N2 - SGSI

Prévia do material em texto

Pergunta 1
Resposta
Selecionada:
Resposta Correta: 
Comentário
da resposta:
“A política de segurança é um documento que estabelece princípios, valores,
compromissos, requisitos, orientações e responsabilidades sobre o que deve ser
feito para alcançar um padrão desejável de proteção para as informações. Ela é
basicamente um manual de procedimentos que descreve como os recursos de
TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da
segurança da informação. Sem regras pré-estabelecidas, ela torna-se
inconsistente e vulnerabilidades podem surgir”.
OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível
em:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-def
inicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre as
políticas de segurança em Sistemas de Gestão de Segurança da Informação
(SGSI).
I. É necessário que a política de segurança da informação tenha um responsável
que faça a gestão do desenvolvimento, da análise crítica e da avaliação.
PORQUE 
II. Para que ocorra a quebra de paradigmas em relação à política de segurança
da informação, é importante que os colaboradores da empresa entendam a
importância desse assunto. A companhia deve fornecer treinamento aos
funcionários e elaborar guias rápidos para consulta, por exemplo.
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
As asserções I e II são proposições verdadeiras.
Resposta incorreta. Nesse caso, as asserções I e II são proposições verdadeiras.
É necessário que a política de segurança da informação tenha um responsável
que faça a gestão do desenvolvimento, da análise crítica e da avaliação. Para que
ocorra a quebra de paradigmas em relação à política de segurança da informação,
é importante que os colaboradores da empresa entendam a importância desse
assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias
rápidos para consulta, por exemplo. 
A respeito dessas asserções, assinale a alternativa correta.
Pergunta 2
Resposta
A etapa de implementação do Sistema de Gestão de Segurança da Informação
(SGSI) consiste em implantar a política, os procedimentos e os controles de
segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa
são: a elaboração e implementação de um plano de tratamento de riscos, a
implementação dos controles selecionados, o gerenciamento das operações do
SGSI, entre outros.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação às informações sobre a etapa de implementação do SGSI, assinale
a alternativa correta.
0 em 1 pontos
1 em 1 pontos
https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
Selecionada:
Resposta
Correta:
Comentário
da resposta:
Quem executará, qual será o tempo gasto na execução e quando será
executado são requisitos encontrados na elaboração de um plano de
tratamento de riscos.
Quem executará, qual será o tempo gasto na execução e quando será
executado são requisitos encontrados na elaboração de um plano de
tratamento de riscos.
Resposta correta. Quem executará, qual será o tempo gasto na execução e
quando será executado são requisitos encontrados na elaboração de um
plano de tratamento de riscos.
Pergunta 3
Resposta
Selecionada:
Resposta Correta:
Comentário
da resposta:
“Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente
associam Segurança da Informação (SI) e sua totalidade a: Antivírus,
Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss
Prevention), ferramentas de monitoramento, ambientes de desenvolvimento
segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes
são simplesmente alguns dos requisitos de segurança que aliados a
procedimentos, políticas e processos compõem a prática de SI”.
ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte
I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialista
s.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a
segurança da informação e a política de segurança da informação.
 
I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas
paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. 
PORQUE 
II. É necessário implantar a política de segurança da informação, considerando
as boas práticas desta de acordo com os objetivos de cada empresa, sendo
base para a criação de procedimentos e processos, juntamente com as demais
políticas dos âmbitos de negócio e tecnologia. 
A respeito dessas asserções, assinale a alternativa CORRETA.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa
da I.
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I. De fato, os softwares 
e as soluções informatizadas utilizadas isoladamente são apenas paliativos que
disfarçam o ambiente e fornecem a falsa sensação de segurança. É necessário
implantar a política de segurança da informação considerando as boas práticas
desta de acordo com os objetivos de cada empresa, sendo base para a criação de
procedimentos e processos, juntamente com as demais políticas dos âmbitos de
negócio e tecnologia.
1 em 1 pontos
1 em 1 pontos
https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/
Pergunta 4
Resposta
Selecionada:
Resposta Correta:
Comentário
da resposta:
Para que a implantação do Sistema de Gestão de Segurança da Informação
(SGSI) tenha êxito em uma empresa, é preciso seguir as etapas de implantação
de acordo com a norma NBR ISO/IEC 27001. Além disso, os gestores da
empresa devem estar engajados e dar o suporte necessário ao processo de
implantação.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a
implantação do SGSI.
I. Para que a implantação do SGSI seja eficiente, é preciso medir
periodicamente a ocorrência de incidentes de segurança da informação, avaliar
se eles são aceitáveis de acordo com a política definida pela empresa,
apresentar as oportunidades de melhorias identificadas aos gestores e registrar
as ações que podem impactar no desempenho do SGSI.
PORQUE 
II. As atividades de melhoria contínua executam somente as ações corretivas
identificadas ao longo da utilização do SGSI e garantem que algumas melhorias
estejam de acordo com os objetivos definidos pela empresa.
A respeito dessas asserções, assinale a alternativa correta.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição verdadeira, e a II é uma proposição
falsa.
Resposta correta. A asserção I é uma proposição verdadeira, e a II é uma
proposição falsa. Para que a implantação do SGSI seja eficiente, é preciso medir
periodicamente a ocorrência de incidentes de segurança da informação, avaliar se
eles são aceitáveis de acordo com a política definida pela empresa, apresentar as
oportunidades de melhorias identificadas aos gestores e registrar as ações que
podem impactar no desempenho do SGSI.
Pergunta 5
A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que
estrutura os processos do Sistema de Gestão de Segurança da Informação
(SGSI), conforme apresentado na figura a seguir.
Figura 1 - Modelo PDCA aplicado aos processos do SGSI 
 Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR
ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança —
Sistemas de gestão da segurança da informação — Requisitos.Rio de Janeiro:
1 em 1 pontos
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
ABNT, 2011.
 
Em relação aos processos do SGSI e suas características, analise as
afirmações a seguir.
I - A performance do processo de acordo com a política, os objetivos e a
experiência prática do SGSI são medidos e avaliados na etapa de
monitoramento e análise crítica.
II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e
preventivas com base nos resultados da auditoria interna do SGSI.
III - A etapa de implantação e operação do SGSI atua sobre a política, os
controles, processos e procedimentos.
IV - A segurança da informação está diretamente relacionada aos objetivos da
empresa na etapa de estabelecimento do SGSI.
V - Os resultados para a análise crítica de acordo com a performance do
processo avaliado são apresentados na etapa de monitoramento e análise
crítica.
Assinale a alternativa que apresenta a resposta correta.
As afirmativas I, II, III, IV e V estão corretas.
As afirmativas I, II, III, IV e V estão corretas.
Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa
de monitoramento e análise crítica, é medida e avaliada a performance do
processo de acordo com a política, os objetivos e a experiência prática do
SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações
corretivas e preventivas, com base nos resultados da auditoria interna do
SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os
controles, processos e procedimentos. Na etapa de estabelecimento do
SGSI, a segurança da informação está diretamente relacionada aos
objetivos da empresa. Os resultados para a análise crítica de acordo com a
performance do processo avaliado são apresentados na etapa de
monitoramento e análise crítica.
Pergunta 6
Resposta
Selecionada:
Resposta Correta:
De acordo com a norma NBR ISO/IEC 27001, a direção deve analisar
criticamente o SGSI da organização em intervalos planejados (pelo menos uma
vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia.
Nesse sentido, a análise crítica deve incluir a avaliação de oportunidades para
melhoria e a necessidade de mudanças do SGSI, incluindo a política e os
objetivos de segurança da informação. 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. 
 
Os resultados dessas análises críticas devem:
ser claramente documentados e os registros devem ser alterados.
ser claramente documentados e os registros devem ser mantidos.
0 em 1 pontos
Comentário
da resposta:
Resposta incorreta. Os resultados dessas análises críticas devem ser
claramente documentados e os registros devem ser mantidos.
Pergunta 7
Resposta
Selecionada:
Resposta
Correta:
Comentário
da resposta:
A segurança da informação abrange um conjunto de ações que garantem a
confiabilidade, integridade e disponibilidade das informações de pessoas ou
organizações.
Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que
consiste a confiabilidade, integridade e disponibilidade das informações.
a confiabilidade garante que somente pessoas autorizadas tenham acesso
aos dados e às informações. A integridade garante que os dados
de hardware 
e s oftware não sejam modificados por pessoas não autorizadas e que as
informações sejam consistentes. Já a disponibilidade deve garantir que os
dados e as informações estejam disponíveis para serem acessadas quando
solicitadas.
a confiabilidade garante que somente pessoas autorizadas tenham acesso
aos dados e às informações. A integridade garante que os dados
de hardware 
e s oftware não sejam modificados por pessoas não autorizadas e que as
informações sejam consistentes. Já a disponibilidade deve garantir que os
dados e as informações estejam disponíveis para serem acessadas quando
solicitadas.
Resposta correta. A segurança da informação abrange um conjunto de
ações que garantem a confiabilidade, a integridade e a disponibilidade das
informações de pessoas ou organizações. A confiabilidade garante que
somente pessoas autorizadas tenham acesso aos dados e às informações. A
integridade garante que os dados de hardware e software 
não sejam modificados por pessoas não autorizadas e que as informações
sejam consistentes. Já a disponibilidade deve garantir que os dados e as
informações estejam disponíveis para serem acessadas quando solicitadas.
Pergunta 8
Resposta Selecionada: 
Resposta Correta: 
Comentário da
Uma ameaça é um agente ou uma condição que gera um incidente de
segurança da informação, como programas maliciosos (vírus), por exemplo. Já a
vulnerabilidade inclui as falhas que podem acontecer nas informações,
nohardware ou no software e nas pessoas que utilizam esses sistemas, gerando
fragilidades nestes, como um sistema de antivírus desatualizado. 
Para evitar essas incertezas, as empresas devem:
gerenciar os riscos para evitar prejuízos aos negócios.
gerenciar os riscos para evitar prejuízos aos negócios.
Resposta correta. De fato, para evitar incertezas e prejuízos aos negócios, é
1 em 1 pontos
1 em 1 pontos
resposta: necessário gerenciar os riscos.
Pergunta 9
Resposta
Selecionada:
Resposta Correta:
Comentário
da resposta:
De acordo com a NBR ISO/IEC 27001, a etapa de monitoração e análise crítica
do Sistema de Gestão de Segurança da Informação (SGSI) leva em
consideração os resultados de auditorias de segurança da informação,
incidentes de segurança da informação, resultados da eficácia das medições, as
sugestões e a realimentação de todas as partes interessadas.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de
gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
Considerando o contexto apresentado, avalie as seguintes asserções sobre a
etapa de monitoração e análise crítica do SGSI.
I. A execução de procedimentos de monitoração e análise crítica não permite
determinar se as ações tomadas para solucionar uma violação de segurança da
informação foram eficazes.
PORQUE 
II. A realização de uma análise crítica do SGSI pela direção da empresa garante
que o escopo definido permaneça adequado e identifica melhorias nos
processos do SGSI.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
A asserção I é uma proposição falsa, e a II é uma proposição
verdadeira.
Resposta correta. A asserção I é uma proposição falsa, e a II é uma proposição
verdadeira. A execução de procedimentos de monitoração e análise crítica permite
determinar se as ações tomadas para solucionar uma violação de segurança da
informação foram eficazes. A realização de uma análise crítica do SGSI pela
direção da empresa garante que o escopo definido permaneça adequado e
identifica melhorias nos processos do SGSI.
Pergunta 10
“O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert
Freeman, vice-presidente da FireEye , uma companhia americana de
cibersegurança voltada à proteção de grandes empresas. Mas por que
um hackerinvadiria o computador de uma pessoa comum? Segundo
especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria
dos cibercriminosos invade um sistema e rouba informações de usuários, junto
com suas senhas de acesso para e-mails, sistemas de empresas, etc. De
acordo com a FireEye, 
em 2015, os três setores mais visados por ataques hacker da economia foram:
financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas
com alto desenvolvimento tecnológico (10%)”. 
MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em
massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologi
a/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01
out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre
segurança da informação.
1em 1 pontos
1 em 1 pontos
https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/
Resposta Selecionada: 
Resposta Correta: 
Comentário
da resposta:
I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de
segurança, como antivírus, tornaram-se mais difíceis de serem identificadas.
PORQUE 
II. É necessário implementar uma cultura de cibersegurança nacional para
proteger os ataques e punir os criminosos, para que as empresas estejam
protegidas contra essas ações.
A respeito dessas asserções, assinale a alternativa CORRETA.
As asserções I e II são proposições verdadeiras.
As asserções I e II são proposições verdadeiras.
Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a
maioria das fraudes que, antes, eram facilmente detectadas por sistemas de
segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para
que as empresas estejam protegidas contra essas ações, é necessário
implementar uma cultura de cibersegurança nacional para proteger os ataques e
punir os criminosos.