Questões sobre Política de Segurança

Com base na norma ABNT NBR ISO/IEC 27.001, o fato de uma organização manter computadores desligados ou com a tela travada quando estes não estiverem em uso e não manter papéis com senhas ou descrição de acesso a informações críticas em locais desprotegidos caracteriza a denominada “política de mesa limpa e tela protegida”. A adoção dessa política objetiva o controle de

• A.

  aquisição, desenvolvimento e manutenção de sistemas de informação.

• B.

  gestão da continuidade do negócio.

• C.

  gestão de incidentes de segurança da informação.

• D.

  segurança de recursos humanos.

• E.

  acessos.

Com base na norma ABNT NBR ISO/IEC 27.001, para se garantir a confidencialidade da comunicação entre dois computadores, pode-se optar pelo uso de recursos de criptografia para aumentar o nível de segurança no tráfego de informações. Um dos objetivos associados à adoção desse tipo de controle é

• A.

  a segurança de recursos humanos.

• B.

  o gerenciamento da segurança em redes.

• C.

  a segurança física e do ambiente.

• D.

  a gestão de incidentes de segurança da informação.

• E.

  a gestão de ativos.

Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a

• A.

  definição de escopo e limites do SGSI.

• B.

  elaboração de plano de tratamento de riscos.

• C.

  implementação de plano de tratamento de riscos.

• D.

  condução de auditorias internas no SGSI.

• E.

  identificação de tentativas e falhas de segurança.

A NBR ISO/IEC 27002 define controles que são considerados princípios básicos para a gestão da segurança da informação. Tais controles são baseados em requisitos legais e nas melhores práticas de segurança da informação.

Os controles a seguir são considerados práticas para a segurança da informação, EXCETO a

• A.

  gestão de vulnerabilidades técnicas

• B.

  gestão da continuidade do negócio

• C.

  proteção de registros organizacionais

• D.

  atribuição de responsabilidades para a segurança da informação

• E.

  conscientização, educação e treinamento em segurança da informação

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção. A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir.

Essa lei altera os aspectos de classificação relacionados a critérios de

• A.

  Confidencialidade

• B.

  Integridade

• C.

  Identidade

• D.

  Autenticidade

• E.

  Prazos de Retenção

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A Política de Segurança deve

• A.

  ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

• B.

  ser estabelecida a priori e não deve sofrer modificações, já que dela dependem os controles que asseguram a integridade e confidencialidade dos ativos da organização.

• C.

  ser sólida o suficiente para não ter que ser criticada na presença de mudanças no ambiente organizacional, nas circunstâncias do negócio ou no ambiente técnico.

• D.

  gerar um documento que será mantido com a classificação mais alta possível de confidencialidade, disponível apenas aos gestores, já que estabelece critérios de natureza crítica para a organização e que não devem ser amplamente divulgados sob pena de comprometer a segurança como um todo.

• E.

  isentar-se de estabelecer responsabilidades específicas de gestão da segurança da informação, já que as estruturas organizacionais podem ser modificadas, e essas responsabilidades teriam que ser modificadas também.

Em relação à política de segurança da informação, julgue os itens subsecutivos.

Convém que, em intervalos planejados, tendências relacionadas a ameaças e a vulnerabilidades de segurança da informação façam parte do processo de análise crítica da política de segurança da informação.

• C. Certo
• E. Errado

Em relação à política de segurança da informação, julgue os itens subsecutivos.

Um documento de política de segurança da informação pretende orientar a segurança da informação, conforme os requisitos de negócio e as leis e regulamentações relevantes para a instituição. Esse documento deve ser aprovado pela direção e comunicado amplamente aos seus colaboradores.

• C. Certo
• E. Errado

Quais são os objetivos principais que devem ser evidenciados na Política de Segurança da Informação das empresas?

• A. Preservar a integridade, confidencialidade e disponibilidade das informações relevantes para a empresa.
• B. Criar mecanismos de proteção física para as mídias de backup e definir níveis de responsabilidade.
• C. Definir os controles de acesso de pessoas e registrar as ocorrências de tentativa de acesso indevido.
• D. Criar uma escala de datas e horários para a realização do backup e guardá-los em local seguro.

Em um ambiente de acesso à Internet, constituem medidas mais adequadas para minimizar os problemas de segurança e produtividade e riscos de contaminação por vírus, trojans e outros códigos maliciosos:

• A. Utilizar filtros para inspeção de conteúdos maliciosos nos acessos à Web.
• B. Adotar políticas de acesso e log para e-mails recebidos/enviados.
• C. Manter atualizadas as ferramentas de antivírus nas estações de trabalho.
• D. Adotar políticas de segurança, ferramentas antivírus e filtro de inspeção de conteúdo em e-mail e acessos a Web.
• E. Implementar antivírus e ferramenta anti-spam.