Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 1/9 Atividade Objetiva 3 Entrega 23 nov em 23:59 Pontos 1 Perguntas 5 Disponível 10 ago em 0:00 - 23 nov em 23:59 4 meses Limite de tempo Nenhum Tentativas permitidas 2 Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 12 minutos 0,8 de 1 As respostas corretas estarão disponíveis em 24 nov em 0:00. Pontuação desta tentativa: 0,8 de 1 Enviado 22 nov em 23:14 Esta tentativa levou 12 minutos. Importante: Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no final da página. Fazer o teste novamente 0,2 / 0,2 ptsPergunta 1 Leia o texto a seguir: O objetivo principal da ISO 27002 é consolidar princípios e diretrizes para implementar e melhorar a gestão das práticas de segurança de informação (SI) de alguma organização, incluindo também a implementação, gerenciamento de controles e seleção, considerando os possíveis riscos que a empresa pode encontrar. (...) Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas Antes de desenvolver ou implementar os requisitos de segurança dos sistemas de informação, é preciso identificá-los, com o objetivo de https://famonline.instructure.com/courses/16223/quizzes/61684/history?version=1 https://famonline.instructure.com/courses/16223/quizzes/61684/take?user_id=55979 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 2/9 protegê-los e manter a confidencialidade, integridade e autenticidade através de meios criptográficos. Fonte: Boas práticas de segurança: entenda como funciona. RIOTRON. 21/03/2017. Disponível em: https://www.riotron.com.br/boas-praticas-de-seguranca-entenda- como-funciona/. Acesso em: 05 de maio de 2020. Adaptado. Considerando as informações apresentadas, avalie as afirmações a seguir: I - Devem ser definidas as responsabilidades e obrigações de gestores, administradores e usuários para a garantia da segurança dos softwares e respectivas informações por eles processadas e armazenadas. II - Devem ser definidos os requisitos de segurança apenas no momento da aquisição de softwares de terceiros. III - Deve ser responsabilidade exclusiva de terceiros o atendimento de requisitos de segurança de softwares adquiridos. É correto o que se afirma em: II e III, apenas. I, II e III. III, apenas. I e II, apenas. I, apenas. Boa parte das atividades do ambiente de negócios de uma organização se desenvolve por meio de interfaces dos usuários com softwares do ambiente de TI. Daí a relevância do endereçamento de aspectos de aquisição, desenvolvimento e manutenção de sistemas dada pelos controles e códigos de prática da Norma ISO 27002 necessitarem ser planejados e fazerem parte da política de SI e do ciclo de desenvolvimento do software. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 3/9 0,2 / 0,2 ptsPergunta 2 Leia o texto a seguir: Um ponto central vivenciado por muitas áreas de TI é a falta de visibilidade e participação estratégica no negócio. Embora a maioria dos líderes concorde que a tecnologia da informação desempenha um papel importante na competitividade, são poucas as empresas que de fato realizam uma boa gestão desse ativo. Nesse sentido, frameworks como o ITIL® têm ajudado a estruturar melhor os processos da área e a transmitir valor ao negócio. (...) ITIL 4: serviços são um meio de possibilitar a cocriação de valor, facilitando os resultados que os clientes querem alcançar, sem ter que gerenciar custos e riscos específicos. O ITIL também passou a ser estruturado em um Sistema de Valor dos Serviços (SVS), em vez dos tradicionais grupos de processos. Fonte: CORREA, R. M. ITIL 4: confira o que mudou no framework e descubra como criar valor através de serviços de TI. Euax Consulting. Disponível em: https://www.euax.com.br/2018/10/itil-o-que-e-importancia-como-implantar/. Acesso em: 05 de maio de 2020. Considerando as informações apresentadas, assinale a opção correta: Apenas o ITIL (Information Technology Infrastructure Library) faz parte da Governança de TI e consequentemente da de Segurança da Informação. O ITIL (Information Technology Infrastructure Library) é largamente utilizado para gestão de serviços como framework das melhores práticas ainda mais com a versão 4 que possui uma parte específica para Segurança da Informação. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 4/9 O ITIL (Information Technology Infrastructure Library) é o ITSM (Information Technology Service Management) utilizado no mundo todo pela área de TI. O ITIL (Information Technology Infrastructure Library) e o ITSM (Information Technology Service Management) fazem parte da Gestão de serviços da área de TI e da Segurança da Informação. O ITIL (Information Technology Infrastructure Library) e o ITSM (Information Technology Service Management) são frameworks diferentes e utilizados separadamente no mundo todo. ITIL v4 lançado em fevereiro de 2019 tem uma prática específica para Gerenciamento de SI, mas também utiliza várias outras práticas, como por exemplo, o processo de abertura de incidentes. 0,2 / 0,2 ptsPergunta 3 Leia o texto a seguir: A ISO 27001 compete à família da ISO 27000. Esta, por sua vez, está relacionada à normalização dos serviços que envolvem segurança da informação. Assim, ela organiza um modelo de Sistema de Gestão de Segurança da Informação (SGSI) que deve ser adotado de maneira estratégica em cada empresa. Por isso que estar em conformidade com a norma, é possível prevenir riscos e danos. E com a sua implementação, nota-se alguns benefícios como: Redução de custos. Por conta da diminuição de riscos e danos que causam gastos desnecessários. Vantagem no Mercado. Por causa da confiança que passa para os potenciais clientes. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 5/9 Organização da empresa. Ao implementar um bom Sistema de Gestão de Segurança da Informação, há um grande auxílio no crescimento da empresa pelos novos modos de tomadas de decisão. Fonte: ARDUINI, C. Requisitos da ISO 27001. Templum Consultoria. Disponível em: https://certificacaoiso.com.br/requisitos-da-iso-27001/. Acesso em: 05 de maio de 2020. Adaptado. Considerando as informações apresentadas, avalie as afirmações a seguir: I - A norma ABNT NBR ISSO/IEC 270001:2013 estabelece que os envolvidos diretamente devem estar cientes de seus papéis e responsabilidades para exercerem devidamente suas tarefas. II - A norma ABNT NBR ISSO/IEC 270001:2013 é aplicável apenas a determinados setores da economia que não tenham uma área de Segurança da Informação. III - Mesmo sendo um padrão, a norma pode ABNT NBR ISSO/IEC 270001:2013 ser alterada para cada empresa desde que autorizada por uma certificadora. É correto o que se afirma em: II e III, apenas. I, apenas. III, apenas. I e II, apenas. I, II e III. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 6/9 A norma ABNT NBR ISO/IEC 27001:2013 sobre Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos é o padrão e a referência Internacional para a GSI (Gestão da Segurança da informação). Tem como princípio geral o uso pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente o risco da organização. 0 / 0,2 ptsPergunta4IncorretaIncorreta Leia o texto a seguir: A NBR ISO/IEC 27002:2005 orienta as organizações a elaborarem uma Política de Segurança da Informação, que, por sua vez, deve orientar na criação de normas mais específicas e procedimentos para o tratamento seguro das informações e de outros ativos organizacionais que processam ou armazenam informações. Ajuda também na identificação e classificação das informações e dos outros ativos relacionados quanto à sua importância para a instituição, quanto ao risco de perda e de divulgação indevida. A norma sugere uma série de controles para proteção desses ativos e informações, como a análise crítica e manutenção da própria Política de Segurança da Informação, a atribuição de responsabilidades relativas à segurança da informação, a elaboração de contratos e acordos de confidencialidade entre instituições prevendo a preservação da segurança da informação, a execução de inventários de ativos, a contratação de mão de obra e os controles de acesso físico às dependências da organização. Fonte: ALBUQUERQUE JR, A.E. & SANTOS, E. M. Controles e Práticas de Segurança da Informação em um Instituto de Pesquisa Federal. VIII Simpósio de Excelência em gestão e Tecnologia. p. 4. Disponível em: https://www.aedb.br/seget/arquivos/artigos11/3414310.pdf. Acesso em: 26 abr. 2020. A segurança da informação é inversamente proporcional à facilidade dos procedimentos operacionais. Quanto mais segurança, menos facilidade. Quanto mais facilidade, menos segurança. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 7/9 Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A implantação dos controles de segurança da informação gera uma maior quantidade de atividades para a organização. PORQUE II - Os procedimentos operacionais da organização terão menos facilidade para a sua execução quando são implantados controles de segurança. A respeito dessas asserções, assinale a opção correta: As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 8/9 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A segurança da informação exige a implantação de controles. Controles significam ações, atividades e/ou processos. Quando implantamos mais ações, atividades ou processos temos a exigência de mais tempo e mais esforço para realizar a mesma tarefa. Se acessarmos um sistema sem controle de acesso de autenticação por senha, este acesso será mais rápido. Porém, se colocarmos uma autenticação por senha, teremos mais um tempo para a digitação da senha, além do esforço do usuário de decorar a senha e outros procedimentos. A asserção II é uma consequência da I, e não uma justificativa. 0,2 / 0,2 ptsPergunta 5 Leia o texto a seguir: Nos últimos anos a área de tecnologias da informação e comunicação (TIC) avançou drasticamente e vem apoiando todo esse crescimento, tornando as organizações por um lado mais dependentes da mesma e por outro viabilizando e acelerando os negócios. Os profissionais de Segurança da Informação precisam ter o conhecimento e estarem aptos a montar, executar e manter planos, um trabalho em equipe e colaborativo para o bem da própria organização. É indispensável manter a disponibilidade e continuidade dos negócios, que significa manter os serviços funcionando, principalmente os mais críticos e prioritários, sem qualquer paralisação ou impacto aos clientes e ao processo em caso de crise. Uma grande preocupação é devido à greve de alguma associação de classe, que consequentemente afeta a TI e assim afeta os processos de negócio. Indique a alternativa correta relacionada ao contexto acima sobre que plano ou ação deveria ser elaborado. Plano estratégico. 22/11/21, 23:15 Atividade Objetiva 3: Estratégias, Governança e Ferramentas para Segurança https://famonline.instructure.com/courses/16223/quizzes/61684 9/9 Plano de auditoria interna e externa. Plano de gerenciamento de projetos. Plano de continuidade. Plano de negócio. O texto refere-se a um Plano de Continuidade que tem o objetivo de descrever as medidas a serem tomadas pela organização o mais rápido possível em momentos de crise ou catástrofes, evitando assim uma paralisação prolongada de suas atividades, que consequentemente possa gerar maiores prejuízos, como grandes perdas de receita, sanções governamentais, problemas jurídicos para os dirigentes, abordagens maliciosas da imprensa, dentre outros. As normativas da ISO 27001, 27002 e 27005 são referências internacionais, pois o conjunto delas é que dá a sustentabilidade para a excelência nos serviços prestados. Pontuação do teste: 0,8 de 1
Compartilhar