NOTA 8 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Usuário
	ANÔNIMO
	Curso
	POS0982 SGSI - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO PG1578-212-5 - 202122.ead-19118.01
	Teste
	Teste Final (N2)
	Iniciado
	15/11/21 11:22
	Enviado
	15/11/21 13:04
	Status
	Completada
	Resultado da tentativa
	8 em 10 pontos  
	Tempo decorrido
	1 hora, 42 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	“Gestão de riscos é o processo de organizar e planejar recursos humanos e materiais de uma empresa de forma a reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos acidentais direcionando o tratamento aos riscos que possam causar danos ao projeto, às pessoas, ao meio ambiente e à imagem da empresa. O principal objetivo da Gestão de Riscos é avaliar as incertezas de forma a tomar a melhor decisão possível”.
PINTAN, J. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 29 nov. 2011. Disponível em: https://www.tiespecialistas.com.br/o-principal-objetivo-da-gestao-de-riscos-e-avaliar-as-incertezas-do-projeto/. Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a gestão de riscos.
I. Os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela.
PORQUE
II. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	
	
		Resposta Selecionada:
	 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	Comentário da resposta:
	Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. De fato, os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível. A gestão de riscos deve estar baseada em ações coordenadas, previamente planejadas.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	A gestão de riscos inclui ações coordenadas que direcionam e controlam uma empresa em relação aos riscos (ABNT, 2006). Suas atividades componentes são:  definição dos objetivos; identificação dos riscos; análise dos riscos; planejamento e tratamento do risco; implantação do controle do risco; e avaliação e revisão dos riscos.
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
 
Em relação à gestão de riscos, analise as afirmações a seguir.
 
I - Os riscos, na etapa de definição dos objetivos, são mapeados para que as falhas sejam identificadas e não ocorram novamente em determinado período.
II - As potenciais ameaças da empresa e o nível de impacto de cada risco são avaliados na etapa de avaliação e revisão dos riscos.
III - A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa, e todos os envolvidos devem estar empenhados para o sucesso da atividade.
IV - O planejamento do tratamento de risco elimina, reduz, imobiliza e transfere o risco para ser gerenciado por uma empresa terceirizada.
Agora, assinale a alternativa que apresenta a resposta correta.
	
	
	
	
		Resposta Selecionada:
	 
Apenas as afirmativas III e IV estão corretas.
	Resposta Correta:
	 
Apenas as afirmativas III e IV estão corretas.
	Comentário da resposta:
	Resposta correta. Apenas as afirmativas III e IV estão corretas. A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa e todos os envolvidos devem estar empenhados para o sucesso da atividade. Com relação ao planejamento do tratamento de risco, podem ser várias as ações: eliminar, reduzir, imobilizar e transferir o risco para ser gerenciado por uma empresa terceirizada.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações.
Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que consiste a confiabilidade, integridade e disponibilidade das informações.
	
	
	
	
		Resposta Selecionada:
	 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	Resposta Correta:
	 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	Comentário da resposta:
	Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software
não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	O plano de recuperação de desastres é um documento que descreve as etapas a serem realizadas em caso de problemas de infraestrutura, catástrofes naturais ou ataques cibernéticos.
Em relação aos conceitos sobre o plano de recuperação de desastres, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
O plano de recuperação de desastres deverá conter, de forma sistematizada, as ações de contingência que deverão ser executadas pelas equipes envolvidas, de acordo com as suas atribuições.
	Resposta Correta:
	 
O plano de recuperação de desastres deverá conter, de forma sistematizada, as ações de contingência que deverão ser executadas pelas equipes envolvidas, de acordo com as suas atribuições.
	Comentário da resposta:
	Resposta correta. O plano de recuperação de desastres deverá conter, de forma sistematizada, as ações de contingência que deverão ser executadas pelas equipes envolvidas, de acordo com as suas atribuições.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Na definição do escopo, uma das atividades que compõe a etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a definição de quem serão as pessoas e quais serão os setores e os processos da empresa beneficiados com a implantação do SGSI.
Em relação às informações sobre a definição do escopo do SGSI, analise as afirmações a seguir.
I - A definição do escopo garante uma melhor compreensão do contexto geral de uma empresa, além de priorizar os setores que serão atendidos com a implantação do SGSI.
II - A redução do escopo para reduzir riscos é feita por muitas empresas e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança.
III - A normaISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI.
IV - A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
Agora, assinale a alternativa que apresenta a resposta correta
	
	
	
	
		Resposta Selecionada:
	 
Todas as alternativas estão corretas.
	Resposta Correta:
	 
Todas as alternativas estão corretas.
	Comentário da resposta:
	Resposta correta. Todas as alternativas estão corretas, já que a definição do escopo garante melhor compreensão do contexto geral de uma organização, além do priorizar os setores que serão atendidos com a implantação do SGSI. Para reduzir custos, muitas empresas reduzem o escopo e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança. A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI. A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	A etapa de implementação do Sistema de Gestão de Segurança da Informação (SGSI) consiste em implantar a política, os procedimentos e os controles de segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa são: a elaboração e implementação de um plano de tratamento de riscos, a implementação dos controles selecionados, o gerenciamento das operações do SGSI, entre outros.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação às informações sobre a etapa de implementação do SGSI, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
	Resposta Correta:
	 
Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
	Comentário da resposta:
	Resposta correta. Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que gerencia a segurança da informação de uma empresa com base na confiabilidade, integridade e disponibilidade das informações e nos riscos de negócio, sendo de responsabilidade da empresa definir quais informações serão protegidas.
Em relação às informações sobre o SGSI, analise as afirmações a seguir.
I -  O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa.
II - A empresa deve estabelecer quais informações serão protegidas e, uma vez feito isso, o SGSI irá qualificar e tratar tais informações. 
III - As informações a serem protegidas, definidas pela empresa, compreendem os processos de negócio que as geram tais informações.
IV - O SGSI garante a preservação das informações geradas, mas não consegue manter 100% da segurança delas na empresa.
Agora, assinale a alternativa que apresenta a resposta correta.
	
	
	
	
		Resposta Selecionada:
	 
Apenas as afirmativas I, II e III estão corretas.
	Resposta Correta:
	 
Apenas as afirmativas I, II e III estão corretas.
	Comentário da resposta:
	Resposta correta. Apenas as afirmativas I, II e III estão corretas. O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. Esta deve estabelecer quais informações serão protegidas e uma vez feito isso, o SGSI irá qualificar e tratá-las. As informações a serem protegidas compreendem os processos de negócio que as geram. O SGSI garante a preservação das informações geradas e mantidas em uma empresa.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	“A política de segurança é um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, ela torna-se inconsistente e vulnerabilidades podem surgir”.
OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível em: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre as políticas de segurança em Sistemas de Gestão de Segurança da Informação (SGSI).
I. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação.
PORQUE
II. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo.
	
	
	
	
		Resposta Selecionada:
	 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras.
	Comentário da resposta:
	Resposta incorreta. Nesse caso, as asserções I e II são proposições verdadeiras. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo.
A respeito dessas asserções, assinale a alternativa correta.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	A etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) consiste em definir as estratégias que a empresa usará de acordo com a sua política e seus objetivos, conforme a norma NBR ISO/IEC 27001. Os requisitos da etapa são: a definição do escopo e os limites do SGSI; a definição da política do SGSI; a definição da abordagem da análise/avaliação de riscos; a seleção dos objetivos de controle e dos controles para o tratamento de riscos; e a declaração de aplicabilidade.
Em relação às informações sobre a etapa de estabelecimento do SGSI, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
A definição dos acessos aos sites permitidos pela empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são exemplos de seleção dos objetivos de controle e dos controles para o tratamento de riscos.
	Resposta Correta:
	 
A definição de quem serão as pessoas, os setores e os processos da empresa beneficiados com a implantação do SGSI é feita na etapa de definição do escopo e dos limites do SGSI.
	Comentário da resposta:
	Resposta incorreta. A definição dos acessos aos sites permitidos pela empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são exemplos de políticas de segurança da informação. Na declaração de aplicabilidade, estão descritas as medidas de segurança definidas para a empresa. Na definição da abordagem de análise/avaliação de riscos, é descrita qual será a metodologia de análise/avaliação de riscos de acordo com o negócio da empresa. A políticade segurança da informação é um documento de orientação e direcionamentos em relação aos ativos de informação de uma empresa, e é planejada de acordo com as particularidades do negócio.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	“Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI”.
ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a segurança da informação e a política de segurança da informação.
 
I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança.
PORQUE
II. É necessário implantar a política de segurança da informação, considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	
	
		Resposta Selecionada:
	 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	Comentário da resposta:
	Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.  De fato, os softwares
e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. É necessário implantar a política de segurança da informação considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
	
	
	
Segunda-feira, 15 de Novembro de 2021 13h05min16s BRT