Avaliação II - sistema de informação em segurança

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:742498)
Peso da Avaliação 1,50
Prova 43460154
Qtd. de Questões 10
Acertos/Erros 10/0
Nota 10,00
O Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria
e Controle de Sistemas de Informação internacional viabilizava as boas práticas de conscientização
pelos habilitadores no Cobit 5, fornecendo orientação sobre as exigências relativas ao
comportamento humano, tendo como princípio básico guias que detalham os habilitadores de
governança e gestão. Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5,
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura,
ética e comportamento. 
 ( ) Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de
inovação organizacional. 
 ( ) Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento. 
 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V.
B V - F - F.
C V - V - F.
D F - F - V.
A estrutura do programa de conscientização e treinamento de segurança é composta por três
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como
deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três
modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique
V para as sentenças verdadeiras e F para as falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia
distribuída e implementação. 
 ( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2:
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano
de Segurança distribuída. 
 ( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de
segurança distribuída e implementação. 
 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F.
 VOLTAR
A+ Alterar modo de visualização
1
2
B V - F - F.
C F - F - V.
D F - V - V.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que
buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as
organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções da
estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as
falsas: 
 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4)
Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação
de desempenho e (10) Melhorias. 
 ( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos
genéricos e específicos do SGSI adaptado à cultura da organização. 
 ( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à
informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso
com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades
responsáveis pela segurança da informação. 
 ( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às
informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10)
aborda as conclusões de auditorias e revisões, não conformidades e ações corretivas buscando de
forma contínua a melhoria.
 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - F.
B V - F - V - V.
C F - F - V - V.
D V - F - F - V.
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma
ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de
controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes
interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles
de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de
segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: 
 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na
segurança da informação. 
 II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de
software e nas questões de entrega e suporte de serviço. 
 III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser
reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de
maneira eficaz. 
 
3
4
Assinale a alternativa CORRETA:
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança
de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A Somente a sentença III está correta.
B As sentenças I e II estão corretas.
C As sentenças I e III estão corretas.
D As sentenças II e III estão corretas.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em
conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e
treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3)
Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto
de conscientização e treinamento, assinale a alternativa CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and
training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em:
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
A Define as políticas de segurança da informação voltadas para o programa de conscientização e
treinamento.
B Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de
Segurança de Informação.
C Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
D Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma
estratégia de treinamento.
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de
tecnologia das organizações. Portanto, é importante contar com um plano de conscientização em
segurança da informação para garantir a segurança de estratégias e projetos internos das
organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora
consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI.
No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E
TREINAMENTO, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por
que realizar uma avaliação de necessidades. 
( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como
estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente. 
( ) Realizar a descrição de como financiar o programa de conscientização.
( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não
conformidades nos planos de conscientização e treinamento, bem como realizar a verificação de qual
área deve ser realizada a conscientização.
Assinale a alternativa que apresenta a sequência CORRETA:
5
6
A F - V - V - F.
B V - V - F - V.
C V - V - V - F.
D V - F - V - F.
Segundo Athena Security (2020), há algunsanos, os vírus eram uma das principais
preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente
corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante
desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta
os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas
quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da
informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das
necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar
nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de
treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à
implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de
material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e
métodos de feedback eficazes. 
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda
sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-
conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021.
A V - V - V - F.
B F - V - F - V.
C V - V - V - V.
D V - F - V - V.
As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças
estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014,
p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito
das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às
Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de
estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa
CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da
7
8
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa -
RNP/ESR, 2014.
A Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de
riscos.
B Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação.
C Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
D Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um
método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz
referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de
Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de
forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do
modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do
SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados
e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para
fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
A As sentenças III e IV estão corretas.
B As sentenças I e IV estão corretas.
C As sentenças II e IV estão corretas.
D As sentenças I e III estão corretas.
Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas
de Segurança da Informação são a International Organization for Standardization (ISO), a
International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas
(ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação,
assinale a alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um
plano de conscientização e treinamento.
B A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de
Segurança da Informação (SGSI).
C A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em
segurança.
D A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de
conscientização
9
10
conscientização.
Imprimir