Questões de Concurso Sobre políticas de segurança de informação em segurança da informação

Na lista OWASP que traz os dez principais riscos de segurança para aplicativos web de 2021, houve ajustes em algumas categorias em relação à lista de 2017, bem como foram incluídas novas categorias de vulnerabilidades. Entre as novas categorias incluídas na lista de 2021 está 

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) definiu as seguintes atividades do responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD:
I. aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; II. receber comunicações da autoridade nacional e adotar providências; III. orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
De acordo com a LGPD, as atividades listadas são atribuições do:

Tendo em vista as políticas de segurança do Windows, qual dos recursos a seguir gerencia o nível de acesso de arquivos e pastas?

No caso do uso de Azure Active Directory, para aplicar controles de acesso certificados e seguros, usando uma política de que, se um usuário quiser acessar um recurso, então ele deverá concluir uma ação, deve-se usar uma política denominada: 

Uma das formas de assegurar a proteção da informação é através de uma Política de Segurança da Informação. Possui como objetivo prover orientação e apoio a todos os ativos da organização, de acordo com os requisitos de negócio e com as leis regulamentadoras pertinentes. Sobre a Segurança da Informação, analise as afirmativas a seguir. 
I. Ao interconectar redes públicas e privadas, o acesso aos recursos de informações compartilhados aumenta a dificuldade de se controlar. Instalar e utilizar antivírus é uma forma de ação preventiva que pode eliminar completamente a insegurança de ataques à rede. II. Uma Política de Segurança da Informação é adquirida a partir da implementação de controles adequados. Os recursos e as instalações de processamento de informações devem ser mantidos em áreas seguras, incluindo políticas segurança, procedimentos, estruturas organizacionais e funções de software e hardware com barreiras de segurança apropriadas e controle de acesso. III. Uma Política de Segurança da Informação é um manual de procedimentos que atribuem controles de segurança que precisam ser estabelecidos, implementados, monitorados e analisados para garantir que os objetivos do negócio sejam atendidos. Caso não existam regras preestabelecidas, a segurança se tornará inconsistente. IV. Uma Política de Segurança da Informação bem estruturada com procedimentos de controle adequados é importante para os negócios, tanto do setor público quanto do setor privado para proteger as infraestruturas críticas.
Está correto o que se afirma apenas em  

Em uma determinada empresa, funcionários podem acessar remotamente recursos da rede corporativa, tais como sistemas web e arquivos, para fins de trabalho a distância. Considerando que existem muitos funcionários, deseja-se estabelecer uma política de segurança de acesso remoto com o objetivo de minimizar a potencial exposição da rede corporativa a riscos trazidos por esses acessos remotos. Uma regra adequada para compor essa política de segurança é: 

No campo da segurança da informação, ao gerir riscos, é comum se falar sobre uma tríade de aspectos que se precisa ter em mente ao definir políticas de segurança para a organização. São elas:

A segurança da informação é a área de conhecimento destinada a proteger os dados de propriedade das organizações contra ameaças de diferentes naturezas, sendo elas: acessos não autorizados, alterações indevidas ou indisponibilidade. Os princípios básicos que norteiam a implementação da segurança da informação são

Os dados dos clientes estão presentes na base de dados de várias empresas e conforme a Lei nº 13.709/2018, a proteção de dados passou a ser um compromisso dos(as) cidadãos(ãs), da Administração Pública e das empresas que utilizam esses dados. As atividades de tratamento de dados pessoais deverão observar a boa-fé e alguns princípios.
A esse respeito, analise as afirmativas a seguir.
I. A compatibilidade do tratamento deve ocorrer conforme as finalidades da empresa, e não necessariamente devem ser informadas ao(à) titular.
II. É a garantia dada aos(às) titulares de consulta livre, de forma facilitada e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados pessoais.
III. O tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
Estão corretas as afirmativas

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709, de 14 de agosto de 2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado, e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Considere as asserções a seguir sobre a LGPD.
I. O Controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, tais como as finalidades e os meios do tratamento (art. 5º, VI). No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados. II. O Encarregado é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII), podendo ser agentes públicos, no sentido amplo, que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento, no âmbito de contrato ou de instrumento congênere. ]III. O Operador, definido pelo art. 5º, VIII, é a pessoa indicada pelo controlador e encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). IV. Na hipótese legal de tratamento de dados pela administração pública, é dispensado o consentimento do titular do dado, desde que seja para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e em regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei.
Estão corretas apenas as asserções

O Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014) trata, dentre outros pontos, da neutralidade de rede, que

A norma brasileira ABNT NBR ISO/IEC 27001:2013 provê requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela emprega terminologia derivada da norma internacional ISO/IEC 27000. Esta última estabelece um conjunto de conceitos relacionados a risco. Um desses é definido como “O processo para compreender a natureza do risco e para determinar o nível de risco”. O conceito assim definido na ISO/IEC 27000 é:  

Você é responsável pela elaboração de uma política de segurança que trata especificamente sobre o uso adequado de equipamentos corporativos de TIC. Como responsável pela elaboração do documento, você também deve ter conhecimento sobre as práticas corretas em relação à política. Assinale a alternativa que possui uma ação correta em relação à Política de Segurança, de acordo com as melhores práticas de mercado.

Considerando que a Lei nº 13.709/2018, Lei Geral de Proteção de Dados, protege os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, assinale a afirmativa correta.

Políticas de segurança definem os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não as cumpram (Cartilha de Segurança da Internet, 2012). Sobre os tipos de políticas de segurança, marque V para as afirmativas verdadeiras e F para as falsas.
( ) Política de confidencialidade: não define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros.
( ) Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
( ) Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
( ) Política de uso aceitável: não define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
( ) Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução.
A sequência está correta em

A política de segurança é um mecanismo preventivo de proteção dos dados; contém a definição de processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos da organização. (DIAS, C.; Segurança e auditoria da tecnologia da informação. Ed. Axcel Books, 2000.)
Considerando que uma política de segurança possui alguns componentes, marque V para as afirmativas verdadeiras e F para as falsas.
( ) Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.
( ) Política de privacidade que define as expectativas de privacidade relacionadas a aspectos como: a monitoração de correio eletrônico; logs de atividades; e, acesso aos arquivos dos usuários.
( ) Política de contabilidade que define as responsabilidades dos usuários, especificando a capacidade de auditoria e as diretrizes no caso de incidentes.
( ) Política de autenticação que deve estabelecer confiança através de uma política efetiva de senhas; diretrizes para autenticação de acessos remotos; e, uso de dispositivos de autenticação.
( ) Não é necessário fornecer contatos para que os usuários possam comunicar violações, apenas definir diretrizes que os usuários devem seguir para gerenciar consultas externas relacionados a um incidente de segurança, ou informação considerada confidencial ou proprietária.
A sequência está correta em