GESTÃO DA SEGURANÇA DA INFORMAÇÃO
Selecione, dentre as opções abaixo, aquela que representa uma situação que exigirá um atendimento vertical em uma central de atendimentos para gerenciamento de incidentes de segurança da informação:
Atendente recebe alertas do sistema de monitoramento de redes que apontam para um acesso incomum mas não agressivo de tráfego oriundo da dark web.
Atendente recebe SMS em seu telefone celular pessoal com link suspeito.
Atendente recebe o contato de um colaborador que afirma que documentos importantes desapareceram da sua área de trabalho.
Atendente recebe o contato de uma pessoa que se identifica como um pesquisador de segurança da informação que reporta ter encontrado uma base de dados com muitas informações sensíveis de clientes da empresa.
Todas as opções são exemplos de atendimentos verticais em uma central de atendimentos.
De acordo com as melhores práticas de normas de segurança da informação, na política para uso de dispositivos móveis deve-se considerar:
o uso de sistemas operacionais seguros e uso de senhas alfanuméricas com o mínimo de seis dígitos para desbloqueio dos aparelhos.
a ausência de backups de dados de dispositivos móveis para aumentar a segurança e proteção contra malwares.
restrições de armazenamento e sincronismo de dados apenas com recursos de nuvem homologados pela área de segurança da informação da empresa.
os registros dos dispositivos móveis e desativação, bloqueio e exclusão de forma remota.
a utilização de proteção física (capa e película protetora) e monitoramento em tempo real da localização do aparelho.
O ataque de um ransomware em andamento:
pode ser tratado com medidas de contenção, uma vez que manobras rápidas na configuração da rede de dados podem reduzir a área atacada.
pode ser tratado com medidas administrativas, solicitando aos colaboradores que deem aceite a novas políticas de segurança da informação.
não pode ser tratado, uma vez que é impossível reverter a criptografia utilizada, deixando a empresa totalmente refém da situação e sujeita a pagar o resgate solicitado.
pode ser tratado com medidas físicas, promovendo a interrupção imediata de pessoas não autorizadas a ambientes computacionais restritos, como data centers.
não pode ser tratado, uma vez que a tentativa de reverter a criptografia pode causar um ataque DDoS, o que poderia agravar o cenário e reduzir a chance de sucesso.
Considere que a empresa ACME armazena os seguintes dados dos seus clientes: nomes, endereços, telefones, CPF e histórico de compras realizadas. A ACME pretende adquirir um sistema de inteligência artificial da empresa XPTO para compreender melhor o comportamento dos seus clientes. Para fazer os testes solicitados pela ACME, a XPTO precisa utilizar uma base de dados para simular alguns cenários possíveis. Selecione a opção que demonstra uma ação adequada de anonimização de dados por parte da ACME e que permita a realização dos testes pela XPTO:
Enviar para a XPTO uma base de dados com informações de clientes que consentiram com o uso dos seus dados.
Enviar para a XPTO uma base de dados de clientes que efetuaram compras antes de a LGPD entrar em vigor.
Enviar para a XPTO uma base de dados alterada, por exemplo: substituindo nomes dos clientes pelas letras iniciais, fornecendo números aleatórios para simbolizar CPFs e telefones, criando endereços fictícios e embaralhando preferências de compras.
Enviar para a XPTO todos os dados de clientes, informando-a que ela será responsabilizada pelo compartilhamento de dados de terceiros em caso de vazamento.
Enviar para a XPTO uma base de dados com informações dos colaboradores da ACME, não dos seus clientes.
No gerenciamento de incidentes, etapa seleção e registro, a resposta que melhor apresenta a ordem das ações é:
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
Atendente recebe alertas do sistema de monitoramento de redes que apontam para um acesso incomum mas não agressivo de tráfego oriundo da dark web.
Atendente recebe SMS em seu telefone celular pessoal com link suspeito.
Atendente recebe o contato de um colaborador que afirma que documentos importantes desapareceram da sua área de trabalho.
Atendente recebe o contato de uma pessoa que se identifica como um pesquisador de segurança da informação que reporta ter encontrado uma base de dados com muitas informações sensíveis de clientes da empresa.
Todas as opções são exemplos de atendimentos verticais em uma central de atendimentos.
De acordo com as melhores práticas de normas de segurança da informação, na política para uso de dispositivos móveis deve-se considerar:
o uso de sistemas operacionais seguros e uso de senhas alfanuméricas com o mínimo de seis dígitos para desbloqueio dos aparelhos.
a ausência de backups de dados de dispositivos móveis para aumentar a segurança e proteção contra malwares.
restrições de armazenamento e sincronismo de dados apenas com recursos de nuvem homologados pela área de segurança da informação da empresa.
os registros dos dispositivos móveis e desativação, bloqueio e exclusão de forma remota.
a utilização de proteção física (capa e película protetora) e monitoramento em tempo real da localização do aparelho.
O ataque de um ransomware em andamento:
pode ser tratado com medidas de contenção, uma vez que manobras rápidas na configuração da rede de dados podem reduzir a área atacada.
pode ser tratado com medidas administrativas, solicitando aos colaboradores que deem aceite a novas políticas de segurança da informação.
não pode ser tratado, uma vez que é impossível reverter a criptografia utilizada, deixando a empresa totalmente refém da situação e sujeita a pagar o resgate solicitado.
pode ser tratado com medidas físicas, promovendo a interrupção imediata de pessoas não autorizadas a ambientes computacionais restritos, como data centers.
não pode ser tratado, uma vez que a tentativa de reverter a criptografia pode causar um ataque DDoS, o que poderia agravar o cenário e reduzir a chance de sucesso.
Considere que a empresa ACME armazena os seguintes dados dos seus clientes: nomes, endereços, telefones, CPF e histórico de compras realizadas. A ACME pretende adquirir um sistema de inteligência artificial da empresa XPTO para compreender melhor o comportamento dos seus clientes. Para fazer os testes solicitados pela ACME, a XPTO precisa utilizar uma base de dados para simular alguns cenários possíveis. Selecione a opção que demonstra uma ação adequada de anonimização de dados por parte da ACME e que permita a realização dos testes pela XPTO:
Enviar para a XPTO uma base de dados com informações de clientes que consentiram com o uso dos seus dados.
Enviar para a XPTO uma base de dados de clientes que efetuaram compras antes de a LGPD entrar em vigor.
Enviar para a XPTO uma base de dados alterada, por exemplo: substituindo nomes dos clientes pelas letras iniciais, fornecendo números aleatórios para simbolizar CPFs e telefones, criando endereços fictícios e embaralhando preferências de compras.
Enviar para a XPTO todos os dados de clientes, informando-a que ela será responsabilizada pelo compartilhamento de dados de terceiros em caso de vazamento.
Enviar para a XPTO uma base de dados com informações dos colaboradores da ACME, não dos seus clientes.
No gerenciamento de incidentes, etapa seleção e registro, a resposta que melhor apresenta a ordem das ações é:
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
o uso de sistemas operacionais seguros e uso de senhas alfanuméricas com o mínimo de seis dígitos para desbloqueio dos aparelhos.
a ausência de backups de dados de dispositivos móveis para aumentar a segurança e proteção contra malwares.
restrições de armazenamento e sincronismo de dados apenas com recursos de nuvem homologados pela área de segurança da informação da empresa.
os registros dos dispositivos móveis e desativação, bloqueio e exclusão de forma remota.
a utilização de proteção física (capa e película protetora) e monitoramento em tempo real da localização do aparelho.
O ataque de um ransomware em andamento:
pode ser tratado com medidas de contenção, uma vez que manobras rápidas na configuração da rede de dados podem reduzir a área atacada.
pode ser tratado com medidas administrativas, solicitando aos colaboradores que deem aceite a novas políticas de segurança da informação.
não pode ser tratado, uma vez que é impossível reverter a criptografia utilizada, deixando a empresa totalmente refém da situação e sujeita a pagar o resgate solicitado.
pode ser tratado com medidas físicas, promovendo a interrupção imediata de pessoas não autorizadas a ambientes computacionais restritos, como data centers.
não pode ser tratado, uma vez que a tentativa de reverter a criptografia pode causar um ataque DDoS, o que poderia agravar o cenário e reduzir a chance de sucesso.
Considere que a empresa ACME armazena os seguintes dados dos seus clientes: nomes, endereços, telefones, CPF e histórico de compras realizadas. A ACME pretende adquirir um sistema de inteligência artificial da empresa XPTO para compreender melhor o comportamento dos seus clientes. Para fazer os testes solicitados pela ACME, a XPTO precisa utilizar uma base de dados para simular alguns cenários possíveis. Selecione a opção que demonstra uma ação adequada de anonimização de dados por parte da ACME e que permita a realização dos testes pela XPTO:
Enviar para a XPTO uma base de dados com informações de clientes que consentiram com o uso dos seus dados.
Enviar para a XPTO uma base de dados de clientes que efetuaram compras antes de a LGPD entrar em vigor.
Enviar para a XPTO uma base de dados alterada, por exemplo: substituindo nomes dos clientes pelas letras iniciais, fornecendo números aleatórios para simbolizar CPFs e telefones, criando endereços fictícios e embaralhando preferências de compras.
Enviar para a XPTO todos os dados de clientes, informando-a que ela será responsabilizada pelo compartilhamento de dados de terceiros em caso de vazamento.
Enviar para a XPTO uma base de dados com informações dos colaboradores da ACME, não dos seus clientes.
No gerenciamento de incidentes, etapa seleção e registro, a resposta que melhor apresenta a ordem das ações é:
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
pode ser tratado com medidas de contenção, uma vez que manobras rápidas na configuração da rede de dados podem reduzir a área atacada.
pode ser tratado com medidas administrativas, solicitando aos colaboradores que deem aceite a novas políticas de segurança da informação.
não pode ser tratado, uma vez que é impossível reverter a criptografia utilizada, deixando a empresa totalmente refém da situação e sujeita a pagar o resgate solicitado.
pode ser tratado com medidas físicas, promovendo a interrupção imediata de pessoas não autorizadas a ambientes computacionais restritos, como data centers.
não pode ser tratado, uma vez que a tentativa de reverter a criptografia pode causar um ataque DDoS, o que poderia agravar o cenário e reduzir a chance de sucesso.
Considere que a empresa ACME armazena os seguintes dados dos seus clientes: nomes, endereços, telefones, CPF e histórico de compras realizadas. A ACME pretende adquirir um sistema de inteligência artificial da empresa XPTO para compreender melhor o comportamento dos seus clientes. Para fazer os testes solicitados pela ACME, a XPTO precisa utilizar uma base de dados para simular alguns cenários possíveis. Selecione a opção que demonstra uma ação adequada de anonimização de dados por parte da ACME e que permita a realização dos testes pela XPTO:
Enviar para a XPTO uma base de dados com informações de clientes que consentiram com o uso dos seus dados.
Enviar para a XPTO uma base de dados de clientes que efetuaram compras antes de a LGPD entrar em vigor.
Enviar para a XPTO uma base de dados alterada, por exemplo: substituindo nomes dos clientes pelas letras iniciais, fornecendo números aleatórios para simbolizar CPFs e telefones, criando endereços fictícios e embaralhando preferências de compras.
Enviar para a XPTO todos os dados de clientes, informando-a que ela será responsabilizada pelo compartilhamento de dados de terceiros em caso de vazamento.
Enviar para a XPTO uma base de dados com informações dos colaboradores da ACME, não dos seus clientes.
No gerenciamento de incidentes, etapa seleção e registro, a resposta que melhor apresenta a ordem das ações é:
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
Enviar para a XPTO uma base de dados com informações de clientes que consentiram com o uso dos seus dados.
Enviar para a XPTO uma base de dados de clientes que efetuaram compras antes de a LGPD entrar em vigor.
Enviar para a XPTO uma base de dados alterada, por exemplo: substituindo nomes dos clientes pelas letras iniciais, fornecendo números aleatórios para simbolizar CPFs e telefones, criando endereços fictícios e embaralhando preferências de compras.
Enviar para a XPTO todos os dados de clientes, informando-a que ela será responsabilizada pelo compartilhamento de dados de terceiros em caso de vazamento.
Enviar para a XPTO uma base de dados com informações dos colaboradores da ACME, não dos seus clientes.
No gerenciamento de incidentes, etapa seleção e registro, a resposta que melhor apresenta a ordem das ações é:
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
a triagem do evento, a identificação (se evento ou incidente) e, finalmente, o registro no sistema.
a seleção do evento, o registro no sistema e a investigação do incidente.
a identificação do evento (se verdadeiro ou se falso positivo), a triagem e o registro no sistema.
o registro no sistema, a classificação e, finalmente, a triagem do evento.
a classificação do evento, o descarte (se evento) ou o registro (se incidente) no sistema.
Selecione a opção que representa uma boa prática de comunicação na gestão de incidentes de segurança da informação:
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
incidentes graves serão tratados da forma mais sigilosa possível para evitar vazamento das ações da gestão de incidentes que possam comprometer a reputação da empresa.
incidentes graves devem ser reportados primeiramente à chefia de TI ou de segurança da informação, que decidirá se a investigação deve ser concluída antes da contenção.
incidentes graves serão reportados inicialmente apenas para o time técnico, que decidirá quem, na empresa, será envolvido.
incidentes graves devem ser reportados rapidamente para que as ações de contenção sejam aplicadas em tempo hábil.
incidentes graves devem ser reportados apenas à chefia de TI e à alta gestão, que decidirão juntos, baseado na estratégia corporativa, qual ação deve ser tomada.
Nos processos de gestão de incidentes, a tarefa mais importante a ser realizada pela equipe destinada a fazer a contenção de um incidente em curso é:
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
isolar as cópias de segurança para impedir que o atacante comprometa dados além do ambiente de produção.
registrar a maior quantidade de dados possível para que o atacante seja rapidamente identificado e contido pela autoridade policial.
limitar os efeitos do incidente atenuando ou anulando os seus efeitos.
proteger os dados mais sensíveis dos sistemas criptografando-os e mantendo-os livres do alcance do atacante.
impedir que o atacante conclua a sua ação mantendo-o sob vigilância para obter dados para uma investigação.
Selecione, dentre as opções a seguir, aquela que representa uma ação possível na gestão de riscos:
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
Implementar autenticação de dois fatores como medida administrativa na proteção de documentos físicos.
Extinguir, por completo, todas as ameaças humanas e não-humanas através da implantação da tecnologia adequada.
Substituir medidas de segurança física por medidas administrativas e lógicas.
Reduzir a complexidade de senhas à medida que diminuem os incidentes de segurança da informação, indicando aumento da maturidade dos usuários.
Mitigar os riscos que podem trazer prejuízos para as empresas, alinhando tecnologia, processos e pessoas.
A empresa ACME tem dados que Alice forneceu ao preencher uma ficha quando se candidatou a um emprego. Selecione, das opções a seguir, qual contém dados pessoais de Alice sensíveis à luz da LGPD:
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
Diabética e católica.
Nome e endereço de e-mail.
RG e CPF.
Torcedora do Corinthians e administradora de empresas.
Filiação e endereço residencial.
Selecione, dentre as opções a seguir, aquela que tem um exemplo de uma situação onde a LGPD não se aplica:
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.
gravação de ligações telefônicas entre o SAC e os clientes da empresa.
dados de clientes pessoa física armazenados por instituições financeiras.
grupos de WhatsApp com membros da família utilizados para troca de informações do dia a dia: recados, lembretes de aniversário e mensagens positivas.
envio de e-mails corporativos entre colaboradores do departamento de RH que trocam currículos de candidatos.
empresa que utiliza um sistema de gestão de contratos com armazenamento de dados de empresas e dados pessoais dos seus sócios.