Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 1 Resposta Selecionada: Resposta Correta: Comentário da resposta: O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que gerencia a segurança da informação de uma empresa com base na confiabilidade, integridade e disponibilidade das informações e nos riscos de negócio, sendo de responsabilidade da empresa definir quais informações serão protegidas. Em relação às informações sobre o SGSI, analise as afirmações a seguir. I - O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. II - A empresa deve estabelecer quais informações serão protegidas e, uma vez feito isso, o SGSI irá qualificar e tratar tais informações. III - As informações a serem protegidas, definidas pela empresa, compreendem os processos de negócio que as geram tais informações. IV - O SGSI garante a preservação das informações geradas, mas não consegue manter 100% da segurança delas na empresa. Agora, assinale a alternativa que apresenta a resposta correta. Apenas as afirmativas I, II e III estão corretas. Apenas as afirmativas I, II e III estão corretas. Resposta correta. Apenas as afirmativas I, II e III estão corretas. O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. Esta deve estabelecer quais informações serão protegidas e uma vez feito isso, o SGSI irá qualificar e tratá-las. As informações a serem protegidas compreendem os processos de negócio que as geram. O SGSI garante a preservação das informações geradas e mantidas em uma empresa. Pergunta 2 A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA) e estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), com o objetivo de estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI. Em relação à estrutura dos processos do SGSI, analise as afirmações a seguir. I - Na etapa de planejamento, a segurança da informação está diretamente associada com os interesses pessoais dos acionistas da empresa. II - A etapa de manutenção e melhoria do SGSI age apenas nas ações corretivas, com base nos erros encontrados durante a análise crítica com o objetivo de corrigir os erros do SGSI. III - A etapa de implementação e operação do SGSI, além de implementar, atua sobre a política, os controles, processos e procedimentos. IV - A etapa de monitoramento e análise crítica do SGSI mede e avalia o desempenho do processo baseado na política, nos objetivos e na experiência prática do SGSI. Agora, assinale a alternativa que apresenta a resposta correta. 1 em 1 pontos 1 em 1 pontos Resposta Selecionada: Resposta Correta: Comentário da resposta: Apenas as afirmativas III e IV estão corretas. Apenas as afirmativas III e IV estão corretas. Resposta correta. Apenas as afirmativas III e IV estão corretas. A etapa de implementação e operação do SGSI, além de implementar, atua sobre a política, os controles, processos e procedimentos. A etapa de monitoramento e análise crítica do SGSI mede e avalia o desempenho do processo, com base na política, nos objetivos e na experiência prática deste. Pergunta 3 Resposta Selecionada: Resposta Correta: Comentário da resposta: “A política de segurança é um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, ela torna-se inconsistente e vulnerabilidades podem surgir”. OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível em:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-def inicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre as políticas de segurança em Sistemas de Gestão de Segurança da Informação (SGSI). I. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. PORQUE II. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo. As asserções I e II são proposições verdadeiras. As asserções I e II são proposições verdadeiras. Resposta correta. As asserções I e II são proposições verdadeiras. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo. Pergunta 4 A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações. Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que consiste a confiabilidade, integridade e disponibilidade das informações. 1 em 1 pontos 1 em 1 pontos https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ Resposta Selecionada: Resposta Correta: Comentário da resposta: a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Pergunta 5 Resposta Selecionada: Resposta Correta: Comentário da resposta: Para que a implantação do Sistema de Gestão de Segurança da Informação (SGSI) tenha êxito em uma empresa, é preciso seguir as etapas de implantação de acordo com a norma NBR ISO/IEC 27001. Além disso, os gestores da empresa devem estar engajados e dar o suporte necessário ao processo de implantação. Considerando o contexto apresentado, avalie as seguintes asserções sobre a implantação do SGSI. I. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. PORQUE II. As atividades de melhoria contínua executamsomente as ações corretivas identificadas ao longo da utilização do SGSI e garantem que algumas melhorias estejam de acordo com os objetivos definidos pela empresa. A respeito dessas asserções, assinale a alternativa correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Resposta correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se 1 em 1 pontos eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. Pergunta 6 Resposta Selecionada: Resposta Correta: Comentário da resposta: A gestão de riscos inclui ações coordenadas que direcionam e controlam uma empresa em relação aos riscos (ABNT, 2006). Suas atividades componentes são: definição dos objetivos; identificação dos riscos; análise dos riscos; planejamento e tratamento do risco; implantação do controle do risco; e avaliação e revisão dos riscos. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação à gestão de riscos, analise as afirmações a seguir. I - Os riscos, na etapa de definição dos objetivos, são mapeados para que as falhas sejam identificadas e não ocorram novamente em determinado período. II - As potenciais ameaças da empresa e o nível de impacto de cada risco são avaliados na etapa de avaliação e revisão dos riscos. III - A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa, e todos os envolvidos devem estar empenhados para o sucesso da atividade. IV - O planejamento do tratamento de risco elimina, reduz, imobiliza e transfere o risco para ser gerenciado por uma empresa terceirizada. Agora, assinale a alternativa que apresenta a resposta correta. Apenas as afirmativas III e IV estão corretas. Apenas as afirmativas III e IV estão corretas. Resposta correta. Apenas as afirmativas III e IV estão corretas. A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa e todos os envolvidos devem estar empenhados para o sucesso da atividade. Com relação ao planejamento do tratamento de risco, podem ser várias as ações: eliminar, reduzir, imobilizar e transferir o risco para ser gerenciado por uma empresa terceirizada. Pergunta 7 “O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert Freeman, vice-presidente da FireEye , uma companhia americana de cibersegurança voltada à proteção de grandes empresas. Mas por que um hackerinvadiria o computador de uma pessoa comum? Segundo especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria dos cibercriminosos invade um sistema e rouba informações de usuários, junto com suas senhas de acesso para e-mails, sistemas de empresas, etc. De acordo com a FireEye, em 2015, os três setores mais visados por ataques hacker da economia foram: financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas 1 em 1 pontos 1 em 1 pontos Resposta Selecionada: Resposta Correta: Comentário da resposta: com alto desenvolvimento tecnológico (10%)”. MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologi a/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação. I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. PORQUE II. É necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos, para que as empresas estejam protegidas contra essas ações. A respeito dessas asserções, assinale a alternativa CORRETA. As asserções I e II são proposições verdadeiras. As asserções I e II são proposições verdadeiras. Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para que as empresas estejam protegidas contra essas ações, é necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos. Pergunta 8 A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), conforme apresentado na figura a seguir. Figura 1 - Modelo PDCA aplicado aos processos do SGSI Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação aos processos do SGSI e suas características, analise as afirmações a seguir. I - A performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI são medidos e avaliados na etapa de monitoramento e análise crítica. 1 em 1 pontos https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ Resposta Selecionada: Resposta Correta: Comentário da resposta: II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI. III - A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. IV - A segurança da informação está diretamente relacionada aos objetivos da empresa na etapa de estabelecimento do SGSI. V - Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. Assinale a alternativa que apresenta a resposta correta. As afirmativas I, II, III, IV e V estão corretas. As afirmativas I, II, III, IV e V estão corretas. Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa de monitoramento e análise crítica, é medida e avaliada a performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. Na etapa de estabelecimento do SGSI, a segurança da informação está diretamente relacionada aos objetivos da empresa. Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. Pergunta 9 “Gestão de riscos é o processo de organizar e planejar recursos humanos e materiais de uma empresa de forma a reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos acidentais direcionando o tratamento aos riscos que possam causar danos ao projeto, às pessoas, ao meio ambiente e à imagem da empresa. O principal objetivo da Gestão de Riscos é avaliar as incertezas de forma a tomar a melhor decisão possível”. PINTAN, J. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 29 nov. 2011. Disponível em: https://www.tiespecialistas.co m.br/o-principal-objetivo-da-gestao-de-riscos-e-avaliar-as-incertezas-do-projeto/.Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre a gestão de riscos. I. Os riscos podem e devemser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela. PORQUE II. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível. A respeito dessas asserções, assinale a alternativa CORRETA. 1 em 1 pontos Resposta Selecionada: Resposta Correta: Comentário da resposta: As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. De fato, os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível. A gestão de riscos deve estar baseada em ações coordenadas, previamente planejadas. Pergunta 10 Resposta Selecionada: Resposta Correta: Comentário da resposta: Na definição do escopo, uma das atividades que compõe a etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a definição de quem serão as pessoas e quais serão os setores e os processos da empresa beneficiados com a implantação do SGSI. Em relação às informações sobre a definição do escopo do SGSI, analise as afirmações a seguir. I - A definição do escopo garante uma melhor compreensão do contexto geral de uma empresa, além de priorizar os setores que serão atendidos com a implantação do SGSI. II - A redução do escopo para reduzir riscos é feita por muitas empresas e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança. III - A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI. IV - A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo. Agora, assinale a alternativa que apresenta a resposta correta Todas as alternativas estão corretas. Todas as alternativas estão corretas. Resposta correta. Todas as alternativas estão corretas, já que a definição do escopo garante melhor compreensão do contexto geral de uma organização, além do priorizar os setores que serão atendidos com a implantação do SGSI. Para reduzir custos, muitas empresas reduzem o escopo e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança. A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI. A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo. 1 em 1 pontos
Compartilhar