GABARITO PROVA SGSI N2 ANHANGUERA

Prévia do material em texto

Pergunta 1
1 em 1 pontos
A etapa de implementação do Sistema de Gestão de Segurança da Informação (SGSI) consiste em implantar a política, os procedimentos e os controles de segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa são: a elaboração e implementação de um plano de tratamento de riscos, a implementação dos controles selecionados, o gerenciamento das operações do SGSI, entre outros.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação às informações sobre a etapa de implementação do SGSI, assinale a alternativa correta.
Resposta Selecionada:	
Correta 
Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
Resposta Correta:	
Correta 
Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
Comentário da resposta:	
Resposta correta. Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
Pergunta 2
1 em 1 pontos
“As vantagens dos hackers não são as falhas de um computador ou de um aplicativo móvel, mas as ferramentas que os permitem enganar as pessoas. Nos últimos anos, muitos ataques passaram a envolver componentes de engenharia social, que tentam persuadir um indivíduo a realizar uma ação que cause uma infecção ou a divulgação de informações valiosas. Durante um ataque de engenharia social, a vítima não tem discernimento de que suas ações são perigosas, o criminoso explora a ingenuidade do alvo, em vez de alguma propensão criminosa.
As técnicas usadas buscam coletar informações sobre o alvo, como seus hobbies, local de trabalho ou banco, por exemplo. Com essas informações os criminosos criam um enredo bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação, o que pode ser o anúncio de um prêmio, uma promoção de uma loja conhecida ou algum prestador de serviço, órgão oficial ou autoridade solicitando informações pessoais”.
HYPPOLITO, T. O maior problema da segurança da informação somos nós. Canaltech , [ s. l. ], 31 mar. 2015. Disponível em: https://canaltech.com.br/seguranca/O-maior-problema-da-seguranca-da-informacao-somos-nos/ . Acesso em: 01 out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação.
I. Para proteger-se de ataques cibercriminosos, é preciso tomar algumas medidas, como usar uma solução de segurança capaz de identificar ameaças em e-mails e sites , manter softwares e sistemas operacionais sempre atualizados e nunca abrir links de e-mails incomuns, especialmente os que contêm erros gramaticais, mensagens suspeitas e ameaças injustificadas.
PORQUE
II. Limitar as informações publicadas na internet e checar o grau de privacidade de suas redes sociais é outra opção de segurança, uma vez que os criminosos podem usar essas informações contra você nos ataques de engenharia social.
A respeito dessas asserções, assinale a alternativa CORRETA.
Resposta Selecionada:	
Correta As asserções I e II são proposições verdadeiras.
Resposta Correta:	
Correta As asserções I e II são proposições verdadeiras.
Comentário da resposta:	Resposta correta. As asserções I e II são proposições verdadeiras. De fato, para proteger-se de ataques cibercriminosos, é preciso tomar algumas medidas, como usar uma solução de segurança capaz de identificar ameaças em e-mails e sites, manter softwares e sistemas operacionais sempre atualizados e nunca abrir links de e-mails
incomuns, especialmente os que contêm erros gramaticais, mensagens suspeitas e ameaças injustificadas. Limitar as informações publicadas na internet e checar o grau de privacidade de suas redes sociais é outra opção de segurança, uma vez que os criminosos podem usar essas informações contra você nos ataques de engenharia social.
Pergunta 3
1 em 1 pontos
A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações.
Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que consiste a confiabilidade, integridade e disponibilidade das informações.
Resposta Selecionada:	
Correta 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
Resposta Correta:	
Correta 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
Comentário da resposta:	
Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software
não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
Pergunta 4
0 em 1 pontos
Os riscos são ameaças ou vulnerabilidades internas ou externas que geram incertezas nos negócios de uma empresa. Uma ameaça é um agente ou uma condição que gera um incidente de segurança da informação, como programas maliciosos (vírus), por exemplo. Já a vulnerabilidade inclui as falhas que podem acontecer nas informações, no hardware ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades nestes, como um sistema de antivírus desatualizado. Para evitar incertezas e prejuízos aos negócios, as empresas devem saber gerenciar os riscos.
Em relação às atividades da gestão de riscos e suas características, analise as afirmações a seguir.
I - As pessoas envolvidas devem estar empenhadas para o sucesso da atividade, a fim de aplicar o que foi planejado na implantação do controle de risco.
II - Os backups dos dados são realizados na etapa de planejamento do tratamento do risco, observando o risco e o imobilizando.
III - A identificação do risco verifica as falhas que ocorreram em determinado período.
IV - A análise do risco avalia o nível de impacto de cada risco e as potenciais ameaças da empresa.
V - Ao se definir os objetivos, os custos dos processos ou as vulnerabilidades do sistema, por exemplo, são definidos para serem gerenciados.
 Assinale a alternativa que apresenta a resposta correta.
Resposta Selecionada:	
Incorreta 
Apenas as afirmativas II, III e V estão corretas.
Resposta Correta:	
Correta 
As afirmativas I, II, III, IV e V estão corretas.
Comentário da resposta:	
Resposta incorreta. Nesse caso, todas as afirmativas estão corretas. Portanto, as pessoas envolvidas devem estar empenhadas para o sucesso da atividade, a fim de aplicar o que foi planejado na implantação do controle de risco. Os backups dos dados são realizados na etapa de planejamento do tratamento do risco, observando o risco e o imobilizando. A identificação do risco verifica as falhas que ocorreram em determinado período. A análise do risco avalia o nível de impacto de cada risco e as potenciais ameaças da empresa. Ao definir os objetivos, os custos dos processos ou as vulnerabilidades do sistema são definidos para serem gerenciados, por exemplo.Pergunta 5
1 em 1 pontos
“O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert Freeman, vice-presidente da FireEye , uma companhia americana de cibersegurança voltada à proteção de grandes empresas. Mas por que um hacker invadiria o computador de uma pessoa comum? Segundo especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria dos cibercriminosos invade um sistema e rouba informações de usuários, junto com suas senhas de acesso para e-mails, sistemas de empresas, etc. De acordo com a FireEye,
em 2015, os três setores mais visados por ataques hacker da economia foram: financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas com alto desenvolvimento tecnológico (10%)”.
MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01 out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação.
I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas.
PORQUE
II. É necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos, para que as empresas estejam protegidas contra essas ações.
A respeito dessas asserções, assinale a alternativa CORRETA.
Resposta Selecionada:	
Correta As asserções I e II são proposições verdadeiras.
Resposta Correta:	
Correta As asserções I e II são proposições verdadeiras.
Comentário da resposta:	Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para que as empresas estejam protegidas contra essas ações, é necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos.
Pergunta 6
1 em 1 pontos
Na definição do escopo, uma das atividades que compõe a etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a definição de quem serão as pessoas e quais serão os setores e os processos da empresa beneficiados com a implantação do SGSI.
Em relação às informações sobre a definição do escopo do SGSI, analise as afirmações a seguir.
I - A definição do escopo garante uma melhor compreensão do contexto geral de uma empresa, além de priorizar os setores que serão atendidos com a implantação do SGSI.
II - A redução do escopo para reduzir riscos é feita por muitas empresas e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança.
III - A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI.
IV - A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
Agora, assinale a alternativa que apresenta a resposta correta
Resposta Selecionada:	
Correta 
Todas as alternativas estão corretas.
Resposta Correta:	
Correta 
Todas as alternativas estão corretas.
Comentário da resposta:	
Resposta correta. Todas as alternativas estão corretas, já que a definição do escopo garante melhor compreensão do contexto geral de uma organização, além do priorizar os setores que serão atendidos com a implantação do SGSI. Para reduzir custos, muitas empresas reduzem o escopo e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança. A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI. A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
Pergunta 7
0 em 1 pontos
A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), conforme apresentado na figura a seguir.
Figura 1 - Modelo PDCA aplicado aos processos do SGSI
Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação aos processos do SGSI e suas características, analise as afirmações a seguir.
I - A performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI são medidos e avaliados na etapa de monitoramento e análise crítica.
II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI.
III - A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos.
IV - A segurança da informação está diretamente relacionada aos objetivos da empresa na etapa de estabelecimento do SGSI.
V - Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica.
Assinale a alternativa que apresenta a resposta correta.
Resposta Selecionada:	
Incorreta 
Apenas as afirmativas II, III e V estão corretas.
Resposta Correta:	
Correta 
As afirmativas I, II, III, IV e V estão corretas.
Comentário da resposta:	
Resposta incorreta. Todas as afirmativas apresentadas são consideradas corretas. Na etapa de monitoramento e análise crítica, é medida e avaliada a performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. Na etapa de estabelecimento do SGSI, a segurança da informação está diretamente relacionada aos objetivos da empresa. Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica.
Pergunta 8
1 em 1 pontos
O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que gerencia a segurança da informação de uma empresa com base na confiabilidade, integridade e disponibilidade das informações e nos riscos de negócio, sendo de responsabilidade da empresa definir quais informações serão protegidas.
Em relação às informações sobre o SGSI, analise as afirmações a seguir.
I - O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa.
II - A empresa deve estabelecer quais informações serão protegidas e, uma vez feito isso, o SGSI irá qualificar e tratar tais informações. 
III - As informações a serem protegidas, definidas pela empresa, compreendem os processos de negócio que as geram tais informações.
IV - O SGSI garante a preservação das informações geradas, mas não consegue manter 100% da segurança delas na empresa.
Agora, assinale a alternativa que apresenta a resposta correta.
Resposta Selecionada:	
Correta 
Apenas as afirmativas I, II e III estão corretas.
Resposta Correta:	
Correta 
Apenas as afirmativas I, II e III estão corretas.
Comentário da resposta:	
Resposta correta. Apenas as afirmativas I, II e III estão corretas. O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. Esta deve estabelecer quais informações serão protegidas e uma vez feito isso, o SGSI irá qualificar e tratá-las. As informações a serem protegidas compreendem os processos de negócio que as geram. O SGSI garante a preservação das informações geradas e mantidas em uma empresa.
Pergunta 9
0 em 1 pontos
“Muitos gerentes, analistas e consultores de TI dentreoutros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI”.
ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a segurança da informação e a política de segurança da informação.
 
I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança.
PORQUE
II. É necessário implantar a política de segurança da informação, considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
A respeito dessas asserções, assinale a alternativa CORRETA.
Resposta Selecionada:	
Incorreta A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
Resposta Correta:	
Correta As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
Comentário da resposta:	Resposta incorreta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. É necessário implantar a política de segurança da informação considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
Pergunta 10
1 em 1 pontos
A companhia Prov Service NET é uma prestadora de serviços de banda larga que atua como provedor de internet para pequenas empresas de cidades do interior. Sua missão é prestar um serviço de internet com qualidade, alinhado aos objetivos estratégicos de negócios de seus clientes. A empresa ainda não possui um Sistema de Gestão de Segurança da Informação (SGSI) e deseja realizar a implementação para garantir a segurança, confiabilidade, integridade e disponibilidade das informações nas transações on-line de seus consumidores.
Em relação às etapas necessárias para implantar o SGSI na empresa Prov Service NET, assinale a alternativa correta.
Resposta Selecionada:	
Correta 
As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
Resposta Correta:	
Correta 
As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
Comentário da resposta:	
Resposta correta. As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
Segunda-feira, 15 de Novembro de 2021 16h55min28s BRT