Prévia do material em texto
1 Privacidade e Proteção de Dados Questão 1 Correta Questão com problema? A Lei de Proteção de Dados Pessoais, que ficou também conhecida pela sigla LGPD, foi promulgada pelo presidente Michel Temer no dia 14 de agosto de 2018 e foi originária do PLC n. 53/2018. É uma legislação extremamente técnica, que reúne uma série de itens de controle para assegurar o cumprimento das garantias previstas cujo lastro se funda na proteção dos direitos humanos. Assinale a alternativa que apresenta corretamente as características da lei. Sua resposta Correta A LGPD não só conceitua dados pessoais, como também os subdivide em categorias especiais como: sensíveis e das crianças e adolescentes. 2 Questão 2 Correta Questão com problema? Não é possível ter privacidade sem ter proteção de dados. A proteção de dados, propriamente, exige a aplicação de técnicas e controles de segurança, que podem ser divididas em quatro grandes camadas. Analise as afirmativas a seguir: I. Endpoint trata-se de uma proteção de dados que pode ser embarcada nos computadores corporativos e pessoais, sendo totalmente dispensável a aplicação de treinamento para que os usuários tomem conhecimento sobre a preocupação com a privacidade e técnicas de nível de proteção no dia a dia, uma vez que nada podem fazer os usuários para colaborar com a privacidade e proteção de dados. II. Servidores são uma das camadas de proteção que exigem níveis de proteção robustos para evitar acessos não autorizados e vazamentos de informações corporativas, além dos dados pessoais confiados à empresa. Eles podem ser físicos ou em nuvem. III. Na Rede Interna são necessárias ações mais robustas que devem ser estruturadas em conjunto com o time de infraestrutura e que exoneram de qualquer alteração a arquitetura corporativa para as implementações de segurança. IV. Na Rede externa ou perímetro deve ter uma atenção especial, tendo em vista seu contato com o mundo externo e a maioria dos ataques são provenientes deste ambiente. Está correto o que se afirma em: Sua resposta Correta II e IV, apenas. 3 Questão 3 Correta Questão com problema? A Lei n. 13.709/2018 é um novo marco legal brasileiro de grande impacto, tanto para as instituições privadas como para as públicas [...] É uma regulamentação que traz princípios, direitos e obrigações relacionados ao uso de um dos ativos mais valiosos da sociedade digital, que são as bases de dados relacionados às pessoas. A LGPD tinha vigência prevista para fevereiro de 2020. Mas ela não entrou em vigor nesta data, pois Sua resposta Correta a medida provisória (MP) 869 alterou a entrada da lei para agosto de 2020. 4 Questão 4 Correta Questão com problema? A Lei Geral de Proteção de Dados Pessoais, Lei n. 13.709, de 14 de agosto de 2018 (LGPD), é resultado de intensos debates que se iniciaram em 2011, no Ministério da Justiça, a partir do Anteprojeto de Lei de Proteção de Dados de 2011. Tomando como referência a Lei n. 13.709, de 14 de agosto de 2018, que versa sobre a proteção de dados pessoais, julgue as afirmativas a seguir em (V) Verdadeiras ou (F) Falsas. ( ) A lei entrou em vigor em fevereiro de 2020, mas teve suas sanções postergadas para o primeiro dia de agosto de 2021. ( ) A LGPD tem uma similaridade muito grande com a GDPR (General Data Protection Regulation) praticada na União Europeia ( ) A Lei Geral de Proteção de Dados é aplicável a todas as empresas que transmitem, processam ou manipulam dados pessoais. ( ) A lei 13.709, em seu texto, equipara o conceito de privacidade e proteção de dados, já que destes termos como sinônimos. Assinale a alternativa que apresenta a sequência CORRETA. Sua resposta Correta F – V – V – F. 5 Questão 5 Correta Questão com problema? A privacidade digital é uma recente demanda da sociedade. Assim como a privacidade física, no lar ou em conversas reservadas, é um valor essencial, também a privacidade digital se tornou um desejo da sociedade moderna. Com relação à nova lei que versa sobre a privacidade e proteção de dados, analise o excerto a seguir, completando suas lacunas. ____________, trata-se da nova lei que cria um cenário de segurança jurídica, com a padronização de ___________, promovendo a ___________, de forma igualitária dentro Brasil e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. Assinale a alternativa que preenche corretamente as lacunas. Sua resposta Correta LGPD / normas e regras / proteção. 6 Questão 1 Correta Questão com problema? Em um ataque recente ocorrido nos Estados Unidos, a Polícia de Washington teve cerca de 250 GB de dados roubados. Capturas de telas foram fornecidas gratuitamente, como prova pelos cibercriminosos em sua página na dark web. Os cibercriminosos exigiram um pagamento pelo resgate em até três dias para que não espalhem as informações da polícia com gangues investigadas no estado. As capturas de telas fornecidas pelos cibercriminosos exibem diversas pastas, supostamente roubadas durante o ataque. Uma das pastas destacadas pelos cibercriminosos contém informações das prisões realizadas após à invasão ao Capitólio (congresso e centro legislativo dos EUA), no começo de janeiro de 2021. Qual é o nome deste tipo de ataque? Sua resposta Correta Ransonware 7 Questão 2 Correta Questão com problema? Ataques cibernéticos podem levar à exfiltração de dados, resultando no comprometimento da privacidade dos titulares de dados. Desta forma, as empresas precisam adotar medidas e controles de segurança para proteger os dados que estão sob sua responsabilidade. Uma das possibilidades de ataques cibernéticos é a obtenção de dados de acesso aos dados diretamente com os usuários, como no caso de envio de código malicioso para instalação. Qual alternativa a seguir está relacionada com este ataque? Sua resposta Correta Engenharia social 8 Questão 3 Correta Questão com problema? Ataques cibernéticos podem levar à exfiltração de dados, resultando no comprometimento da privacidade dos titulares de dados. Há variadas técnicas que são utilizadas pelos agentes de ameaça. Desta forma, as empresas precisam adotar medidas e controles de segurança para proteger os dados que estão sob sua responsabilidade. O que os ataques de ARP spoofing, sniffing e ataque do homem do meio possuem em comum? Sua resposta Correta Exploram o meio de comunicação 9 Questão 4 Correta Questão com problema? Uma das principais ameaças atuais, que pode levar à exfiltração de dados é a responsável também pela indisponibilidade de dados. Ela é um tipo de código malicioso que tornam inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, exigindo recursos financeiros para restabelecer o acesso ao usuário. Qual é esta ameaça que possui impactos cada vez maiores para a privacidade dos titulares de dados? Sua resposta Correta Ransonware 10 Questão 5 Correta Questão com problema? Neste tipo de ataque, os agentes de ameaça atacam roteadores e provedores para redirecionar sites. As configurações do provedor são alteradas por um atacante e as vítimas que usam esse DNS são direcionadas para sites falsos por um período de tempo. Embora o redirecionamento possa ser realizado diretamente pela internet, o ataque pode contar com auxílio de funcionários dos provedores. Qual é este ataque quedireciona as vítimas para sites falsos? Sua resposta Correta DNS Spoofing 11 Questão 1 Correta O tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Analise as afirmativas a seguir: I. A coleta de dados pessoais deve ser feita de forma transparente para o titular de dados e somente poderá ser realizada se seguir determinadas hipóteses chamadas de bases legais. II. A coleta de dados poderá ocorrer se for realizada mediante tutela da saúde ou proteção da vida e da incolumidade física. III. Durante a coleta de dados é dispensável qualquer relatório de impacto a proteção de dados ou de natureza semelhante. É correto o que se afirma em: Sua resposta Correta I e II, apenas. 12 Questão 2 Correta Questão com problema? O dado pessoal é de propriedade do titular e nas interações com outras entidades, a sua criação ocorre na coleta dos dados, representando o início do ciclo de vida e do tratamento pela empresa, que passa a ter as responsabilidades pela sua proteção. Com relação aos dados pessoais e seu ciclo de vida, analise o excerto a seguir, completando suas lacunas. O ciclo de vida dos dados é composto por __________ fases. O que marca o início do ciclo é a criação, fase essa em que ocorre a geração de um novo dado ou alteração/atualização de um dado existente dentro ou fora da nuvem. Seguidamente, temos a segunda fase a do __________, que consiste no ato de colocar o dado em um repositório de armazenamento, ocorrendo quase que simultaneamente à criação. Não obstante, tem-se o uso, fase em que dados são vistos, processados ou utilizados em outras atividades, por humanos, por algoritmos e por máquinas. Ademais, temos o compartilhamento, onde ocorre a __________ de dados entre entidades diferentes. Continuando, vem o arquivamento, onde os dados deixam de ser utilizados __________ e vão para o armazenamento de longo prazo. Finalmente, há a destruição, fase na qual ocorre a destruição permanente dos dados, com a utilização de meios físicos ou digitais. Assinale a alternativa que preenche corretamente as lacunas. Sua resposta Correta seis / armazenamento / troca / ativamente. 13 Questão 3 Correta Questão com problema? Os leads são parte importante do marketing, fazem parte de um funil de vendas que começa com uma visita e termina com uma venda, em outras palavras, O lead é um registro dos visitantes em websites que demonstram interesse em determinado produto ou serviço. Os leads devem ser trabalhados de acordo com a Lei Geral de Proteção de Dados, com os potenciais clientes tendo a comunicação correta sobre a finalidade deste, pois Sua resposta Correta envolvem diretamente a coleta e o tratamento de dados. 14 Questão 4 Correta Questão com problema? Os cookies são fichários de dados gerados através das instruções que os servidores web enviam aos programas navegadores e que são guardados num diretório específico do computador do usuário. É um instrumento para a obtenção de dados sobre os hábitos de consumo, frequências de visita a uma seção determinada, tipo de notícias etc. Com relação aos cookies, no que tange aos seus tipos e características, analise o excerto a seguir, completando suas lacunas. O Cookie __________ é aquele utilizado em uma sessão, sendo removido quando o navegador ou o software é fechado. Já o Cookie __________ fica armazenado no dispositivo até expirar ou ser removido pelo usuário, há ainda o Cookie __________, que é o definido pelo próprio website; e ainda quanto a fonte há o Cookie de __________ pertence a outro website, como aqueles para coleta de hábitos de navegação. Assinale a alternativa que preencha corretamente as lacunas. Sua resposta Correta temporário / persistente / primário / terceiro. 15 Questão 5 Correta Questão com problema? O ciclo de vida dos dados é parte importantíssima da privacidade dos titulares de dados, portanto, compreender o ciclo de existência dos dados dos titulares, desde a sua criação até a sua destruição é fundamental, para efeito da regulamentação operada pela LGPD. Sobre o ciclo de vida dos dados assinale a alternativa correta. Sua resposta Correta O ciclo de vida dos dados inclui a criação, o armazenamento, o uso, o compartilhamento, o arquivamento e a destruição. 16 Questão 1 Correta Questão com problema? Existem alguns passos que poderiam servir de padrão, isto é, como guia de orientação capaz de oferecer à empresa um certo grau de sucesso na implementação deste programa. De acordo com as informações apresentadas na tabela a seguir, faça a associação das descrições das etapas contidas na Coluna A com suas respectivas etapas do guia de orientação, apresentados na Coluna B. COLUNA A COLUNA B I. Representam a parte viva das políticas, tem como fim explicá-las de forma lúdica, mais completa e explicada dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados, tirando dúvidas dos colaboradores, sócios e demais stakeholders internos 1. Exigir conformidade à proteção de dados de seus fornecedores II. Recomendável incluir os terceiros em um ou mais treinamentos sobre tópicos da LGPD, sugere-se também a criação de políticas direcionadas especificamente para terceiros informando o que se espera e se exige deles todos os aspectos da proteção de dados. 2. Treinamento do time que trata dos dados pessoais. III. agentes de tratamento que devem adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. 3. Concepção de novos produtos com o princípio de privacy by design IV. É essencial que a empresa conheça bem quais dados estão em sua posse, quais foram coletados e em que situações esta ocorreu quem são os titulares de dados, quais são as bases legais para 4. Gerenciar os pedidos dos titulares e dos órgãos. 17 tal, como e quando estes dados são eliminados etc. Assinale a alternativa que apresenta a associação CORRETA entre as colunas. Sua resposta Correta I - 2; II - 1; III - 3; IV -4. 18 Questão 2 Correta Questão com problema? Os agentes de tratamento que devem adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (BRASIL. Lei nº 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Diário Oficial da União, Brasília, DF, 14 ago. 2018.). Considerando o que dispõe o art. 46 da LGPD e o conceito de privacy by design, analise as afirmativas a seguir: I. O escopo do privacy by design é que as empresas se utilizem desta metodologia em toda concepção de produto ou serviço, destacando a proteção da privacidade no centro de todo o desenvolvimento. II. O privacy by design é um termo designado para se referir a adoção de medidas técnicas para a proteção de dados pessoais no momento da concepção do produto, que por suavez, encontra respaldo no art. 46 da Lei Geral de Proteção de dados. III. O privacy by design é um conceito utilizado para gerenciar os pedidos dos titulares e dos órgãos. É correto o que se afirma em: Sua resposta Correta I, apenas. 19 Questão 3 Correta Questão com problema? As políticas corporativas de proteção de dados pessoais revelam a visão da empresa e as exigências dela em relação a dados pessoais, bem como sua cultura, sua conduta e sua preocupação em deixar a empresa adequada à Lei 13.709/2018. Analise o excerto a seguir, completando suas lacunas. As políticas corporativas de proteção de dados pessoais devem ser referentes às áreas que foram estabelecidas no __________ do mapeamento, ou seja, aquelas que fazem coleta, distribuição ou tratamento de dados considerados de risco ou arriscados. Essas políticas devem ser feitas de modo claro e direto, apresentando o que foi estabelecido no __________e no __________, quais serão os procedimentos e políticas para se lidar com os dados para cada área e como se dará sua participação coleta, distribuição ou tratamento de dados considerados de risco, incluindo suas vedações, documentos a serem preenchidos no momento do registro ou tratamento de dados etc. Essas políticas devem aprovadas pela alta direção e por toda a hierarquia competente, devendo ser distribuídas aos __________ internos e externos, quem devem ler e aceitar todas as políticas e receber treinamento adequado. Assinale a alternativa que preenche corretamente as lacunas. Sua resposta Correta início / RIPD / ROPA / stakeholders. 20 Questão 4 Correta Questão com problema? O treinamento do time que trata dos dados pessoais representa a “parte viva” das políticas, tendo como fim explicá-las de forma lúdica, mais completa e explicada, dando exemplos práticos, de como seguir os processos da empresa na hora de lidar com dados. Sobre a etapa do treinamento do time que trata dos dados pessoais, assinale a alternativa correta. Sua resposta Correta O treinamento deve ser dado a colaboradores, sócios e demais stakeholders internos, sendo recomendável que os terceiros também participem deste treinamento. 21 Questão 5 Correta Questão com problema? A Secretaria de Governo Digital promove um conjunto de ações para incentivar a cultura de proteção de dados e acelerar a evolução da maturidade necessária para que órgãos e entidades federais possam ter conformidade à Lei nº 13.709, de 14 de agosto de 2018- Lei Geral de Proteção de Dados Pessoais (LGPD). (Guias operacionais para adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Gov.br. 2021. Disponível em: < https://www.gov.br/governodigital/pt- br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de- protecao-de-dados-pessoais-lgpd> Acesso em: 13 jul. 2021.). Tomando como referência o guia de orientação do programa de segurança, correlato a LGPD, julgue as afirmativas a seguir em (V) Verdadeiras ou (F) Falsas. ( ) Na fase do mapeamento da forma de entrada e o tratamento de dados pessoais é importante não só mapear os pontos de entrada como também mapear os pontos de saída, tais como o compartilhamento com distribuidores, transferência internacional e inserção em ferramentas terceirizadas. ( ) O ROPA (Record of Processing Activities ou Registro de Operações) é um relatório construído na quinta fase do guia de implementação, em que se constrói um relatório de impacto à proteção dos dados pessoais. ( ) O RIPD ou DPIA é um documento elaborado na fase de mapeamento dos dados pessoais e os riscos. Ocorre na quarta fase do guia. ( ) Os relatórios feitos na fase da construção de relatórios de impacto à proteção de dados pessoais deve conter o motivo da coleta; como os dados serão tratados; a justificativa da compatibilidade com a razão da coleta além das medidas de mitigação de seus riscos, bem como quais medidas de proteção foram colocadas em prática. Assinale a alternativa que apresenta a sequência CORRETA. Sua resposta Correta V – F – F – V. 22 Questão 1 Respondida Em um ataque recente ocorrido nos Estados Unidos, a Polícia de Washington teve cerca de 250 GB de dados roubados. Capturas de telas foram fornecidas gratuitamente, como prova pelos cibercriminosos em sua página na dark web. Os cibercriminosos exigiram um pagamento pelo resgate em até três dias para que não espalhem as informações da polícia com gangues investigadas no estado. As capturas de telas fornecidas pelos cibercriminosos exibem diversas pastas, supostamente roubadas durante o ataque. Uma das pastas destacadas pelos cibercriminosos contém informações das prisões realizadas após à invasão ao Capitólio (congresso e centro legislativo dos EUA), no começo de janeiro de 2021. Qual é o nome deste tipo de ataque? • Ransonware • Vulnerabilidade • Sniffing • Homem do meio • Engenharia social Sua resposta Ransonware 23 Questão 2 Respondida Uma das principais ameaças atuais, que pode levar à exfiltração de dados é a responsável também pela indisponibilidade de dados. Ela é um tipo de código malicioso que tornam inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, exigindo recursos financeiros para restabelecer o acesso ao usuário. Qual é esta ameaça que possui impactos cada vez maiores para a privacidade dos titulares de dados? • Ransonware • Phishing • Sniffing • Homem do meio • Engenharia social Sua resposta Ransonware 24 Questão 3 Respondida Considere um contexto em que uma universidade coleta dados pessoais dos alunos no processo de matrícula. Os dados são inseridos em um sistema Web hospedado no datacenter próprio, com o banco de dados estando em um provedor de nuvem. Os dados armazenados são acessados pela universidade, e também por uma empresa terceirizada que faz o gerenciamento do material dos cursos. Considere os seguintes elementos a seguir. Neste contexto, qual alternativa representa os pontos de ataques? i. Sistema Web; ii. Datacenter da universidade; iii. Banco de dados; iv. Provedor de nuvem. • Apenas i, ii e iii • Apenas ii, iii e iv • Apenas ii • Apenas ii e iv • I, ii iii e iv Sua resposta Apenas i, ii e iii Todos os elementos podem ser atacados e resultar em vazamento de dados. 25 Questão 4 Respondida Ataques cibernéticos podem levar à exfiltração de dados, resultando no comprometimento da privacidade dos titulares de dados. Desta forma, as empresas precisam adotar medidas e controles de segurança para proteger os dados que estão sob sua responsabilidade. Uma das possibilidades de ataques cibernéticos é a obtenção de dados de acesso aos dados diretamente com os usuários, como no caso de envio de código malicioso para instalação. Qual alternativa a seguir está relacionada com este ataque? • Ransonware • Vulnerabilidade • Sniffing • Homem do meio • Engenharia social Sua resposta Engenharia social \ 26 Questão 5 Respondida Um conjunto de controles de segurança deve ser conhecido e definido seguindo o princípio da segurança em camadas para serem utilizados para a proteção de dados. Alguns destes controles são aplicados nos dados, enquanto outros são aplicados na rede ou na aplicação, por exemplo. Qual técnica é utilizada nos dados, de modo que o dado passa a não ser utilizável (proteção da confidencialidade), a não ser com o uso de uma chave para que os dados originais possam ser acessados? • Anonimização • Pseudonimização • Criptografia • Eliminação • Engenharia social Sua respostaCriptografia 27 Questão 6 Sem resposta As vulnerabilidades são fraquezas ou pontos fracos que existem nos ativos que são explorados pelos agentes de ameaça, que utilizam técnicas e ferramentas para realizar o ataque, o que faz com que uma ameaça se torne um incidente de segurança. Considere os elementos a seguir. Qual das alternativas abaixo representa apenas as vulnerabilidades? i. Software desatualizado ii. Má configuração iii. Zero-days • Apenas i • Apenas ii • Apenas iii • Apenas i e iii • I, ii e iii Sua resposta Apenas i Má configuração e zero-day também são vulnerabilidades. 28 Questão 7 Sem resposta A proteção dos dados pessoais deve ser feita com a definição e implantação dos controles de segurança da informação com base na visão de riscos, que considera o fluxo de dados pessoais. O principal objetivo com a definição e implantação dos controles e medidas de segurança da informação é evitar o vazamento de dados pessoais a partir de incidentes cibernéticos. Qual alternativa representa uma norma de segurança da informação que pode ser utilizada para a definição dos controles de segurança para a proteção dos dados pessoais? • LGPD • Privacidade • ABNT NBR ISO 27002 • ABNT NBR ISO 9000 • Vulnerabilidades Sua resposta ABNT NBR ISO 27002 29 Questão 8 Sem resposta Neste tipo de ataque, os agentes de ameaça atacam roteadores e provedores para redirecionar sites. As configurações do provedor são alteradas por um atacante e as vítimas que usam esse DNS são direcionadas para sites falsos por um período de tempo. Embora o redirecionamento possa ser realizado diretamente pela internet, o ataque pode contar com auxílio de funcionários dos provedores. Qual é este ataque que direciona as vítimas para sites falsos? • DNS Spoofing • ARP Spoofing • Sniffing • Homem do meio • Engenharia social Sua resposta DNS Spoofing 30 Questão 9 Sem resposta Ataques cibernéticos podem levar à exfiltração de dados, resultando no comprometimento da privacidade dos titulares de dados. Há variadas técnicas que são utilizadas pelos agentes de ameaça. Desta forma, as empresas precisam adotar medidas e controles de segurança para proteger os dados que estão sob sua responsabilidade. O que os ataques de ARP spoofing, sniffing e ataque do homem do meio possuem em comum? • Exploram o meio de comunicação • Exploram vulnerabilidades de banco de dados • Exploram vulnerabilidades do firewall • Exploram diretamente os usuários • Exploram vulnerabilidades da aplicação Sua resposta Exploram o meio de comunicação 31 Questão 10 Sem resposta Atualmente, há uma série de ataques que exploram as senhas e de posse da credencial de acesso e a senha, o vazamento de dados pode acontecer. Em um destes ataques, dados pessoais importantes como nomes de familiares ou datas de nascimento são tentados, já que tendem a ser utilizados pelos usuários como senhas. Qual é o nome deste ataque que explora as senhas? • Ataque do homem do meio • Engenharia social • Ataque de força bruta • Ataque do dicionário • Adivinhação de senhas Sua resposta Ataque de força bruta Ataque de força bruta é um ataque automatizado em que as combinações possíveis das senhas são testadas até que se obtenha a senha e o acesso ao sistema.