ISO 27001 Flashcards
O que é um serviço?
Meio de fornecer algo que o cliente perceba como tendo certo valor, sem que tenha que arcar com certos custos e riscos para obtenção daquele resultado.
Como que um serviço é produzido e consumido ao mesmo tempo?
O cliente pode pedir algo, você precisa customizar.
O que é informação?
É o dado que tem significado em algum contexto para quem o recebe.
É um bem, um ativo de negócio, o qual permeia toda a jornada do seu cliente. Tem valor pra empresa, e como todo ativo precisa ser protegido.
Todas as informações devem ser protegidas?
Sim, a diferença é o nível de proteção que se dá.
Quais são os estados pelos quais passa a informação?
Armazenada - considerada em computadores, por ex
Em movimento - equipamentos que podem ser usados para usar essa informação ou transmitida pela rede
Em uso - dados que está processando a todo momento
Em qual estado da informação estão as atividades de leitura e escrita?
Se enquadra em “em uso”.
Conceito de sistemas de informação
Aplicação, serviço, recursos de tecnologia da info ou qualquer outro componente de manejo da informação.
É meio que ajuda a transferir e processar informações.
Em sentido amplo, se refere a interação entre pessoas, processos, dados e tecnologia.
O que é processo?
Conjunto ordenado de atividades.
SGSI
A ISO ajuda a criar esse sistema. É a gestão da segurança, como você organizou a gestão na sua empresa, que usa o padrão PDCA.
PDCA
Plan-Do-Check-Act
É o ciclo de melhoria contínua, também conhecido como Kaizen.
Qual é o benefício mais imediato da SI?
Quando se tem uma diretriz e foi definida, escrita, aprovada, ela força todo mundo a segui-la. É de cima pra baixo.
Quais são os benefícios da SI?
Ajuda a atender as regras do setor, com as leis, e traz retorno sobre investimento (que muitas vezes não dá para calcular, pq o foco é prevenção).
Verdadeiro ou Falso
O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI
Verdadeiro
Os termos e definições da ISO 27001 estão localizados em qual norma ISO?
27000
Verdadeiro ou Falso:
Pela norma ISO 27001, informações tornadas públicas pela organização não requerem mecanismos de proteção para a sua visualização e modificação.
Falso
Qual fator NÃO é importante para determinar o valor dos dados em uma organização para uma apólice de seguro de incêndio?
Conteúdo dos dados
Verdadeiro ou Falso
Com base na ISO 27001, a política de segurança integra o SGSI, e a diretriz dessa implementação é detalhada na norma.
Falso
ISO 27002 Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.
Verdadeiro ou Falso
Ao elaborar e melhorar um SGSI a organização deve considerar o negócio e o SGSI deve ser documentado para não envolver a direção da empresa.
Falso.
Verdadeiro ou Falso
A ISO 27002 traz recomendações de controles.
Verdadeiro. Ela é um “Código de Prática”.
Diferença entre dado e informação
Dado é matéria prima, informação é o que foi transformado a partir daquele dado
O que é segurança da informação?
Preservação da confidencialidade, integridade e disponibilidade da informação.
É a proteção contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios.
Quais são as propriedades da segurança da informação?
Autenticidade, responsabilidade, não repudio e confiabilidade.
Como sua empresa passa confiança?
Segurança da informação.
O que é não repúdio?
Não-negação, ato de contestá-lo. A pessoa não pode dizer que não foi ela.
Como decidir a forma de proteção da seg info entre manual ou automática?
Depende da necessidade do controle, do custo do controle, de cada empresa. A maior parte automático é a melhor forma possível.
Segurança de informação é diferente de segurança de TI?
Sim.
Segurança da informação é do todo, documentos digitais ou físicos.
Informação é fator de produção?
Sim, toda empresa utiliza informação como fator de produção. Sem informação ela não sobrevive (Ex: seguradora)
A SI traz o que para os negócios?
Traz valor, é a segurança que vai dar também garantia, conforto.
Qual o pilar principal da SI que visa proteger a privacidade?
A confidencialidade.
Dentre as medidas de confidencialidade, qual visa evitar fraude?
A segregação de funções, que vem como forma de evitar o conflito de interesses.
Quais as características da integridade?
Exatidão (ainda que não verídica), integralidade, e integridade - não repúdio envolve esta última.
Quais as características da disponibilidade?
Pontualidade, continuidade, e robustez - como ele atende a sua demanda?
Como seria uma forma melhor de controlar o gerenciamento da informação?
Gestão de indicadores
O que significa o C na CID de Segurança da Informação?
Confidencialidade
Segundo a ISO 27001, a organização deve determinar e prover os recursos para:
Estabelecer, implementar, melhorar o SGSI
Verdadeiro ou Falso
As informações disponíveis para o público não precisam ser alvo da política de segurança, afinal são públicas.
Falso
Entre as atividades para se estabelecer um SGSI, conforme a norma ISO/IEC 27.001, inclui-se a:
Definição do escopo e dos limites da SGSI
Assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação:
I. Evento de segurança ocorre de maneira indesejada e inesperada.
II. O SGSI se fundamenta na abordagem de risco do negócio.
III. Confidencialidade é classificar uma informação sigilosa confidencial.
II
Em que parte do padrão você encontrará uma referência para objetivos e controles de controle:
I. Anexo A
II. Anexo SL
III. Clausula 9 da avaliação de desempenho
I
O que NÃO é uma responsabilidade da alta gerência?
I. Promoção da melhoria contínua
II. Estabelecer a política de Segurança da Informação
III. Nomear um representante da gerência
I
Qual o cálculo do risco?
Probabilidade X Impacto
Como surge o risco?
Para chegar a uma situação de risco, é preciso que alguém explore uma fraqueza, uma vulnerabilidade
O que te ajuda a desenvolver as medidas apropriadas para uma empresa?
Análise de risco
Por que se faz análise de risco?
Identificar e estimar, ter compreensão dos pontos de riscos da empresa, para depois tomar decisões sobre o tratamento do risco.
O que é análise de risco?
Um processo para compreender a natureza do risco a fim de determinar seu nível.
Forma sistêmica de tomar pontos de risco para tratá-los
Verdadeiro ou Falso
Somente se deve tratar os riscos após a realização da análise e avaliação dos riscos.
Verdadeiro
Qual a diferença entre incidente de SI e o desastre de SI?
Incidente é o evento indesejado ou inesperado que tem probabilidade de comprometer a SI.
Depende da empresa, não é necessariamente quebrar um pilar ou mais de um pilar da SI
Qual o objetivo da análise de risco?
Compartilhar a responsabilidade da segurança com todo mundo
Quais os objetivos da análise de risco?
Identificar os bens/ativos e seus valores
Determinar vulnerabilidades e ameaças relevantes
Determinar um equilíbrio entre os custos de um incidente e os custos das medidas de segurança
Verdadeiro ou Falso
Não existe risco zero.
Verdadeiro.
Gerenciamento do risco é um processo contínuo: identificados, eliminados, ou reduzidos a nível aceitável
Qual o principal objetivo da análise de risco?
Objetivo é trazer o nível de risco para o aceitável.
Como podemos classificar as medidas de SI?
Preventivas, detectivas, repressivas e de recuperação/correção.
Phising é que tipo de ameaça?
Ameaça de engenharia social, que está dentro da ameaça humana e intencional.
O que é um ataque?
É um dano direto.
O que é o dado expectativa de perda única?
É o evento extraordinário, que acontece uma vez.
“Não existe segurança 100%, mas a gente precisa trazer um conforto”. Para esse nível aceitável de segurança, você precisa levar em consideração que….
Os riscos são aceitáveis. “O molho não deve ser mais caro que o peixe”.
Por que os riscos seriam aceitáveis?
Porque as medidas de segurança ou são muito caras, ou excedem os custos do possível dano, ou são de natureza repressiva.
Estratégia de risco do tipo “neutralizar”…
É para mitigar o risco.
Para realizar o tratamento do risco, META
Mitigar
Evitar
Transferir
Aceitar
As decisões da empresa para seleção de controles de risco precisam levar em consideração
Critérios de aceitação de risco, opções de tratamento e na abordagem geral.
Verdadeiro ou Falso
Restrições operacionais precisam ser levadas em conta nos controles de tratamento de riscos
Verdadeiro
Qual é o propósito do gerenciamento de risco?
I. Determinar probabilidade de materialização de um risco
II. Apontar as ameaças que estão expostos os recursos
III. Utilizar medidas para reduzir os riscos para um nível aceitavel
III
O Gerenciamento de Riscos visa reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos direcionando tratamento aos riscos que possam vir a causar danos. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.
Qual ação é uma ameaça humana não intencional?
I. Engenharia Social
II. Roubo de um laptop
III. Incêndio intencional
IV. Uso incorreto de equipamentos de extinção de fogo
IV
Verdadeiro ou Falso
A organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.
Falso
A prioridade das ações preventivas deve ser determinada com base nos resultados do(a):
I. Avaliação da capacitação da equipe.
II. Plano de gestão do conhecimento.
III. Parecer de viabilidade das ações preventivas.
IV. Análise/avaliação de riscos.
IV
Na ISO/IEC 27001, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:
I. Gerir riscos.
II. Avaliar riscos.
III. Analisar riscos.
II
Na ISO 27001: 2013, qual das seguintes opções deve ser documentada:
I. Avaliação de risco
II. Tratamento de risco
III. Gestão de riscos
IV. SGSI
I
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que estabeleça e mantenha critérios de riscos de segurança da informação
Verdadeiro ou Falso
Tratamento de risco vira controle de segurança.
Verdadeiro
A avaliação de riscos precisa ser definida e aplicada como:
I. Processo
II. Procedimento
I
A organização deve definir e aplicar um -> processo <- de avaliação de riscos de segurança da informação que estabeleça e mantenha critérios de riscos de segurança da informação
O que faz a Política de Segurança da Informação (PSI)?
Prove direcionamento de segurança da informação. Ela é um processo. Quem prove procedimento é regra
Quais os três papeis principais dos profissionais de SI?
CISO - diretor de segurança;
ISO - especialista, ponto focal de segurança;
ISM - gerente de segurança
Qual o papel do CISO?
Ele quem define a estratégia geral para toda a empresa. É ele que desenvolve estratégia global de segurança
Acima do CISO existe alguém?
Apenas o CEO da empresa
Qual o papel do Information Security Officer?
Política para unidade específica de negócio, para um setor da empresa
Verdadeiro ou Falso
Código de conduta é comportamental
Verdadeiro
Verdadeiro ou Falso
Devo classificar os meus ativos de informação, APÓS INVENTÁRIO PARA GARANTIR UM NÍVEL ADEQUADO DE PROTEÇÃO
Verdadeiro
O que é incidente de segurança?
Quebra um dos pilares do CID e atrapalha os negócios da empresa
Escalação de incidentes
Escalação hierárquica, manda para alguém que pode tomar essa decisão
Escalação funcional - envia para quem tem mais especialidade para resolver aquele problema
Diferença entre escalação funcional e hierárquica
Escalação funcional pode ser para qualquer nível, desde que resolva o problema
Quando acionar medidas repressivas?
Entre o incidente e o dano. Depois que aconteceu o incidente é preciso repreender.
Qual destes incidentes NÃO é um incidente de segurança?
I. Um alarme de incêndio não funciona.
II. A rede é invadida.
III. Alguém finge ser um membro do quadro de pessoal.
IV. Um arquivo no computador não pode ser convertido em um arquivo PDF.
IV
Verdadeiro ou Falso
O anexo A estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal em intervalos regulares.
Verdadeiro
Uma ocorrência identificada de um estado de serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha é:
I. Incidente de segurança da informação
II. Incidente identificado de segurança da informação
III. Evento de segurança da informação
IV. Problema de segurança de informação
III
Foi instalada uma porta com controle de acesso por cartão e somente os colaboradores autorizados podem acessar esse ambiente. Essa medida associa-se:
I. ao controle de perímetro de segurança física
II. à validação de dados de saída
III. ao controle de vulnerabilidades
IV. à cordenação de segurança da informação
I
Política de mesa limpa e tela protegida objetiva que tipo de controle?
I. segurança de recursos humanos
II. gestão de incidentes de segurança da informação
III. acessos
III
O acesso da informação devem ser controlados com base nos requisitos de negócio. Assim, convém:
I. fornecer senhas aos usuários
II. que as questões de acesso estejam em um documento próprio
III. tudo seja permitido a menos que expressamente proibido
IV. que o controle de acesso estejam descritos nos direitos de acesso
IV
Segundo a ISO 27001 a segurança da informação é um conjunto de medidas de proteção, com exceção da:
I. autenticidade
II. compatibilidade
III. irretratabilidade
IV. integridade
II
Quando são aplicadas as medidas para tratar ameaças de segurança?
Depois da avaliação de riscos
Quais são as medidas que precisamos lembrar para as provas?
De prevenção, redução, detecção e repressão.
O que é segurança física?
Combinação de medidas estruturais, organizacionais e controles eletrônicos.
O que significa controle de acesso?
Controlar a informação e garantir que será usada pelas pessoas que você permitir
Verdadeiro ou Falso
“A pessoa certa deve ter acesso à informação certa.”
Verdadeiro
Verdadeiro ou Falso
Criptografia simétrica = Chave de casa
Verdadeiro
Qual a diferença entre dados e informação?
A informação é um bem que tem valor para uma organização e necessita ser protegido.
Qual o objetivo da classificação da informação?
O objetivo da classificação das informações é de manter uma proteção adequada. Determinar quais tipos de informações podem requerer diferentes níveis de proteção.
O que é criptografia?
É uma medida técnica que impede que pessoas não autorizadas leiam as informações.
O que é assinatura digital?
…
O que é certificado?
…
O que é identificação?
Identificação é o processo de tornar uma identidade conhecida.
São métodos para prover um sujeito (entidade que solicita acessos) com uma identidade reconhecível (e.g., conta de usuário, VAT, número de seguro social, passaporte, etc.).
O que é autenticação?
Definir se a identidade de alguém é correta.
São métodos para assegurar que um sujeito é quem ele diz ser (e.g., senha, token, impressão digital, etc.).
O que é autorização?
É a concessão da permissão de direitos específicos, tal como acesso seletivo para uma pessoa.
São métodos para controlar quais ações um sujeito pode realizar em um objeto (entidade que está sendo acessada) (e.g., lista de permissões do sujeito e lista de permissões do objeto).
O que é confiabilidade?
Propriedade de consistência dos comportamentos e resultados desejados.
O que é tratamento de riscos?
Processo de seleção e implementação de medidas para modificar o risco.
Tratamentos que lidam com consequências negativas são referenciados como “mitigação”, “eliminação”, “prevenção” e “redução” de riscos.
O que é retenção de riscos?
É a assunção de riscos, quando nenhuma ação positiva é tomada no sentido de evitar ou transferir o risco.
Verdadeiro ou Falso.
Dados críticos para processos comerciais são, por esse motivo, valiosos.
Verdadeiro
Quais as etapas do ciclo do incidente?
Ameaça
Incidente
Dano
Recuperação
Qual o conteúdo mínimo de um formulário de registro de incidentes?
Data e hora
Nome do local
Pessoa que reportou
Localização
O que ocorreu
Como foi descoberto
O que é um sistema stand by?
É uma das medidas de repressão, com o objetivo de minimizar consequências após detecção do incidente. É capaz de assumir as funções de um sistema que falhou automaticamente.
Qual fator é verificado quando é preciso fornecer um código PII ou uma senha?
I. Algo que você é
II. Algo que você tem
III. Algo que você sabe
III, algo que você sabe
Qual fator é verificado quando é preciso fornecer a biometria com impressão digital ou scanner da íris?
I. Algo que você é
II. Algo que você tem
III. Algo que você sabe
I, algo que você é
Quais são os quatro aneis de proteção da segurança física?
Anel externo, de prédio, de local de trabalho e de objeto.
Qual o objetivo das medidas físicas?
Implantar a segurança física para impedir acesso físico não autorizado, dano ou interferências nas instalações de informação e informação da organização.
O que são identificações que facilitem o reconhecimento das informações?
A identificação das informações é uma designação, uma forma especial de categorizar as informações, o que ocorre após a classificação.
Qual é o objetivo da classificação da informação?
A classificação de informações é utilizada para definir os diferentes níveis de confidencialidade nos quais as informações podem ser estruturadas.
Quem é autorizado a mudar a classificação de um documento?
O proprietário deve assegurar que o ativo seja classificado ou reclassificado, se necessário; portanto, está autorizado a alterar a classificação de um documento.
Verdadeiro ou Falso
A política de segurança da informação deve ter um proprietário autorizado com a responsabilidade de gestão para o desenvolvimento, revisão e avaliação da política de segurança.
Verdadeiro
Verdadeiro ou Falso
Ativos não precisam ter proprietário nomeado.
Falso
Todos os ativos precisam ser contabilizados e terem um proprietário nomeado. Um proprietário do ativo é responsável pela sua proteção no dia a dia e pela implementação e manutenção de controles adequados.
Quais são os controles contra malware?
Controles de medidas técnicas, contra ameaças e softwares mal-intencionados, no nível de segurança da operação.
Controles de detecção, prevenção e recuperação, combinados com o conhecimento adequado do usuário.
Quais são os tipos de malware?
Vírus
Worms
Trojans
Spyware
Quais as contramedidas padrão contra malware?
Usar scanner antivírus e um firewall.
Verdadeiro ou Falso
A política de controle de acesso é uma medida organizacional, que abrange apenas o
acesso a edifícios ou sistemas de TI.
Verdadeiro
Qual a diferença entre avaliação e análise de risco?
A análise de risco proporciona a base para estimativa do risco e para as decisões de tratamento.
Avaliação do risco é o processo geral de identificação, análise e estimativa do risco. É a soma total da análise quantitativa e qualitativa.
Qual o foco da gestão da informação?
Garantir que o valor da informação seja identificado e explorado em toda sua extensão.
Qual a prioridade do Planejamento de Continuidade de Negócios (BCP)?
Manter o funcionamento da empresa, ainda que parcialmente, a partir do desastre até quando a empresa estiver totalmente recuperada e apta a operar.
Cite exemplos de medidas de segurança física
Definir perímetros de segurança física
Implantar controles físicos de entrada, protegendo o acesso
Definir áreas seguras de acesso público e áreas comuns
Qual o objetivo de um plano de continuidade de negócios (PCN)?
Voltar a situação ao estado em que se encontrava antes do desastre
Qual o conceito de ameaça?
Causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.
Uma ameaça é um evento possível que pode ter um efeito perturbador na confiabilidade da informação.
Dê exemplos de regulamentações relacionadas à segurança da informação.
…
Indique as medidas que podem ser tomadas para atender aos requisitos da legislação e das regulamentações.
…
O que é uma análise de risco qualitativa?
Uma análise de risco qualitativa envolve a definição de diversas ameaças, determinando a extensão das vulnerabilidades e elaborando contramedidas, caso ocorra um ataque.
Que medida não ajuda contra software mal-intencionado?
I. Uma política ativa de correções
II. Um programa anti-spyware
III. Um filtro anti-spam
IV. Uma senha
IV
Uma senha é um meio de autenticação. Ela não bloqueia qualquer tipo de software malicioso. A mais eficaz forma de ser capaz de combater qualquer software malicioso, é a implementação de camadas de segurança que atrapalham a exploração de diferentes vulnerabilidades que cada organização pode ter.
Quatro membros do pessoal do departamento de TI compartilham um mesmo crachá.
A que risco este fato pode levar?
I. Se alguma coisa desaparecer da sala de informática, não vai ficar claro quem é responsável.
II. Pessoas não autorizadas podem ter acesso à sala de computadores sem serem vistas.
I
Embora fosse claro que alguém do departamento de TI teria entrado na sala, não se saberia ao certo quem foi. A obrigatoriedade do não compartilhamento de acesso devem seguir as regras descritas por normas internas e externas que devem ser insistentemente sustentadas pelos responsáveis da Segurança da Informação com o apoio direito das áreas de apoio tais como Recursos Humanos, Gestão de Risco, Compliance e inclusive pela alta Direção.
Verdadeiro ou Falso
O anexo A estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.
Verdadeiro
O que é um evento de segurança da informação?
Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
Verdadeiro ou Falso
A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.
Falso
A adoção de um Sistema de Gestão de Segurança da Informação (SGSI) é uma decisão estratégica para as organizações.
De acordo com a ISO/IEC 27001, quando ocorre uma não conformidade no SGSI, a organização deve:
I. evitar reagir à não conformidade de modo a controlá-la ou corrigi-la
II. impedir mudanças no Sistema de Gestão de Segurança da Informação para assegurar que auditorias internas possam ser realizadas
III. determinar se não conformidades similares existem, ou podem potencialmente ocorrer
III
Avaliar se existem outras situações de risco semelhantes.
Por que a conformidade é importante para a confiabilidade das informações?
Ao cumprir os requisitos legislativos e os regulamentos do governo e da gestão interna, uma organização mostra que gerencia suas informações de maneira adequada.
Na maioria das organizações, o acesso ao computador ou à rede é concedido somente após o usuário inserir um nome de usuário e uma senha corretos. Este processo consiste em 3 etapas: identificação, autenticação e autorização.
Qual é o objetivo da segunda etapa, autenticação?
I. Na segunda etapa, você torna sua identidade conhecida, o que significa que você tem acesso ao sistema.
II. O sistema determina se o acesso pode ser concedido determinando se o token usado é autêntico.
II
Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário.
Quando estamos na nossa mesa, queremos que o sistema de informação e as informações necessárias estejam disponíveis. Queremos poder trabalhar com o computador e acessar a rede e nossos arquivos.
Qual é a definição correta de disponibilidade?
I. O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários trabalhem com ele
II. O grau em que um sistema de informação está disponível para os usuários
II
O conceito principal de disponibilidade relaciona-se ao acesso às informações e processos que são fundamentais para o funcionamento das operações da empresa, uma vez que permite que estes itens estejam disponíveis sempre que necessário.
Verdadeiro ou Falso
Disponibilidade é um aspecto não crítico da garantia do serviço, cujo propósito é permitir que os serviços e processos realizados pela empresa possam ser executados de forma rápida, eficiente e sem impactos.
Falso
O que é uma medida corretiva?
Ações corretivas são medidas tomadas para eliminar a(s) causa(s)-raiz de não-conformidades, acidentes ou incidentes identificados, a fim de prevenir sua repetição.
Quem está autorizado a alterar a classificação de um documento?
I. O dono do documento
II. O administrador do documento
I
Convém que os proprietários de ativos de informação sejam responsáveis por sua classificação.
Uma ameaça não humana para os sistemas de computador é uma inundação.
Em que situação uma inundação é sempre uma ameaça relevante?
I. Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo.
II. Quando a organização está localizada perto de um rio.
I
11.1.4 Proteção contra ameaças externas e do meio-ambiente - Convém que orientações de especialistas sejam obtidas sobre como evitar danos oriundos de fogo, inundação, terremoto, explosão, manifestações civis e outras formas de desastre natural ou provocado pela natureza.
O que são áreas seguras?
Áreas seguras são sites onde você lida com informações sensíveis ou abriga equipamentos de TI e pessoal valiosos para atingir os objetivos do negócio. No contexto da segurança física, o termo “site” significa prédios, salas ou escritórios que hospedam todos os serviços e facilidades (eletricidade, aquecimento, ar-condicionado).
Verdadeiro ou Falso
Uma análise de risco é usada para garantir que as medidas de segurança sejam implementadas de maneira econômica e oportuna.
Verdadeiro
Qual regulamentação é aplicável apenas para empresas públicas dos Estados Unidos (listadas na Bolsa de Valores de Nova York)?
A Lei Sarbanes-Oxley (SOX) é a lei que se aplica para bancos e empresas listadas na Bolsa de Valores de Nova York NYSE.
Uma empresa holandesa está processando informações de civis holandeses; isso implica a aplicabilidade de alguns regulamentos holandeses em relação à privacidade desses civis. A empresa é obrigada a implementar medidas de segurança.
Qual medida ajuda melhor a empresa a comprovar a conformidade com os regulamentos aplicáveis?
I. Transmitir os acordos de não divulgação (NDAs) que são assinados por todos os funcionários.
II. Entrega dos resultados de uma auditoria de segurança.
II
Convém que os requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio.
O que é uma ameaça humana à confiabilidade das informações no site da sua empresa?
I. Um de seus funcionários comete um erro no preço de um produto em seu site.
II. O computador que hospeda seu site está sobrecarregado e trava. Seu site está offline.
I
Situações a serem consideradas para notificar um evento de segurança da informação incluem: … c) erros humanos;
Qual é a relação entre uma ameaça, risco e análise de risco?
Uma análise de risco é usada para esclarecer quais ameaças são relevantes e quais riscos envolvem.
Ela é uma ferramenta que ajuda a prever as consequências de interrupções de sistemas e/ou processos para uma empresa. Isso ajuda a determinar planos de ação efetivos, que minimizam as perdas materiais e/ou de imagem. A ideia desse documento é te ajudar a entender quais são os processos mais sensíveis do seu negócio e que mais afetam a empresa, caso parem de funcionar. Além de estimar um prazo requerido para a sua recuperação.
O que está descrito?
Análise de risco