Questões de Concurso Comentadas sobre políticas de segurança de informação em segurança da informação

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Considere as asserções a seguir sobre a LGPD.
I. O Controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, tais como as finalidades e os meios do tratamento (art. 5º, VI). No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados. II. O Encarregado é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII), podendo ser agentes públicos, no sentido amplo, que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento, no âmbito de contrato ou de instrumento congênere. ]III. O Operador, definido pelo art. 5º, VIII, é a pessoa indicada pelo controlador e encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). IV. Na hipótese legal de tratamento de dados pela administração pública, é dispensado o consentimento do titular do dado, desde que seja para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e em regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei.
Estão corretas apenas as asserções

O Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) trata, dentre outros pontos, da neutralidade de rede, que

A norma brasileira ABNT NBR ISO/IEC 27001:2013 provê requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela emprega terminologia derivada da norma internacional ISO/IEC 27000. Esta última estabelece um conjunto de conceitos relacionados a risco. Um desses é definido como “O processo para compreender a natureza do risco e para determinar o nível de risco”. O conceito assim definido na ISO/IEC 27000 é:  

Você é responsável pela elaboração de uma política de segurança que trata especificamente sobre o uso adequado de equipamentos corporativos de TIC. Como responsável pela elaboração do documento, você também deve ter conhecimento sobre as práticas corretas em relação à política. Assinale a alternativa que possui uma ação correta em relação à Política de Segurança, de acordo com as melhores práticas de mercado.

Políticas de segurança definem os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não as cumpram (Cartilha de Segurança da Internet, 2012). Sobre os tipos de políticas de segurança, marque V para as afirmativas verdadeiras e F para as falsas.
( ) Política de confidencialidade: não define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
( ) Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
( ) Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
( ) Política de uso aceitável: não define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
( ) Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.
A sequência está correta em

A política de segurança é um mecanismo preventivo de proteção dos dados; contém a definição de processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos da organização. (DIAS, C.; Segurança e auditoria da tecnologia da informação. Ed. Axcel Books, 2000.)
Considerando que uma política de segurança possui alguns componentes, marque V para as afirmativas verdadeiras e F para as falsas.
( ) Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.
( ) Política de privacidade que define as expectativas de privacidade relacionadas a aspectos como: a monitoração de correio eletrônico; logs de atividades; e, acesso aos arquivos dos usuários.
( ) Política de contabilidade que define as responsabilidades dos usuários, especificando a capacidade de auditoria e as diretrizes no caso de incidentes.
( ) Política de autenticação que deve estabelecer confiança através de uma política efetiva de senhas; diretrizes para autenticação de acessos remotos; e, uso de dispositivos de autenticação.
( ) Não é necessário fornecer contatos para que os usuários possam comunicar violações, apenas definir diretrizes que os usuários devem seguir para gerenciar consultas externas relacionados a um incidente de segurança, ou informação considerada confidencial ou proprietária.
A sequência está correta em

O documento que fornece diretrizes base, as quais permitem que a empresa e seus usuários ajam de forma a manter a integridade, a confidencialidade e a disponibilidade das informações denomina-se 

Uma empresa se depara com o seguinte problema:
Muitos processos de aprovação de despesa são desenvolvidos por meio de comunicação via correio eletrônico; a comunicação com os clientes também é feita via correio eletrônico. Adicionalmente, um levantamento recente mostrou que 70% dos diretores e funcionários utilizam rotineiramente o e-mail corporativo em seus telefones celulares.
Visando a melhorar a segurança desse processo, o Comitê de Segurança da Informação da empresa estipulou que:
1. Uma política fosse desenvolvida estabelecendo quais proteções deveriam ser adotadas no uso de e-mails em dispositivos móveis.
2. A política citada no item 1 contivesse mecanismos a serem implantados que protegessem a confidencialidade e a integridade das informações contidas nos e-mails.
Levando em conta tal histórico, a referida política deverá incluir um _____ a ser implantado no e-mail corporativo e deverá ser obrigatório nos dispositivos móveis. Isso proporcionará segurança por meio do uso de _____ e _____.
As lacunas ficam corretamente preenchidas respectivamente por

Segundo a norma NBR ISO/IEC 27002:2013, analise as informações abaixo: 

• Avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização.  • Conjuntos particulares de princípios, objetivos e requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.  • Investigação de vida pregressa de colaboradores.  • Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.

Quantas das fontes acima são fontes principais para identificação de requisitos de segurança da informação? 

Analise as afirmativas abaixo com relação à segurança da informação.
1. Uma Política de Segurança da Informação tem como objetivo prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
2. A gestão da continuidade de negócios apresenta somente medidas de recuperação, com o objetivo de impedir a indisponibilidade de serviços e atividades do negócio, protegendo, assim, os processos críticos contra impactos causados por falhas ou desastres e, no caso de perdas, prover a recuperação dos ativos envolvidos e restabelecer o funcionamento normal da organização em um intervalo de tempo aceitável.
3. A gestão de incidentes de segurança da informação engloba a definição de responsabilidades e procedimentos efetivos para o controle de eventos adversos (incidentes) após a notificação. Sendo assim, a gestão de incidentes envolve procedimentos para a notificação de eventos adversos de segurança e aplicação de medidas adequadas para sua resolução.

Assinale a alternativa que indica todas as afirmativas corretas.

Analise as afirmativas abaixo com relação ao Sistema de Gestão da Segurança da Informação (SGSI).
1. O objetivo do contínuo aperfeiçoamento de um SGSI é aumentar a probabilidade de alcançar os objetivos da organização com relação à preservação da confidencialidade, disponibilidade e integridade da informação.
2. O tratamento de um risco não deve criar novos riscos.
3. Um SGSI se aplica somente para empresas de grande porte devido à grande quantidade de controles demandados.

Assinale a alternativa que indica todas as afirmativas corretas.

Sobre o tema Segurança: senhas, criptografia, backup e arquivamento, vírus e programas de proteção e remoção, verifique as assertivas e assinale a correta.
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas. Fonte: Mecanismos de Segurança.Governo Federal, Ministério da Educação. FUNDAJ, 2022.
A política de segurança pode ter outras políticas envolvidas. A partir do texto em tela, indique as políticas correspondentes.
I. Define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. II. Define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. III. Define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários. IV. Define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. V. Também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. 

A análise crítica da política de segurança da informação visa assegurar a sua contínua pertinência, adequação e eficácia dentro da organização. Entre suas saídas, deve(m) estar

Como política de pessoal, é natural que haja um processo adequado a ser executado no momento em que o funcionário deixa a organização, para garantir que todos os direitos deste sejam revogados e os ativos sob sua custódia sejam devolvidos. Esse processo visa à garantia de

I autenticidade;

II confidencialidade;

III disponibilidade.

Considerando os conceitos de segurança da informação, assinale a opção correta.

O Comitê Gestor de Segurança da Informação do Poder Judiciário (CGSI-PJ), instituído pela Resolução CNJ n.º 396/21, com atribuição de assessorar o CNJ nas atividades relacionadas à segurança da informação, será coordenado por um