ISFS.PR2024

Um banco de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura foi gerada e enviada a um cliente. O que essa fatura contém para esse cliente?. Dados. Informação. Dados e informação.

Qual é a diferença entre dados e informação?. Dados podem ser quaisquer fatos ou números. Informação são dados que têm significado. Dados são compostos por números não estruturados. Informação consiste em números estruturados. Dados não exigem segurança. Informação exige segurança. Dados não têm valor. Informação, que são dados processados, tem valor.

Qual é o foco do gerenciamento da informação?. Permitir que atividades e processos de negócios continuem sem interrupção. Assegurar que o valor da informação seja identificado e aproveitado. Evitar que pessoas não autorizadas tenham acesso a sistemas automatizados. Entender como a informação flui através de uma organização.

Uma organização precisa entender os riscos que enfrenta antes que possa tomar medidas apropriadas. O que deve ser conhecido para determinar o risco?. A probabilidade de algo acontecer e suas consequências para a organização. Os perigos mais comuns e como mitigá-los, conforme definido nas melhores práticas. As ameaças que a organização enfrenta e o quão vulnerável a organização é a elas. Os eventos não planejados que uma organização enfrenta e o que fazer em caso de tais eventos.

Além de integridade e confidencialidade, qual é o terceiro aspecto da confiabilidade da informação?. Exatidão. Disponibilidade. Completude. Valor.

Uma organização tem, em sua recepção, uma impressora ligada à rede. Muitos funcionários não recuperam suas impressões de imediato, deixando-as na impressora. Qual é a consequência disso para a confiabilidade da informação?. Não se pode garantir a disponibilidade da informação. Não se pode garantir a confidencialidade da informação. Não se pode garantir a integridade da informação.

Qual é a diferença entre responsabilização e auditabilidade?. Responsabilização significa que uma organização tem suas contas financeiras bem administradas. Auditabilidade significa que uma organização foi aprovada em uma auditoria. Responsabilização significa ser responsável pelos resultados das atividades de uma organização. Auditabilidade se refere à prontidão de uma organização para ser submetida a uma avaliação independentemente. Responsabilização significa ter responsabilidade pelas ações de uma pessoa. Auditabilidade significa ter responsabilidade pelas ações de uma organização. Responsabilização significa que a organização está em conformidade com a Sarbanes-Oxley (SOX). Auditabilidade se refere a uma organização estar em conformidade com a ISO/IEC 27001.

Como melhor se descreve a finalidade de uma política de segurança da informação?. Uma política de segurança da informação documenta a análise dos riscos e a busca por controles apropriados. Uma política de segurança da informação dá orientação e suporte à organização com relação à segurança da informação. Uma política de segurança da informação concretiza o plano de segurança ao lhe fornecer os detalhes necessários. Uma política de segurança da informação fornece uma visão sobre as ameaças e suas eventuais consequências.

Sara ficou encarregada de assegurar que a organização cumpra com a legislação de proteção de dados pessoais. Qual é a primeira medida que ela deve tomar?. Nomear uma pessoa responsável por apoiar os gerentes na adesão à política. Proibir a coleta e o armazenamento de informações pessoais. Tornar os funcionários responsáveis pelo envio de seus dados pessoais. Converter a legislação de proteção de dados pessoais em uma política de privacidade.

Uma organização decide terceirizar parte de sua TI. Qual a melhor forma de garantir segurança da informação quando se trabalha com um fornecedor?. Nomear um novo information security officer (ISO) na organização do fornecedor. Formalizar os requisitos de segurança da informação para o fornecedor em um acordo. Manter as duas organizações totalmente separadas para tornar todos responsáveis por seus dados. Exigir que o fornecedor siga os processos e os procedimentos da organização do cliente.

Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos de segurança?. Chief information security officer (CISO). Gestão geral. Information security officer (ISO). Information security policy officer.

Qual é o melhor exemplo de uma ameaça humana?. Um vazamento que provoca uma falha no fornecimento de energia. Um pen drive que transmite um vírus para a rede. Há muito pó na sala dos servidores.

Um sistema de banco de dados não possui os patches de segurança mais recentes e foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los. Que conceito de segurança da informação descreve a falta de patches de segurança?. Impacto. Risco. Ameaça. Vulnerabilidade.

Houve um incêndio em uma empresa. Os bombeiros chegaram rapidamente ao local e conseguiram apagar o fogo antes que ele se espalhasse e atingisse todas as instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de segurança) que ficavam em outra sala derreteram e muitos outros documentos foram perdidos. Que dano indireto foi causado por esse incêndio?. Sistemas de computadores queimados. Documentos queimados. Fitas de backup derretidas. Danos causados pela água.

Empresas podem ter diferentes estratégias de risco dependendo do tipo de negócio. Que estratégia de risco é mais adequada para um hospital?. Aceitar o risco. Evitar o risco. Suportar o risco. Reduzir o risco.

Uma análise de risco bem realizada fornece muita informação útil. Uma análise de risco tem diferentes objetivos principais. O que não é um objetivo principal de uma análise de risco?. Balancear os custos de um incidente e os custos de um controle. Determinar vulnerabilidades e ameaças importantes. Identificar os ativos e seu valor. Implementar medidas e controles.

Em caso de incêndio, qual é um controle repressivo?. Extinção do incêndio após sua detecção. Reparação dos danos causados pelo incêndio. Contratação de um seguro contra incêndio.

Qual é o objetivo da classificação da informação?. Rotular a informação para facilitar seu reconhecimento. Criar um manual sobre como lidar com dispositivos móveis. Estruturar a informação de acordo com sua sensibilidade.

Qual é a razão mais importante para pôr em prática a segregação de funções?. Assegurar que os funcionários não realizem o mesmo trabalho ao mesmo tempo. Responsabilizar conjuntamente todos os funcionários pelos erros que cometem. Tornar claro quem é responsável por quais tarefas e atividades. Minimizar a possibilidade de alterações não autorizadas ou não intencionais.

Qual é a melhor forma de assegurar um acesso apropriado à informação?. Automatizar fluxos de trabalho. Definir procedimentos operacionais. Desenvolver instruções de trabalho para todas as tarefas. Fornecer treinamento.

Houve um incêndio em uma filial de uma organização. Os funcionários foram transferidos para filiais próximas para continuar seu trabalho. No ciclo de vida de um incidente, onde se localiza a mudança para um stand-by arrangement?. Entre as etapas de dano e de recuperação. Entre as etapas de incidente e de dano. Entre as etapas de recuperação e de ameaças. Entre as etapas de ameaças e de incidente.

Uma funcionária descobre que a data de validade de uma política foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer essa alteração e notifica esse incidente de segurança ao help desk. O funcionário do help desk registra as seguintes informações sobre esse incidente: - data e hora - descrição do incidente - eventuais consequências do incidente Que informação importante sobre o incidente não foi registrada?. O nome da pessoa que notifica o incidente. O nome do pacote de software. O número do computador.

Por que é importante auditar regularmente o sistema de gestão de segurança da informação (SGSI) da organização?. Auditorias são um requisito comum em contratos de clientes para garantir segurança da informação. Auditorias são um elemento necessário para estar em conformidade com requisitos legais ou regulatórios. Auditorias detectam problemas relacionados à capacidade de cumprir os objetivos financeiros da organização. Auditorias detectam fragilidades na implementação de controles de segurança da informação.

Que documento contém uma regra que proíbe o uso do e-mail da empresa para fins pessoais?. Certificado de boa índole. Código de conduta. Regulamento Geral sobre a Proteção de Dados (GDPR). Acordo de não divulgação (NDA).

Quando um funcionário detecta um incidente, normalmente quem ele deve notificar primeiro?. Help desk. Information security manager (ISM). Information security officer (ISO). Gerente.

Qual é a forma mais eficaz de criar conscientização sobre segurança da informação entre os funcionários?. Ter como foco treinamento sobre conscientização para o time de gestão. Enviar todos os funcionários para um treinamento externo sobre segurança da informação. Criar um programa de conscientização específico para a organização. Utilizar um curso de treinamento genérico online sobre segurança da informação.

Que controle físico gerencia o acesso às informações de uma organização?. Instalação de ar-condicionado. Proibição do uso de pen drives. Exigência de nome de usuário e senha. Uso de vidro inquebrável.

Um centro de dados usa bancos de baterias, mas não tem gerador de energia. Qual é o risco associado a essa situação para a disponibilidade do centro de dados?. A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é preciso ter um gerador de energia para isso. O corte da energia principal pode durar mais do que alguns minutos ou horas, o que causará falta de energia. A vida útil dos bancos de baterias é limitada, então eles podem ficar sem diesel e parar de funcionar após alguns dias. Após algumas horas, os bancos de baterias devem ser alimentados pelo gerador de energia, logo eles oferecem apenas proteção limitada.

Por que há ar-condicionado na sala dos servidores?. As fitas de backup (cópia de segurança) são feitas de um plástico fino que não resiste a altas temperaturas. Portanto, se fizer calor demais na sala dos servidores, elas podem ser danificadas. Os funcionários que trabalham na sala dos servidores não devem trabalhar no calor. O calor aumenta a probabilidade de eles cometerem erros. Na sala dos servidores, o ar deve ser refrigerado e o calor produzido pelos equipamentos deve ser removido. O ar-condicionado também desumidifica e filtra o ar da sala. A sala dos servidores é a melhor forma de refrigerar o ar do escritório. Nenhuma área do escritório deve ser perdida com um equipamento tão grande.

Na segurança física, diversos anéis de proteção podem ser usados, nos quais diferentes medidas podem ser tomadas. O que não é um anel de proteção?. Prédio. Área intermediária. Área segura. Anel externo.

O controle para proteger um ativo depende do tipo de ativo. Qual é a forma mais apropriada de proteger o ativo?. Proteger um formulário preenchendo-o e assinando-o. Proteger um laptop alocando-o a um único usuário. Proteger um pen drive com criptografia. Proteger uma conexão de internet com um backup (cópia de segurança).

Que controle de segurança da informação ajuda a desenvolver sistemas tendo em conta a segurança da informação?. Garantir redundância dos servidores. Implementar controles físicos nas entradas. Verificar os antecedentes dos funcionários. Utilizar classificação de dados nos ativos de informação.

Uma organização muda sua política. A partir de agora, os funcionários estão autorizados a trabalhar remotamente. Que controle deve ser implementado agora?. Criar V-LANs para segmentar a rede corporativa. Criptografar as informações da rede corporativa. Instalar firewalls na rede corporativa. Usar uma VPN para se conectar à rede corporativa.

Os funcionários de uma organização trabalham com laptops protegidos por criptografia assimétrica. Todos os consultores usam o mesmo par de chaves para manter barato o gerenciamento das chaves. Se alguma informação for comprometida, novas chaves devem ser fornecidas. Em que caso novas chaves devem ser fornecidas?. Quando a chave privada se torna conhecida. Quando a chave pública se torna conhecida. Quando a infraestrutura de chave pública (ICP) se torna conhecida.

Que tipo de segurança uma infraestrutura de chave pública (ICP) oferece?. Uma ICP garante que os backups (cópias de segurança) dos dados da empresa sejam feitos regularmente. Uma ICP mostra aos clientes que um negócio na internet é seguro. Uma ICP verifica qual pessoa ou sistema pertence a uma chave pública específica.

Que tipo de malware é um programa que, além da função que aparentemente desempenha, realiza propositalmente atividades secundárias?. Bomba lógica. Spyware. Trojan. Worm.

Que tipo de malware cria uma rede de computadores contaminados ao se replicar?. Bomba lógica. Spyware. Trojan. Worm.

Qual é o ato legislativo ou regulatório relacionado à segurança da informação que pode ser imposto a todas as organizações?. Regulamento Geral sobre a Proteção de Dados (GDPR). Direitos de propriedade intelectual (PI). ISO/IEC 27001. ISO/IEC 27002.

Que norma ISO tem como foco a implementação de controles de segurança da informação?. ISO/IEC 27000. ISO/IEC 27001. ISO/IEC 27002. ISO/IEC 27005.

Que organização tem as normas mais comumente usadas na Europa?. Instituto Nacional Americano de Padrões (ANSI). Organização Internacional de Padronização (ISO). Instituto Nacional de Padrões e Tecnologia (NIST).