NOTA 9 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Usuário
	ANÔNIMO
	Curso
	POS0982 SGSI - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO PG1578-212-5 - 202122.ead-19118.01
	Teste
	Teste Final (N2)
	Iniciado
	15/11/21 13:06
	Enviado
	15/11/21 13:45
	Status
	Completada
	Resultado da tentativa
	9 em 10 pontos  
	Tempo decorrido
	38 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), conforme apresentado na figura a seguir.
Figura 1 - Modelo PDCA aplicado aos processos do SGSI
Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação aos processos do SGSI e suas características, analise as afirmações a seguir.
I - A performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI são medidos e avaliados na etapa de monitoramento e análise crítica.
II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI.
III - A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos.
IV - A segurança da informação está diretamente relacionada aos objetivos da empresa na etapa de estabelecimento do SGSI.
V - Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica.
Assinale a alternativa que apresenta a resposta correta.
	
	
	
	
		Resposta Selecionada:
	 
As afirmativas I, II, III, IV e V estão corretas.
	Resposta Correta:
	 
As afirmativas I, II, III, IV e V estão corretas.
	Comentário da resposta:
	Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa de monitoramento e análise crítica, é medida e avaliada a performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. Na etapa de estabelecimento do SGSI, a segurança da informação está diretamente relacionada aos objetivos da empresa. Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	“A política de segurança é um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. Sem regras pré-estabelecidas, ela torna-se inconsistente e vulnerabilidades podem surgir”.
OLIVEIRA, P. C. Política de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Profissionais TI , [ s.l. ], 5 jun. 2013. Disponível em: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre as políticas de segurança em Sistemas de Gestão de Segurança da Informação (SGSI).
I. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação.
PORQUE
II. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo.
	
	
	
	
		Resposta Selecionada:
	 
As asserções I e II são proposições verdadeiras.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras.
	Comentário da resposta:
	Resposta correta. As asserções I e II são proposições verdadeiras. É necessário que a política de segurança da informação tenha um responsável que faça a gestão do desenvolvimento, da análise crítica e da avaliação. Para que ocorra a quebra de paradigmas em relação à política de segurança da informação, é importante que os colaboradores da empresa entendam a importância desse assunto. A companhia deve fornecer treinamento aos funcionários e elaborar guias rápidos para consulta, por exemplo.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Na definição do escopo, uma das atividades que compõe a etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a definição de quem serão as pessoas e quais serão os setores e os processos da empresa beneficiados com a implantação do SGSI.
Em relação às informações sobre a definição do escopo do SGSI, analise as afirmações a seguir.
I - A definição do escopo garante uma melhor compreensão do contexto geral de uma empresa, além de priorizar os setores que serão atendidos com a implantação do SGSI.
II - A redução do escopo para reduzir riscos é feita por muitas empresas e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança.
III - A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI.
IV - A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
Agora, assinale a alternativa que apresenta a resposta correta
	
	
	
	
		Resposta Selecionada:
	 
Todas as alternativas estão corretas.
	Resposta Correta:
	 
Todas as alternativas estão corretas.
	Comentário da resposta:
	Resposta correta. Todas as alternativas estão corretas, já que a definição do escopo garante melhor compreensão do contexto geral de uma organização, além do priorizar os setores que serão atendidos com a implantação do SGSI. Para reduzir custos, muitas empresas reduzem o escopo e, com isso, podem acontecer problemas, como diferentes setores na companhia não seguirem um padrão de segurança. A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI. A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Os riscos são ameaças ou vulnerabilidades internas ou externas que geram incertezas nos negócios de uma empresa. Uma ameaça é um agente ou uma condição que gera um incidente de segurança da informação, como programas maliciosos (vírus), por exemplo. Já a vulnerabilidade inclui as falhas que podem acontecer nas informações, no hardware ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades nestes, como um sistema de antivírus desatualizado. Para evitar incertezas e prejuízos aos negócios, as empresas devem saber gerenciar os riscos.
Em relação às atividades da gestão de riscos e suas características, analise as afirmações a seguir.
I - As pessoas envolvidas devem estar empenhadas para o sucesso da atividade, a fim de aplicar o que foi planejado na implantação do controle de risco.
II - Os backups dos dados são realizados na etapa de planejamento do tratamento do risco, observando o risco e o imobilizando.
III - A identificação do risco verifica as falhas que ocorreram em determinado período.
IV - A análise do risco avalia o nível de impacto de cada risco e as potenciais ameaças da empresa.
V - Ao se definir os objetivos, os custos dos processos ou as vulnerabilidades do sistema, por exemplo,são definidos para serem gerenciados.
 Assinale a alternativa que apresenta a resposta correta.
	
	
	
	
		Resposta Selecionada:
	 
As afirmativas I, II, III, IV e V estão corretas.
	Resposta Correta:
	 
As afirmativas I, II, III, IV e V estão corretas.
	Comentário da resposta:
	Resposta correta. As afirmativas I, II, III, IV e V estão corretas. As pessoas envolvidas devem estar empenhadas para o sucesso da atividade, a fim de aplicar o que foi planejado na implantação do controle de risco. Os backups dos dados são realizados na etapa de planejamento do tratamento do risco, observando o risco e o imobilizando. A identificação do risco verifica as falhas que ocorreram em determinado período. A análise do risco avalia o nível de impacto de cada risco e as potenciais ameaças da empresa. Ao definir os objetivos, os custos dos processos ou as vulnerabilidades do sistema são definidos para serem gerenciados, por exemplo.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	“O usuário é a porta de entrada para um ciberataque em massa’, afirmou Robert Freeman, vice-presidente da FireEye , uma companhia americana de cibersegurança voltada à proteção de grandes empresas. Mas por que um hacker invadiria o computador de uma pessoa comum? Segundo especialistas, eles são garantia de acesso fácil. É dessa forma que a maioria dos cibercriminosos invade um sistema e rouba informações de usuários, junto com suas senhas de acesso para e-mails, sistemas de empresas, etc. De acordo com a FireEye,
em 2015, os três setores mais visados por ataques hacker da economia foram: financeiro e negócios (28% dos ataques., hospitais e saúde (22%) e empresas com alto desenvolvimento tecnológico (10%)”.
MONTEIRO, C. Usuários comuns são porta de entrada para ciberataques em massa. Veja , [ s. l. ], 8 jun. 2017. Disponível em: https://veja.abril.com.br/tecnologia/usuarios-comuns-sao-porta-de-entrada-para-ciberataques-em-massa/ . Acesso em: 01 out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação.
I. A maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas.
PORQUE
II. É necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos, para que as empresas estejam protegidas contra essas ações.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	
	
		Resposta Selecionada:
	 
As asserções I e II são proposições verdadeiras.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras.
	Comentário da resposta:
	Resposta correta. As asserções I e II são proposições verdadeiras. De fato, a maioria das fraudes que, antes, eram facilmente detectadas por sistemas de segurança, como antivírus, tornaram-se mais difíceis de serem identificadas. Para que as empresas estejam protegidas contra essas ações, é necessário implementar uma cultura de cibersegurança nacional para proteger os ataques e punir os criminosos.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações.
Nesse sentido, assinale a alternativa que apresenta, de forma correta, no que consiste a confiabilidade, integridade e disponibilidade das informações.
	
	
	
	
		Resposta Selecionada:
	 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	Resposta Correta:
	 
a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware
e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	Comentário da resposta:
	Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software
não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	“As vantagens dos hackers não são as falhas de um computador ou de um aplicativo móvel, mas as ferramentas que os permitem enganar as pessoas. Nos últimos anos, muitos ataques passaram a envolver componentes de engenharia social, que tentam persuadir um indivíduo a realizar uma ação que cause uma infecção ou a divulgação de informações valiosas. Durante um ataque de engenharia social, a vítima não tem discernimento de que suas ações são perigosas, o criminoso explora a ingenuidade do alvo, em vez de alguma propensão criminosa.
As técnicas usadas buscam coletar informações sobre o alvo, como seus hobbies, local de trabalho ou banco, por exemplo. Com essas informações os criminosos criam um enredo bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação, o que pode ser o anúncio de um prêmio, uma promoção de uma loja conhecida ou algum prestador de serviço, órgão oficial ou autoridade solicitando informações pessoais”.
HYPPOLITO, T. O maior problema da segurança da informação somos nós. Canaltech , [ s. l. ], 31 mar. 2015. Disponível em: https://canaltech.com.br/seguranca/O-maior-problema-da-seguranca-da-informacao-somos-nos/ . Acesso em: 01 out. 2020.
Considerando o contexto apresentado, avalie as seguintes asserções sobre segurança da informação.
I. Para proteger-se de ataques cibercriminosos, é preciso tomar algumas medidas, como usar uma solução de segurança capaz de identificar ameaças em e-mails e sites , manter softwares e sistemas operacionais sempre atualizados e nunca abrir links de e-mails incomuns, especialmente os que contêm erros gramaticais, mensagens suspeitas e ameaças injustificadas.
PORQUE
II. Limitar as informações publicadas na internet e checar o grau de privacidade de suas redes sociais é outra opção de segurança, uma vez que os criminosos podem usar essas informações contra você nos ataques de engenharia social.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	
	
		Resposta Selecionada:
	 
As asserções I e II são proposições verdadeiras.
	Resposta Correta:
	 
As asserções I e II são proposições verdadeiras.
	Comentário da resposta:
	Resposta correta. As asserções I e II são proposições verdadeiras. De fato, para proteger-se de ataques cibercriminosos, é preciso tomar algumas medidas, como usar uma solução de segurança capaz de identificar ameaças em e-mails e sites, manter softwares e sistemas operacionais sempre atualizados e nunca abrir links de e-mails
incomuns, especialmente os que contêm erros gramaticais, mensagens suspeitas e ameaças injustificadas. Limitar as informações publicadas na internet e checar o grau de privacidade de suas redes sociais é outra opção de segurança, uma vez que os criminosos podem usar essas informações contra você nos ataques de engenharia social.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	A companhia Prov Service NET é uma prestadora de serviços de banda larga que atua como provedor de internet para pequenas empresas de cidades do interior. Sua missão é prestar um serviço de internet com qualidade, alinhado aos objetivos estratégicos de negócios de seus clientes. A empresa ainda não possui um Sistema de Gestão de Segurança da Informação (SGSI) e desejarealizar a implementação para garantir a segurança, confiabilidade, integridade e disponibilidade das informações nas transações on-line de seus consumidores.
Em relação às etapas necessárias para implantar o SGSI na empresa Prov Service NET, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
	Resposta Correta:
	 
As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
	Comentário da resposta:
	Resposta correta. As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	A etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) consiste em definir as estratégias que a empresa usará de acordo com a sua política e seus objetivos, conforme a norma NBR ISO/IEC 27001. Os requisitos da etapa são: a definição do escopo e os limites do SGSI; a definição da política do SGSI; a definição da abordagem da análise/avaliação de riscos; a seleção dos objetivos de controle e dos controles para o tratamento de riscos; e a declaração de aplicabilidade.
Em relação às informações sobre a etapa de estabelecimento do SGSI, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
A definição dos acessos aos sites permitidos pela empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são exemplos de seleção dos objetivos de controle e dos controles para o tratamento de riscos.
	Resposta Correta:
	 
A definição de quem serão as pessoas, os setores e os processos da empresa beneficiados com a implantação do SGSI é feita na etapa de definição do escopo e dos limites do SGSI.
	Comentário da resposta:
	Resposta incorreta. A definição dos acessos aos sites permitidos pela empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são exemplos de políticas de segurança da informação. Na declaração de aplicabilidade, estão descritas as medidas de segurança definidas para a empresa. Na definição da abordagem de análise/avaliação de riscos, é descrita qual será a metodologia de análise/avaliação de riscos de acordo com o negócio da empresa. A política de segurança da informação é um documento de orientação e direcionamentos em relação aos ativos de informação de uma empresa, e é planejada de acordo com as particularidades do negócio.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	De acordo com a norma NBR ISO/IEC 27001, a direção deve analisar criticamente o SGSI da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Nesse sentido, a análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política e os objetivos de segurança da informação.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Os resultados dessas análises críticas devem:
	
	
	
	
		Resposta Selecionada:
	 
ser claramente documentados e os registros devem ser mantidos.
	Resposta Correta:
	 
ser claramente documentados e os registros devem ser mantidos.
	Comentário da resposta:
	Resposta correta. Os resultados dessas análises críticas devem ser claramente documentados, e os registros devem ser mantidos.
	
	
	
Segunda-feira, 15 de Novembro de 2021 13h46min10s BRT