Questões sobre Política de Segurança

Julgue os próximos itens, relativos à segurança da informação.

As responsabilidades específicas pela gestão de segurança das informações devem ser descritas na política de segurança de informações da organização. No entanto, os procedimentos para sistemas de informação específicos não devem compor esse documento, devendo ser restritos aos responsáveis por esses processos.

• C. Certo
• E. Errado

No que se refere a políticas de segurança da informação, julgue o item a seguir.

A elaboração, manutenção e análise crítica da política de segurança da informação competem exclusivamente ao security officer da área de tecnologia da informação da organização.

• C. Certo
• E. Errado

No que se refere à segurança de sistemas, julgue os itens que se seguem.

Em uma política de segurança da informação, devem ser descritas as responsabilidades dos colaboradores da organização com os ativos de informação que utilizam, devendo essa política ser apoiada pela alta direção da empresa.

• C. Certo
• E. Errado

Considere as afirmativas abaixo sobre políticas de segurança da informação:

I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.

II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.

Quais afirmativas estão corretas?

• A. Apenas a I.
• B. Apenas a III.
• C. Apenas a I e II.
• D. Apenas a II e III.
• E. I, II e III.

Sobre a Política de Segurança da Informação de uma organização é correto afirmar:

• A.

  Pode conter outras políticas específicas, como política de senhas, política de backup, política de privacidade, política de confidencialidade e política de uso aceitável.

• B.

  Se desrespeitada, pode ser considerada como um incidente de segurança, porém, como não existe legislação especifica para esses casos, não pode ser motivo para o encerramento de contrato (de trabalho, de prestação de serviços etc.).

• C.

  Cópia e distribuição não autorizada de material protegido por direitos autorais, apesar de moralmente ilegal, não pode ser considerada uma situação de uso abusivo na organização (previsto na política de segurança).

• D.

  Apesar de importante, não é considerada um mecanismo de segurança para as instituições, pois apesar de deixar claro o comportamento esperado de cada um, não pode ocasionar a punição de atos de mau comportamento (que estejam previstos na política) com o rompimento de contrato de trabalho.

• E.

  Define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza, mas não define as penalidades às quais está sujeito, caso não a cumpra.

Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir.

A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades.

• C. Certo
• E. Errado

Com relação à política de segurança em redes P2P, assinale a afirmativa correta.

• A.

  A configuração de segurança da rede pode ser implementada em qualquer nó da rede. Posteriormente, as novas diretrizes serão distribuídas para os outros nós da rede.

• B.

  A política de segurança é implementada de forma distribuída em cada um dos nós da rede.

• C.

  Ambos os nós da rede envolvidos atuam simultaneamente como cliente e servidor durante o processo de download de um arquivo, havendo, neste caso, autenticação mútua.

• D.

  Por ser uma rede aberta, não há como implementar política de segurança.

• E.

  Todos os usuários devem realizar autenticação em um servidor centralizado antes de acessar qualquer recurso compartilhado.

Acerca das normas de segurança da informação, julgue os itens a seguir.

Conforme a norma ISO/IEC 27002:2005, os controles considerados essenciais como ponto de partida para a segurança da informação de uma organização, sob o ponto de vista legal, são: a proteção de dados e privacidade de informações pessoais, proteção de registros organizacionais e direitos de propriedade intelectual.

• C. Certo
• E. Errado

Acerca das normas de segurança da informação, julgue os itens a seguir.

Para receber a certificação da NBR ISO/IEC 27001:2005, uma empresa deve possuir sistema de gestão de segurança da informação que contemple todos os controles preconizados e detalhados na referida norma.

• C. Certo
• E. Errado

Acerca das normas do Gabinete de Segurança Institucional (GSI-PR), julgue os próximos itens.

De acordo com a Instrução Normativa GSI/PR n.º 1, compete ao gestor de segurança da informação e comunicações, entre outras atividades, acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança.

• C. Certo
• E. Errado