N2 SGSI

Prévia do material em texto

Pergunta 1
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de
gestão corporativo que gerencia a segurança da informação de uma empresa
com base na confiabilidade, integridade e disponibilidade das informações e nos
riscos de negócio, sendo de responsabilidade da empresa definir quais
informações serão protegidas.
Em relação às informações sobre o SGSI, analise as afirmações a seguir.
I - O SGSI atua na melhoria contínua com base nos resultados obtidos durante
a análise crítica dos gestores da empresa.
II - A empresa deve estabelecer quais informações serão protegidas e, uma vez
feito isso, o SGSI irá qualificar e tratar tais informações. 
III - As informações a serem protegidas, definidas pela empresa, compreendem
os processos de negócio que as geram tais informações.
IV - O SGSI garante a preservação das informações geradas, mas não
consegue manter 100% da segurança delas na empresa.
Agora, assinale a alternativa que apresenta a resposta correta.
Apenas as afirmativas I, II e III estão corretas.
Apenas as afirmativas I, II e III estão corretas.
Resposta correta. Apenas as afirmativas I, II e III estão corretas. O SGSI
atua na melhoria contínua com base nos resultados obtidos durante a
análise crítica dos gestores da empresa. Esta deve estabelecer quais
informações serão protegidas e uma vez feito isso, o SGSI irá qualificar e
tratá-las. As informações a serem protegidas compreendem os processos
de negócio que as geram. O SGSI garante a preservação das informações
geradas e mantidas em uma empresa.
Pergunta 2
A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act 
(PDCA) e estrutura os processos do Sistema de Gestão de Segurança da
Informação (SGSI), com o objetivo de estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI.
Em relação à estrutura dos processos do SGSI, analise as afirmações a seguir.
I - Na etapa de planejamento, a segurança da informação está diretamente
associada com os interesses pessoais dos acionistas da empresa.
II - A etapa de manutenção e melhoria do SGSI age apenas nas ações
corretivas, com base nos erros encontrados durante a análise crítica com o
objetivo de corrigir os erros do SGSI.
III - A etapa de implementação e operação do SGSI, além de implementar, atua
sobre a política, os controles, processos e procedimentos.
IV - A etapa de monitoramento e análise crítica do SGSI mede e avalia o
desempenho do processo baseado na política, nos objetivos e na experiência
prática do SGSI.
Agora, assinale a alternativa que apresenta a resposta correta.
1 em 1 pontos
1 em 1 pontos
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
Apenas as afirmativas III e IV estão corretas.
Apenas as afirmativas III e IV estão corretas.
Resposta correta. Apenas as afirmativas III e IV estão corretas. A etapa de
implementação e operação do SGSI, além de implementar, atua sobre a política,
os controles, processos e procedimentos. A etapa de monitoramento e análise
crítica do SGSI mede e avalia o desempenho do processo, com base na política,
nos objetivos e na experiência prática deste.
Pergunta 3
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
“A política de segurança é um documento que estabelece princípios, valores,
compromissos, requisitos, orientações e responsabilidades sobre o que deve ser
feito para alcançar um padrão desejável de proteção para as informações. Ela é
basicamente um manual de procedimentos que descreve como os recursos de
TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da
segurança da informação. Sem regras pré-estabelecidas, ela torna-se
inconsistente e vulnerabilidades podem surgir”.
OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível
em:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-def
inicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre as
políticas de segurança em Sistemas de Gestão de Segurança da Informação
(SGSI).
I. É necessário que a política de segurança da informação tenha um responsável
que faça a gestão do desenvolvimento, da análise crítica e da avaliação.
PORQUE 
II. Para que ocorra a quebra de paradigmas em relação à política de segurança
da informação, é importante que os colaboradores da empresa entendam a
importância desse assunto. A companhia deve fornecer treinamento aos
funcionários e elaborar guias rápidos para consulta, por exemplo.
As asserções I e II são proposições verdadeiras.
As asserções I e II são proposições verdadeiras.
Resposta correta. As asserções I e II são proposições verdadeiras. É necessário
que a política de segurança da informação tenha um responsável que faça a
gestão do desenvolvimento, da análise crítica e da avaliação. Para que ocorra a
quebra de paradigmas em relação à política de segurança da informação, é
importante que os colaboradores da empresa entendam a importância desse
assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias
rápidos para consulta, por exemplo.
Pergunta 4
A segurança da informação abrange um conjunto de ações que garantem a
confiabilidade, integridade e disponibilidade das informações de pessoas ou
organizações.
Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que
consiste a confiabilidade, integridade e disponibilidade das informações.
1 em 1 pontos
1 em 1 pontos
https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
Resposta
Selecionada:
Resposta
Correta:
Comentário
da resposta:
a confiabilidade garante que somente pessoas autorizadas tenham acesso
aos dados e às informações. A integridade garante que os dados
de hardware 
e s oftware não sejam modificados por pessoas não autorizadas e que as
informações sejam consistentes. Já a disponibilidade deve garantir que os
dados e as informações estejam disponíveis para serem acessadas quando
solicitadas.
a confiabilidade garante que somente pessoas autorizadas tenham acesso
aos dados e às informações. A integridade garante que os dados
de hardware 
e s oftware não sejam modificados por pessoas não autorizadas e que as
informações sejam consistentes. Já a disponibilidade deve garantir que os
dados e as informações estejam disponíveis para serem acessadas quando
solicitadas.
Resposta correta. A segurança da informação abrange um conjunto de
ações que garantem a confiabilidade, a integridade e a disponibilidade das
informações de pessoas ou organizações. A confiabilidade garante que
somente pessoas autorizadas tenham acesso aos dados e às informações. A
integridade garante que os dados de hardware e software 
não sejam modificados por pessoas não autorizadas e que as informações
sejam consistentes. Já a disponibilidade deve garantir que os dados e as
informações estejam disponíveis para serem acessadas quando solicitadas.
Pergunta 5
Resposta
Selecionada:
Resposta Correta:
Comentário
da resposta:
Para que a implantação do Sistema de Gestão de Segurança da Informação
(SGSI) tenha êxito em uma empresa, é preciso seguir as etapas de implantação
de acordo com a norma NBR ISO/IEC 27001. Além disso, os gestores da
empresa devem estar engajados e dar o suporte necessário ao processo de
implantação.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a
implantação do SGSI.
I. Para que a implantação do SGSI seja eficiente, é preciso medir
periodicamente a ocorrência de incidentes de segurança da informação, avaliar
se eles são aceitáveis de acordo com a política definida pela empresa,
apresentar as oportunidades de melhorias identificadas aos gestores e registrar
as ações que podem impactar no desempenho do SGSI.
PORQUE 
II. As atividades de melhoria contínua executamsomente as ações corretivas
identificadas ao longo da utilização do SGSI e garantem que algumas melhorias
estejam de acordo com os objetivos definidos pela empresa.
A respeito dessas asserções, assinale a alternativa correta.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição verdadeira, e a II é uma proposição
falsa.
Resposta correta. A asserção I é uma proposição verdadeira, e a II é uma
proposição falsa. Para que a implantação do SGSI seja eficiente, é preciso medir
periodicamente a ocorrência de incidentes de segurança da informação, avaliar se
1 em 1 pontos
eles são aceitáveis de acordo com a política definida pela empresa, apresentar as
oportunidades de melhorias identificadas aos gestores e registrar as ações que
podem impactar no desempenho do SGSI.
Pergunta 6
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
A gestão de riscos inclui ações coordenadas que direcionam e controlam uma
empresa em relação aos riscos (ABNT, 2006). Suas atividades componentes
são: definição dos objetivos; identificação dos riscos; análise dos riscos;
planejamento e tratamento do risco; implantação do controle do risco; e
avaliação e revisão dos riscos.
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
 
Em relação à gestão de riscos, analise as afirmações a seguir.
 
I - Os riscos, na etapa de definição dos objetivos, são mapeados para que as
falhas sejam identificadas e não ocorram novamente em determinado período.
II - As potenciais ameaças da empresa e o nível de impacto de cada risco são
avaliados na etapa de avaliação e revisão dos riscos.
III - A implantação do controle de risco aplica o que foi planejado para evitar os
riscos em uma empresa, e todos os envolvidos devem estar empenhados para o
sucesso da atividade.
IV - O planejamento do tratamento de risco elimina, reduz, imobiliza e transfere o
risco para ser gerenciado por uma empresa terceirizada.
Agora, assinale a alternativa que apresenta a resposta correta.
Apenas as afirmativas III e IV estão corretas.
Apenas as afirmativas III e IV estão corretas.
Resposta correta. Apenas as afirmativas III e IV estão corretas. A
implantação do controle de risco aplica o que foi planejado para evitar os
riscos em uma empresa e todos os envolvidos devem estar empenhados
para o sucesso da atividade. Com relação ao planejamento do tratamento
de risco, podem ser várias as ações: eliminar, reduzir, imobilizar e
transferir o risco para ser gerenciado por uma empresa terceirizada.
Pergunta 7
“O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert
Freeman, vice-presidente da FireEye , uma companhia americana de
cibersegurança voltada à proteção de grandes empresas. Mas por que
um hackerinvadiria o computador de uma pessoa comum? Segundo
especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria
dos cibercriminosos invade um sistema e rouba informações de usuários, junto
com suas senhas de acesso para e-mails, sistemas de empresas, etc. De
acordo com a FireEye, 
em 2015, os três setores mais visados por ataques hacker da economia foram:
financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas
1 em 1 pontos
1 em 1 pontos
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
com alto desenvolvimento tecnológico (10%)”. 
MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em
massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologi
a/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01
out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre
segurança da informação.
I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de
segurança, como antivírus, tornaram-se mais difíceis de serem identificadas.
PORQUE 
II. É necessário implementar uma cultura de cibersegurança nacional para
proteger os ataques e punir os criminosos, para que as empresas estejam
protegidas contra essas ações.
A respeito dessas asserções, assinale a alternativa CORRETA.
As asserções I e II são proposições verdadeiras.
As asserções I e II são proposições verdadeiras.
Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a
maioria das fraudes que, antes, eram facilmente detectadas por sistemas de
segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para
que as empresas estejam protegidas contra essas ações, é necessário
implementar uma cultura de cibersegurança nacional para proteger os ataques e
punir os criminosos.
Pergunta 8
A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que
estrutura os processos do Sistema de Gestão de Segurança da Informação
(SGSI), conforme apresentado na figura a seguir.
Figura 1 - Modelo PDCA aplicado aos processos do SGSI 
 Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR
ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança —
Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro:
ABNT, 2011.
 
 Em relação aos processos do SGSI e suas características, analise as
afirmações a seguir.
 I - A performance do processo de acordo com a política, os objetivos e a
experiência prática do SGSI são medidos e avaliados na etapa de
monitoramento e análise crítica.
 
1 em 1 pontos
https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e
preventivas com base nos resultados da auditoria interna do SGSI.
III - A etapa de implantação e operação do SGSI atua sobre a política, os
controles, processos e procedimentos.
IV - A segurança da informação está diretamente relacionada aos objetivos da
empresa na etapa de estabelecimento do SGSI.
V - Os resultados para a análise crítica de acordo com a performance do
processo avaliado são apresentados na etapa de monitoramento e análise
crítica.
Assinale a alternativa que apresenta a resposta correta.
As afirmativas I, II, III, IV e V estão corretas.
As afirmativas I, II, III, IV e V estão corretas.
Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa
de monitoramento e análise crítica, é medida e avaliada a performance do
processo de acordo com a política, os objetivos e a experiência prática do
SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações
corretivas e preventivas, com base nos resultados da auditoria interna do
SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os
controles, processos e procedimentos. Na etapa de estabelecimento do
SGSI, a segurança da informação está diretamente relacionada aos
objetivos da empresa. Os resultados para a análise crítica de acordo com a
performance do processo avaliado são apresentados na etapa de
monitoramento e análise crítica.
Pergunta 9
“Gestão de riscos é o processo de organizar e planejar recursos humanos e
materiais de uma empresa de forma a reduzir ao mínimo possível os impactos
dos riscos na organização, utilizando um conjunto de técnicas que visa
minimizar os efeitos dos danos acidentais direcionando o tratamento aos riscos
que possam causar danos ao projeto, às pessoas, ao meio ambiente e à
imagem da empresa. O principal objetivo da Gestão de Riscos é avaliar as
incertezas de forma a tomar a melhor decisão possível”.
PINTAN, J. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI
Especialistas , [ s. l. ], 29 nov. 2011. Disponível em: https://www.tiespecialistas.co
m.br/o-principal-objetivo-da-gestao-de-riscos-e-avaliar-as-incertezas-do-projeto/.Acesso
em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a
gestão de riscos. 
I. Os riscos podem e devemser identificados, analisados e tratados da melhor
forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa,
provocando ações reativas por parte dela. 
PORQUE 
II. Para todos os riscos, é necessário que haja um plano de ação desenhado. A
equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer
no projeto, proporcionando uma entrega o mais exata possível. 
A respeito dessas asserções, assinale a alternativa CORRETA.
1 em 1 pontos
Resposta
Selecionada:
Resposta Correta:
Comentário
da resposta:
As asserções I e II são proposições verdadeiras, e a II é uma justificativa
da I.
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I. De fato, os riscos podem e devem ser identificados, analisados e
tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto
de surpresa, provocando ações reativas por parte dela. Para todos os riscos, é
necessário que haja um plano de ação desenhado. A equipe deve estar pronta e
alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando
uma entrega o mais exata possível. A gestão de riscos deve estar baseada em
ações coordenadas, previamente planejadas.
Pergunta 10
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
Na definição do escopo, uma das atividades que compõe a etapa de
estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a
definição de quem serão as pessoas e quais serão os setores e os processos da
empresa beneficiados com a implantação do SGSI.
Em relação às informações sobre a definição do escopo do SGSI, analise as
afirmações a seguir.
I - A definição do escopo garante uma melhor compreensão do contexto geral de
uma empresa, além de priorizar os setores que serão atendidos com a
implantação do SGSI.
II - A redução do escopo para reduzir riscos é feita por muitas empresas e, com
isso, podem acontecer problemas, como diferentes setores na companhia não
seguirem um padrão de segurança.
III - A norma ISO 27001 define a elaboração de um documento para registrar
todos os processos do escopo do SGSI.
IV - A definição do escopo nos termos das características do negócio garante à
organização sua localização, os ativos e a tecnologia, além das justificativas
para quaisquer exclusões do escopo.
Agora, assinale a alternativa que apresenta a resposta correta
Todas as alternativas estão corretas.
Todas as alternativas estão corretas.
Resposta correta. Todas as alternativas estão corretas, já que a definição do
escopo garante melhor compreensão do contexto geral de uma
organização, além do priorizar os setores que serão atendidos com a
implantação do SGSI. Para reduzir custos, muitas empresas reduzem o
escopo e, com isso, podem acontecer problemas, como diferentes setores
na companhia não seguirem um padrão de segurança. A norma ISO 27001
define a elaboração de um documento para registrar todos os processos do
escopo do SGSI. A definição do escopo nos termos das características do
negócio garante à organização sua localização, os ativos e a tecnologia,
além das justificativas para quaisquer exclusões do escopo.
1 em 1 pontos