Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 1 Resposta Selecionada: Resposta Correta: Comentário da resposta: “A política de segurança é um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, ela torna-se inconsistente e vulnerabilidades podem surgir”. OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível em:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-def inicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre as políticas de segurança em Sistemas de Gestão de Segurança da Informação (SGSI). I. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. PORQUE II. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições verdadeiras. Resposta incorreta. Nesse caso, as asserções I e II são proposições verdadeiras. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo. A respeito dessas asserções, assinale a alternativa correta. Pergunta 2 Resposta A etapa de implementação do Sistema de Gestão de Segurança da Informação (SGSI) consiste em implantar a política, os procedimentos e os controles de segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa são: a elaboração e implementação de um plano de tratamento de riscos, a implementação dos controles selecionados, o gerenciamento das operações do SGSI, entre outros. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação às informações sobre a etapa de implementação do SGSI, assinale a alternativa correta. 0 em 1 pontos 1 em 1 pontos https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ Selecionada: Resposta Correta: Comentário da resposta: Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos. Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos. Resposta correta. Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos. Pergunta 3 Resposta Selecionada: Resposta Correta: Comentário da resposta: “Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI”. ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialista s.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre a segurança da informação e a política de segurança da informação. I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. PORQUE II. É necessário implantar a política de segurança da informação, considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia. A respeito dessas asserções, assinale a alternativa CORRETA. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. De fato, os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. É necessário implantar a política de segurança da informação considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia. 1 em 1 pontos 1 em 1 pontos https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ Pergunta 4 Resposta Selecionada: Resposta Correta: Comentário da resposta: Para que a implantação do Sistema de Gestão de Segurança da Informação (SGSI) tenha êxito em uma empresa, é preciso seguir as etapas de implantação de acordo com a norma NBR ISO/IEC 27001. Além disso, os gestores da empresa devem estar engajados e dar o suporte necessário ao processo de implantação. Considerando o contexto apresentado, avalie as seguintes asserções sobre a implantação do SGSI. I. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. PORQUE II. As atividades de melhoria contínua executam somente as ações corretivas identificadas ao longo da utilização do SGSI e garantem que algumas melhorias estejam de acordo com os objetivos definidos pela empresa. A respeito dessas asserções, assinale a alternativa correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Resposta correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. Pergunta 5 A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), conforme apresentado na figura a seguir. Figura 1 - Modelo PDCA aplicado aos processos do SGSI Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos.Rio de Janeiro: 1 em 1 pontos Resposta Selecionada: Resposta Correta: Comentário da resposta: ABNT, 2011. Em relação aos processos do SGSI e suas características, analise as afirmações a seguir. I - A performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI são medidos e avaliados na etapa de monitoramento e análise crítica. II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI. III - A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. IV - A segurança da informação está diretamente relacionada aos objetivos da empresa na etapa de estabelecimento do SGSI. V - Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. Assinale a alternativa que apresenta a resposta correta. As afirmativas I, II, III, IV e V estão corretas. As afirmativas I, II, III, IV e V estão corretas. Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa de monitoramento e análise crítica, é medida e avaliada a performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. Na etapa de estabelecimento do SGSI, a segurança da informação está diretamente relacionada aos objetivos da empresa. Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. Pergunta 6 Resposta Selecionada: Resposta Correta: De acordo com a norma NBR ISO/IEC 27001, a direção deve analisar criticamente o SGSI da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Nesse sentido, a análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política e os objetivos de segurança da informação. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Os resultados dessas análises críticas devem: ser claramente documentados e os registros devem ser alterados. ser claramente documentados e os registros devem ser mantidos. 0 em 1 pontos Comentário da resposta: Resposta incorreta. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos. Pergunta 7 Resposta Selecionada: Resposta Correta: Comentário da resposta: A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações. Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que consiste a confiabilidade, integridade e disponibilidade das informações. a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Pergunta 8 Resposta Selecionada: Resposta Correta: Comentário da Uma ameaça é um agente ou uma condição que gera um incidente de segurança da informação, como programas maliciosos (vírus), por exemplo. Já a vulnerabilidade inclui as falhas que podem acontecer nas informações, nohardware ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades nestes, como um sistema de antivírus desatualizado. Para evitar essas incertezas, as empresas devem: gerenciar os riscos para evitar prejuízos aos negócios. gerenciar os riscos para evitar prejuízos aos negócios. Resposta correta. De fato, para evitar incertezas e prejuízos aos negócios, é 1 em 1 pontos 1 em 1 pontos resposta: necessário gerenciar os riscos. Pergunta 9 Resposta Selecionada: Resposta Correta: Comentário da resposta: De acordo com a NBR ISO/IEC 27001, a etapa de monitoração e análise crítica do Sistema de Gestão de Segurança da Informação (SGSI) leva em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, as sugestões e a realimentação de todas as partes interessadas. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Considerando o contexto apresentado, avalie as seguintes asserções sobre a etapa de monitoração e análise crítica do SGSI. I. A execução de procedimentos de monitoração e análise crítica não permite determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. PORQUE II. A realização de uma análise crítica do SGSI pela direção da empresa garante que o escopo definido permaneça adequado e identifica melhorias nos processos do SGSI. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Resposta correta. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A execução de procedimentos de monitoração e análise crítica permite determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. A realização de uma análise crítica do SGSI pela direção da empresa garante que o escopo definido permaneça adequado e identifica melhorias nos processos do SGSI. Pergunta 10 “O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert Freeman, vice-presidente da FireEye , uma companhia americana de cibersegurança voltada à proteção de grandes empresas. Mas por que um hackerinvadiria o computador de uma pessoa comum? Segundo especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria dos cibercriminosos invade um sistema e rouba informações de usuários, junto com suas senhas de acesso para e-mails, sistemas de empresas, etc. De acordo com a FireEye, em 2015, os três setores mais visados por ataques hacker da economia foram: financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas com alto desenvolvimento tecnológico (10%)”. MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologi a/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação. 1em 1 pontos 1 em 1 pontos https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ Resposta Selecionada: Resposta Correta: Comentário da resposta: I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. PORQUE II. É necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos, para que as empresas estejam protegidas contra essas ações. A respeito dessas asserções, assinale a alternativa CORRETA. As asserções I e II são proposições verdadeiras. As asserções I e II são proposições verdadeiras. Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para que as empresas estejam protegidas contra essas ações, é necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos.
Compartilhar