Segurança da Informação e Política de Segurança

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:739505)
Peso da Avaliação 1,50
Prova 45015839
Qtd. de Questões 10
Acertos/Erros 8/2
Nota 8,00
Para manter e melhorar a segurança da organização, é importante que seja criado um Sistema de gestão de segurança da informação (SGSI). Para auxiliar nesse processo, 
pode-se fazer uso do ciclo PDCA, que é uma ferramenta que busca aprimorar as práticas de gestão nas organizações por meio de um conjunto de ações organizadas em etapas. 
Com base nesse ciclo, analise as afirmativas a seguir: 
I- A identificação das vulnerabilidades, essa atividade é realizada na etapa C, de consulta. 
II- A aplicação de programas internos de divulgação e treinamentos acontecem na etapa D (do). 
III- Na etapa D (Do - Fazer) é o momento de verificar se o que foi implementado está funcionando como previsto. 
IV- Ao identificar que algo não está funcionando conforme previsto e que medidas corretivas devem ser executadas, refere-se à letra A (Act). 
Assinale a alternativa CORRETA:
A As afirmativas III e IV estão corretas.
B As afirmativas I e II estão corretas.
C As afirmativas II e IV estão corretas.
D As afirmativas I e III estão corretas.
Não é novidade que somos dependentes da tecnologia da informação, e ela tem proporcionado grandes mudanças especialmente nas organizações, permitindo a obtenção 
das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os 
problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da 
informação nos meios tecnológicos, assinale a alternativa INCORRETA:
A Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificar as ameaças aos ativos, as vulnerabilidades
com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
B As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
C A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva.
D A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de
hardware e software.
Saber quem pode acessar determinado ativo ou informação, e como deve ser armazenado, com quais critérios de segurança, é um exemplo do que pode e deve ser 
definido em uma política de segurança da informação. Essa classificação é individual de cada organização, e fundamental para permitir que os ativos e as informações sejam 
acessadas somente por quem é de direito. Com base no planejamento da política de segurança de uma organização, assinale a alternativa CORRETA:
A A classificação dos papéis é útil para limitar o acesso e deixar claro para todos, suas responsabilidades e limitações no uso dos ativos da organização.
B Em uma empresa de tecnologia, por exemplo, a política de segurança é aplicada somente ao nível técnico. Gerentes e outros funcionários não precisam ter conhecimento.
C Não há necessidade de identificar os papéis em uma política de segurança, todos devem ter acesso a tudo.
D A mesma política utilizada em uma empresa de software, pode ser utilizada em outra do mesmo segmento sem nenhuma alteração, pois existe um padrão.
Inicialmente, os problemas de ataques à Segurança da Informação eram baseados em vírus e acessos indevidos nas páginas da internet, hoje os dados são sequestrados e 
só são liberados mediante o pagamento de grandes quantias de criptomoedas. Esses ataques hoje não buscam somente brechas nas redes, onde os invasores sabem que existem 
muitos mecanismos de proteção e detecção implementados, eles atacam o que consideram como o elo mais fraco da cadeia, o usuário. Com relação ao papel do usuário em 
uma Política de Segurança da Informação (PSI), assinale a alternativa INCORRETA: 
FONTE: https://www.proof.com.br/blog/conscientizacao-de-usuarios-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
A Durante a criação da PSI, deve informar qual sua abrangência e as implicações com relação ao não cumprimento.
B Durante a criação da PSI, é importante deixar claro a responsabilidade do usuário e as consequências da não adoção.
C Os terceiros ou usuário externos não precisam estar cientes das políticas internas, elas são apenas para funcionários.
D Uma PSI deve ser orientativa no sentido de deixar claro os comportamentos que serão ou não tolerados.
Uma política de segurança da informação (PSI) que fica na gaveta de um gerente de segurança da informação ou de qualquer funcionário é quase inútil. Portanto, para 
reverter esse cenário é necessário divulgar e educar os usuários para que entendam os benefícios da segurança da informação. A conscientização é sempre uma boa ferramenta 
para prevenir incidentes. Portanto, a PSI não se resume a uma lista de proibições, permissões e regras, mas também deve ser considerada pelos usuários como uma ferramenta 
de trabalho que faz parte do seu trabalho rotineiro. Com relação às formas de divulgação das PSI, assinale a alternativa CORRETA:
A O protetor de tela deve ser o mesmo sempre, assim evita que o usuário se distraia com relação à aplicação da PSI.
Uma boa prática que as organizações podem adotar é a de valorizar os funcionários que mantêm a organização das suas estações de trabalho.
 VOLTAR
A+ Alterar modo de visualização
1
2
3
4
5
B
C A utilização de palestras é uma boa forma de divulgação, e todos devem estar presentes, independente de horário e localização.
D A utilização de newsletter deve ser diária, e com a PSI na íntegra para que entendam a importância.
Sabemos que a Segurança da Informação (SI) é a responsável por proteger um conjunto de dados, no sentido de preservar o valor que detém um indivíduo ou uma 
organização. Confidencialidade, integridade, disponibilidade, autenticidade e legalidade são propriedades básicas da SI. No entanto, acima de tudo, é importante lembrar que 
SI sem conscientização do usuário é igual a fechar as portas e deixar as janelas abertas. Com relação ao papel do usuário em uma PSI, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) A segurança da informação vai além de colocar uma senha complexa no computador, o fato de descartar papéis importantes sem a total destruição também pode colocar 
em risco a organização. 
( ) A boa fé e o descuido das pessoas de uma organização, independentemente do cargo que ocupam, não são uma porta de entrada para pessoas que pretendem roubar 
informações. 
( ) Não adianta a organização possuir a melhor Política de Segurança da Informação, se os funcionários não lerem, entenderem e cumprirem o que está definido. 
( ) Durante a criação de uma Política de Segurança da Informação (PSI), a sua forma de divulgação é fundamental e, por isso, deve ser definida. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: https://computerworld.com.br/seguranca/a-importancia-da-conscientizacao-do-usuario-na-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
A V - F - V - V.
B F - V - F - V.
C V - F - F - F.
D F - V - V - F.
A política de segurança da informação (PSI) é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação, 
devendo, portanto, ser aplicado a todas as esferas de uma instituição. Com o objetivo de preservar as informações quanto à integridade, confidencialidade e disponibilidade. No 
que se refere ao planejamento de uma PSI, analise as sentenças a seguir: 
I- A PSI é um documento único e pode ser aplicado em qualquer empresa, independente do segmento. 
II- Para que uma PSI seja criada e tenha ampla aceitação na organização, ela deve partir de uma decisão estratégica da organização e ter o apoio da alta gestão. 
III- As normas de segurança,definidas em uma política, devem ser aplicadas por todos os níveis da organização. 
IV- A aplicação da PSI é feita exclusivamente pelo setor de TI, que tem por objetivo manter a confidencialidade e a integridade das informações. 
Assinale a alternativa CORRETA: 
FONTE: https://www.proof.com.br/blog/politica-de-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
A As afirmativas II e III estão corretas.
B As afirmativas I e II estão corretas.
C As afirmativas I e III estão corretas.
D As afirmativas III e IV estão corretas.
Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte. Além disso, é necessário para a continuidade aos negócios das organizações 
que suas informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade. Por isso, a necessidade de uma política de segurança da informação nas 
empresas. O Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a Melhoria contínua da segurança da informação em um Sistema de 
Gestão da Segurança da Informação (SGSI). Com base nesse ciclo PDCA e na criação de uma PSI, analise as afirmativas a seguir: 
I- A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade realizada durante a primeira fase ACT. 
II- O Sistema de Gestão de Segurança da Informação (SGSI) pode ser substituído por um ERP, ou outro sistema de controle de produtos. 
III- Na segunda fase do ciclo PDCA (DO), é o momento em que se coloca em uso o que foi proposto na fase anterior. 
IV- Na fase Check, é o momento em que deve-se verificar se a implantação do SGSI, está de acordo com o previsto, além de realizar o monitoramento e a análise. 
Assinale a alternativa CORRETA:
A Somente a afirmativa I está correta.
B As afirmativas II e IV estão corretas.
C Somente a afirmativa IV está correta.
D As afirmativas III e IV estão corretas.
Ao falarmos de políticas de segurança, vejamos a definição de DocuSign (2018), ela é definida como as regras que indicam o acesso, controle e transmissão da 
informação em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação contínua 
do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. A respeito da documentação da política de 
segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Este documento além da política contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas 
detalhadas. 
( ) Este documento contém diretrizes a respeito da segurança física e lógica dos ambientes tecnológicos da organização. 
( ) Este documento contém as normas, regras, diretrizes e orientações para garantir a segurança da informação em todos os setores da organização. 
6
7
8
9
( ) Este documento define os procedimentos, orientações e métricas da segurança de informação nas organizações em conformidade com as legislações da organização. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-
seguranca-da-informacao-saiba-como-e-por-que-desenvolve-
la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%20que,elemento%
 Acesso em: 3 fev. 2021.
A F - V - V - F.
B V - F - V - F.
C V - V - F - V.
D F - V - F - V.
Para manter e melhorar a segurança da organização, é importante que seja criado um Sistema de gestão de segurança da informação (SGSI). Para auxiliar nesse processo, 
pode-se fazer uso do ciclo PDCA, que é uma ferramenta que busca aprimorar as práticas de gestão nas organizações por meio de um conjunto de ações organizadas em etapas. 
Com base nesse ciclo, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Ao identificar que algo não está funcionando conforme previsto e que medidas corretivas devem ser executadas, refere-se à letra A (Act). 
( ) Na etapa D (Do - Fazer) é o momento de verificar se o que foi implementado está funcionando como previsto. 
( ) A identificação das vulnerabilidades, essa atividade é realizada na etapa C, de consulta. 
( ) A aplicação de programas internos de divulgação e treinamentos acontecem na etapa D (do). 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B V - V - F - V.
C F - V - F - V.
D V - F - F - V.
10
Imprimir