Conscientização em Segurança da Informação - Avaliacao Final (Objetiva) - Individual

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:745548)
Peso da Avaliação 3,00
Prova 44615010
Qtd. de Questões 10
Acertos/Erros 7/3
Nota 7,00
Os seis principais princípios para um Sistema de Governança (Governance System) e três princípios do Framework de Governança servem como
referência à segurança, ao risco, ao desenvolvimento e operação das organizações. Com relação a esses princípios de Sistema e Framework de Governança,
classifique V para as sentenças verdadeiras e F para as falsas: ( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão
Analítica, (3) Sistema de Governança holístico, (4) Diferença Governança de Processos, (5) Adaptados às necessidades das pessoas e (6) Sistema de Gestão
do Conhecimento. ( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes interessadas, (2) visão holística, (3) Sistema de
Governança Dinâmico, (4) Diferencia Governança de Gestão, (5) Adaptados às necessidades das empresas e (6) Sistema de Governança fim-a-fim. ( ) Os três
princípios do framework de governança são (1) Baseado em modelo conceitual, (2) Aberto e flexível e (3) Alinhado com a maioria dos padrões. ( ) Os três
princípios do framework de governança são mais importantes que os seis princípios do sistema de governança, pois tratam da segurança de forma mais
completa. Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B F - V - V - V.
C F - V - F - V.
D V - F - V - F.
Segundo DocuSign (2018), a política de segurança da informação é definida como as regras que indicam o acesso, controle e transmissão da informação
em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação
contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. Com base na
documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O documento além da política contém
procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas. ( ) Os documentos
escritos baseados na política de segurança pode conter regulamento, procedimentos, diretrizes e normas. ( ) Vários documentos de política são desenvolvidos,
tendo como base uma política de segurança corporativa de alto nível, estando sempre de acordo com a política corporativa e fornece diretrizes mais detalhadas
para uma determinada política. ( ) É comum um documento de políticas ter uma estrutura hierárquica. Assinale a alternativa que apresenta a sequência
CORRETA: FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em:
https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-
la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%2
Acesso em: 3 fev. 2021.
A V - F - F - V.
B V - V - V - V.
C V - V - V - F.
D F - V - V - V.
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre
"implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e
treinamento, com o objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de realização desta etapa
de Implementação do Programa, analise as sentenças a seguir: I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web,
ensino a distância, vídeo, no local entre outros. II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de
primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. III- As
técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com
palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização. Assinale a alternativa
CORRETA:
A As sentenças I e III estão corretas.
B As sentenças I e II estão corretas.
C Somente a sentença II está correta.
D As sentenças II e III estão corretas.
As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as
orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management
System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4)
normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um regulamento é tanto
igual quanto a um documento de política. ( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de trabalho.
( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados. ( ) As normas descrevem regras e políticas para a
segurança física e lógica. Assinale a alternativa que apresenta a sequência CORRETA:
 VOLTAR
A+ Alterar modo de visualização
1
2
3
4
A V - V - V - F.
B F - V - V - F.
C V - F - V - V.
D V - V - F - V.
Existem diversos métodos de comunicar a conscientização de segurança em toda a organização, no qual é recomendado que o conteúdo do treinamento
seja determinado com base na função e na cultura da organização. Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais
de comunicação, a organização garante que o pessoal seja exposto a mesma informação várias vezes de diferentes maneiras. Dessa forma, as pessoas se
lembram das informações a elas apresentadas e estarão preparadas para lidar de forma segura com a manipulação de seus ativos. Com relação aos métodos de
comunicação da conscientização da segurança da informação, analise as sentenças a seguir: I- Os métodos de comunicação eletrônicos podem ser notificações
por e-mail, e-learning, mídia social interna, pôsteres, eventos de treinamentos, seminários internos etc. II- O método de comunicação deve oferecer
notificações direcionadas ao perfil do seu usuário de forma clara para que a mesma seja facilmente lida e entendida e todos estejam melhor preparados para
lidar com diferentes situações, a fim de garantir a proteção de seus dados e informações. III- Eventos sociais que envolvem palestras, vídeos educacionais e
sessões de perguntas e respostas são poucos recomendados aos colaboradores de uma organização, pois oferecem momentos de pouco aprendizado dos
colaboradores interessados. Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças II e III estão corretas.
C Somente a sentença II está correta.
D As sentenças I e III estão corretas.
Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do
programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização, com responsabilidades
diferentes e representantes dos setores envolvidos da organização. Com base nas funções para conscientização de segurança, classifique V para as sentenças
verdadeiras e F para as falsas: ( ) A organização deverá prover a realização de treinamentos, baseando-se nas funções de trabalho dos colaboradores conforme
o nível de responsabilidade e os papéis definidos na organização. ( ) A organização deve criar um catálogo de referência de vários tipos e profundidades de
treinamento, auxiliando as organizaçõesa prover treinamento certo para as pessoas certas, na hora certa. ( ) A organização deve definir um processo de
segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de conscientização de segurança. ( ) A organização
deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções, ou seja, conforme os três
tipos de funções: todo o pessoal, funções especializadas e funções de gerenciamento dos colaboradores. Assinale a alternativa que apresenta a sequência
CORRETA:
A F - V - F - F.
B V - F - F - V.
C V - V - F - V.
D V - V - V - F.
Conforme Machado Júnior (2018, p. 61), "ao longo dos anos os pilares Confidencialidade, Integridade e Disponibilidade (CID) da segurança da informação
foram se consolidando e evoluindo de forma a sustentar e expandir as práticas de proteção da informação. Com base nessa evolução das características de
Segurança para se chegar à tríade CID, classifique V para as sentenças verdadeiras e F para as falsas:
( ) As duas primeiras características da evolução de segurança foram sobre as vulnerabilidades identificadas que tratavam da divulgação acidental, infiltração
ativa, subversão passiva e ataque físico e os princípios de combate tratavam da responsabilidade individual e proteção contra divulgação não autorizada,
acesso à informação classificada somente às pessoas autorizadas e meios para atingir objetivos de segurança são uma combinação de hardware, software e
medidas processuais.
( ) A partir das características de vulnerabilidades identificadas e princípios para combate à evolução da segurança foram voltados diretamente aos requisitos
fundamentais de segurança computacional, definindo definitivamente a tríade confidencialidade, integridade e disponibilidade (CID).
( ) A partir das características de vulnerabilidades identificadas e princípios para combate à evolução da segurança foram voltados diretamente sobre os
potenciais riscos que tratava da liberação de informação não autorizada, modificação de informação não autorizada e negação não autorizada de uso.
( ) Posteriomente aos potenciais riscos vieram os requisitos fundamentais de segurança computacional (Orange Book), que tratava a política de segurança,
marcação, identificação, prestação de contas/responsabilidade, garantia (dos itens anteriores) e proteção contínua.
  
FONTE: MACHADO JÚNIOR, D. M. Segurança da informação: uma abordagem sobre proteção da privacidade em Internet das coisas. 2018. 159f. Tese
(Doutorado em Tecnologia da Inteligência e Design Digital) - Pontifícia Universidade Católica de São Paulo, São Paulo, 2018. Disponível em:
https://tede2.pucsp.br/handle/handle/21366. Acesso em: 11 mar. 2022.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B V - F - V - V.
C V - F - F - V.
D V - F - V - F.
5
6
7
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações. Portanto, é importante contar
com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações. A postura de
segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em
segurança de TI. No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO, classifique V para as
sentenças verdadeiras e F para as falsas: ( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por que realizar uma
avaliação de necessidades. ( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como estabelecer prioridades e como
definir o nível de complexidade do objeto adequadamente. ( ) Realizar a descrição de como financiar o programa de conscientização. ( ) Realizar a descrição
de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e treinamento, bem como realizar a
verificação de qual área deve ser realizada a conscientização. Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - F.
B V - V - F - V.
C F - V - V - F.
D V - F - V - F.
Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de
informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue
que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias.
Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da
informação nos principais processos de negócios: FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de
desenvolvimento. 2008. Disponível em:
http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20
processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021.
A Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento
de Soluções; Desenvolvimento de Negócios; e Visão empresarial.
B Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento
de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial.
C Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e serviços;
Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa.
D Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de
serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial.
De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de
negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as
ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da
informação, analise as sentenças a seguir: I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança. II- (4) planejamento
de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos tangíveis produtivo. III- (1) modelagem de processos de segurança; (2) pesquisa de
segurança; (3) planejamento de segurança. IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva. Assinale a
alternativa CORRETA: FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f.
Monografia (Especialização em Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade
Tecnológica Federal do Paraná. Curitiba, 2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf.
Acesso em: 2 fev. 2021.
A As sentenças I e II estão corretas.
B As sentenças II e III estão corretas.
C As sentenças II e IV estão corretas.
D As sentenças I e IV estão corretas.
8
9
10
Imprimir