a2- GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

● Pergunta 1
O framework COBIT parte da premissa de que não se pode gerenciar o que não se mede.
Assim, ele propõe uma série de objetivos de controle e seus respectivos indicadores de
desempenho. Considera que a TI precisa entregar a informação que a empresa precisa para
alcançar os seus objetivos de negócio.
Dentre as principais características do COBIT relacionadas a seguir, assinale a alternativa que
apresenta características dele.
● Direcionado a controles.
● Foco em serviço.
● Foco em negócio.
● Orientação em controles.
● Base em métricas.
Resposta Selecionada: I, III, IV, V..
Resposta Correta: I, III, IV, V..
Comentário da
resposta:
Resposta correta. O COBIT é focado no
negócio, preocupa-se com requisitos
regulatórios, orientado a processos,
direcionado por métricas e baseado em
controles. Tem como objetivo principal a
governança de TI, aplicando práticas de
controle da informação, planejamento e
monitoramento de resultados.
●
Pergunta 2
● 1 em 1 pontos
●
O COBIT (Control Objectives for Information and related Technology) tem como
objetivo a governança de TI, através da aplicação de práticas de controle da
informação, planejando e monitorando resultados. Porém, serve para dar atenção
ao foco do negócio ao invés de simplesmente verificar os serviços de TI.
Assinale a alternativa que apresenta seus benefícios:
Resposta
Selecionada:
Aumenta a eficiência da Tecnologia da
Informação, melhora a segurança da
informação e cria uma linguagem comum.
Resposta Correta: Aumenta a eficiência da Tecnologia
da Informação, melhora a segurança da
informação e cria uma linguagem
comum.
Comentário da
resposta:
Resposta correta. O COBIT ajuda as
empresas a desenvolver, organizar e
implementar estratégias no que diz respeito
ao gerenciamento de informações e
governança. Aumenta a eficiência da
tecnologia da informação, melhora a
segurança da informação e, otimiza
investimentos em TI.
●
Pergunta 3
● 0 em 1 pontos
●
O malware, programa criado com o intuito de executar ações que causem danos
e atividades maliciosas em um computador é capaz de propagar-se sozinho,
agindo sobre vulnerabilidades ou falhas existentes na configuração de programas
instalados e, que pode ser controlado por acesso remoto pelo hacker é
denominado:
Assinale a alternativa correta.
Resposta Selecionada: Trojan
Resposta Correta: Spyware
Comentário da
resposta:
Sua resposta está incorreta. Pois somente o
spyware tem a característica de passar as
informações a terceiros sem que o usuário
saiba, bem como propagar-se sozinho. O
vírus faz a propagação inserindo cópias dele
mesmo e acaba se tornando parte de outros
programas ou arquivos. O Trojan além de
implementar funções para as quais foi
desenvolvido, também executa outras
funções sem o conhecimento do usuário.
Sniffers inspecionam os dados trafegados em
redes de computadores e verme (worm),
trata-se de um programa independente que
se propaga ou é ativado em sistemas
atacados procurando novos sistemas
acessíveis para atacar.
●
Pergunta 4
● 1 em 1 pontos
●
Um tipo de ataque a uma aplicação Web com base na inclusão de código
malicioso no servidor, neste exemplo, as requisições realizadas pelos usuários
são respondidas utilizando dados não confiáveis. Dentre alguns exemplos de
consequências desse tipo de ataque podem ocorrer: o direcionamento do usuário
a um site malicioso; roubo da sessão de usuário, entre outros.
Diante disso, assinale a alternativa correspondente à vulnerabilidade em questão.
Resposta Selecionada: Cross-Site Scripting.
Resposta Correta: Cross-Site Scripting.
Comentário da
resposta:
Resposta correta. A alternativa está correta,
pois através deste tipo de ataque são
injetados códigos em um campo de texto de
uma página existente e, este será
apresentado a outros usuários. Este script é
utilizado para escapar de controles de acesso
que utilizem uma política de mesma origem e
são capazes de sequestrar os dados de
acesso de usuários e administradores.
●
Pergunta 5
● 1 em 1 pontos
●
A política de segurança da informação deve ser conhecida por todos dentro da
organização. Um ótimo preparo para que os colaboradores estejam informados
dos padrões, critérios e instruções operacionais da política de segurança da
informação, não deixa de ser necessário a divulgação através de:
Assinale a alternativa correta no que diz respeito à divulgação.
Resposta
Selecionada:
Avisos através de e-mail, páginas de
intranet e cartazes.
Resposta Correta: Avisos através de e-mail,
páginas de intranet e cartazes.
Comentário da
resposta:
Resposta correta. A organização deve
realizar os avisos através de e-mail, páginas
da intranet e cartazes espalhados,
apresentando a importância em manter um
ambiente seguro, justificando o porquê de os
funcionários terem que seguir e conhecer a
política de segurança existente na
organização.
●
Pergunta 6
● 1 em 1 pontos
●
Algo muito importante para o sistema de gestão de segurança da informação é
que seja realizado o monitoramento e análise crítica deste. Desta forma, há um
acompanhamento de resultados, implantação de controles e uma análise para
que ocorra sempre a melhoria contínua referente ao processo de gestão de
riscos.
Diante desse monitoramento e análise, a empresa deve:
Resposta
Selecionada:
realizar fases de correções no SGSI,
sem identificar novamente possíveis novos
riscos.
Resposta Correta: realizar fases de correções no
SGSI, sem identificar novamente
possíveis novos riscos.
Comentário da
resposta:
Resposta correta. A alternativa está correta,
pois um SGSI deve identificar os riscos de
um sistema, analisá-los e avaliá-los, bem
como definir contextos, implementar
controles, ações de revisão e, diante dos
resultados, identificar e avaliar opções para
tratamento desses riscos, incluindo a
reaplicação do processo de gestão de riscos
de segurança da informação.
●
Pergunta 7
● 1 em 1 pontos
●
A gerência de riscos faz a avaliação dos riscos da empresa, esta avaliação tem a
finalidade de identificar ameaças e vulnerabilidades em seus ativos. Permite que
sejam identificados riscos e que sejam determinadas ações para que o risco seja
aceitável para a organização.
Esta avaliação de riscos deve ser:
Resposta Selecionada: quantitativa e qualitativa.
Resposta Correta: quantitativa e qualitativa.
Comentário da
resposta:
Resposta correta. A avaliação deve ser feita
de modo qualitativo, fazendo a qualificação
dos riscos e quantitativo em relação a
quantidade de riscos existentes. Dentro da
avaliação de riscos são considerados o valor
estratégico do processo, o nível de criticidade
dos ativos, as ocorrências de eventos de
segurança, o valor que existe no ativo para o
processo e a probabilidade de que ocorram
outros eventos.
●
Pergunta 8
● 0 em 1 pontos
●
Programas de segurança da informação possuem uma série de benefícios para
as empresas que os adotam, entre eles a redução de custos, pois evita
problemas de segurança e se controla melhor caso ocorra um incidente.
Programas de segurança da informação fornecem estrutura para que a
organização tenha um nível de segurança desejado, avalia os riscos que podem
ser enfrentados, abordando de que forma serão mitigados e realiza o
planejamento para que a política e suas práticas atualizadas sejam mantidas.
A partir do que foi apresentado, analise as afirmativas a seguir:
I. Garantia de proteção de ativos da empresa.
II. Identificação e correção de falhas e vulnerabilidades.
III. Gera credibilidade e melhora a imagem da empresa frente aos usuários e
parceiros.
IV. Gera agilidade nos processos.
Está correto o que se afirma em:
Resposta Selecionada: I, II, III e IV apenas.
Resposta Correta: I e II apenas.
Comentário da
resposta:
Sua resposta está incorreta. Pois programas
de segurança da informação (softwares) não
geram credibilidade e nem melhoram a
imagem da empresa frente aos usuários e
parceiros, o que gera essa credibilidade é
uma boa política de segurança da
informação implementada e também não
gera agilidade nos processos.
●
Pergunta 9
● 1 em 1pontos
●
Quando pensamos em um sistema de gestão da segurança da informação,
devem ser consideradas políticas que dizem respeito à supervisão e à gestão na
empresa, onde se tenha a finalidade de concretizar os objetivos da empresa, bem
como priorizar as regras para utilização de recursos tecnológicos..
Assinale a alternativa que constam atribuições decorrentes de uma política de
segurança:
Resposta
Selecionada:
especificar instrumentos e métodos a
serem utilizados na gestão, para planejar,
adotar, supervisionar, implementar, buscando
segurança da informação melhorando tarefas
e atividades.
Resposta
Correta:
especificar instrumentos e métodos
a serem utilizados na gestão, para
planejar, adotar, supervisionar,
implementar, buscando segurança da
informação melhorando tarefas e
atividades.
Comentário da
resposta:
Resposta correta. A alternativa está correta,
pois a política de segurança da informação
da empresa, que deve ter conceitos de
segurança da informação, uma estrutura que
estabeleça objetivos e as maneiras de
controle, o comprometimento da direção com
a política, entre tantos outros fatores.
●
Pergunta 10
● 1 em 1 pontos
●
A TI da empresa ficou responsável por entregar um sistema de Controle de
Ponto em 10/01/2020, este depende dos requisitos que serão coletados no RH,
ou seja, Recursos Humanos. Diante de grande volume de trabalho, o
departamento de RH pode ou não ter número de pessoas suficientes que
possam fornecer as informações para o desenvolvimento do sistema. Dúvidas
relacionadas ao fornecimento de informações mostram que, o departamento de
RH pode não conceder informações necessárias em tempo hábil para o
desenvolvimento e entrega do sistema. Em uma declaração de riscos deve
constar, o evento de risco, causas e impactos nos objetivos.
Assim, é correto afirmar que, a partir da situação apresentada o evento de risco
é:
Resposta
Selecionada:
RH poderá ou não entregar a tempo
os requisitos para o desenvolvimento do
sistema.
Resposta Correta: RH poderá ou não entregar a
tempo os requisitos para o
desenvolvimento do sistema.
Comentário da
resposta:
Resposta correta. A alternativa está
correta, pois é correto afirmar este evento
de risco, pois devem ser apresentados os
eventos de riscos que podem influenciar
na data da entrega do projeto para que os
gestores tomem decisões corretas, o que
significa que o RH poderá ou não entregar
a tempo os requisitos para o
desenvolvimento do sistema.