Atividade Objetiva 3_ Estratégias, Governança e Ferramentas para Segurança

Prévia do material em texto

22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 1/9
Atividade Objetiva 3
Entrega 23 nov em 23:59 Pontos 1 Perguntas 5
Disponível 10 ago em 0:00 - 23 nov em 23:59 4 meses
Limite de tempo Nenhum Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 12 minutos 0,8 de 1
 As respostas corretas estarão disponíveis em 24 nov em 0:00.
Pontuação desta tentativa: 0,8 de 1
Enviado 22 nov em 23:14
Esta tentativa levou 12 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Fazer o teste novamente
0,2 / 0,2 ptsPergunta 1
Leia o texto a seguir:
O objetivo principal da ISO 27002 é consolidar princípios e diretrizes
para implementar e melhorar a gestão das práticas de segurança de
informação (SI) de alguma organização, incluindo também a
implementação, gerenciamento de controles e seleção, considerando
os possíveis riscos que a empresa pode encontrar. 
(...) 
Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas 
Antes de desenvolver ou implementar os requisitos de segurança dos
sistemas de informação, é preciso identificá-los, com o objetivo de
https://famonline.instructure.com/courses/16223/quizzes/61684/history?version=1
https://famonline.instructure.com/courses/16223/quizzes/61684/take?user_id=55979
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 2/9
protegê-los e manter a confidencialidade, integridade e autenticidade
através de meios criptográficos.
Fonte: Boas práticas de segurança: entenda como funciona. RIOTRON. 21/03/2017.
Disponível em: https://www.riotron.com.br/boas-praticas-de-seguranca-entenda-
como-funciona/. Acesso em: 05 de maio de 2020. Adaptado.
Considerando as informações apresentadas, avalie as afirmações a
seguir:
I - Devem ser definidas as responsabilidades e obrigações de
gestores, administradores e usuários para a garantia da
segurança dos softwares e respectivas informações por eles
processadas e armazenadas.
II - Devem ser definidos os requisitos de segurança apenas no
momento da aquisição de softwares de terceiros.
III - Deve ser responsabilidade exclusiva de terceiros o
atendimento de requisitos de segurança de softwares adquiridos.
É correto o que se afirma em:
 II e III, apenas. 
 I, II e III. 
 III, apenas. 
 I e II, apenas. 
 I, apenas. 
Boa parte das atividades do ambiente de negócios de uma
organização se desenvolve por meio de interfaces dos usuários
com softwares do ambiente de TI. Daí a relevância do
endereçamento de aspectos de aquisição, desenvolvimento e
manutenção de sistemas dada pelos controles e códigos de
prática da Norma ISO 27002 necessitarem ser planejados e
fazerem parte da política de SI e do ciclo de desenvolvimento
do software.
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 3/9
0,2 / 0,2 ptsPergunta 2
Leia o texto a seguir:
Um ponto central vivenciado por muitas áreas de TI é a falta de
visibilidade e participação estratégica no negócio. Embora a maioria
dos líderes concorde que a tecnologia da informação desempenha um
papel importante na competitividade, são poucas as empresas que de
fato realizam uma boa gestão desse ativo. Nesse sentido, frameworks
como o ITIL® têm ajudado a estruturar melhor os processos da área e
a transmitir valor ao negócio. 
(...) 
ITIL 4: serviços são um meio de possibilitar a cocriação de valor,
facilitando os resultados que os clientes querem alcançar, sem ter que
gerenciar custos e riscos específicos. 
O ITIL também passou a ser estruturado em um Sistema de Valor dos
Serviços (SVS), em vez dos tradicionais grupos de processos.
Fonte: CORREA, R. M. ITIL 4: confira o que mudou no framework e descubra como
criar valor através de serviços de TI. Euax Consulting. Disponível em:
https://www.euax.com.br/2018/10/itil-o-que-e-importancia-como-implantar/. Acesso
em: 05 de maio de 2020.
Considerando as informações apresentadas, assinale a opção
correta:
 
Apenas o ITIL (Information Technology Infrastructure Library) faz parte
da Governança de TI e consequentemente da de Segurança da
Informação.
 
O ITIL (Information Technology Infrastructure Library) é largamente
utilizado para gestão de serviços como framework das melhores
práticas ainda mais com a versão 4 que possui uma parte específica
para Segurança da Informação.
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 4/9
 
O ITIL (Information Technology Infrastructure Library) é o ITSM
(Information Technology Service Management) utilizado no mundo todo
pela área de TI.
 
O ITIL (Information Technology Infrastructure Library) e o ITSM
(Information Technology Service Management) fazem parte da Gestão
de serviços da área de TI e da Segurança da Informação.
 
O ITIL (Information Technology Infrastructure Library) e o ITSM
(Information Technology Service Management) são frameworks
diferentes e utilizados separadamente no mundo todo.
ITIL v4 lançado em fevereiro de 2019 tem uma prática
específica para Gerenciamento de SI, mas também utiliza
várias outras práticas, como por exemplo, o processo de
abertura de incidentes.
0,2 / 0,2 ptsPergunta 3
Leia o texto a seguir:
A ISO 27001 compete à família da ISO 27000. Esta, por sua vez, está
relacionada à normalização dos serviços que envolvem segurança da
informação. 
Assim, ela organiza um modelo de Sistema de Gestão de Segurança
da Informação (SGSI) que deve ser adotado de maneira estratégica
em cada empresa. Por isso que estar em conformidade com a norma,
é possível prevenir riscos e danos. 
E com a sua implementação, nota-se alguns benefícios como: 
Redução de custos. Por conta da diminuição de riscos e danos que
causam gastos desnecessários. 
Vantagem no Mercado. Por causa da confiança que passa para os
potenciais clientes. 
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 5/9
Organização da empresa. Ao implementar um bom Sistema de Gestão
de Segurança da Informação, há um grande auxílio no crescimento da
empresa pelos novos modos de tomadas de decisão.
Fonte: ARDUINI, C. Requisitos da ISO 27001. Templum Consultoria. Disponível em:
https://certificacaoiso.com.br/requisitos-da-iso-27001/. Acesso em: 05 de maio de
2020. Adaptado.
Considerando as informações apresentadas, avalie as afirmações a
seguir:
I - A norma ABNT NBR ISSO/IEC 270001:2013 estabelece que
os envolvidos diretamente devem estar cientes de seus papéis e
responsabilidades para exercerem devidamente suas tarefas.
II - A norma ABNT NBR ISSO/IEC 270001:2013 é aplicável
apenas a determinados setores da economia que não tenham
uma área de Segurança da Informação.
III - Mesmo sendo um padrão, a norma pode ABNT NBR
ISSO/IEC 270001:2013 ser alterada para cada empresa desde
que autorizada por uma certificadora.
É correto o que se afirma em:
 II e III, apenas. 
 I, apenas. 
 III, apenas. 
 I e II, apenas. 
 I, II e III. 
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 6/9
A norma ABNT NBR ISO/IEC 27001:2013 sobre Tecnologia da
informação — Técnicas de segurança — Sistemas de gestão
da segurança da informação — Requisitos é o padrão e a
referência Internacional para a GSI (Gestão da Segurança da
informação). Tem como princípio geral o uso pela organização
de um conjunto de requisitos, processos e controles com o
objetivo de mitigarem e gerirem adequadamente o risco da
organização.
0 / 0,2 ptsPergunta4IncorretaIncorreta
Leia o texto a seguir:
A NBR ISO/IEC 27002:2005 orienta as organizações a elaborarem
uma Política de Segurança da Informação, que, por sua vez, deve
orientar na criação de normas mais específicas e procedimentos para
o tratamento seguro das informações e de outros ativos
organizacionais que processam ou armazenam informações. Ajuda
também na identificação e classificação das informações e dos outros
ativos relacionados quanto à sua importância para a instituição, quanto
ao risco de perda e de divulgação indevida. A norma sugere uma série
de controles para proteção desses ativos e informações, como a
análise crítica e manutenção da própria Política de Segurança da
Informação, a atribuição de responsabilidades relativas à segurança da
informação, a elaboração de contratos e acordos de confidencialidade
entre instituições prevendo a preservação da segurança da
informação, a execução de inventários de ativos, a contratação de mão
de obra e os controles de acesso físico às dependências da
organização.
Fonte: ALBUQUERQUE JR, A.E. & SANTOS, E. M. Controles e Práticas de
Segurança da Informação em um Instituto de Pesquisa Federal. VIII Simpósio de
Excelência em gestão e Tecnologia. p. 4. Disponível em:
https://www.aedb.br/seget/arquivos/artigos11/3414310.pdf. Acesso em: 26 abr. 2020.
A segurança da informação é inversamente proporcional à facilidade
dos procedimentos operacionais. Quanto mais segurança, menos
facilidade. Quanto mais facilidade, menos segurança. 
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 7/9
Considerando esse contexto, avalie as seguintes asserções e a
relação proposta entre elas.
I - A implantação dos controles de segurança da informação gera
uma maior quantidade de atividades para a organização.
PORQUE
II - Os procedimentos operacionais da organização terão menos
facilidade para a sua execução quando são implantados
controles de segurança.
A respeito dessas asserções, assinale a opção correta:
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
A asserção I é uma proposição verdadeira, e a II é uma proposição
falsa.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 
A asserção I é uma proposição falsa, e a II é uma proposição
verdadeira.
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 8/9
As asserções I e II são proposições verdadeiras, mas a II não é
uma justificativa da I.
A segurança da informação exige a implantação de controles.
Controles significam ações, atividades e/ou processos. Quando
implantamos mais ações, atividades ou processos temos a
exigência de mais tempo e mais esforço para realizar a mesma
tarefa. Se acessarmos um sistema sem controle de acesso de
autenticação por senha, este acesso será mais rápido. Porém,
se colocarmos uma autenticação por senha, teremos mais um
tempo para a digitação da senha, além do esforço do usuário
de decorar a senha e outros procedimentos. A asserção II é
uma consequência da I, e não uma justificativa.
0,2 / 0,2 ptsPergunta 5
Leia o texto a seguir:
Nos últimos anos a área de tecnologias da informação e comunicação
(TIC) avançou drasticamente e vem apoiando todo esse crescimento,
tornando as organizações por um lado mais dependentes da mesma e
por outro viabilizando e acelerando os negócios. 
Os profissionais de Segurança da Informação precisam ter o
conhecimento e estarem aptos a montar, executar e manter planos, um
trabalho em equipe e colaborativo para o bem da própria organização. 
É indispensável manter a disponibilidade e continuidade dos negócios,
que significa manter os serviços funcionando, principalmente os mais
críticos e prioritários, sem qualquer paralisação ou impacto aos
clientes e ao processo em caso de crise. 
Uma grande preocupação é devido à greve de alguma associação de
classe, que consequentemente afeta a TI e assim afeta os processos
de negócio.
Indique a alternativa correta relacionada ao contexto acima sobre
que plano ou ação deveria ser elaborado.
 Plano estratégico. 
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança
https://famonline.instructure.com/courses/16223/quizzes/61684 9/9
 Plano de auditoria interna e externa. 
 Plano de gerenciamento de projetos. 
 Plano de continuidade. 
 Plano de negócio. 
O texto refere-se a um Plano de Continuidade que tem o
objetivo de descrever as medidas a serem tomadas pela
organização o mais rápido possível em momentos de crise ou
catástrofes, evitando assim uma paralisação prolongada de
suas atividades, que consequentemente possa gerar maiores
prejuízos, como grandes perdas de receita, sanções
governamentais, problemas jurídicos para os dirigentes,
abordagens maliciosas da imprensa, dentre outros.
As normativas da ISO 27001, 27002 e 27005 são referências
internacionais, pois o conjunto delas é que dá a
sustentabilidade para a excelência nos serviços prestados.
Pontuação do teste: 0,8 de 1