Modelos de Conscientização e Treinamento em Segurança

Prévia do material em texto

06/06/2022 12:44 Avaliação II - Individual
1/6
Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:742498)
Peso da Avaliação 1,50
Prova 43421259
Qtd. de Questões 10
Acertos/Erros 10/0
Nota 10,00
A estrutura do programa de conscientização e treinamento de segurança é composta por três 
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como 
deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três 
modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique 
V para as sentenças verdadeiras e F para as falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e 
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia 
distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: 
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano 
de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e 
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de 
segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F.
B F - V - V.
C V - F - F.
D F - F - V.
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma 
ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de 
controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes 
interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles 
de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de 
segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na 
segurança da informação. 
II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de 
software e nas questões de entrega e suporte de serviço. 
III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser 
reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de 
maneira eficaz. 
Assinale a alternativa CORRETA: 
 VOLTAR
A+ Alterar modo de visualização
1
2
06/06/2022 12:44 Avaliação II - Individual
2/6
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança 
de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A As sentenças I e III estão corretas.
B Somente a sentença III está correta.
C As sentenças II e III estão corretas.
D As sentenças I e II estão corretas.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um 
método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz 
referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de 
Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de 
forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do 
modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do 
SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados 
e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para 
fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
A As sentenças III e IV estão corretas.
B As sentenças II e IV estão corretas.
C As sentenças I e IV estão corretas.
D As sentenças I e III estão corretas.
As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças 
estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, 
p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito 
das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às 
Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de 
estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa 
CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da 
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - 
RNP/ESR, 2014.
A Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
B Conjunto de princípios Políticas de Segurança da Informação e Estudo de Viabilidade de
3
4
06/06/2022 12:44 Avaliação II - Individual
3/6
B Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de
riscos.
C Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação.
D Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios.
Os seis principais princípios para um Sistema de Governança (Governance System) e três 
princípios do Framework de Governança servem como referência à segurança, ao risco, ao 
desenvolvimento e operação das organizações. Com relação a esses princípios de Sistema e 
Framework de Governança, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão 
Analítica, (3) Sistema de Governança holístico, (4) Diferença Governança de Processos, (5) 
Adaptados às necessidades das pessoas e (6) Sistema de Gestão do Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes interessadas, (2) 
visão holística, (3) Sistema de Governança Dinâmico, (4) Diferencia Governança de Gestão, (5) 
Adaptados às necessidades das empresas e (6) Sistema de Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual, (2) 
Aberto e flexível e (3) Alinhado com a maioria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis princípios do 
sistema de governança, pois tratam da segurança de forma mais completa. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - V.
B F - V - V - F.
C V - F - V - F.
D F - V - V - V.
Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais 
preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente 
corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante 
desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta 
os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas 
quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da 
informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das 
necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar 
nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de 
treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na comunicação eficazquanto à 
implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de 
material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e 
métodos de feedback eficazes. 
5
6
06/06/2022 12:44 Avaliação II - Individual
4/6
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda 
sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-
conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021.
A V - V - V - F.
B V - V - V - V.
C F - V - F - V.
D V - F - V - V.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que 
buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as 
organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções da 
estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as 
falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) 
Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação 
de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos 
genéricos e específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à 
informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso 
com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades 
responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às 
informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10) 
aborda as conclusões de auditorias e revisões, não conformidades e ações corretivas buscando de 
forma contínua a melhoria. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V - V.
B V - F - F - V.
C V - F - V - V.
D V - V - V - F.
O Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria 
e Controle de Sistemas de Informação internacional viabilizava as boas práticas de conscientização 
pelos habilitadores no Cobit 5, fornecendo orientação sobre as exigências relativas ao 
comportamento humano, tendo como princípio básico guias que detalham os habilitadores de 
governança e gestão. Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5, 
classifique V para as sentenças verdadeiras e F para as falsas: 
7
8
06/06/2022 12:44 Avaliação II - Individual
5/6
( ) Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura, 
ética e comportamento. 
( ) Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de 
inovação organizacional. 
( ) Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V.
B V - V - F.
C V - F - V.
D V - F - F.
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em 
segurança da informação da organização trata sobre "implementação do programa", na qual é 
compreendida a etapa responsável pela realização da comunicação e implementação do plano de 
conscientização e treinamento, com o objetivo de realizar a entrega de material para todos os 
colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação 
do Programa, analise as sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a 
distância, vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser 
via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não 
fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de 
forma presencial por meio de workshop e seminários com palestrantes especializados em programa 
de conscientização e treinamento em segurança da informação da própria organização. 
Assinale a alternativa CORRETA:
A As sentenças I e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença II está correta.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em 
conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e 
treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) 
Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto 
de conscientização e treinamento, assinale a alternativa CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and 
training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: 
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
9
10
06/06/2022 12:44 Avaliação II - Individual
6/6
A Define as políticas de segurança da informação voltadas para o programa de conscientização etreinamento.
B Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de
Segurança de Informação.
C Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma
estratégia de treinamento.
D Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
Imprimir