Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/04/2022 10:44 Avaliação Final (Objetiva) - Individual 1/3 Prova Impressa GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:746777) Peso da Avaliação 3,00 Prova 43919326 Qtd. de Questões 10 Acertos/Erros 10/0 Nota 10,00 Segundo DocuSign (2018), a política de segurança da informação é definida como as regras que indicam o acesso, controle e transmissão da informação em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. Com base na documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O documento além da política contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas. ( ) Os documentos escritos baseados na política de segurança pode conter regulamento, procedimentos, diretrizes e normas. ( ) Vários documentos de política são desenvolvidos, tendo como base uma política de segurança corporativa de alto nível, estando sempre de acordo com a política corporativa e fornece diretrizes mais detalhadas para uma determinada política. ( ) É comum um documento de políticas ter uma estrutura hierárquica. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve- la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%2 Acesso em: 3 fev. 2021. A V - V - V - F. B F - V - V - V. C V - V - V - V. D V - F - F - V. Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias. Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da informação nos principais processos de negócios: FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de desenvolvimento. 2008. Disponível em: http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20 processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021. A Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e serviços; Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa. B Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento de Soluções; Desenvolvimento de Negócios; e Visão empresarial. C Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial. D Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial. Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da informação conforme sua cultura e das organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade disponibilidade, confidencialidade e integridade, assinale a alternativa CORRETA: A A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a confidencialidade e a integridade da informação. B O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação. C Quando uma organização incorpora a cultura da segurança da informação, toda a organização fica comprometida. D Por mais que haja mecanismos automatizados, a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das informações. As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um regulamento é tanto igual quanto a um documento de política. ( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de trabalho. ( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados. ( ) As normas descrevem regras e políticas para a segurança física e lógica. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - V - V. B V - V - F - V. V V V F VOLTAR A+ Alterar modo de visualização 1 2 3 4 22/04/2022 10:44 Avaliação Final (Objetiva) - Individual 2/3 C V - V - V - F. D F - V - V - F. Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. ( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento. ( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de material. ( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021. A V - F - V - V. B V - V - V - F. C V - V - V - V. D F - V - F - V. Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nívelde controle às partes interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação. II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço. III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. Assinale a alternativa CORRETA: FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008. A As sentenças II e III estão corretas. B As sentenças I e III estão corretas. C As sentenças I e II estão corretas. D Somente a sentença III está correta. De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da informação, analise as sentenças a seguir: I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança. II- (4) planejamento de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos tangíveis produtivo. III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de segurança. IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva. Assinale a alternativa CORRETA: FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f. Monografia (Especialização em Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do Paraná. Curitiba, 2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 2 fev. 2021. A As sentenças II e IV estão corretas. B As sentenças I e II estão corretas. C As sentenças I e IV estão corretas. D As sentenças II e III estão corretas. No contexto da segurança da informação, a engenharia social refere-se à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais. É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador. Com relação à Engenharia Social, analise as sentenças a seguir: I- Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta. II- Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de violar a segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações. III- Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas e extrair suas informações sigilosas de forma anônima. Assinale a alternativa CORRETA: A As sentenças I e II estão corretas. B As sentenças I e III estão corretas. 5 6 7 8 22/04/2022 10:44 Avaliação Final (Objetiva) - Individual 3/3 C As sentenças II e III estão corretas. D Somente a sentença I está correta. Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa CORRETA: FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. NIST Special publication, v. 800, n. 50, p. 1- 70, 2003. Disponível em: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020. A Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação. B Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de treinamento. C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento. D Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização. Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) são conceitos básicos e fundamentais da segurança da informação para serem compreendidos por todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da Informação, analise as sentenças a seguir: I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto fazem parte dos princípios e conceitos básicos da segurança da informação. II- Capital intelectual, definição das regras de negócio, processos organizacionais, engenharia de software, definições e papéis e responsabilidades fazem parte dos princípios e conceitos básicos da segurança da informação. III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos fazem parte dos princípios e conceitos básicos da segurança da informação, assim como a engenharia de software. Assinale a alternativa CORRETA: A As sentenças I e II estão corretas. B As sentenças I e III estão corretas. C As sentenças II e III estão corretas. D Somente a sentença I está correta. 9 10 Imprimir
Compartilhar