Estudos Disciplinar 2 - Gestão da Segurança da Informação

Prévia do material em texto

ESTUDO DISCIPLINAR
CONTEÚDO 2
	1 - Analise as proposições sobre as definições de riscos:
I – Sobre os objetivos do estudo, pode ser ressaltada a identificação de forma antecipada dos perigos nas instalações, processos, produtos e serviços.
II – O gerenciamento dos riscos faz parte exclusivamente das atividades da segurança da informação e por ela deve ser suprido e definido. 
III – É importante considerar a origem dos riscos e a necessidade de seguir as melhores práticas nas análises de riscos, onde é essencial levar em conta alguns aspectos, como a cultura da empresa e sua predisposição ao risco.
IV – A gerência de riscos faz parte da governança e liderança, e é parte crucial na maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do processo de gestão.
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III, apenas.
	E
	I, III e IV, apenas.
 Você já respondeu e acertou esse exercício. A resposta correta é: E.
	2 - Analise as proposições sobre o tratamento dos riscos à segurança da informação.
I – Ao contrário do que se possa pensar, de que qualquer tipo de risco teria que ser evitado ou controlado, analisando cada caso, é possível entender que existem outras opções que podem ser bastante razoáveis.
II – Após o processo de identificação e categorização, é necessário dar uma resposta ao risco, e isso pode ocorrer basicamente de quatro formas: Evitando, Controlando, Transferindo ou Aceitando.
III – A decisão de controlar o risco ocorre quando a maior parte dos riscos não pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações que diminuam as vulnerabilidades dos ativos que suportam os processos.
IV – Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto, onde a organização simplesmente não conseguiria absorver, nesse momento, a melhor saída é controlar o risco. 
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III, apenas.
	E
	I, III e IV, apenas.
 Você já respondeu e acertou esse exercício. A resposta correta é: D.
	3 - Analise as proposições sobre o sistema de gestão de risco.
I – É razoável que cada negócio, independentemente de seu segmento de mercado e ramo de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco.
II – As medidas corretivas de segurança devem ser analisadas, pois sempre haverá a possibilidade de um incidente ocorrer, por mais que todas as medidas preventivas estejam devidamente implantadas e testadas.
III – Há de se compreender que existem duas linhas metodológicas para orientar as análises de riscos, a quantitativa e a qualitativa. 
IV – Uma análise de riscos deve sempre se apoiar em recursos humanos com competências variadas, ferramentas automatizadas de apoio à gestão do levantamento, principalmente de uma base de conhecimento em segurança incessantemente atualizada.
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III, apenas.
	E
	I, II, III e IV.
 
 Você já respondeu e acertou esse exercício. A resposta correta é: E.
	4 - Segundo Campos (2006), a definição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança eficaz e isso exige necessariamente a compreensão dos riscos da organização. Sobre as etapas do planejamento do sistema de segurança, é correto afirmar que:
I – As etapas do sistema de planejamento do sistema de segurança são: definição do escopo, análise do risco e planejamento do tratamento do risco. 
II – A gestão e análise de risco tem como objetivo definir os resultados almejados e, por conseguinte, o que deverá ser feito.
III – A definição dos critérios para identificação e aceitação retratam a realidade e, de forma secundária, ajuda a estabelecer a governança dos riscos à segurança da informação.
IV – Na definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação.
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	I, II e IV, apenas.
	D
	I, II e III, apenas.
	E
	II, III e IV, apenas.
 Você já respondeu e acertou esse exercício. A resposta correta é: C.
	5 - Analise as proposições sobre a implantação do sistema de gestão de riscos à segurança da informação. 
I – A Capacidade de Governança é responsável pela gestão geral da gestão do risco e, nessa capacidade, devem ser analisados os seguintes itens: Políticas, Normas, Controles e Elementos de Conformidade.
II – A Capacidade de Processo é responsável pela gestão das pessoas envolvidas no Sistema de Gestão da Segurança da Informação, seguindo nosso exemplo, as pessoas envolvidas no processo de gestão dos riscos à segurança da informação, devendo ser analisados os seguintes itens: Papéis, Responsabilidades, Habilidades e Competências.
III – A Capacidade de Tecnologia fornece as especificações em alto nível e tipos de tecnologias, de maneira a suportar tecnicamente o tema gestão e análise de riscos à segurança da informação, devendo analisar os seguintes itens: Ferramentas, Aplicações e Infraestrutura.
IV – A Capacidade de Métrica fornece os indicadores que medem a capacidade da gestão e análise de risco em atender aos seus destinos estratégicos e ao tema estratégico.
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I, III e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III, apenas.
	E
	II, III e IV, apenas.
 Você já respondeu e acertou esse exercício. A resposta correta é: B.
	6 - Analise as proposições sobre a Política de Segurança da Informação.
I – A Política de Segurança da Informação tem como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros.
II – A Política de Segurança é o conjunto de diretrizes da empresa que visa à proteção das informações da empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade), nas melhores práticas de mercado, bem como nos padrões nacionais e internacionais.    
III – A Política irá proporcionar ao ambiente da empresa regras e procedimentos que devem ser seguidos para a garantia da segurança das informações, sendo muito importante que ela seja divulgada para todos os colaboradores da empresa, do nível executivo ao operacional, para que todos estejam conscientes da importância do seu seguimento.
IV – Política de Segurança deve conter detalhes técnicos de mecanismos a serem utilizados ou procedimentos que devam ser utilizados, ela deve conter regras gerais que se apliquem a toda empresa e na esfera operacional.
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III, apenas.
	E
	II, III e IV, apenas.
 Você já respondeu e acertou esse exercício. A resposta correta é: D.
	7 - Analise as proposições sobre os requisitos fundamentais para as políticas e normas de SI.
I – Deve haver patrocínio explícito da direção, onde a direção, por meio dos executivos, necessita querer, acreditar e apoiar de forma incisiva o processo de segurança da informação.
II – As políticas e normas devem seguir exclusivamente as melhores práticas sobre o assunto, não necessitando levar em consideração os aspectos relacionados à cultura organizacional. 
III – As políticas e normas não precisam ser factíveis de serem desenvolvidas e implantadas, devendo seguir as melhores práticas a qualquer custo para garantir a segurança das informações.
IV – A Política e as normas de segurança da informação precisam necessariamente de uma estrutura lógica, assim como qualquer tipo de escrita racional. 
É correto o que se afirma em:
 
	A
	I e II, apenas.
	B
	I e IV, apenas.
	C
	III e IV, apenas.
	D
	I, II e III,apenas.
	E
	I, II, III e IV. 
 Você já respondeu e acertou esse exercício. A resposta correta é: B.