Política de Segurança da Informação

Prévia do material em texto

22/04/2022 10:44 Avaliação Final (Objetiva) - Individual
1/3
Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:746777)
Peso da Avaliação 3,00
Prova 43919326
Qtd. de Questões 10
Acertos/Erros 10/0
Nota 10,00
Segundo DocuSign (2018), a política de segurança da informação é definida como as regras que indicam o acesso, controle e transmissão da informação
em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação
contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. Com base na
documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O documento além da política
contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas. ( ) Os
documentos escritos baseados na política de segurança pode conter regulamento, procedimentos, diretrizes e normas. ( ) Vários documentos de política são
desenvolvidos, tendo como base uma política de segurança corporativa de alto nível, estando sempre de acordo com a política corporativa e fornece diretrizes
mais detalhadas para uma determinada política. ( ) É comum um documento de políticas ter uma estrutura hierárquica. Assinale a alternativa que apresenta a
sequência CORRETA: FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em:
https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-
la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%2
Acesso em: 3 fev. 2021.
A V - V - V - F.
B F - V - V - V.
C V - V - V - V.
D V - F - F - V.
Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de
informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue
que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias.
Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da
informação nos principais processos de negócios: FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de
desenvolvimento. 2008. Disponível em:
http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20
processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021.
A Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e
serviços; Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa.
B Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento
de Soluções; Desenvolvimento de Negócios; e Visão empresarial.
C Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de
serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial.
D Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento
de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial.
Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da
informação conforme sua cultura e das organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da
informação da tríade disponibilidade, confidencialidade e integridade, assinale a alternativa CORRETA:
A A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a
confidencialidade e a integridade da informação.
B O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação.
C Quando uma organização incorpora a cultura da segurança da informação, toda a organização fica comprometida.
D Por mais que haja mecanismos automatizados, a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de
manter a confidencialidade das informações.
As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as
orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management
System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4)
normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um regulamento é tanto
igual quanto a um documento de política. ( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de
trabalho. ( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados. ( ) As normas descrevem regras e políticas
para a segurança física e lógica. Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B V - V - F - V.
V V V F
 VOLTAR
A+ Alterar modo de visualização
1
2
3
4
22/04/2022 10:44 Avaliação Final (Objetiva) - Individual
2/3
C V - V - V - F.
D F - V - V - F.
Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais preocupações da TI nas empresas. Na atualidade, com a adesão de
novas tecnologias no ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante desse cenário, é preciso criar
um plano de conscientização em segurança da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos.
Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação, classifique V para as
sentenças verdadeiras e F para as falsas: ( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da
organização e uma estratégia de treinamento é desenvolvida e aprovada. ( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de
treinamento é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento. ( ) O objetivo da etapa de
Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento, bem como nas opções para a
entrega de material. ( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes.
Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação:
Entenda sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-da-informacao/. Acesso em: 28
jan. 2021.
A V - F - V - V.
B V - V - V - F.
C V - V - V - V.
D F - V - F - V.
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma ferramenta de suporte que permite aos gerentes suprir as
deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nívelde controle às partes interessadas. O
COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. Com relação ao que o framework Cobit®2019
fornece aos profissionais de segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: I- O framework Cobit®2019
fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação. II- O framework Cobit®2019 foca nas melhores práticas para
desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço. III- O framework Cobit®2019 foi fundamentado nas melhores
práticas acadêmicas, além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. Assinale a
alternativa CORRETA: FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos
processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A As sentenças II e III estão corretas.
B As sentenças I e III estão corretas.
C As sentenças I e II estão corretas.
D Somente a sentença III está correta.
De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de
negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as
ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da
informação, analise as sentenças a seguir: I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança. II- (4) planejamento
de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos tangíveis produtivo. III- (1) modelagem de processos de segurança; (2) pesquisa de
segurança; (3) planejamento de segurança. IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva. Assinale
a alternativa CORRETA: FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f.
Monografia (Especialização em Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade
Tecnológica Federal do Paraná. Curitiba, 2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf.
Acesso em: 2 fev. 2021.
A As sentenças II e IV estão corretas.
B As sentenças I e II estão corretas.
C As sentenças I e IV estão corretas.
D As sentenças II e III estão corretas.
No contexto da segurança da informação, a engenharia social refere-se à manipulação psicológica do comportamento humano ou à divulgação de
informações confidenciais. É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou
informações no computador. Com relação à Engenharia Social, analise as sentenças a seguir: I- Trata da forma como os engenheiros burlam pessoas para
obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta. II- Envolve aspectos das interações humanas, habilidades para enganar
pessoas a fim de violar a segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações. III-
Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas e extrair suas informações sigilosas de forma anônima.
Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças I e III estão corretas.
5
6
7
8
22/04/2022 10:44 Avaliação Final (Objetiva) - Individual
3/3
C As sentenças II e III estão corretas.
D Somente a sentença I está correta.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da
informação são: (1) Projeto de conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) Implementação do
programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa CORRETA:
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. NIST Special publication, v. 800, n. 50, p. 1-
70, 2003. Disponível em: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
A Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação.
B Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de treinamento.
C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento.
D Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) são conceitos básicos e fundamentais da segurança da
informação para serem compreendidos por todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da Informação,
analise as sentenças a seguir: I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto
fazem parte dos princípios e conceitos básicos da segurança da informação. II- Capital intelectual, definição das regras de negócio, processos
organizacionais, engenharia de software, definições e papéis e responsabilidades fazem parte dos princípios e conceitos básicos da segurança da informação.
III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos fazem parte dos princípios e conceitos básicos da
segurança da informação, assim como a engenharia de software. Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças I e III estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença I está correta.
9
10
Imprimir