é o papel das informações para uma instituição no contexto de negócios?

Answer 4

O uso das informações permite que a instituição classifique, modifique ou aprimore seus processos, representando um diferencial importante no mercado. O conhecimento adquirido por meio das informações gera valor e diferenciação nos negócios.

Question 5

Segundo Reis, Mota e Oliveira (2014), quais são os níveis de segurança da informação, e como eles são classificados?

Answer 5

Segundo Reis, Mota e Oliveira (2014), os níveis de segurança da informação são classificados da seguinte forma:

Irrestrito: Informação pública, pode ser usada por todos sem causar danos à organização.
Interna: Informação que a organização não deseja divulgar, mas cujo acesso por indivíduos externos não causaria danos graves.
Confidencial: Informação interna cuja divulgação pode causar danos financeiros ou à imagem da organização.
Secreta: Informação interna restrita a um grupo seleto, cuja integridade deve ser preservada a qualquer custo.

Question 6

Como o nível de segurança da informação pode ser aumentado, de acordo com o texto?

Answer 6

O nível de segurança da informação pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Isso significa que informações que devem estar sempre disponíveis devem ter um serviço robusto trabalhando para garantir isso, da mesma forma que informações confidenciais precisam de segurança. Além disso, os requisitos de segurança podem ser diferentes, levando em consideração fatores como confidencialidade, integridade e disponibilidade em conjunto, não apenas isoladamente.

Question 7

Por que as informações são consideradas um diferencial importante no meio dos negócios, de acordo com o texto

Answer 7

As informações são consideradas um diferencial importante nos negócios porque o uso das informações permite que a instituição classifique, modifique ou aprimore seus processos, o que a diferencia das outras no mesmo segmento de mercado. O conhecimento adquirido por meio das informações gera valor e vantagem competitiva.

Question 8

Como o texto classifica o nível de segurança da informação “irrestrito”?

Answer 8

O nível de segurança da informação “irrestrito” é classificado no texto como aquele em que a informação é pública e pode ser utilizada por todos, sem causar danos à organização.

Question 9

Qual é a diferença entre os níveis de segurança da informação “confidencial” e “secreta,” de acordo com o texto?

Answer 9

A diferença entre os níveis de segurança da informação “confidencial” e “secreta” é que a informação “confidencial” é interna e sua divulgação pode causar danos financeiros ou à imagem da organização. Por outro lado, a informação “secreta” é restrita a um grupo seleto dentro da organização, e sua integridade deve ser preservada a qualquer custo, sendo considerada vital para a companhia.

Question 10

Como o nível de segurança da informação pode ser aumentado, de acordo com o texto? Dê um exemplo.

Answer 10

O nível de segurança da informação pode ser aumentado tanto pela necessidade de confidencialidade quanto pela necessidade de disponibilidade. Por exemplo, uma informação pode ter requisitos de confidencialidade média e alta integridade. Isso significa que a informação deve estar disponível quando necessário, mas também deve ser protegida contra divulgação não autorizada e deve manter sua integridade.

Question 11

Qual é a importância de estabelecer níveis de segurança em todos os departamentos?

Answer 11

A importância de estabelecer níveis de segurança em todos os departamentos é garantir a proteção das informações e evitar erros no acesso a dados que podem prejudicar os processos da empresa.

Question 12

Quem é recomendado para estabelecer os níveis de segurança em cada departamento?

Answer 12

O líder de cada departamento é a pessoa recomendada para estabelecer os níveis de segurança, pois ele conhece melhor os processos e a rotina do departamento.

Question 13

Por que é importante que uma pessoa secundária revise as classificações de segurança feitas pelo líder do departamento?

Answer 13

É importante que uma pessoa secundária revise as classificações para evitar erros, garantir a segurança de informações que passam por vários setores e assegurar o acesso correto a determinadas pessoas.

Question 14

Além do líder do departamento, qual é o segundo papel importante no processo de segurança de informações?

Answer 14

O segundo papel importante é a nomeação de pessoas responsáveis pela manutenção dos níveis de segurança, devido às mudanças nos processos, criação de novas rotinas e alterações nos papéis entre departamentos.

Question 15

Por que é necessário envolver todo o grupo no desenvolvimento de um plano de segurança?

Answer 15

Envolver todo o grupo no desenvolvimento do plano de segurança é necessário para determinar responsabilidades de forma transparente e disponível a todos, garantindo a eficácia da segurança de informações.

Question 16

Quais são as práticas a serem consideradas na implementação da categorização de informações, de acordo com o texto?

Answer 16

As práticas a serem consideradas na implementação da categorização de informações são:

Identificação/Marcação dos Recursos Informacionais;
Armazenamento da Informação;
Transmissão de Informações;
Eliminação de Informação Desnecessária;
Garantia da Integridade da Informação;
Permissão de Acesso Apropriado;
Estabelecimento de Responsabilidades.

Question 17

Como deve ser apresentado o nível de segurança em documentos em papel gerados dentro da organização?

Answer 17

Documentos em papel gerados dentro da organização devem apresentar o nível de segurança no rodapé de todas as páginas e na capa.

Question 18

Como os documentos que vêm de fora da organização devem indicar seu nível de segurança?

Answer 18

Documentos que vêm de fora da organização devem ser marcados com uma etiqueta ou carimbo que indique o nível de segurança.

Question 19

Como deve ser identificado o nível de segurança em e-mails de acordo com o texto?

Answer 19

Os e-mails devem ter o nível de segurança identificado no título.

Question 20

O que é necessário para a categorização de documentos eletrônicos?

Answer 20

Para a categorização de documentos eletrônicos, é necessário que eles contenham o nível de segurança na “meta data” do documento, o departamento que o criou e a data. Caso um documento eletrônico venha a ser impresso, ele deve apresentar o nível de segurança no rodapé de todas as páginas e na capa.

Question 21

Como devem ser classificados os dados, bancos de dados e aplicações em termos de segurança?

Answer 21

Dados, bancos de dados e aplicações devem conter o nível de segurança na “meta data” do documento. Os relatórios gerados a partir deles devem seguir os padrões para documentos eletrônicos.

Question 22

Como a classificação de segurança deve ser visível em outros tipos de mídia, de acordo com o texto?

Answer 22

Em outros tipos de mídia, a classificação de segurança deve ser visível por meio de etiquetas ou outros recursos que se façam necessários.

Question 23

Quais são os níveis de segurança mencionados no texto e quais são suas características?

Answer 23

Os níveis de segurança mencionados no texto são:

Irrestrito: Sem requisitos especiais, com backups regulares para garantir a integridade e disponibilidade.
Protegido: Guardado em local seguro, armazenado em áreas restritas do sistema operacional.
Confidencial: Guardado em local seguro com acesso restrito, com uma política de “mesa limpa,” armazenado em áreas restritas do sistema operacional com verificação de senha.
Secreta: Guardado em zona segura com controle de acesso, política de “mesa limpa,” e trilha de acesso para todos os pontos de acesso (assinatura).

Question 24

Qual é a importância da identificação da origem nos documentos para a proteção da integridade?

Answer 24

A identificação da origem nos documentos é importante para proteger a integridade, garantindo que a fonte seja conhecida e confiável. Isso ajuda a prevenir alterações não autorizadas.

Question 25

O que é recomendado para controlar documentos eletrônicos em termos de acesso?

Answer 25

Documentos eletrônicos devem ser controlados por meio de esquemas de permissão de acesso, restringindo a gravação apenas a usuários autorizados.

Question 26

Quando a integridade de certos documentos é considerada alta, onde eles devem ser armazenados?

Answer 26

Documentos de alta integridade devem ser armazenados em uma localização central e só podem ser retirados sob custódia e com tempo limitado.

Question 27

Como a classificação de informações é descrita no texto?

Answer 27

A classificação de informações não segue um processo único e rígido, mas pode usar os processos da empresa para esse fim.

Question 28

Quem é responsável por divulgar as políticas e procedimentos de segurança da informação?

Answer 28

É responsabilidade da empresa realizar a divulgação das políticas e procedimentos de segurança da informação.

Question 29

Por que algumas regras são consideradas globais, mas não dispensam regras específicas para determinadas funções?

Answer 29

Algumas regras são globais porque se aplicam à maioria dos usuários, mas regras específicas são necessárias para atender às necessidades individuais das diferentes funções na empresa.

Question 30

O que Muhlbauer (2016) destaca como áreas de Tecnologia da Informação que devem ter procedimentos de segurança aprovados?

Answer 30

Muhlbauer destaca que a central de atendimento, a área de operações de administração de servidores e banco de dados devem ter procedimentos de segurança aprovados.

Question 31

Quais são os aspectos que o desenvolvimento de sistemas deve considerar em relação à segurança das informações processadas?

Answer 31

O desenvolvimento de sistemas deve considerar a confidencialidade das informações processadas, especialmente as aplicações em plataformas WEB.

Question 32

Quais são os principais pontos que as políticas de segurança da informação devem abranger?

Answer 32

As políticas de segurança da informação devem estabelecer regras de autenticação e autorização de acesso a sistemas, revisão periódica de acessos a sistemas, regras de utilização de computação móvel, utilização de criptografia para armazenamento local e transmissões, regras de utilização de Internet, Intranet e e-Mail, acesso remoto e teletrabalho, transmissão de dados a fornecedores, acesso de informações por terceiros e fornecedores, e cláusulas contratuais de segurança da informação.

Question 33

Por que é importante revisar periodicamente os acessos a sistemas e interromper o acesso de pessoas que não precisam mais dessas informações?

Answer 33

É importante revisar periodicamente os acessos a sistemas e interromper o acesso de pessoas que não precisam mais dessas informações porque no mundo corporativo, é comum que as pessoas sejam remanejadas, promovidas ou tenham seu vínculo empregatício encerrado. Portanto, é fundamental revisar ou cancelar o acesso à informação de acordo com a situação para evitar vazamentos de informações sensíveis.

Question 34

Qual é um exemplo de consequência grave que pode ocorrer se o acesso à informação não for interrompido adequadamente?

Answer 34

Um exemplo de consequência grave que pode ocorrer é quando um funcionário demitido, que possui acesso a informações estratégicas, é posteriormente contratado por uma empresa concorrente, e o departamento responsável não interrompe seu acesso. Isso pode resultar na divulgação ou uso dessas informações na concorrência, causando um grande impacto na segurança da empresa.

Question 35

O que é a ISO 27002 e qual é a sua relação com a ISO 27001?

Answer 35

A ISO 27002 é uma norma que oferece instruções alinhadas com boas práticas para a implementação da gestão da segurança da informação. Ela é recomendada para ser usada em conjunto com a ISO 27001, que é a principal norma que define os requisitos necessários para um sistema de gestão de segurança da informação. No entanto, a ISO 27002 também pode ser usada de forma independente para consultas.

Question 36

Quais são as recomendações da ISO 27002 para a classificação das informações?

Answer 36

As recomendações da ISO 27002 para a classificação de informações incluem:

Classificação da informação em termos de valor, requisitos legais, sensibilidade e criticidade para a organização.
Consideração das necessidades de compartilhamento ou restrição de informações e os impactos nos negócios associados a essas necessidades.
Definição de diretrizes para classificação, incluindo convenções para classificação inicial e reclassificação ao longo do tempo.
Responsabilidade do proprietário do ativo de definir a classificação de um ativo, analisando-o periodicamente.
Avaliação do nível de proteção com base na confidencialidade, integridade e disponibilidade da informação.

Question 37

Por que é importante considerar a simplificação da classificação de informações, e o que pode acontecer se a classificação for excessivamente complexa?

Answer 37

É importante simplificar a classificação de informações para evitar custos desnecessários e despesas adicionais na implementação. Esquemas de classificação excessivamente complexos podem ser inconvenientes e economicamente inviáveis. Rótulos de classificação também devem ser interpretados com cuidado, pois organizações diferentes podem ter definições diferentes para rótulos iguais ou semelhantes.

Question 38

Por que a classificação da informação é importante?

Answer 38

A classificação da informação é importante porque determina como a informação será tratada e protegida. Isso ajuda a garantir a segurança das informações sensíveis e críticas para a organização.

Question 39

Por que a gestão eficiente da informação é fundamental para organizações de diversos tamanhos e segmentos?

Answer 39

A gestão eficiente da informação é fundamental para organizações de diversos tamanhos e segmentos porque permite uma implementação eficaz de medidas de segurança. Isso é crucial para proteger os dados da organização e informações pessoais, garantindo que sejam tratados com segurança e integridade. Além disso, o texto destaca que a informação, em sua maioria, não é física, tornando a gestão ainda mais abstrata e necessária.