Políticas de segurança e classificação da informação

Prévia do material em texto

A primeira __________ foi promulgada por meio do ____________ de 13 de junho de _________ pelo presidente Fernando Henrique Cardoso, que instituiu a Política de Segurança da Informação _____________ da Administração Pública Federal no Brasil.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
· Estrutura; Decreto nº 9.637, 2000, nos órgãos.
· Classificação; Decreto nº 2.910; 1998; nos ministérios.
· PSI; Decreto nº 3.505; 2000; nos órgãos e entidades. CORRETO
· Lei; direito; 1991; nos ministérios.
· Lei nº 8.159; ; Decreto; 2012; nas entidades.
Resolução comentada: a primeira política de segurança da informação foi promulgada pelo presidente Fernando Henrique Cardoso por meio do Decreto nº 3.505 em 13 de junho de 2000, que instituiu a política de segurança da informação nos órgãos e entidades da Administração Pública Federal do Brasil.
Código da questão: 58758
2) Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança da Informação – CERT.br, o Brasil, no ano de 2019, teve 875.327 incidentes de segurança da informação. Entre estes, 46,81 foram incidentes por ________; 34,42% por ________; 11,48% por ________; 4,5% por ________; 2,55% por ________; e 0,06% por ________.
Assinale uma alternativa correta:
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
· Invasão; fraude; DoS, web; worm; scan.
· Fraude; worm, DoS, web; scan; invasão.
· Invasão; DoS, web; worm; scan; fraude.
· Scan; DoS; worm; fraude; web; invasão. CORRETO
· Scan; DoS; fraude; worm; invasão; web.
Resolução comentada: Scan apresenta o maior número de incidentes, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador, indicando, neste sentido, que as organizações têm política de segurança da informação com controles fracos. Na sequência, seguem as fraudes: DoS, worm, fraude, web e invasão.
Código da questão: 58720
3) Em uma política de segurança da informação no nível operacional é onde são criados(as):
Alternativas:
· Procedimentos e instruções. CORRETO
· Políticas.
· Normas.
· Normas e regras.
· Regras.
Resolução comentada: no nível operacional são descritos na política quais as instruções ou procedimentos que o usuário técnico tem que realizar para poder acessar informações do ambiente de tecnologia da organização.
Código da questão: 58724
4) Sobre política de segurança da informação, com base na Norma ISO/IEC 27.002:2013, podemos afirmar que:
I. Como diretrizes para implementação, é indicado que, no mais alto nível, a organização defina uma política de segurança da informação que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.
II. É indicado que as políticas de segurança da informação contemplem requisitos oriundos da estratégia do negócio; de regulamentações, legislação e contratos; e do ambiente de ameaça da segurança da informação, atual e futuro.
III. Não é indicado que seja obtida a aprovação da direção para a política revisada.
IV. É indicado que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação.
V. É indicado que estas políticas sejam comunicadas aos funcionários e partes externas relevantes, de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes.
São verdadeiras:
Alternativas:
· III – IV – V.
· I – II – IV.
· II – III – IV – V.
· I – II – IV – V. CORRETO
· I – III – IV – V.
Resolução comentada: a afirmação I é verdadeira, pois o alto nível da direção (nível estratégico) que é indicado que defina a política de segurança e seja aprovada pela mesma e não nos outros níveis (níveis tático e operacional); a II é correta, pois deve coletar todos os requisitos indicados para ação atual e futura; e a III é incorreta, pois toda política tem que obter a aprovação da direção. A IV está correta, pois é preciso um gestor que será responsável por todas as responsabilidades da política de segurança; e IV é correta também, pois toda política tem que ser comunicada a todos os funcionários.
Código da questão: 58723
5) Sobre a pesquisa realizada pela Identity Defined Security Alliance (IDSA), aliança que auxilia as empresas mundiais a estabelecer o gerenciamento seguro das identidades, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F):
( ) Organizações reativas trabalham em resolver os problemas de segurança já acontecidos.
( ) Organizações proativas trabalham em prevenir que ocorram os problemas de segurança.
( ) Ataques por violações relacionadas à identidade, chamados de phishing, são tão comuns quanto spyware ou ataques DDoS.
( ) As empresas reativas experimentaram violações sobre o phishing, porém com menos credenciais roubadas.
( ) Treinamento em segurança da informação não ajuda a reduzir o risco de uma violação de dados, chamada de phishing.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
· V – F – V – F – V.
· F – V – F – V – F.
· V – V – V – F – F. CORRETO
· F – F – V – V – F.
· F – F – F – V – V.
Resolução comentada: as empresas proativas experimentam violações sobre o phishing, porém com menos credenciais roubadas, e não empresas reativas.
O treinamento em segurança da informação ajuda a reduzir o risco de uma violação de dados, chamada de phishing, justamente porque os usuários entendem que não podem acessar links desconhecidos de e-mails e sites.
Código da questão: 58770
6) Sobre a utilização de governança de TI, ITIL e Cobit na política de segurança da informação nas organizações, podemos afirmar que:
I. O Cobit tem como foco principal orientar as organizações na implementação, operação e melhoria dos processos de governança e gestão de TI.
II. A biblioteca ITIL proporciona orientações de boas práticas para gestão e execução de serviços de TI, sob a perspectiva da geração de valor ao negócio.
III. Boas práticas de gerenciamento e gestão de TI, por meio de frameworks como Cobit e ITIL, utilizados em consonância com a governança de TI e acoplados à política de segurança da informação, podem trazer controle efetivo de segurança da informação na organização.
IV. A governança de TI objetiva o direcionamento e monitoramento das práticas de gestão e uso da TI em uma organização, em que, alinhadas aos objetivos da organização e utilizadas em concordância com o desenvolvimento da política de segurança da informação, trará eficiência à segurança da informação organizacional.
V. A governança de TI não é um conceito que deve ser utilizado em conjunto com outros frameworks e, também, não é possível alinhá-lo à segurança da informação e, em específico, criar política de segurança da informação contempladas na governança de TI.
Assinale a alternativa que aponta todas as afirmações verdadeiras:
Alternativas:
· II – III – IV.
· I – II – IV.
· I – II – V.
· I – II – III – IV. CORRETO
· II – III – IV – V.
Resolução comentada: a afirmação I é verdadeira, pois o Cobit tem como foco principal orientar as organizações na melhoria dos processos de governança e gestão de TI. A II é verdadeira, pois a biblioteca ITIL proporciona orientações de boas práticas para gestão e execução de serviços de TI. A III também é verdadeira, pois, com certeza, as boas práticas de gerenciamento e gestão de TI do Cobit e ITIL, utilizados em consonância com a governança de TI e acoplados à política de segurança da informação, podem trazer controle efetivo de segurança da informação na organização. A IV é verdadeira também, pois a política de segurança da informação, alinhada às práticas de governança de TI, trará efetividade à segurança da informação. E a V é falsa, pois todos os conceitos de governança de TI e as boas práticas do Cobit e ITIL devem e podem ser alinhados à política de segurança da informação das empresas.
Código da questão: 58733
7) Em qual ano foi promulgado o Decreto nº 9.637, que instituiu a Política Nacional de Segurança da Informação e dispôssobre a governança da segurança da informação, alterando todos os decretos anteriores?
Alternativas:
· 2018. CORRETO
· 1998.
· 2000.
· 1991.
· 2012.
Resolução comentada: em 2018, 18 anos depois do último decreto que instituiu a política de segurança da informação, Decreto nº 3.505, de 13 de junho de 2000, promulgado pelo presidente Fernando Henrique Cardoso.
Código da questão: 58766
8) Sobre o desenvolvimento da política de segurança da informação na organização e em seus níveis organizacionais, podemos afirmar que:
I. A política principal de segurança da informação nos níveis 2 e 3 (tático e operacional, respectivamente) é chamada de diretrizes, normas ou procedimentos.
II. A política principal de segurança da informação – PPSI consiste na política gerada no nível 1 – estratégico somente.
III. A partir do nível 2 – tático e do nível 3 – operacional, as políticas de segurança da informação são chamadas de políticas complementares.
IV. A política principal de segurança da informação não precisa estar alinhada às políticas complementares.
V. O comitê gestor de segurança da informação é o órgão na organização que desenvolverá as políticas de segurança da informação.
São verdadeiras:
Alternativas:
· I – II – III.
· II – IV – V.
· II – III – V. CORRETO
· I – IV – V.
· I – II – IV.
Resolução comentada: a afirmação I é falsa, pois, nos níveis 2 e 3, não pode ser desenvolvida como política principal e sim complementar; já a II é correta, pois a política principal de segurança da informação é desenvolvida no nível 1 (nível estratégico); e a III é correta, pois, nos níveis 2 e 3, a política de segurança da informação é chamada de complementar. A IV está errada, pois a política principal de segurança da informação necessita estar alinhada às políticas complementares e estas necessitam estar alinhadas à política de segurança da informação. E, a V é verdadeira, pois quem desenvolve a política de segurança da informação na organização é o comitê gestor de segurança da informação.
Código da questão: 58773
9) Leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
· I – A; II – B; III – C.
· I – B; II – A; III – C.
· I – C; II – B; III – A.
· I – C; II – A; III – B. CORRETO
· I – A; II – C; III – B.
Resolução comentada: é necessário entender todas as estratégias e regras de negócios da organização, analisar e utilizar todas as regulamentações, legislação e os contratos, e também compreender todos os perfis de ameaças à segurança da informação que ocorreram e poderão ocorrer na organização, para que somente assim o comitê gestor inicie o desenvolvimento da política de segurança da informação.
As políticas são desenvolvidas dentro das necessidades reais da organização e garantem eficientemente a segurança das informações pelo comitê gestor de segurança da informação.
No nível 2 – tático, é desenvolvida a política complementar de segurança da informação que contém as diretrizes e deve estar alinhada à política principal de segurança da informação do nível 1.
Código da questão: 58771
10) Com relação à aplicação nas empresas do conceito de governança de TI concomitante com frameworks como o ITIL v4 e Cobit 5, que podem contribuir para efetivar a governança de TI nas organizações, leia e associe as duas colunas.
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
· I – B; II – C; III – A. CORRETO
· I – C; II – B; III – A.
· I – A; II – B; III – C.
· I – B; II – A; III – C.
· I – A; II – C; III – B.
Resolução comentada: governança de TI consiste em um conjunto de ações, políticas, regras e processos voltados para soluções de TI. Já o ITIL v4, consiste em um conjunto de boas práticas para o gerenciamento dos serviços de TI por meio de bibliotecas. E, por fim, o Cobit 5 é um framework de governança e gestão de TI focado em princípios.
Código da questão: 58732