Exercício Avaliativo - Módulo 2_ Revisão da tentativa segurança da informação

Prévia do material em texto

Painel / Meus cursos / Segurança da Informação no Contexto da Transformação Digital / Módulo 2: Política de Segurança da Informação
/ Exercício Avaliativo - Módulo 2
Questão 1
Correto
Atingiu 1,00 de 1,00
Iniciado em terça, 31 mai 2022, 19:15
Estado Finalizada
Concluída em terça, 31 mai 2022, 19:19
Tempo
empregado 3 minutos 28 segundos
Notas 8,00/9,00
Avaliar 22,22 de um máximo de 25,00(89%)
Com relação ao processo de elaboração e implementação da Política de Segurança da Informação, julgue as
assertivas a seguir. 
I)  A Política de Segurança da Informação deve ser elaborada exclusivamente pela equipe de TI, sem
participação da alta administração ou dos demais colaboradores.
II)  Convém que o conjunto de Políticas de Segurança da Informação seja definido, aprovado pela direção,
publicado e comunicado para todos os funcionários e partes externas relevantes.
III)  É comum que a Política de Segurança da Informação apresente uma estrutura hierárquica, onde diversos
documentos de política sejam desenvolvidos tendo como base e estando em conformidade com uma política de
segurança corporativa.
IV)  Procedimentos de rotina na organização como atualização de antivírus, política de senha, uso de e-mail e
organização da mesa de trabalho são aspectos abordados no conjunto que integra a Política de Segurança da
Informação. 
 
Assinale a alternativa correta. 
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I e II estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas. 
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
A assertiva I está incorreta porque a elaboração da Política de Segurança da Informação não deve ficar a cargo
somente dos colaboradores da área de TI, ela deve envolver outros colaboradores e alta administração
também. 
Segurança da Informação
no Contexto da
Transformação Digital
Notas
Guia do Participante
Glossário
Módulo 1: Segurança da
Informação e a
Transformação Digital
Módulo 2: Política de
Segurança da Informação
Módulo 3: Segurança de
Dados
Módulo 4: Gestão de
Riscos
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/my/
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/mod/quiz/view.php?id=100929
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-5
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-6
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-7
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 2
Correto
Atingiu 1,00 de 1,00
Questão 3
Correto
Atingiu 1,00 de 1,00
A Política de Segurança da Informação é um documento vivo, que deve acompanhar a evolução das atividades
da organização e as ameaças externas e internas. 
I)  A segurança da informação é uma responsabilidade de todos dentro de uma organização.
II)  A cultura de segurança da informação pode ser atingida por meio de educação, treinamento e
conscientização.
III)  O processo de implantação de uma Política de Segurança de Informação demanda recursos (pessoal ou
financeiro), pois envolve mudanças culturais na empresa e pode exigir a aquisição de equipamentos, softwares
ou mesmo aprimoramento de instalações físicas.
IV)  A Política de Segurança da Informação é um documento estático, que não necessita de monitoramento já
que na sua elaboração já foram elencados e formalizados todos os aspectos de segurança da informação
relevantes para a organização. 
 
Assinale a alternativa correta. 
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I, II e III estão corretas. 
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas.
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva IV está incorreta. A Política de Segurança da Informação é um documento vivo, que deve
acompanhar a evolução das atividades da organização e as ameaças externas e internas. 
Com relação à segurança física do ambiente, visando a resguardar a organização, julgue as assertivas a seguir. 
I)  Deve-se restringir o acesso aos ambientes que possuem recursos de informação apenas às pessoas que
trabalham e utilizam esses ambientes.
II)  Sistemas de detecção e combate a incêndio devem ser considerados, sempre objetivando, em primeiro
lugar, a segurança da informação.
III)  Nem todos os aspectos relacionados à segurança física do ambiente precisam ser implementados, mas eles
devem ser ao menos avaliados quanto a sua necessidade de implementação.
IV)  Embora nem sempre seja possível escolher a vizinhança, deve-se procurar ao menos monitorá-la, pois se
uma organização vizinha não tomar as devidas providências com relação a sua proteção física, isso pode
impactar diretamente sua organização. 
 
Assinale a alternativa correta. 
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I, II e III estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas I, III e IV estão corretas. 
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva II está incorreta. Nos sistemas de combate e detecção de incêndio deve-se prezar pela vida,
antes da segurança da informação. 
Segurança da Informação
no Contexto da
Transformação Digital
Notas
Guia do Participante
Glossário
Módulo 1: Segurança da
Informação e a
Transformação Digital
Módulo 2: Política de
Segurança da Informação
Módulo 3: Segurança de
Dados
Módulo 4: Gestão de
Riscos
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-5
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-6
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-7
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 4
Correto
Atingiu 1,00 de 1,00
Questão 5
Incorreto
Atingiu 0,00 de 1,00
No controle lógico de acesso à informação alguns aspectos devem ser considerados. Nesse contexto, julgue as
alternativas a seguir a marque a correta. 
Escolha uma opção:
a. A segurança dos aplicativos envolve não somente o código executável, mas também o seu código-fonte. 

b. Os logs registram as atividades de sistemas e usuários e são importantes para identificar
comportamentos de usuários e programas, mas não têm muito uso para investigar tentativas de invasões.
c. O controle lógico de acesso à informação é uma atividade simples e pouco ligada a tecnologias.
d. Os sistemas operacionais, por serem softwares robustos e complexos, não necessitam de atualizações
após suas instalações.
e. É uma boa prática o compartilhamento de um nome de usuário de sistema com mais de um colaborador,
pois essa abordagem facilita o gerenciamento de identificação e autenticação nos sistemas.
Sua resposta está correta.
b) Incorreta. Os logs são muito importantes para analisar as tentativas de invasão.
c) Incorreta. O controlelógico de acesso à informação é uma atividade complexa e muitas tecnologias estão
envolvidas em seu gerenciamento e proteção, sendo algumas delas:
Criptografia, infraestrutura de chave pública, VPN, antivírus, filtragem de conteúdo, sistemas de detecção de
intrusão, respostas a incidentes, backups, entre diversas outras.
d) Incorreta. Frequentemente surgem vulnerabilidades que são exploradas pelos atacantes nos sistemas
operacionais e, ao tomarem conhecimento, os fabricantes dos sistemas operacionais disponibilizam
atualizações para impedir os ataques. Portanto, é importante mantê-lo sempre atualizado.
e) Incorreta. A identificação do usuário deve ser única. 
O Estado brasileiro possui uma regra própria de classificação da informação, regida pela Lei nº 12.527, de 18 de
novembro de 2011. Essa Lei determina três graus de sigilo da informação em seu Art. 24. 
Assinale a alternativa que corresponde a esses três graus de sigilo. 
Escolha uma opção:
a. Secreto, indisponível e reservado.
b. Reservado, público e privado.
c. Ultrassecreto, secreto e reservado.
d. Ultrassecreto, secreto e disponível. 
e. Reservado, secreto e público.
Sua resposta está incorreta.
O Estado brasileiro, por meio da Lei nº 12.527, de 18 de novembro de 2011, definiu três graus de sigilo da
informação:
- ultrassecreto.
- secreto.
- reservado. 
Segurança da Informação
no Contexto da
Transformação Digital
Notas
Guia do Participante
Glossário
Módulo 1: Segurança da
Informação e a
Transformação Digital
Módulo 2: Política de
Segurança da Informação
Módulo 3: Segurança de
Dados
Módulo 4: Gestão de
Riscos
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-5
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-6
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-7
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 6
Correto
Atingiu 1,00 de 1,00
Questão 7
Correto
Atingiu 1,00 de 1,00
Com relação à classificação da informação, julgue os itens a seguir. 
I)  A classificação da informação tem como objetivo assegurar que ela receba um nível adequado de proteção,
de acordo com a sua importância para a organização.
II)  A classificação da informação não é o objetivo final, mas sim um meio que permitirá tratamentos
diferenciados na definição de procedimentos de gestão da informação.
III)  O processo de classificação da informação não pode simplesmente definir níveis simples como “informação
privada” e “informação pública”.
IV)  Cada nível em que uma informação é classificada demandará um nível de controle de acesso distinto. E
esses controles deverão existir por todo o ciclo de vida da informação que compreende seu: manuseio,
armazenamento, transporte e descarte. 
 
Assinale a alternativa correta. 
Escolha uma opção:
a. Apenas as assertivas I, II e IV estão corretas. 
b. Apenas as assertivas I e II estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II e IV estão corretas.
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva III está incorreta: a depender do tipo da organização e controle que ela deseja implementar,
é possível que a classificação da informação se dê em apenas dois níveis, como, por exemplo, “pública” e
“privada”. 
Para uma organização, ter um Plano de Continuidade de Negócio (PCN) desenvolvido e implementado seguindo
critérios e metodologias aderentes aos seus negócios é algo de grande importância atualmente. Com relação
aos objetivos principais do Plano de Continuidade de Negócios, julgue as assertivas a seguir. 
I)  O PCN contribui para melhorar proativamente a resiliência da organização contra possíveis interrupções de
sua capacidade em atingir seus principais objetivos.
II)  O PCN contribui para prover uma prática para restabelecer a capacidade de uma organização fornecer seus
principais produtos e serviços, em um nível previamente acordado, dentro de um tempo previamente
determinado após uma interrupção.
III)  O PCN não contribui para obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma
a proteger a marca e reputação da organização.
IV)  O PCN deve trabalhar com o aspecto preventivo, ou seja, buscando minimizar as chances de um evento
crítico ocorrer e, no caso de falha dessa prevenção (já que nem todas as prevenções dependem apenas da
organização), um plano de recuperação deverá ser colocado em prática. 
Assinale a alternativa correta. 
Escolha uma opção:
a. Todas as assertivas estão incorretas.
b. Apenas as assertivas I, II e IV estão corretas. 
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas.
e. Apenas as assertivas I e III estão corretas.
Sua resposta está correta.
Apenas a assertiva III está incorreta. O PCN não contribui para obter reconhecida capacidade de gerenciar uma
interrupção no negócio, de forma a proteger a marca e reputação da organização. 
Segurança da Informação
no Contexto da
Transformação Digital
Notas
Guia do Participante
Glossário
Módulo 1: Segurança da
Informação e a
Transformação Digital
Módulo 2: Política de
Segurança da Informação
Módulo 3: Segurança de
Dados
Módulo 4: Gestão de
Riscos
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-5
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-6
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-7
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento
Questão 8
Correto
Atingiu 1,00 de 1,00
Questão 9
Correto
Atingiu 1,00 de 1,00
A depender do porte da organização, algumas etapas para estruturação do plano de continuidade de negócios
podem ter mais relevância que as demais, no entanto, todas devem ser analisadas criteriosamente quanto à sua
necessidade. Com relação a essas etapas, julgue as assertivas a seguir. 
I)  A primeira etapa é a definição de escopo. Para que o projeto de implantação do plano se concretize, é
necessário definir um escopo factível de ser alcançado, podendo, inclusive, deixar áreas da organização de fora
do plano de continuidade de negócios.
II)  A etapa de análise de risco não é pontual: a organização deve criar um processo de análise de risco, colocá-lo
em prática e mantê-lo em funcionamento.
III)  Na etapa análise de impacto no negócio não é indicada a participação das áreas de negócio da organização,
pois elas têm o conhecimento para indicar o tempo máximo de indisponibilidade aceito.
IV)  A etapa de definição das estratégias de continuidade de negócio deve considerar aspectos de continuidade
relativos a pessoas, instalações, serviços de tecnologia, informação, suprimentos e relações com partes
interessadas. 
Assinale a alternativa correta. 
Escolha uma opção:
a. Todas as assertivas estão incorretas.
b. Apenas as assertivas I e II estão corretas.
c. Apenas as assertivas I, II e IV estão corretas. 
d. Apenas as assertivas II e IV estão corretas.
e. Todas as assertivas estão corretas.
Sua resposta está correta.
Apenas o item III estáincorreto: Um dos principais pressupostos da análise de impacto no negócio é que há
bastante dependência entre os processos de uma organização e alguns têm mais importância do que outros.
Assim, manter os processos prioritários será o objetivo durante uma situação de contingência.
Com a análise dos processos, deve-se identificar qual o tempo que seria tolerável de interrupção e calcular
potenciais impactos e infraestrutura mínima de contingência. Esta etapa exige ampla participação das áreas de
negócio da organização, pois elas têm o conhecimento necessário para indicar o tempo máximo de
indisponibilidade aceito. 
Com relação à conscientização e treinamento das pessoas dentro de uma organização quanto à importância da
implementação e manutenção de uma Política de Segurança da Informação, julgue os itens a seguir, marcando
a opção correta. 
Escolha uma opção:
a. As falhas humanas não podem comprometer as diretrizes de segurança da informação.
b. Um funcionário, fora do ambiente de trabalho, relatar a outras pessoas desconhecidas detalhes de um
novo produto que a empresa vai lançar não pode ser considerada uma falha de segurança da informação.
c. A aquisição e implementação das tecnologias mais avançadas de segurança da informação é suficiente
para o sucesso da Política de Segurança da Informação.
d. Todos os colaboradores de uma organização devem conhecer o seu papel dentro dela e saber a
importância das informações que ela detém e isso é alcançado com treinamentos e conscientização. 
e. No âmbito da Administração Pública Federal não há interesse em promover ações de capacitação e
profissionalização dos seus recursos humanos com relação a segurança da informação, visto que esse seria
um custo elevado e sem retorno.
Sua resposta está correta.
a)  Incorreta. As falhas humanas podem comprometer as diretrizes de segurança da informação.
b)  Incorreta. É um exemplo de um funcionário que não conhece a importância da informação para a empresa,
ou seja, falta de conscientização.
c)  Incorreta. Não basta somente investimento em compra e implementação de tecnologias voltadas à
segurança da informação, é necessário também treinamento e conscientização dos recursos humanos, bem
como um bom Plano de Segurança da Informação.
e)  Incorreta. Há, no âmbito da Administração Pública Federal, o interesse no treinamento e conscientização de
seus colaboradores. Um exemplo disso é o Decreto nº 9.637, de 26 de dezembro de 2018, que define que
“Órgãos e entidades da administração pública federal” devem “promover ações de capacitação e
profissionalização dos recursos humanos em temas relacionados à segurança da informação”. 
◄ Módulo 2: Política de Segurança da 
Informação Seguir para... Módulo 3: Segurança de Dados ►
Segurança da Informação
no Contexto da
Transformação Digital
Notas
Guia do Participante
Glossário
Módulo 1: Segurança da
Informação e a
Transformação Digital
Módulo 2: Política de
Segurança da Informação
Módulo 3: Segurança de
Dados
Módulo 4: Gestão de
Riscos
Módulo de Encerramento
 Painel
 Meus cursos
https://mooc38.escolavirtual.gov.br/mod/glossary/showentry.php?eid=11478&displayformat=dictionary
https://mooc38.escolavirtual.gov.br/mod/url/view.php?id=100928&forceview=1
https://mooc38.escolavirtual.gov.br/mod/url/view.php?id=100931&forceview=1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273
https://mooc38.escolavirtual.gov.br/grade/report/index.php?id=5273
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-1
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-2
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-3
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-4
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-5
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-6
https://mooc38.escolavirtual.gov.br/course/view.php?id=5273#section-7
https://mooc38.escolavirtual.gov.br/my/
https://www.escolavirtual.gov.br/aluno/cursos/andamento