ISO 27001

Question 1

O que é um serviço?

Answer 1

Meio de fornecer algo que o cliente perceba como tendo certo valor, sem que tenha que arcar com certos custos e riscos para obtenção daquele resultado.

Question 2

Como que um serviço é produzido e consumido ao mesmo tempo?

Answer 2

O cliente pode pedir algo, você precisa customizar.

Question 3

O que é informação?

Answer 3

É o dado que tem significado em algum contexto para quem o recebe.
É um bem, um ativo de negócio, o qual permeia toda a jornada do seu cliente. Tem valor pra empresa, e como todo ativo precisa ser protegido.

Question 4

Todas as informações devem ser protegidas?

Answer 4

Sim, a diferença é o nível de proteção que se dá.

Question 5

Quais são os estados pelos quais passa a informação?

Answer 5

Armazenada - considerada em computadores, por ex
Em movimento - equipamentos que podem ser usados para usar essa informação ou transmitida pela rede
Em uso - dados que está processando a todo momento

Question 6

Em qual estado da informação estão as atividades de leitura e escrita?

Answer 6

Se enquadra em “em uso”.

Question 7

Conceito de sistemas de informação

Answer 7

Aplicação, serviço, recursos de tecnologia da info ou qualquer outro componente de manejo da informação.
É meio que ajuda a transferir e processar informações.
Em sentido amplo, se refere a interação entre pessoas, processos, dados e tecnologia.

Question 8

O que é processo?

Answer 8

Conjunto ordenado de atividades.

Question 9

SGSI

Answer 9

A ISO ajuda a criar esse sistema. É a gestão da segurança, como você organizou a gestão na sua empresa, que usa o padrão PDCA.

Question 10

PDCA

Answer 10

Plan-Do-Check-Act
É o ciclo de melhoria contínua, também conhecido como Kaizen.

Question 11

Qual é o benefício mais imediato da SI?

Answer 11

Quando se tem uma diretriz e foi definida, escrita, aprovada, ela força todo mundo a segui-la. É de cima pra baixo.

Question 12

Quais são os benefícios da SI?

Answer 12

Ajuda a atender as regras do setor, com as leis, e traz retorno sobre investimento (que muitas vezes não dá para calcular, pq o foco é prevenção).

Question 13

Verdadeiro ou Falso

O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI

Answer 13

Verdadeiro

Question 14

Os termos e definições da ISO 27001 estão localizados em qual norma ISO?

Answer 14

27000

Question 15

Verdadeiro ou Falso:
Pela norma ISO 27001, informações tornadas públicas pela organização não requerem mecanismos de proteção para a sua visualização e modificação.

Answer 15

Falso

Question 16

Qual fator NÃO é importante para determinar o valor dos dados em uma organização para uma apólice de seguro de incêndio?

Answer 16

Conteúdo dos dados

Question 17

Verdadeiro ou Falso

Com base na ISO 27001, a política de segurança integra o SGSI, e a diretriz dessa implementação é detalhada na norma.

Answer 17

Falso

ISO 27002 Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização.

Question 18

Verdadeiro ou Falso

Ao elaborar e melhorar um SGSI a organização deve considerar o negócio e o SGSI deve ser documentado para não envolver a direção da empresa.

Answer 18

Falso.

Question 19

Verdadeiro ou Falso

A ISO 27002 traz recomendações de controles.

Answer 19

Verdadeiro. Ela é um “Código de Prática”.

Question 20

Diferença entre dado e informação

Answer 20

Dado é matéria prima, informação é o que foi transformado a partir daquele dado

Question 21

O que é segurança da informação?

Answer 21

Preservação da confidencialidade, integridade e disponibilidade da informação.
É a proteção contra uma ampla gama de ameaças, a fim de garantir a continuidade dos negócios.

Question 22

Quais são as propriedades da segurança da informação?

Answer 22

Autenticidade, responsabilidade, não repudio e confiabilidade.

Question 23

Como sua empresa passa confiança?

Answer 23

Segurança da informação.

Question 24

O que é não repúdio?

Answer 24

Não-negação, ato de contestá-lo. A pessoa não pode dizer que não foi ela.

Question 25

Como decidir a forma de proteção da seg info entre manual ou automática?

Answer 25

Depende da necessidade do controle, do custo do controle, de cada empresa. A maior parte automático é a melhor forma possível.

Question 26

Segurança de informação é diferente de segurança de TI?

Answer 26

Sim.
Segurança da informação é do todo, documentos digitais ou físicos.

Question 27

Informação é fator de produção?

Answer 27

Sim, toda empresa utiliza informação como fator de produção. Sem informação ela não sobrevive (Ex: seguradora)

Question 28

A SI traz o que para os negócios?

Answer 28

Traz valor, é a segurança que vai dar também garantia, conforto.

Question 29

Qual o pilar principal da SI que visa proteger a privacidade?

Answer 29

A confidencialidade.

Question 30

Dentre as medidas de confidencialidade, qual visa evitar fraude?

Answer 30

A segregação de funções, que vem como forma de evitar o conflito de interesses.

Question 31

Quais as características da integridade?

Answer 31

Exatidão (ainda que não verídica), integralidade, e integridade - não repúdio envolve esta última.

Question 32

Quais as características da disponibilidade?

Answer 32

Pontualidade, continuidade, e robustez - como ele atende a sua demanda?

Question 33

Como seria uma forma melhor de controlar o gerenciamento da informação?

Answer 33

Gestão de indicadores

Question 34

O que significa o C na CID de Segurança da Informação?

Answer 34

Confidencialidade

Question 35

Segundo a ISO 27001, a organização deve determinar e prover os recursos para:

Answer 35

Estabelecer, implementar, melhorar o SGSI

Question 36

Verdadeiro ou Falso

As informações disponíveis para o público não precisam ser alvo da política de segurança, afinal são públicas.

Answer 36

Falso

Question 37

Entre as atividades para se estabelecer um SGSI, conforme a norma ISO/IEC 27.001, inclui-se a:

Answer 37

Definição do escopo e dos limites da SGSI

Question 38

Assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação:

I. Evento de segurança ocorre de maneira indesejada e inesperada.

II. O SGSI se fundamenta na abordagem de risco do negócio.

III. Confidencialidade é classificar uma informação sigilosa confidencial.

Answer 38

II

Question 39

Em que parte do padrão você encontrará uma referência para objetivos e controles de controle:

I. Anexo A

II. Anexo SL

III. Clausula 9 da avaliação de desempenho

Answer 39

I

Question 40

O que NÃO é uma responsabilidade da alta gerência?

I. Promoção da melhoria contínua

II. Estabelecer a política de Segurança da Informação

III. Nomear um representante da gerência

Answer 40

I

Question 41

Qual o cálculo do risco?

Answer 41

Probabilidade X Impacto

Question 42

Como surge o risco?

Answer 42

Para chegar a uma situação de risco, é preciso que alguém explore uma fraqueza, uma vulnerabilidade

Question 43

O que te ajuda a desenvolver as medidas apropriadas para uma empresa?

Answer 43

Análise de risco

Question 44

Por que se faz análise de risco?

Answer 44

Identificar e estimar, ter compreensão dos pontos de riscos da empresa, para depois tomar decisões sobre o tratamento do risco.

Question 45

O que é análise de risco?

Answer 45

Um processo para compreender a natureza do risco a fim de determinar seu nível.
Forma sistêmica de tomar pontos de risco para tratá-los

Question 46

Verdadeiro ou Falso

Somente se deve tratar os riscos após a realização da análise e avaliação dos riscos.

Answer 46

Verdadeiro

Question 47

Qual a diferença entre incidente de SI e o desastre de SI?

Answer 47

Incidente é o evento indesejado ou inesperado que tem probabilidade de comprometer a SI.
Depende da empresa, não é necessariamente quebrar um pilar ou mais de um pilar da SI

Question 48

Qual o objetivo da análise de risco?

Answer 48

Compartilhar a responsabilidade da segurança com todo mundo

Question 49

Quais os objetivos da análise de risco?

Answer 49

Identificar os bens/ativos e seus valores
Determinar vulnerabilidades e ameaças relevantes
Determinar um equilíbrio entre os custos de um incidente e os custos das medidas de segurança

Question 50

Verdadeiro ou Falso

Não existe risco zero.

Answer 50

Verdadeiro.
Gerenciamento do risco é um processo contínuo: identificados, eliminados, ou reduzidos a nível aceitável

Question 51

Qual o principal objetivo da análise de risco?

Answer 51

Objetivo é trazer o nível de risco para o aceitável.

Question 52

Como podemos classificar as medidas de SI?

Answer 52

Preventivas, detectivas, repressivas e de recuperação/correção.

Question 53

Phising é que tipo de ameaça?

Answer 53

Ameaça de engenharia social, que está dentro da ameaça humana e intencional.

Question 54

O que é um ataque?

Answer 54

É um dano direto.

Question 55

O que é o dado expectativa de perda única?

Answer 55

É o evento extraordinário, que acontece uma vez.

Question 56

“Não existe segurança 100%, mas a gente precisa trazer um conforto”. Para esse nível aceitável de segurança, você precisa levar em consideração que….

Answer 56

Os riscos são aceitáveis. “O molho não deve ser mais caro que o peixe”.

Question 57

Por que os riscos seriam aceitáveis?

Answer 57

Porque as medidas de segurança ou são muito caras, ou excedem os custos do possível dano, ou são de natureza repressiva.

Question 58

Estratégia de risco do tipo “neutralizar”…

Answer 58

É para mitigar o risco.

Question 59

Para realizar o tratamento do risco, META

Answer 59

Mitigar
Evitar
Transferir
Aceitar

Question 60

As decisões da empresa para seleção de controles de risco precisam levar em consideração

Answer 60

Critérios de aceitação de risco, opções de tratamento e na abordagem geral.

Question 61

Verdadeiro ou Falso

Restrições operacionais precisam ser levadas em conta nos controles de tratamento de riscos

Answer 61

Verdadeiro

Question 62

Qual é o propósito do gerenciamento de risco?

I. Determinar probabilidade de materialização de um risco

II. Apontar as ameaças que estão expostos os recursos

III. Utilizar medidas para reduzir os riscos para um nível aceitavel

Answer 62

III

O Gerenciamento de Riscos visa reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos direcionando tratamento aos riscos que possam vir a causar danos. O gerenciamento de riscos corporativos possibilita aos administradores tratar com eficácia as incertezas, bem como os riscos e as oportunidades a elas associadas, a fim de melhorar a capacidade de gerar valor.

Question 63

Qual ação é uma ameaça humana não intencional?

I. Engenharia Social

II. Roubo de um laptop

III. Incêndio intencional

IV. Uso incorreto de equipamentos de extinção de fogo

Answer 63

IV

Question 64

Verdadeiro ou Falso

A organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.

Answer 64

Falso

Question 65

A prioridade das ações preventivas deve ser determinada com base nos resultados do(a):

I. Avaliação da capacitação da equipe.

II. Plano de gestão do conhecimento.

III. Parecer de viabilidade das ações preventivas.

IV. Análise/avaliação de riscos.

Answer 65

IV

Question 66

Na ISO/IEC 27001, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:

I. Gerir riscos.

II. Avaliar riscos.

III. Analisar riscos.

Answer 66

II

Question 67

Na ISO 27001: 2013, qual das seguintes opções deve ser documentada:

I. Avaliação de risco

II. Tratamento de risco

III. Gestão de riscos

IV. SGSI

Answer 67

I

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que estabeleça e mantenha critérios de riscos de segurança da informação

Question 68

Verdadeiro ou Falso

Tratamento de risco vira controle de segurança.

Answer 68

Verdadeiro

Question 69

A avaliação de riscos precisa ser definida e aplicada como:

I. Processo

II. Procedimento

Answer 69

I

A organização deve definir e aplicar um -> processo <- de avaliação de riscos de segurança da informação que estabeleça e mantenha critérios de riscos de segurança da informação

Question 70

O que faz a Política de Segurança da Informação (PSI)?

Answer 70

Prove direcionamento de segurança da informação. Ela é um processo. Quem prove procedimento é regra

Question 71

Quais os três papeis principais dos profissionais de SI?

Answer 71

CISO - diretor de segurança;
ISO - especialista, ponto focal de segurança;
ISM - gerente de segurança

Question 72

Qual o papel do CISO?

Answer 72

Ele quem define a estratégia geral para toda a empresa. É ele que desenvolve estratégia global de segurança

Question 73

Acima do CISO existe alguém?

Answer 73

Apenas o CEO da empresa

Question 74

Qual o papel do Information Security Officer?

Answer 74

Política para unidade específica de negócio, para um setor da empresa

Question 75

Verdadeiro ou Falso

Código de conduta é comportamental

Answer 75

Verdadeiro

Question 76

Verdadeiro ou Falso

Devo classificar os meus ativos de informação, APÓS INVENTÁRIO PARA GARANTIR UM NÍVEL ADEQUADO DE PROTEÇÃO

Answer 76

Verdadeiro

Question 77

O que é incidente de segurança?

Answer 77

Quebra um dos pilares do CID e atrapalha os negócios da empresa

Question 78

Escalação de incidentes

Answer 78

Escalação hierárquica, manda para alguém que pode tomar essa decisão
Escalação funcional - envia para quem tem mais especialidade para resolver aquele problema

Question 79

Diferença entre escalação funcional e hierárquica

Answer 79

Escalação funcional pode ser para qualquer nível, desde que resolva o problema

Question 80

Quando acionar medidas repressivas?

Answer 80

Entre o incidente e o dano. Depois que aconteceu o incidente é preciso repreender.

Question 81

Qual destes incidentes NÃO é um incidente de segurança?

I. Um alarme de incêndio não funciona.

II. A rede é invadida.

III. Alguém finge ser um membro do quadro de pessoal.

IV. Um arquivo no computador não pode ser convertido em um arquivo PDF.

Answer 81

IV

Question 82

Verdadeiro ou Falso

O anexo A estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal em intervalos regulares.

Answer 82

Verdadeiro

Question 83

Uma ocorrência identificada de um estado de serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha é:

I. Incidente de segurança da informação

II. Incidente identificado de segurança da informação

III. Evento de segurança da informação

IV. Problema de segurança de informação

Answer 83

III

Question 84

Foi instalada uma porta com controle de acesso por cartão e somente os colaboradores autorizados podem acessar esse ambiente. Essa medida associa-se:

I. ao controle de perímetro de segurança física

II. à validação de dados de saída

III. ao controle de vulnerabilidades

IV. à cordenação de segurança da informação

Answer 84

I

Question 85

Política de mesa limpa e tela protegida objetiva que tipo de controle?

I. segurança de recursos humanos

II. gestão de incidentes de segurança da informação

III. acessos

Answer 85

III

Question 86

O acesso da informação devem ser controlados com base nos requisitos de negócio. Assim, convém:

I. fornecer senhas aos usuários

II. que as questões de acesso estejam em um documento próprio

III. tudo seja permitido a menos que expressamente proibido

IV. que o controle de acesso estejam descritos nos direitos de acesso

Answer 86

IV

Question 87

Segundo a ISO 27001 a segurança da informação é um conjunto de medidas de proteção, com exceção da:

I. autenticidade

II. compatibilidade

III. irretratabilidade

IV. integridade

Answer 87

II

Question 88

Quando são aplicadas as medidas para tratar ameaças de segurança?

Answer 88

Depois da avaliação de riscos

Question 89

Quais são as medidas que precisamos lembrar para as provas?

Answer 89

De prevenção, redução, detecção e repressão.

Question 90

O que é segurança física?

Answer 90

Combinação de medidas estruturais, organizacionais e controles eletrônicos.

Question 91

O que significa controle de acesso?

Answer 91

Controlar a informação e garantir que será usada pelas pessoas que você permitir

Question 92

Verdadeiro ou Falso

“A pessoa certa deve ter acesso à informação certa.”

Answer 92

Verdadeiro

Question 93

Verdadeiro ou Falso

Criptografia simétrica = Chave de casa

Answer 93

Verdadeiro

Question 94

Qual a diferença entre dados e informação?

Answer 94

A informação é um bem que tem valor para uma organização e necessita ser protegido.

Question 95

Qual o objetivo da classificação da informação?

Answer 95

O objetivo da classificação das informações é de manter uma proteção adequada. Determinar quais tipos de informações podem requerer diferentes níveis de proteção.

Question 96

O que é criptografia?

Answer 96

É uma medida técnica que impede que pessoas não autorizadas leiam as informações.

Question 97

O que é assinatura digital?

Answer 97

…

Question 98

O que é certificado?

Answer 98

…

Question 99

O que é identificação?

Answer 99

Identificação é o processo de tornar uma identidade conhecida.
São métodos para prover um sujeito (entidade que solicita acessos) com uma identidade reconhecível (e.g., conta de usuário, VAT, número de seguro social, passaporte, etc.).

Question 100

O que é autenticação?

Answer 100

Definir se a identidade de alguém é correta.
São métodos para assegurar que um sujeito é quem ele diz ser (e.g., senha, token, impressão digital, etc.).

Question 101

O que é autorização?

Answer 101

É a concessão da permissão de direitos específicos, tal como acesso seletivo para uma pessoa.
São métodos para controlar quais ações um sujeito pode realizar em um objeto (entidade que está sendo acessada) (e.g., lista de permissões do sujeito e lista de permissões do objeto).

Question 102

O que é confiabilidade?

Answer 102

Propriedade de consistência dos comportamentos e resultados desejados.

Question 103

O que é tratamento de riscos?

Answer 103

Processo de seleção e implementação de medidas para modificar o risco.
Tratamentos que lidam com consequências negativas são referenciados como “mitigação”, “eliminação”, “prevenção” e “redução” de riscos.

Question 104

O que é retenção de riscos?

Answer 104

É a assunção de riscos, quando nenhuma ação positiva é tomada no sentido de evitar ou transferir o risco.

Question 105

Verdadeiro ou Falso.

Dados críticos para processos comerciais são, por esse motivo, valiosos.

Answer 105

Verdadeiro

Question 106

Quais as etapas do ciclo do incidente?

Answer 106

Ameaça
Incidente
Dano
Recuperação

Question 107

Qual o conteúdo mínimo de um formulário de registro de incidentes?

Answer 107

Data e hora
Nome do local
Pessoa que reportou
Localização
O que ocorreu
Como foi descoberto

Question 108

O que é um sistema stand by?

Answer 108

É uma das medidas de repressão, com o objetivo de minimizar consequências após detecção do incidente. É capaz de assumir as funções de um sistema que falhou automaticamente.

Question 109

Qual fator é verificado quando é preciso fornecer um código PII ou uma senha?

I. Algo que você é
II. Algo que você tem
III. Algo que você sabe

Answer 109

III, algo que você sabe

Question 110

Qual fator é verificado quando é preciso fornecer a biometria com impressão digital ou scanner da íris?

I. Algo que você é
II. Algo que você tem
III. Algo que você sabe

Answer 110

I, algo que você é

Question 111

Quais são os quatro aneis de proteção da segurança física?

Answer 111

Anel externo, de prédio, de local de trabalho e de objeto.

Question 112

Qual o objetivo das medidas físicas?

Answer 112

Implantar a segurança física para impedir acesso físico não autorizado, dano ou interferências nas instalações de informação e informação da organização.

Question 113

O que são identificações que facilitem o reconhecimento das informações?

Answer 113

A identificação das informações é uma designação, uma forma especial de categorizar as informações, o que ocorre após a classificação.

Question 114

Qual é o objetivo da classificação da informação?

Answer 114

A classificação de informações é utilizada para definir os diferentes níveis de confidencialidade nos quais as informações podem ser estruturadas.

Question 115

Quem é autorizado a mudar a classificação de um documento?

Answer 115

O proprietário deve assegurar que o ativo seja classificado ou reclassificado, se necessário; portanto, está autorizado a alterar a classificação de um documento.

Question 116

Verdadeiro ou Falso

A política de segurança da informação deve ter um proprietário autorizado com a responsabilidade de gestão para o desenvolvimento, revisão e avaliação da política de segurança.

Answer 116

Verdadeiro

Question 117

Verdadeiro ou Falso

Ativos não precisam ter proprietário nomeado.

Answer 117

Falso

Todos os ativos precisam ser contabilizados e terem um proprietário nomeado. Um proprietário do ativo é responsável pela sua proteção no dia a dia e pela implementação e manutenção de controles adequados.

Question 118

Quais são os controles contra malware?

Answer 118

Controles de medidas técnicas, contra ameaças e softwares mal-intencionados, no nível de segurança da operação.
Controles de detecção, prevenção e recuperação, combinados com o conhecimento adequado do usuário.

Question 119

Quais são os tipos de malware?

Answer 119

Vírus
Worms
Trojans
Spyware

Question 120

Quais as contramedidas padrão contra malware?

Answer 120

Usar scanner antivírus e um firewall.

Question 121

Verdadeiro ou Falso

A política de controle de acesso é uma medida organizacional, que abrange apenas o
acesso a edifícios ou sistemas de TI.

Answer 121

Verdadeiro

Question 122

Qual a diferença entre avaliação e análise de risco?

Answer 122

A análise de risco proporciona a base para estimativa do risco e para as decisões de tratamento.
Avaliação do risco é o processo geral de identificação, análise e estimativa do risco. É a soma total da análise quantitativa e qualitativa.

Question 123

Qual o foco da gestão da informação?

Answer 123

Garantir que o valor da informação seja identificado e explorado em toda sua extensão.

Question 124

Qual a prioridade do Planejamento de Continuidade de Negócios (BCP)?

Answer 124

Manter o funcionamento da empresa, ainda que parcialmente, a partir do desastre até quando a empresa estiver totalmente recuperada e apta a operar.

Question 125

Cite exemplos de medidas de segurança física

Answer 125

Definir perímetros de segurança física
Implantar controles físicos de entrada, protegendo o acesso
Definir áreas seguras de acesso público e áreas comuns

Question 126

Qual o objetivo de um plano de continuidade de negócios (PCN)?

Answer 126

Voltar a situação ao estado em que se encontrava antes do desastre

Question 127

Qual o conceito de ameaça?

Answer 127

Causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou organização.

Uma ameaça é um evento possível que pode ter um efeito perturbador na confiabilidade da informação.

Question 128

Dê exemplos de regulamentações relacionadas à segurança da informação.

Answer 128

…

Question 129

Indique as medidas que podem ser tomadas para atender aos requisitos da legislação e das regulamentações.

Answer 129

…

Question 130

O que é uma análise de risco qualitativa?

Answer 130

Uma análise de risco qualitativa envolve a definição de diversas ameaças, determinando a extensão das vulnerabilidades e elaborando contramedidas, caso ocorra um ataque.

Question 131

Que medida não ajuda contra software mal-intencionado?

I. Uma política ativa de correções
II. Um programa anti-spyware
III. Um filtro anti-spam
IV. Uma senha

Answer 131

IV

Uma senha é um meio de autenticação. Ela não bloqueia qualquer tipo de software malicioso. A mais eficaz forma de ser capaz de combater qualquer software malicioso, é a implementação de camadas de segurança que atrapalham a exploração de diferentes vulnerabilidades que cada organização pode ter.

Question 132

Quatro membros do pessoal do departamento de TI compartilham um mesmo crachá.
A que risco este fato pode levar?

I. Se alguma coisa desaparecer da sala de informática, não vai ficar claro quem é responsável.
II. Pessoas não autorizadas podem ter acesso à sala de computadores sem serem vistas.

Answer 132

I

Embora fosse claro que alguém do departamento de TI teria entrado na sala, não se saberia ao certo quem foi. A obrigatoriedade do não compartilhamento de acesso devem seguir as regras descritas por normas internas e externas que devem ser insistentemente sustentadas pelos responsáveis da Segurança da Informação com o apoio direito das áreas de apoio tais como Recursos Humanos, Gestão de Risco, Compliance e inclusive pela alta Direção.

Question 133

Verdadeiro ou Falso

O anexo A estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.

Answer 133

Verdadeiro

Question 134

O que é um evento de segurança da informação?

Answer 134

Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Question 135

Verdadeiro ou Falso

A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

Answer 135

Falso

Question 136

A adoção de um Sistema de Gestão de Segurança da Informação (SGSI) é uma decisão estratégica para as organizações.
De acordo com a ISO/IEC 27001, quando ocorre uma não conformidade no SGSI, a organização deve:

I. evitar reagir à não conformidade de modo a controlá-la ou corrigi-la
II. impedir mudanças no Sistema de Gestão de Segurança da Informação para assegurar que auditorias internas possam ser realizadas
III. determinar se não conformidades similares existem, ou podem potencialmente ocorrer

Answer 136

III

Avaliar se existem outras situações de risco semelhantes.

Question 137

Por que a conformidade é importante para a confiabilidade das informações?

Answer 137

Ao cumprir os requisitos legislativos e os regulamentos do governo e da gestão interna, uma organização mostra que gerencia suas informações de maneira adequada.

Question 138

Na maioria das organizações, o acesso ao computador ou à rede é concedido somente após o usuário inserir um nome de usuário e uma senha corretos. Este processo consiste em 3 etapas: identificação, autenticação e autorização.
Qual é o objetivo da segunda etapa, autenticação?

I. Na segunda etapa, você torna sua identidade conhecida, o que significa que você tem acesso ao sistema.
II. O sistema determina se o acesso pode ser concedido determinando se o token usado é autêntico.

Answer 138

II

Durante a identificação o usuário diz ao sistema quem ele é (normalmente através de um nome de usuário). Durante a autenticação a identidade é verificada através de uma credencial (uma senha, por exemplo) fornecida pelo usuário.

Question 139

Quando estamos na nossa mesa, queremos que o sistema de informação e as informações necessárias estejam disponíveis. Queremos poder trabalhar com o computador e acessar a rede e nossos arquivos.
Qual é a definição correta de disponibilidade?

I. O grau em que a capacidade do sistema é suficiente para permitir que todos os usuários trabalhem com ele
II. O grau em que um sistema de informação está disponível para os usuários

Answer 139

II

O conceito principal de disponibilidade relaciona-se ao acesso às informações e processos que são fundamentais para o funcionamento das operações da empresa, uma vez que permite que estes itens estejam disponíveis sempre que necessário.

Question 140

Verdadeiro ou Falso

Disponibilidade é um aspecto não crítico da garantia do serviço, cujo propósito é permitir que os serviços e processos realizados pela empresa possam ser executados de forma rápida, eficiente e sem impactos.

Answer 140

Falso

Question 141

O que é uma medida corretiva?

Answer 141

Ações corretivas são medidas tomadas para eliminar a(s) causa(s)-raiz de não-conformidades, acidentes ou incidentes identificados, a fim de prevenir sua repetição.

Question 142

Quem está autorizado a alterar a classificação de um documento?

I. O dono do documento
II. O administrador do documento

Answer 142

I

Convém que os proprietários de ativos de informação sejam responsáveis por sua classificação.

Question 143

Uma ameaça não humana para os sistemas de computador é uma inundação.
Em que situação uma inundação é sempre uma ameaça relevante?

I. Quando os sistemas de computador são mantidos em um porão abaixo do nível do solo.
II. Quando a organização está localizada perto de um rio.

Answer 143

I

11.1.4 Proteção contra ameaças externas e do meio-ambiente - Convém que orientações de especialistas sejam obtidas sobre como evitar danos oriundos de fogo, inundação, terremoto, explosão, manifestações civis e outras formas de desastre natural ou provocado pela natureza.

Question 144

O que são áreas seguras?

Answer 144

Áreas seguras são sites onde você lida com informações sensíveis ou abriga equipamentos de TI e pessoal valiosos para atingir os objetivos do negócio. No contexto da segurança física, o termo “site” significa prédios, salas ou escritórios que hospedam todos os serviços e facilidades (eletricidade, aquecimento, ar-condicionado).

Question 145

Verdadeiro ou Falso

Uma análise de risco é usada para garantir que as medidas de segurança sejam implementadas de maneira econômica e oportuna.

Answer 145

Verdadeiro

Question 146

Qual regulamentação é aplicável apenas para empresas públicas dos Estados Unidos (listadas na Bolsa de Valores de Nova York)?

Answer 146

A Lei Sarbanes-Oxley (SOX) é a lei que se aplica para bancos e empresas listadas na Bolsa de Valores de Nova York NYSE.

Question 147

Uma empresa holandesa está processando informações de civis holandeses; isso implica a aplicabilidade de alguns regulamentos holandeses em relação à privacidade desses civis. A empresa é obrigada a implementar medidas de segurança.
Qual medida ajuda melhor a empresa a comprovar a conformidade com os regulamentos aplicáveis?

I. Transmitir os acordos de não divulgação (NDAs) que são assinados por todos os funcionários.
II. Entrega dos resultados de uma auditoria de segurança.

Answer 147

II

Convém que os requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar interrupção dos processos do negócio.

Question 148

O que é uma ameaça humana à confiabilidade das informações no site da sua empresa?

I. Um de seus funcionários comete um erro no preço de um produto em seu site.
II. O computador que hospeda seu site está sobrecarregado e trava. Seu site está offline.

Answer 148

I

Situações a serem consideradas para notificar um evento de segurança da informação incluem: … c) erros humanos;

Question 149

Qual é a relação entre uma ameaça, risco e análise de risco?

Answer 149

Uma análise de risco é usada para esclarecer quais ameaças são relevantes e quais riscos envolvem.

Question 150

Ela é uma ferramenta que ajuda a prever as consequências de interrupções de sistemas e/ou processos para uma empresa. Isso ajuda a determinar planos de ação efetivos, que minimizam as perdas materiais e/ou de imagem. A ideia desse documento é te ajudar a entender quais são os processos mais sensíveis do seu negócio e que mais afetam a empresa, caso parem de funcionar. Além de estimar um prazo requerido para a sua recuperação.

O que está descrito?

Answer 150

Análise de risco