Exin ISO 27002 - SEC201

Estar em conformidade significa evitar violação de: • Qualquer lei criminal ou civil; • estatutos; • regulamentações; • obrigações contratuais; • quaisquer requisitos de segurança da informação;O Fator chave para manter-se em conformidade é identificar a legisla-ção vigente, assim como as regulamentações às quais nossa organiza-ção está subordinada. 251

•252

A ISO 27002 estabelece que as organizações necessitam estar em conformi-dade com as políticas e normas organizacionais de segurança da informação.Os gestores da organização devem garantir, dentro da sua área de responsa-bilidade, que todos os procedimentos de segurança da informação estão sedoexecutados corretamente para atender à conformidade com as normas e polí-ticas de segurança da informação.Faz se também necessária uma verificação periódica da dos sistemas de in-formação quanto a sua conformidade com as normas de segurança da infor-mação implementadas. 253

O Padrão PCI DSS (Payment Card Industry—Data Security Standard) é umpadrão criado pelo PCI SSC (PCI Security Standards Council), um organis-mo de normalização independente, que supervisiona o desenvolvimento egerenciamento dos padrões de segurança da indústria de pagamentos comcartão em todo o mundo, que abrange a segurança do ambiente que mantem,processa ou transmite dados de cartões. O padrão possui seis objetivos e do-ze requisitos:Construir e manter uma rede segura1 - Instalar e manter uma configuração de firewall para proteger os dados dotitular do cartão2 - Não utilizar senhas e as configurações padrão fornecidas pelos fabricantesProteger os dados do portador do cartão3 - .Proteger os dados armazenados do titular do cartão4 - Criptografar a transmissão dos dados do titular do cartão em redes aber-tas e públicas 254

Manter um programa de gerenciamento de vulnerabilidades5 - Usar programas ou softwares antivírus atualizados regularmente6 - Desenvolver e manter sistemas e aplicativos segurosImplementar medidas de controle de acesso rigorosas7 - Restringir o acesso aos dados do titular do cartão de acordo com a neces-sidade de conhecimento para o negócio8 - Atribuir uma identidade exclusiva para cada pessoa que tenha acesso aocomputador9 - Restringir o acesso físico aos dados do titular do cartãoMonitorar e Testar as Redes Regularmente10 - Acompanhar e monitorar todos os acessos aos recursos da rede e aos da-dos do portador do cartão11 - Testar regularmente os sistemas e processos de segurança.Manter uma Política de Segurança de Informações12 - Manter uma política que aborde a segurança das informações para todasas equipes 255

A Lei Sarbanes-Oxley, foi assinada em 30 de julho de 2002 pelo senador PaulSarbanes (Democrata) e pelo deputado Michael Oxley (Republicano), moti-vada por escândalos financeiros coorporativos (dentre eles o da Enron, queacabou por afetar drasticamente a empresa de auditoria Arthur Andersen),essa lei foi redigida com o objetivo de evitar o esvaziamento dos investimen-tos financeiros e a fuga dos investidores causada pela aparente insegurança arespeito da governança adequada das empresas.Por ter sido elaborada por Democratas e Republicanos, a Lei Sarbanes-Oxley,apelidada de Sarbox ou simplesmente SOX, foi aprovada quase que por una-nimidade, algo incrivelmente raro em uma votação no congresso americano.A SOX visa garantir a criação de mecanismos de auditoria e segurança confi-áveis nas empresas, incluindo ainda regras para a criação de comitês encarre-gados de supervisionar suas atividades e operações, de modo a mitigar riscosaos negócios, evitar a ocorrência de fraudes ou assegurar que haja meios deidentificá-las caso ocorram, garantindo a transparência na gestão das empre-sas. 256

Em uma de suas seções mais relevantes, a lei proíbe que empresas deste ramoprestem serviços de consultoria e auditoria para os mesmos clientes. Isso fezcom que a maior empresa do setor, a PriceWaterhouseCoopers, tomasse adecisão de simplesmente vender a sua unidade de consultoria, a PwC Con-sulting, para a IBM por 3.9 bilhões de dólaresDiante deste cenário, a área de TI como responsável pelo controle, segurançada informação e sistemas deverá estar alinhada para garantir às regras detransparência fiscal e financeira.A seção 404 da SOX aborda os impactos diante da área de tecnologia.Devido à importância de se manter a confiança no mercado mobiliário norteamericano, a SOX prevê penas severas aos seus infratores. Somente comobase de comparação temos alguns cribmes graves listados a seguir e suas res-pectivas penas:Fugir da prisão 1 a 2 anosSequestro envolvendo resgate 3 a 5 anosAssassinato de Segundo Grau 11 a 14 anosNo caso da SOX, a pena chega a 20 anos para quem falsificar documentosrelativos à cerificação, e 10 anos para quem os assinar (Ex: presidente da em-presa) 257

As organizações devem implementar procedimentos apropriados paragarantir a conformidade com os requisitos legislativos, regulamentarese contratuais no uso de material, em relação aos quais pode haver di-reitos de propriedade intelectual e sobre o uso de produtos de softwa-re proprietários. Dentre os principais procedimentos a serem imple-mentados, podemos destacar: • Publicar uma política de proteção; • adquirir softwares de fontes confiáveis e manter registros de ati- vos e comprovantes de propriedade • conscientizar e tomar ações disciplinares • usar ferramentas de auditoria 258

As organizações devem assegurar a privacidade e proteção de dados de qual-quer entidade que venha a confiar-lhe sua guarda, inclusive dados de colabo-radores cliente, parceiros, conforme exigido nas legislações relevantes, regu-lamentações e, se aplicável, nas cláusulas contratuais.A organização deve criar políticas para proteger seus registros contra perda,destruição e falsificação, de acordo com nível de classificação da informação ,requisitos regulamentares, estatutários, contratuais e de negócio.As principais formas de se alcançar esse nível de proteção é através do treina-mento e conscientização de gerentes e colaboradores, assim como utilizarmedidas técnicas e organizacionais para tentar detectar anomalias que colo-quem esses dados em risco. 259

Na maioria dos casos, os crimes de informática são apenas crimes comunsque se utilizam desse meio para serem executados, mas já existem exemplosem todo o mundo de legislação para prevenir e punir infratores que utilizamos meios digitais. Vejamos alguns exemplos: • Lan houses: Através da lei 12.228. de 11 de janeiro de 2006 o estado de São Paulo passou a exigir que os estabelecimentos que disponibili- zam acesso à Internet criem e mantenham um cadastro atualizado de seus usuários, contendo nome, data de nascimento, endereço, telefo- ne e número de documento de identidade. 260

No papel de custodiantes de dados públicos, os governos estão sujeitos à le-gislação nacional de segurança da informação e outros regulamentos, como odecreto 4.553 de 2002, que visam regulamentar: • Criação de arquivos • Gerenciamento e destruição • transferência para arquivo central • transferência entre governos • acesso aos arquivosO decreto 4.553 também regulamenta a classificação da informação e o tem-po pelo qual cada classificação deve ser mantida. 261

As informações que o governo custodia são públicas por natureza, mas de-vem ser mantidas em sigilo quando sua divulgação puder prejudicar a umcidadão ou a um grupo. Para tratar dessas informações especiais, o decreto4.553 possui quatro categorias de informações, com prazos diferentes declassificação das informações (ultra-secreto, secreto, confidencial e reserva-do).Após o prazo estipulado, a informação pode ser renovada, a classificaçãopode ser alterada ou o documento pode ser desclassificado. 262

ORIENTAÇÕES GERAIS A Lei nº 12.527, sancionada em 18 de novembrode 2011 regulamenta o direito constitucional dos cidadãos de acesso pleno àsinformações públicas , sendo aplicável aos poderes da União, Estados, Dis-trito Federal e Municípios, estando vigente desde o dia 16 de maio de 2012,representando um importante passo para o fortalecimento das políticas detransparência pública. Institui como princípio fundamental o de que o acessoà informação pública é a regra, e o sigilo a exceção e para garantir ao cidadãoo exercício pleno deste direito, define mecanismos, prazos e procedimentospara o acesso às informações, determinando também que os órgãos e entida-des públicas divulguem, através da Internet, um mínimo possível de informa-ções sobre suas ações e programas, independentemente de solicitações.Para entendê-la melhor, tratamos de detalhá-la didaticamente sob a forma deperguntas e respostas, a seguir: 263

01. O que é a Lei Federal nº 12.527, de 18.11.2011?Também conhecida como Lei de Acesso à Informação, é a Lei que regula oacesso a informações previsto no inciso XXXIII do artigo 5º, no inciso II do §3º do artigo 37 e no § 2º do artigo 216 da Constituição Federal de 1.988. Alémde regulamentar o direito constitucional do cidadão de pedir informações aopoder público, fixa regras, prazos e garantias que viabilizem e tornem possí-vel o direito de acesso.02. Quem está sujeito a esta Lei?Os órgãos públicos integrantes da administração direta dos poderes Executi-vo, Legislativo e Judiciário da União, dos Estados, do Distrito Federal e dosMunicípios, incluindo as Cortes de Contas, Judiciário e o Ministério Público,Além dos órgãos públicos integrantes da administração indireta, tais como asautarquias, fundações públicas, empresas públicas e sociedades de economiamista e demais entidades controladas direta ou indiretamente pela União,Estados, Distrito Federal e Municípios. Aplicam-se, ainda, as disposições daLei nº 12.527 às entidades privadas sem fins lucrativos que recebam, para rea-lização de ações do interesse público, recursos públicos diretamente do orça-mento ou mediante subvenções sociais, contratos de gestão, termos de parce-ria, convênios, acordo, ajustes ou outros instrumentos congêneres.03. O que é informação pública?Segundo a Lei nº 12.527 são os dados, processados ou não, que podem ser uti-lizados para produção e transmissão de conhecimento, contidos em qualquermeio, suporte ou formato.04. Quem poderá solicitar informações?Qualquer pessoa física ou jurídica. 264

05. Quem deverá responder às solicitações de informações?Deverá ser criado no âmbito dos órgãos ou entidades o Serviço de Informaçãoao Cidadão-SIC, bem como um link no site para possibilitar o atendimentodas solicitações on line.06. Quais informações públicas não podem ser divulgadas?Não serão divulgadas as informações cujo sigilo esteja amparado em legisla-ção específica como, por exemplo: informações relacionadas a segredo dejustiça, segredo industrial, sigilo bancário, entre outras.07. É preciso justificar a solicitação?Não. Nos termos do § 3º do artigo 10 da Lei nº 12.527 “são vedadas quaisquerexigências relativas aos motivos determinantes da solicitação de informaçõesde interesse público”.08. Como o cidadão deverá receber a informação pública?Ao registrar a solicitação, seja online ou presencialmente, o cidadão deveráinformar a forma de recebê-la. Exemplos: e-mail, carta ou pessoalmente.09. Qual o prazo para resposta?A Lei prevê a disponibilidade das informações requeridas no prazo para res-posta de 20 (vinte) dias corridos, prorrogáveis por mais 10 (dez) dias, desdeque justificado.10. Existem custos?A regra é que não, pois o serviço de busca e fornecimento das informações égratuito, salvo quando houver necessidade de digitalização de documentosou mídias, cópias, etc. 265

11. O que são informações pessoais?São aquelas relacionadas à pessoa natural cujo tratamento deve ser feitocom respeito à intimidade, vida privada, honra e imagem das pessoas, bemcomo às liberdades e garantias individuais.As informações pessoais terão seu acesso restrito, independentemente declassificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar dasua data de produção, a agentes públicos legalmente autorizados e à pessoaa que elas se referirem; Todavia, poderão ter autorizada sua divulgação ouacesso por terceiros diante de previsão legal ou consentimento expresso dapessoa a que elas se referirem.12. Qual o prazo máximo de sigilo de uma informação pública?Observada a classificação de que trata a Lei nº 12.527, o prazo máximo desigilo das informações públicas classificadas são de: • Ultrassecreta: 25 anos; • Secreta: 15 anos; • Reservada: 05 anos; • Pessoais: 100 anos;O prazo começa a contar a partir da sua data de produção,13. E se o cidadão fizer mau uso da informação pública obtida?Aquele que obtiver acesso às informações e a modificar, alterar ou fizer mauuso, poderá ser responsabilizada judicialmente, tanto criminal como civil-mente.Fonte: Controle Interno (UEPA) 266

267

Do ponto de vista da auditoria, uma determinada norma só está sendo cum-prida se houver algo que tangível para comprovar sua ação. As ações relacio-nadas aos controles de segurança da Informação devem gerar evidências, queserão coletadas e analisadas pelos auditores.São exemplos de evidências levantadas em um processo de auditoria: • Inventários • Lista de presença em palestras e cursos • Logs dos sistemas, backup, etc • Documentação 268

Toda auditoria deve ser realizada com o mínimo de interferência no processode auditoria dos sistemas de informação.A ISO 27002 especifica alguns controles visando a proteção dos sistemasoperacionais e ferramentas de auditoria durante as auditorias de sistemas deinformação: • Controles de auditoria de sistema – As auditorias envolvendo verifica- ção nos sistemas operacionais sejam cuidadosamente planejadas e acordadas para minimize os riscos de interrupção dos processos de negócio. • Proteção das ferramentas de auditoria de sistemas – O acesso às ferra- mentas de auditoria seja protegido, para prevenir qualquer possibilida- de de uso impróprio ou comprometimento. 269

Uma consideração importante quanto aos processo de auditoria é que de-ve haver uma preocupação quanto ao uso de recursos computacionais noprocesso de auditoria, para que o processo não cause uma interrupção noserviço 270

271

Anexo A 272

Anexo A – Exercícios com respostas comentadas1 de 40 —Você recebeu do seu contador uma cópia da sua declaração fiscal edeve verificar se os dados estão corretos. Qual característica de confiabilida-de da informação que você está verificando?A. DisponibilidadeB. ExclusividadeC. IntegridadeD. ConfidencialidadeA. incorreto. A disponibilidade é o grau em que a informação está disponívelpara os usuários nos momentos necessários.B. incorreto. A exclusividade é uma característica de sigilo.C. correto. Esta é uma preocupação da integridade.D. incorreto. Trata-se do grau em que o acesso à informação é restrito a ape-nas aqueles que são autorizados.2 de 40 — A fim de ter uma apólice de seguro de incêndio, o departamentoadministrativo deve determinar o valor dos dados que ele gerencia. Qual fa-tor não é importante para determinar o valor de dados para uma organiza-ção?A. O conteúdo dos dados.B. O grau em que a falta, dados incompletos ou incorretos podem ser recupe-rados. 273

C. A indispensabilidade dos dados para os processos de negócio.D. A importância dos processos de negócios que fazem uso dos dados.A. correto. O conteúdo dos dados não determina o seu valor.B. incorreto. Dados ausentes, incompletos ou incorretos podem ser facilmen-te recuperados são menos valiosos do que os dados que são difíceis ou impos-síveis de recuperar.C. incorreto. A indispensabilidade dos dados para os processos de negócios,em parte, determina o valor.D. incorreto. Dados críticos para os processos de negócio importantes, por-tanto, valiosos.3 de 40 – Nosso acesso à informação é cada vez mais fácil. Ainda assim, ainformação tem de ser confiável, a fim de ser utilizável. O que não é um as-pecto de confiabilidade da informação?A. DisponibilidadeB. IntegridadeC. QuantidadeD. ConfidencialidadeA. incorreto. A disponibilidade é um aspecto de confiabilidade da informa-çãoB. incorreto. A integridade é um aspecto de confiabilidade da informaçãoC. correto. Quantidade não é um aspecto de confiabilidade das informa-ções. 274

D. incorreto. A confidencialidade é um aspecto de confiabilidade da informa-ção4 de 40 — \"Completeza\" faz parte de qual aspecto de confiabilidade da infor-mação?A. DisponibilidadeB. ExclusividadeC. IntegridadeD. ConfidencialidadeA. incorreto. As informações podem estar disponíveis sem ter que ser com-pletasB. incorreto. A exclusividade é uma característica de sigilo.C. correto. Completeza faz parte da Integridade, que é parte do aspecto deconfiabilidade.D. incorreto. As informações confidenciais não têm que ser completas5 de 40 — Um departamento administrativo vai determinar os perigos aosquais está exposto. O que chamamos de um possível evento que pode ter umefeito perturbador sobre a confiabilidade da informação?A. DependênciaB. AmeaçaC. VulnerabilidadeD. Risco 275

A. incorreto. A dependência não é um evento.B. correto. A ameaça é um evento possível que pode ter um efeito pertur-bador sobre a confiabilidade da informação.C. incorreto. A vulnerabilidade é o grau em que um objeto está suscetível auma ameaça.D. incorreto. Um risco é o prejuízo médio esperado durante um período detempo como resultado de uma ou mais ameaças levando à ruptura6 de 40 — Qual é o propósito do gerenciamento de risco?A. Determinar a probabilidade de que um certo risco ocorrera.B. Determinar os danos causados por possíveis incidentes de segurança.C. Delinear as ameaças a que estão expostos os recursos de TI.D. Utilizar medidas para reduzir os riscos para um nível aceitável.A. incorreto. Isso faz parte da análise de risco.B. incorreto. Isso faz parte da análise de risco.C. incorreto. Isso faz parte da análise de risco.D. correto. O objetivo do gerenciamento de risco é o de reduzir os riscospara um nível aceitável.7 de 40 – Qual das afirmações sobre a análise de risco é a correta?1. Riscos que são apresentados em uma análise de risco podem ser classifica- 276

dos.2. Numa análise de risco todos os detalhes têm que ser considerados.3. A análise de risco limita-se a disponibilidade.4. A análise de risco é simples de efetuar através do preenchimento de umpequeno questionário padrão com perguntas padrão.A. 1B. 2C. 3D. 4A. correto. Nem todos os riscos são iguais. Como regra os maiores ris-cos são abordados em primeiro lugar.B. incorreto. É impossível em uma análise de risco examinar todos os deta-lhes.C. incorreto. A análise de risco considera todos os aspectos de confiabilida-de, incluindo a integridade e confidencialidade, juntamente com a disponibi-lidade.D. incorreto. Em uma análise de riscos, questões raramente são aplicáveis acada situação.8 de 40 - Qual dos exemplos abaixo pode ser classificado como fraude? 1. Infectar um computador com um vírus. 2. Realização de uma operação não autorizada. 3. Divulgação de linhas de comunicação e redes. 4. Utilização da Internet no trabalho para fins privados. 277

A. 1B. 2C. 3D. 4A. incorreto. A infecção por vírus é classificada como a \"ameaça de alteraçãonão autorizada\".B. correto. Uma transação não autorizada é classificada como \"fraude\".Consulte a seção 4.6 \"Ameaças administrativas\".C. incorreto. Tapping é classificada como \"ameaça\" de divulgação \".D. incorreto. A utilização privada é classificada como a ameaça de \"abuso\".9 de 40 - Um risco possível para uma empresa é dano por incêndio. Se essaameaça ocorre, isto é, se um incêndio na verdade eclode, danos diretos e indi-retos podem ocorrer. O que é um exemplo de prejuízos diretos?A. Um banco de dados é destruídoB. Perda de imagemC. Perda de confiança do clienteD. Obrigações legais não podem mais ser satisfeitasA. correto. Um banco de dados destruído é um exemplo dos prejuízosdiretos.B. incorreto. Danos de imagem é indireta.C. incorreto. Perda de confiança do cliente é indireta.D. incorreto. Ser incapaz de cumprir as obrigações legais é dano indireto. 278

10 de 40 - A fim de reduzir os riscos, uma empresa decide optar por uma es-tratégia de um conjunto de medidas. Uma das medidas é que um acordostand-by é organizado para a empresa. A que tipo de medidas um acordostand-by pertence?A. Medidas corretivasB. Medidas detetivasC. Medidas preventivasD. Medidas repressivasA. incorreto. Medidas corretivas são tomadas após eventoB. incorreto. Medidas detetivas são tomadas depois de um sinal de detecção.C. incorreto. As medidas preventivas são destinadas a evitar incidentes.D. correto. Medidas repressivas, tais como um acordo stand-by, visamminimizar os danos.9 de 40 - O que é um exemplo de uma ameaça humana?A. Um pen drive que passa vírus para a rede.B. Muito pó na sala do servidor.C. Um vazamento que causa uma falha no fornecimento de eletricidade.A. correto. Um pen drive que passa vírus para a rede sempre é inseridopor uma pessoa. Assim fazendo um vírus entra na rede, então é umaameaça humana. 279

B. incorreto. Poeira não é uma ameaça humana.C. incorreto. A fuga de energia elétrica não é uma ameaça humana.12 de 40 - O que é um exemplo de uma ameaça humana?A. Um apagãoB. FogoC. PhishingA. incorreto. Um relâmpago é um exemplo de uma ameaça não humanaB. incorreto. O fogo é um exemplo de uma ameaça não humanaC. correto. Phishing (atraem usuários para sites falsos) é uma forma deameaça humana.13 de 40 - A informação tem uma série de aspectos de confiabilidade. confia-bilidade é constantemente ameaçada. Exemplos de ameaças são: um cabo sesoltar, a informação que alguém altera por acidente, dados que são usadospara fins particulares ou falsificados. Qual destes exemplos é uma ameaça àconfidencialidade?A. Um cabo soltoB. Exclusão acidental de dadosC. Utilização privada de dadosD. Falsificação de dados 280

A. incorreto. Um cabo solto é uma ameaça para a disponibilidade de infor-mações.B. incorreto. A alteração não intencional de dados é uma ameaça à sua inte-gridade.C. correto. A utilização de dados para fins privados, é uma forma deabuso e é uma ameaça à confidencialidade. .D. incorreto. A falsificação de dados é uma ameaça à sua integridade.14 de 40 - Um empregado nega o envio de uma mensagem específica.Qual o aspecto de confiabilidade da informação está em perigo aqui?A. DisponibilidadeB. ExatidãoC. IntegridadeD. ConfidencialidadeA. incorreto. Sobrecarregar a infraestrutura é um exemplo de uma ameaça àdisponibilidade.B. incorreto. Exatidão não é um aspecto de confiabilidade. É uma caracterís-tica de integridade.C. correto. A negação do envio de uma mensagem tem a ver com o não-repúdio, uma ameaça à integridade.D. incorreto. O uso indevido e / ou divulgação de dados são ameaças à confi-dencialidade. 281

15 de 40 - No ciclo de incidente há quatro etapas sucessivas. Qual é a ordemdessas etapas?A. Ameaça, Dano, Incidente, RecuperaçãoB. Ameaça, Incidente, Dano, RecuperaçãoC.Incidente, Ameaça, Dano, RecuperaçãoD. Incidente, Recuperação, Dano, AmeaçaA. incorreto. Os danos se seguem após o incidente.B. correto. A ordem das etapas do ciclo do incidente são: ameaça, inci-dente, dano e recuperação.C. incorreto. O incidente segue a ameaça.D. incorreto. A recuperação é a última etapa.16 de 40 - Um incêndio interrompe os trabalhos da filial de uma empresa deseguros de saúde. Os funcionários são transferidos para escritórios vizinhospara continuar seu trabalho. No ciclo de vida do incidente, onde são encon-trados os arranjos de continuidade?A. Entre a ameaça e o incidenteB. Entre a recuperação e a ameaçaC. Entre o dano e a recuperaçãoD. Entre o incidente e os danos 282

A. incorreto. Realização de um acordo stand-by, sem que primeiro haja umincidente é muito caro.B. incorreto. A recuperação ocorre após a colocação do acordo de stand-byem funcionamento.C. incorreto. Danos e recuperação são realmente limitados pelo acordo stand-by.D. correto. Um stand-by é uma medida repressiva que é iniciada, a fimde limitar os danos.17 de 40 - Como é amelhor descrição do objetivo da política de segurança dainformação?A. A política documenta a análise de riscos e a busca de medidas de contor-no.B. A política fornece orientação e apoio à gestão em matéria de segurança dainformação.C. A política torna o plano de segurança concreto, fornecendo-lhe os deta-lhes necessários.D. A política fornece percepções sobre as ameaças e as possíveis consequên-cias.A. incorreto. Este é o propósito da análise e gerenciamento de riscos.B. correto. A política de segurança fornece orientação e apoio à gestãoem matéria de segurança da informação.C. incorreto. O plano de segurança faz com que a política de segurança dainformação seja concreta. O plano inclui medidas que tenham sido escolhi- 283

das, quem é responsável pelo que, as orientações para a implementação demedidas, etc.D. incorreto. Este é o propósito de uma análise de ameaça.18 de 40 - O código de conduta para os negócios eletrônicos (e-business) ébaseado em uma série de princípios. Quais dos seguintes princípios não per-tencem?A. ConfiabilidadeB. RegistroC. Confidencialidade e privacidadeA. incorreto. Confiabilidade forma uma das bases do código de conduta.B. correto. O código de conduta é baseado nos princípios de confiabili-dade, transparência, confidencialidade e privacidade.C. incorreto. O código de conduta se baseia em matéria de confidencialidadee privacidade, entre outras coisas.19 de 40 - Um trabalhador da companhia de seguros Euregio descobre que adata de validade de uma política foi alterada sem seu conhecimento. Ela é aúnica pessoa autorizada a fazer isso. Ela relata este incidente de segurançaao Helpdesk. 284

O atendente do Helpdesk registra as seguintes informações sobre este inci-dente: • data e hora • descrição do incidente • possíveis consequências do incidenteQue informação importante sobre o incidente está faltando aqui?A. O nome da pessoa que denunciou o incidenteB. O nome do pacote de softwareC. O número do PCD. Uma lista de pessoas que foram informadas sobre o incidenteA. correto. Ao relatar um incidente, o nome do usuário deve ser registra-do no mínimo.B. incorreto. Esta informação adicional pode ser adicionada posteriormenteC. incorreto. Esta informação adicional pode ser adicionada posteriormenteD. incorreto. Esta informação adicional pode ser adicionada posteriormente20 de 40 - Uma empresa experimenta os seguintes incidentes:1. Um alarme de incêndio não funciona.2. A rede é invadida.3. Alguém finge ser um membro do quadro de pessoal.4. Um arquivo no computador não pode ser convertido em um arquivo PDF. 285

Qual destes incidentes não é um incidente de segurança?A. 1B. 2C. 3D. 4A. incorreto. Um alarme de incêndio defeituoso é um incidente que podeameaçar a disponibilidade de dados.B. incorreto. Hacking é um incidente que pode ameaçar a disponibilidade,integridade e confidencialidade dos dados.C. incorreto. Desvio de identidade é um incidente que pode ameaçar o aspec-to da disponibilidade, integridade e confidencialidade dos dados.D. correto. Um incidente de segurança é um incidente que ameaça a con-fidencialidade, confiabilidade e disponibilidade dos dados. Esta não éuma ameaça para a disponibilidade, integridade e confidencialidade dosdados.21 de 40 - As medidas de segurança podem ser agrupadas de várias maneiras.Qual das seguintes é correta?A. Física, lógica, preventivaB. Lógica repressiva, preventivaC. Organizacional, preventiva, corretiva, físicaD. Preventiva, detetiva, repressiva, corretiva 286

A. incorreto. Organizacional / lógico / físico é um grupo apropriado, como épreventiva / detetiva / repressiva / corretivas.B. incorreto. Organizacional / lógico / físico é um grupo apropriado, como épreventiva / detetiva / repressiva / corretivas.C. incorreto. Organizacional / lógico / físico é um grupo apropriado, como épreventiva / detetiva / repressiva / corretivas.D. correto. Preventiva / detetiva / repressiva / corretiva é um grupoapropriado, como é organizacional / lógico / físico.22 de 40 - Um alarme de fumaça é colocado em uma sala de computadores.Sob qual categoria de medidas de segurança está esta? A. Corretivas B. Detetiva C. Organizacional D. PreventivaA. incorreto. Um alarme detecta fumaça e, em seguida, envia um alarme, masnão tomar qualquer ação corretiva.B. correto. Um alarme de incêndio só tem uma função de sinalização,após o alarme dado, a ação ainda é necessária.C. incorreto. Só as medidas que seguem um sinal de alarme de incêndio sãoorganizacionais; a colocação de um alarme de fumaça não é organizacional.D. incorreto. Um alarme de fumaça não impede o fogo e não é portanto umamedida preventiva. 287

23 de 40 - Security Officer (ISO-Information Security Officer)), da compa-nhia de seguros Euregio deseja ter uma lista de medidas de segurança emconjunto. O que ele tem que fazer primeiramente antes de selecionar as me-didas de segurança a serem implementadas?A. Implantar o monitoramento.B. Realizar uma avaliação.C. Formular uma política de segurança da informação.D. Realizar uma análise de risco.A. incorreto. O monitoramento é uma medida possível.B. incorreto. A avaliação acontece depois que a lista de medidas é montada.C. incorreto. Uma política de segurança da informação é importante, masnão é necessária a fim de selecionar medidas.D. correto. Antes das medidas de segurança serem selecionadas, Euregiodeve conhecer os seus riscos para determinar quais os riscos requeremuma medida de segurança.24 de 40 - Qual é a finalidade da classificação das informações?A. Determinar quais tipos de informações podem requerer diferentes níveisde proteção.B. Atribuir informações a um proprietário.C. Reduzir os riscos de erro humano.D. Impedir o acesso não autorizado a informações. 288

A. correto. O objetivo da classificação das informações é de manter umaproteção adequada.B. incorreto. Alocação de informações para um proprietário é o meio de clas-sificação e não o fim.C. incorreto. Reduzir os riscos de erro humano é parte dos requisitos de se-gurança dos funcionários.D. incorreto. Impedir o acesso não autorizado a informações é parte de segu-rança de acesso.25 de 40 - A autenticação forte é necessária para acessar áreas altamente pro-tegidas. Em caso de autenticação forte a identidade de uma pessoa é verifica-da através de três fatores. Qual fator é verificado quando é preciso digitar umnúmero de identificação pessoal (PIN)?A. Algo que você éB. Algo que você temC. Algo que você sabeA. incorreto. Um código PIN não é um exemplo de algo que você é.B. incorreto. Um código PIN não é algo que você tem.C. correto. Um código PIN é algo que você sabe.26 de 40 - O acesso à sala de computadores está fechado usando um leitor decrachás. Somente o Departamento de Sistemas de Gestão tem um crachá.Que tipo de medida de segurança é essa? 289

A. Uma medida de segurança de correçãoB. Uma medida de segurança físicaC. Uma medida de segurança lógicaD. Uma medida de segurança repressivaA. incorreto. A medida de segurança de correção é uma medida de recupera-ção.B. correto. Esta é uma medida de segurança física.C. incorreto. Uma medida de segurança lógica controla o acesso ao softwaree informação, e não o acesso físico às salasD. incorreto. A medida de segurança repressiva visa minimizar as conse-quências de um rompimento.27 de 40 - Quatro membros do pessoal (4) do departamento de TI comparti-lham um (1) mesmo crachá. A que risco de isso levar?A. Se a energia falhar, os computadores vão ficar fora.B. Se houver fogo os extintores de incêndio não podem ser usados.C. Se alguma coisa desaparecer da sala de informática não vai ficar claroquem é responsável.D. Pessoas não autorizadas podem ter acesso à sala de computadores semserem vistas.A. incorreto. Computadores fora do ar como resultado de uma falha de ener-gia não têm nada a ver com a gestão de acesso. 290

B. incorreto. Mesmo com um crachá, a equipe de TI pode apagar um incên-dio com um extintor de incêndio.C. correto. Embora fosse claro que alguém do departamento de TI entrou nasala, não é certo que isso tenha acontecido.D. incorreto. Ninguém tem acesso à sala de computadores sem um crachá.28 de 40 - No salão de recepção de um escritório da administração, há umaimpressora que todos os funcionários podem usar em caso de emergência. Oarranjo é que as impressões devem ser recolhidas imediatamente, para queelas não possam ser levadas por um visitante. Qual outro risco para a infor-mação da empresa que esta situação traz?A. Os arquivos podem permanecer na memória da impressora.B. Visitantes seriam capazes de copiar e imprimir as informações confidenci-ais da rede.C. A impressora pode tornar-se deficiente através do uso excessivo, de modoque já não estará disponível para uso.A. correto. Se os arquivos permanecem na memória podem ser impressose levados por qualquer transeunte.B. incorreto. Não é possível usar uma impressora para copiar as informaçõesda rede.C. incorreto. A indisponibilidade de uma impressora não forma um riscopara a informação da companhia. 291

29 de 40 - Qual das seguintes medidas de segurança é uma medida técnica?A. Atribuição de Informações a um donoB. Criptografia de arquivosC. Criação de uma política de definição do que é e não é permitido no e-mailD. Senhas do sistema de gestão armazenadas em um cofreA. incorreto. Alocação de informações para um proprietário é a classificação,que é uma medida de organização.B. correto. Esta é uma medida técnica que impede que pessoas não auto-rizadas leiam as informações.C. incorreto. Esta é uma medida de organização, um código de conduta queestá escrito no contrato de trabalho.D. incorreto. Esta é uma medida de organização.30 de 40 - As cópias de segurança As cópias de segurança (backup) As cópiasde segurança (backup) do servidor central são mantidas na mesma sala fe-chada com o servidor. Que risco a organização encara?A. Se a falha no servidor, ele vai levar um longo tempo antes que o servidorestá novamente operacional.B. Em caso de incêndio, é impossível obter o sistema de volta ao seu estadoanterior.C. Ninguém é responsável pelos backups.D. Pessoas não autorizadas tenham acesso fácil para os backups. 292

A. incorreto. Pelo contrário, isso ajudaria a recuperar o sistema operacionalmais rapidamente.B. correto. A chance de que as cópias de segurança também podem serdestruídas em um incêndio é muito grande.C. incorreto. A responsabilidade não tem nada a ver com o local de armaze-namento.D. incorreto. A sala de informática está bloqueada.31 de 40 - Qual das tecnologias abaixo é maliciosa? A. Criptografia B. Hash C. Virtual Private Network (VPN) D. Vírus, worms e spywareA. incorreto. Criptografia torna a informação impossível de ser lida por qual-quer pessoa, exceto aquela que possuem conhecimento especial, usualmentefeito por uma chaveB. incorreto. Hash é um método de criptografia da informaçãoC. incorreto. VPN é uma conexão segura feita para acesso à internetD. correto. Todas essas são formas de tecnologias maliciosas que estabelecempedidos a um computador para fins maliciosos.32 de 40 - Que medida não ajuda contra software mal-intencionado? A. Uma política ativa de correções B. Um programa anti-spyware 293

C. Um filtro anti-spam D. Uma senhaA. incorreto. Software mal intencionado freqüentemente usa falhas de pro-gramação em programas populares. Correções reparam brechas de segurançanesses programas, reduzindo a chance de infecções por software mal intenci-onadoB. incorreto. Spyware é um programa malicioso que coleta informações confi-denciais e então as distribui. Um programa anti-spyware pode detectar essetipo de programa no computadorC. incorreto. Spam é um e-mail não pedido. É freqüentemente uma simplespropaganda mas pode também ter programas maliciosos anexados ou umlink para um sítio na internet com software malicioso. Um filtro removespam.D. correto. Uma senha é um meio de autenticação. Ela não bloqueia qual-quer tipo de software malicioso.33 de 40 - O que é um exemplo de medida organizacional?A. Cópia de segurança (backup) de dadosB. CriptografiaC. Segregação de funçõesD. Manutenção de equipamentos de rede e caixas de junção em uma salatrancadaA. incorreto. Cópia de segurança (backup) é uma medida técnica 294

B. incorreto. Criptografia de dados é uma medida técnicaC. correto. Segregação de funções é uma medida organizacional. A inicia-ção, execução e controle de funções são alocadas a diferentes pessoas.Por exemplos, a transferência de um grande volume de dinheiro é prepa-rado por um escriturário, o diretor financeiro executa o pagamento e umcontador audita a transação.D. incorreto. Trancas as salas é um medida de segurança física.34 de 40 - A identificação é determinar se a identidade de alguém é correta.Esta declaração é correta? A. sim B. nãoA. incorreto. Identificação é o processo de tornar uma identidade conhecida.B. correto. Estabelecer se a identidade de alguém é correta é chamado deautenticação.35 de 40 - Por que é necessário manter um plano de recuperação de desastresatualizados e testá-lo regularmente?A. A fim de sempre ter acesso a cópias de segurança (backups) recentes, queestão localizados fora do escritório.B. Para ser capaz de lidar com as falhas que ocorrem diariamente.C. Porque de outra forma, na eventualidade de uma ruptura muito grande, asmedidas tomadas e os procedimentos previstos podem não ser adequados oupodem estar desatualizados. 295

D. Porque esta é exigida pela Lei de Proteção de Dados Pessoais.A. incorreto. Esta é uma das medidas técnicas utilizadas para recuperar umsistemaB. incorreto. Para rupturas normais as medidas usualmente executadas e osprocedimentos de incidentes são suficientesC. correto. Uma ruptura maior requer planos atualizados e testados.D. incorreto. A Lei de Proteção de Dados Pessoais envolve a privacidade dosdados pessoais36 de 40 - O que é a autorização?A. A determinação da identidade de uma pessoa.B. O registro das ações realizadas.C. A verificação da identidade de uma pessoa.D. A concessão de direitos específicos, tais como o acesso seletivo para umapessoa.A. incorreto. A determinação da identidade de uma pessoa é chamada deidentificaçãoB. incorreto. O registro das ações realizadas é chamada diárioC. incorreto. A verificação da identidade da pessoa é chamada de autentica-çãoD. correto. A permissão de direitos específicos, tal como acesso seletivopara uma pessoa, é chamada de autorização. 296

37 de 40 - Qual norma legal importante na área de segurança da informaçãoque o governo tem que cumprir? A. Análise de dependência e vulnerabilidade B. ISO / IEC 20000 C. ISO / IEC 27002 D. Legislação nacional de segurança de informação ou regulamentosA. incorreto. Dependência & Análise de Risco é um método de análise deriscoB. incorreto. ISO/IEC 20000 é um padrão para organizar o gerenciamento deserviços de TI e não é compulsório. incorreto. ISO/IEC 27002 é o Código deSegurança da Informação. É um guia para organizar a Segurança de Informa-ção e não é compulsórioD. correto. Legislação nacional de segurança da informação ou regula-mentos são intencionados para todos os governos e são obrigatórios.38 de 40 - Com base em qual legislação alguém pode pedir para inspecionaros dados que tenham sido registrados?A. A Lei de Registros PúblicosB. A Lei de Proteção de Dados PessoaisC.A Lei de Crimes de InformáticaD. A Lei de acesso público a informações do governo 297

A. incorreto. A Lei de Registros Públicos regula o armazenamento e a des-truição de documentos arquivadosB. correto. O direito de inspeção é regulado na Lei de Proteção de DadosPessoais.C. incorreto. A Lei de Crimes de Informática é uma mudança do Código Pe-nal e do Código de Processo Criminal de forma a tornar mais fácil lidar comofensas perpetradas por meio de tecnologia da informação avançada. Umexemplo de uma nova ofensa é o hacking.D. incorreto. A Lei de Acesso Público a Informações do Governo regula a ins-peção de documentos oficiais escritos. Dados pessoais não são documentosoficiais.39 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC27002) é uma descrição de um método de análise de risco. Esta declaração écorreta? A. Sim B. NãoA. incorreto. A 27002 é uma coleção de medidasB. correto. O Código de Segurança da Informação pode ser usado em umaanálise de risco mas não é um método.40 de 40 - O Código de Prática de Segurança da Informação (ISO / IEC27002) só se aplica às grandes empresas. Esta declaração é correta? A. Sim B. Não 298

A. incorreto. O Código de Segurança da Informação é aplicável a todos ostipos de organização, grandes e pequenas.B. correto. O Código de Segurança da Informação é aplicável a todos ostipos de organização, grandes e pequenas. 299

Anexo B Lista de conceitos básico do Exin 300