Gestão da Segurança da informação

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
É recomendável a implantação de medidas de proteção a fim de garantir a segurança durante as atividades de controle de acesso. Em geral, essas atividades apresentam alto nível de vulnerabilidade e, por isso, normalmente recebem grande atenção por parte da gestão da segurança da informação. 
Assinale a alternativa que indica uma medida de proteção relevante no âmbito do controle de acesso. 
Resposta 
Selecionada: Implementar um gerenciamento de acesso fragmentado e baseado no agrupamento de funções. 
Resposta 
Correta: Implementar um gerenciamento de acesso fragmentado e baseado no agrupamento de funções. 
Comentário 
da resposta: 
• Pergunta 2 
Resposta correta. A alternativa está correta, pois a segregação de funções de controle de acesso e a utilização de identificadores de usuários podem proporcionar que o gerenciamento do acesso seja efetuado de maneira segura e suave. Além disso, essa abordagem possibilita um gerenciamento mais preciso dos acessos concedidos a cada membro da organização. 
1 em 1 pontos 
O controle de acesso constitui uma área da análise de vulnerabilidades de uma organização focada na avaliação do acesso à informação conforme requisitos de negócio e de segurança da informação. Em geral, essa atividade permeia múltiplos setores de uma organização. 
Indique a alternativa que descreva uma vulnerabilidade fora do escopo desse tipo de análise de vulnerabilidade. 
Resposta 
Selecionada: Indefinição de regras de segurança para o uso de equipamentos fora da organização. 
Resposta Correta: 
Indefinição de regras de segurança para o uso de 
equipamentos fora da organização. 
Comentário da resposta: 
Resposta correta. A alternativa está correta, pois regras discriminando a política de uso de equipamentos fora da organização compõem a análise de vulnerabilidades no 
âmbito de segurança física e do ambiente. Embora 
devam fazer parte da gestão da segurança da 
informação, estão fora do escopo da atividade de análise do controle de acesso. 
• Pergunta 3 
1 em 1 pontos 
A gestão de riscos é uma atividade com caráter cíclico. Isso quer dizer que todas as suas etapas devem ser continuamente executadas de forma a promover um gerenciamento efetivo e eficaz. Nesse sentido, a revisão dos riscos constitui o último passo que antecede uma nova iteração de todo o ciclo de gestão de riscos. 
Com a execução dessa etapa de gestão, espera-se como resultado que: 
Resposta 
Selecionada: riscos sejam atualizados e o tratamento a ser dado a eles seja modificado conformemente. 
Resposta 
Correta: riscos sejam atualizados e o tratamento a ser dado a eles seja modificado conformemente. 
Comentário 
da resposta: 
• Pergunta 4 
Resposta correta. A alternativa está correta, pois, nessa última etapa do processo cíclico de gestão de riscos, estes devem estar alinhados com a realidade da organização. Além disso, espera-se que as ações planejadas para o tratamento de cada um deles estejam em harmonia com as necessidades vigentes na organização. 
1 em 1 pontos 
A identificação dos riscos de uma organização, por si só, não é suficiente para viabilizar a execução do processo de gestão como um todo. Outra atividade que se faz necessária é a análise e a avaliação de cada risco levantado. 
Assinale a alternativa que descreve adequadamente os resultados que podem ser esperados com a execução dessa etapa da gestão de riscos. 
Resposta 
Selecionada: Diretrizes para orientar ações e priorizações na gestão dos riscos de segurança. 
Resposta Correta:
Comentário 
da resposta: 
• Pergunta 5 
Diretrizes para orientar ações e priorizações na gestão dos riscos de segurança. 
Resposta correta. A alternativa está correta, pois o direcionamento das ações gerenciais e das prioridades na gestão de riscos é embasado nas diretrizes geradas a partir dessa análise. A seleção e a implementação dos controles de riscos também são orientadas por elas. Esse processo de analisar e avaliar os riscos deve ser realizado várias vezes de forma a cobrir diferentes partes da organização. 
1 em 1 pontos 
A gestão da segurança da informação é uma atividade complexa que demanda envolvimento de todos dentro da organização e um forte comprometimento da direção. Sem o respaldo da alta gerência, as atividades associadas à segurança da informação tendem a ser executadas de forma falha ou não serem executadas. 
Nesse cenário, assinale a alternativa que indica um fator crítico para o sucesso do processo de gestão da segurança da informação. 
Resposta 
Selecionada: Implementação de um sistema de medição usado para avaliar o desempenho da gestão. 
Resposta Correta: 
Implementação de um sistema de medição usado para 
avaliar o desempenho da gestão. 
Comentário 
da resposta: 
• Pergunta 6 
Resposta correta. A alternativa está correta, pois um sistema de medição para ser usado na avaliação do desempenho da gestão da segurança da informação é um fator crítico de sucesso, haja vista que, a partir dele, sugestões de melhoria podem ser obtidas. 
1 em 1 pontos 
A gestão da segurança dos ativos de TI tem início com a elaboração de um inventário de ativos. Qualquer que seja o tipo de ativo de uma organização, esse deve constar no catálogo. Esse instrumento possibilita que a organização tenha uma visão ampla do seu parque tecnológico. 
Assinale a afirmativa correta a respeito da formulação do inventário de ativos de uma organização.
Resposta 
Selecionada: O processo de compilação de um inventário de ativos é pré-requisito para o gerenciamento de riscos. 
Resposta 
Correta: O processo de compilação de um inventário de ativos é pré-requisito para o gerenciamento de riscos. 
Comentário 
da resposta: 
• Pergunta 7 
Resposta correta. A alternativa está correta, pois o inventário de ativos ajuda a assegurar que a proteção efetiva do ativo possa ser feita, além de poder ser requerido para outras finalidades do negócio. A gestão dos riscos associados aos ativos depende de que esses tenham sido previamente identificados e catalogados. 
1 em 1 pontos 
A implantação e a operacionalização de um software de gestão da segurança da informação demandam que diversas implementações sejam feitas referentes ao alinhamento do funcionamento do software com os requisitos de segurança da organização. 
A respeito dessas atividades e seu pertencimento à etapa de implementação de um SGSI, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). 
I. ( ) Elaborar um planejamento para o tratamento de cada risco no qual as ações correspondentes devem ser definidas e priorizadas. II. ( ) Implementar o plano de tratamento de riscos para alcançar os objetivos identificados, incluindo questões sobre financiamento e atribuição de papéis e responsabilidades. 
III. ( ) Selecionar os objetivos de controle e controles para o tratamento dos riscos, a fim de atender aos requisitos identificados pela análise e avaliação de riscos. 
IV. ( ) Aplicar critérios de aceitação previamente definidos, a fim de selecionar quais riscos serão aceitáveis e quais deverão receber algum tratamento. 
Assinale a alternativa que apresenta a sequência correta: 
Resposta Selecionada: 
V, V, F, F. 
Resposta Correta: 
V, V, F, F.
Comentário 
da resposta: 
• Pergunta 8 
Resposta correta. A sequência correta, pois tanto a formulação do plano de tratamento de riscos como sua implementação estão diretamente relacionadas à configuração do software de gestão da segurança para que esteja alinhado com os requisitos de segurança da organização. Quaisquer definições referentes aos riscos devem ser efetuadas na etapa anterior de planejamento ou estabelecimento do software. Esse é o caso da seleção dos controles e seus objetivos, assim como a escolha de quais riscos serão aceitos e de quais irão demandar alguma ação. 
1 em 1 pontos 
Uma etapa que deve preceder a implantação de um SGSI (Sistema de Gestão da Segurança da Informação) é o planejamento ou estabelecimento da aquisição desse software . Uma das atividades que compõem essa etapa éa identificação dos riscos vinculados ao sistema. 
Assinale a alternativa que indique uma ação pertencente à identificação dos riscos. 
Resposta 
Selecionada: Identificar impactos que incidentes de violação de segurança podem causar aos ativos. 
Resposta Correta: 
Identificar impactos que incidentes de violação de 
segurança podem causar aos ativos. 
Comentário 
da resposta: 
• Pergunta 9 
Resposta correta. A resposta está correta, pois a identificação dos riscos associados à implantação de um SGSI deve contemplar uma atividade de levantamento dos impactos que as perdas de confidencialidade, de integridade e de disponibilidade podem causar aos ativos da organização. Esse levantamento vai servir de subsídio para a proposição das ações de tratamento de cada risco. 
1 em 1 pontos 
O monitoramento e a análise crítica de um software para gestão da segurança da informação (SGSI) é crucial para garantir que ele se mantenha aderente à realidade da organização e atendendo aos requisitos de segurança de forma eficaz.
Considerando as atividades envolvidas nessa etapa do processo PDCA de implantação de um SGSI, analise as afirmativas a seguir. 
I. Identificar ataques que resultaram em alguma violação de segurança e quaisquer outros incidentes associados à segurança da informação. 
II. Apoiar a detecção de eventos associados à segurança da informação e dar suporte à prevenção de incidentes de segurança por meio de indicadores. 
III. Analisar as probabilidades vinculadas à ocorrência de falhas, considerando ameaças e vulnerabilidades mais recorrentes. 
IV. Definir como medir a eficácia dos controles selecionados e especificar como elas devem ser usadas para avaliar a eficácia dos controles. 
Está correto o que se afirma em: 
Resposta Selecionada: 
I e II, apenas. 
Resposta Correta: 
I e II, apenas. 
Comentário 
da resposta: 
• Pergunta 10 
Resposta correta. A alternativa está correta, pois a quantidade de violações de segurança efetivamente ocorridas e o número de incidentes e eventos de segurança da informação detectados são usados como subsídio para uma avaliação objetiva de como o SGSI está atendendo aos requisitos de segurança da informação. A avaliação de probabilidades de ocorrência de falhas de segurança e a definição de medidas de controle são executadas nas etapas anteriores ao monitoramento do sistema. 
1 em 1 pontos 
Riscos podem ser aceitos ou não por uma organização. Um risco pode ser aceito, por exemplo, se for avaliado que a sua probabilidade de ocorrência é baixa. Essa definição é feita na etapa de planejamento do tratamento dos riscos. Para aqueles riscos que não serão aceitos, um tratamento precisa ser apontado. 
Indique a alternativa que apresenta um tratamento adequado para algum risco identificado e analisado. 
Resposta 
Selecionada:
Redirecionar o risco para parceiros ou fornecedores 
de serviços. 
Resposta Correta: 
Redirecionar o risco para parceiros ou fornecedores 
de serviços. 
Comentário da resposta: 
Resposta correta. A alternativa está correta, pois um dos tratamentos recomendados para serem dados a um risco é o de fazer sua transferência para seguradoras ou fornecedores. Naturalmente, não são todos os riscos que podem receber esse tratamento. Por isso, a etapa de planejamento é essencial para que a ação correta seja considerada. 
Domingo, 23 de Maio de 2021 19h23min21s BRT