Atividade Objetiva 3_ Gestão de Riscos

Prévia do material em texto

27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 1/10
Atividade Objetiva 3
Entrega 21 jun em 23:59 Pontos 1,5 Perguntas 5
Disponível até 21 jun em 23:59 Limite de tempo Nenhum
Tentativas permitidas 2
Instruções
Este teste foi travado 21 jun em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MANTIDO Tentativa 2 18 minutos 1,5 de 1,5
MAIS RECENTE Tentativa 2 18 minutos 1,5 de 1,5
Tentativa 1 1 minuto 0,9 de 1,5
Pontuação desta tentativa: 1,5 de 1,5
Enviado 15 jun em 19:04
Esta tentativa levou 18 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você
clique em "FAZER O QUESTIONÁRIO", no final da página.
0,3 / 0,3 ptsPergunta 1
Leia o texto a seguir:
 
Na elaboração da política de segurança da informação, considere o
seguinte questionamento:
Qual o valor da informação para a sua organização?
A informação, independentemente de seu formato, é um ativo importante
para a organização. Na verdade, sem informação a organização não
realiza seu negócio. 
Por isto, os ambientes e os equipamentos utilizados para seu
processamento, armazenamento e transmissão devem ser protegidos.
A+
A
A-
https://famonline.instructure.com/courses/22973/quizzes/100644/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100644/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100644/history?version=1
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 2/10
 
Classificação da informação
A classificação da informação é uma atividade específica, de acordo com o
tipo de negócio da organização a que pertence e do grau de importância da
própria informação para aquela.
 
A NBR 27002:2005 recomenda que, na classificação da informação, a
organização leve em consideração o seu valor, requisitos legais,
sensibilidade e criticidade, bem como os controles de proteção necessários
(compartilhamento ou restrição de acesso) à informação. A norma também
recomenda que o proprietário do ativo defina a classificação deste e
assegure que o mesmo esteja atualizado e no nível apropriado.
 
Nesta atividade, será determinado o tipo de controle necessário para cada
tipo de ativo da informação e o nível de classificação de cada um deles.
 
Fonte: MACEDO, D. A importância da classificação e padronização da
informação na política de segurança.
Disponível em: https://www.diegomacedo.com.br/a-importancia-da-
classificacao-e-padronizacao-da-informacao-na-politica-de-seguranca/
 (https://www.diegomacedo.com.br/a-importancia-da-classificacao-e-
padronizacao-da-informacao-na-politica-de-seguranca/) . Acesso em: 02 de
junho de 2020.
Sobre a Classificação da Informação, considere as seguintes afirmações:
 
I. As informações são classificadas por dois motivos básicos: Identificar o
gestor da informação e descobrir seu valor.
 
II. Classificar a informação é criar níveis, critérios e categorias adequados
para as informações, que dê a devida importância, prioridade e o nível de
proteção adequados.
 
III. Quanto mais níveis de classificação houver, e diversas empresas
adotam o padrão ISO de 10 níveis.
 
A+
A
A-
https://www.diegomacedo.com.br/a-importancia-da-classificacao-e-padronizacao-da-informacao-na-politica-de-seguranca/
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 3/10
É correto o que se afirma em:
 I e II, apenas. 
 II, apenas. Correto!Correto!
A Afirmação I está incorreta, pois os dois principais motivos para
classificação das informações são que as informações não possuem o
mesmo valor e existe necessidade de priorizarmos nossos recursos.
A Afirmação II está correta, pois classificar a informação é criar níveis,
critérios e categorias adequados para as informações, que dê a devida
importância, prioridade e o nível de proteção adequados.
A afirmação III está incorreta, pois não há padronização sobre a
classificação da informação, ainda mais com 10 níveis de
classificação.
Assim, as somente a afirmação II está correta.
 I, apenas. 
 II e III, apenas. 
 I e III, apenas. 
0,3 / 0,3 ptsPergunta 2
A empresa KYC, listada na Bolsa de Valores de São Paulo, adotou uma
política de classificação das informações descritas no quadro a seguir:
 
Classificação Critério de classificação
Informação Pública
Ativos públicos e não exige sigilo e
pode ser divulgada para o 
ambiente interno e externo, sem
impactos para os negócios.
Informação Interna Ativos cujo acesso ao público externo
deve ser evitado. Caso público
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 4/10
externo tenha acesso às informações,
não ocorrerão consequências críticas.
Informação Confidencial
Ativos devem ter acesso restrito às
informações para público interno e
protegidos do aceso externo.
Informação Secreta
Deve estar restrito a poucas pessoas
com controles rígidos.
Considerando a classificação apresentada, assinale a alternativa correta.
 
Informação financeiras como balanços patrimoniais já publicados são
classificadas como de uso interno.
 
Detalhes sobre uma nova campanha de marketing são classificadas como
uso interno.
 
Informações sobre aquisições de outras empresas são classificadas como
informação secreta.
Correto!Correto!
Alternativa correta.
A classificação a ser atribuída para as Informações sobre aquisições
de outras empresas devem ser informação secreta, pois poucas
pessoas terão acesso e com rígidos controles, muitas vezes com
assinatura de contratos de confidencialidade.
 
Informação financeiras de balanços patrimoniais que ainda não foram
publicados são classificadas como uso interno.
 
Informações sobre as diversas características dos produtos vendidos pela
empresa são confidenciais.
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 5/10
0,3 / 0,3 ptsPergunta 3
Leia o texto a seguir:
 
Por que é importante classificar informações?
 
Porque proteger informações, além de ser um requisito para o bom
desempenho organizacional, implica em custos financeiro e operacional. A
proteção deve ser adequada e priorizada para os diferentes tipos de
informações que a organização produz ou custodia.
As informações são recursos patrimoniais críticos, importantes para
qualquer organização, tanto para a concretização de negócios como para a
tomada de decisão em questões governamentais, sociais, educativas,
econômicas. Como a sociedade moderna depende de informações para
tomar decisões de negócios ou de bem-estar social, a confidencialidade, a
disponibilidade e a integridade dessas informações devem ser
preservadas.
Assim, documentos, sistemas, recursos e serviços dessas organizações
necessitam de ambientes controlados, protegidos contra desastres naturais
(incêndio, terremoto, enchente), falhas estruturais (interrupção do
fornecimento de energia elétrica, sobrecargas elétricas), sabotagem,
fraudes, acessos não autorizados. Tudo isso para garantir a continuidade
do negócio da instituição.
 
Fonte: Brasil. Tribunal de Contas da União. Classificação da informação /
Tribunal de Contas da União. – Brasília: TCU, Assessoria de Segurança da
Informação e Governança de Tecnologia da Informação (Assig), 2010.
Assinale a alternativa que contenha as 2 principais razões para classificar a
informação.
 
As informações não possuem o possuem valor e criar uma padronização da
classificação das informações.
 
Necessidade de priorização de recursos e criação de burocracia para
disponibilizar informações.
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 6/10
 
Identificação do gestor das informações e conscientização dos
colaboradores sobre a políticade segurança da informação.
 
Padronizar o tratamento das informações e Necessidade de priorização de
recursos.
 
As informações não possuem o possuem o mesmo valor e a priorização da
informação para a missão da organização
Correto!Correto!
Alternativa correta.
Os dois principais motivos para classificação das informações são que
as informações não possuem o mesmo valor e existe necessidade de
priorizarmos os recursos empresariais.
0,3 / 0,3 ptsPergunta 4
Leia o texto a seguir:
 
Confidencialidade significa garantir que a informação não será conhecida
por pessoas que não estejam autorizadas para tal.
 
Esse conceito é o mais interessante dos três pilares, talvez porque tenha a
ver com sigilo e segredo; e isso mexe com a curiosidade humana. No
mundo corporativo, também é o aspecto mais estratégico, pois a
confidencialidade da informação protege o capital intelectual e por
consequência as vantagens competitivas da empresa.
 
Toda empresa investe dinheiro e/ou energia para criar conhecimentos de
negócio e de operação, energia essa que não deixa de ser dinheiro, mas
em formato de homem-hora. Esse conhecimento é o catalizador que
possibilita transformar o trabalho dos colaboradores no lucro do acionista e
o vazamento de capital intelectual dá aos concorrentes o mesmo bônus do
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 7/10
conhecimento que a empresa tem, mas sem o ônus do investimento que a
mesma fez para construí-lo.
 
Quando o vazamento acontece, estabelece-se uma corrida injusta em que
a empresa vai a pé e o concorrente de helicóptero, o que me faz pensar
que é bem melhor e sai bem mais barato investir para preservar a
confidencialidade do que entregar de bandeja para o concorrente todo o
investimento feito na inteligência do negócio.
 
Fonte: Segurança da Informação – Confidencialidade, Integridade e
Disponibilidade (CID). Disponível em:
https://www.profissionaisti.com.br/2015/07/seguranca-da-informacao-
confidencialidade-integridade-e-disponibilidade-cid/
(https://www.profissionaisti.com.br/2015/07/seguranca-da-informacao-
confidencialidade-integridade-e-disponibilidade-cid/) . Acesso em 02 de
junho de 2020.
Considerando as informações apresentadas, avalie as asserções a seguir,
e a relação entre elas:
 
I. Para assegurar que a empresa seja segura basta garantir a
confidencialidade das informações da empresa.
 
PORQUE
 
II. Confidencialidade significa proteger as informações de todos, exceto
daqueles que tenham direito a elas.
 
A respeito dessas asserções, assinale a alternativa correta.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
A+
A
A-
https://www.profissionaisti.com.br/2015/07/seguranca-da-informacao-confidencialidade-integridade-e-disponibilidade-cid/
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 8/10
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da
I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
Correto!Correto!
Alternativa correta.
A Asserção I está incorreta, pois para garantir a segurança, são
necessárias a integridade, a disponibilidade e a confidencialidade,
formando a tríade C-I-D. A asserção II está correta, pois pode ser
entendida como a preservação de restrições autorizadas ao acesso e
revelação de informações, incluindo meios para proteger a privacidade
pessoal e as informações proprietárias, tais como propriedade
intelectual das empresas e segurança nacional para países.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
0,3 / 0,3 ptsPergunta 5
Leia o texto a seguir:
 
Política de segurança
 
A política de segurança define os direitos e as responsabilidades de cada
um em relação à segurança dos recursos computacionais que utiliza e as
penalidades às quais está sujeito, caso não a cumpra.
 
É considerada como um importante mecanismo de segurança, tanto para
as instituições como para os usuários, pois com ela é possível deixar claro
o comportamento esperado de cada um. Desta forma, casos de mau
comportamento, que estejam previstos na política, podem ser tratados de
forma adequada pelas partes envolvidas.
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 9/10
 
A política de segurança pode conter outras políticas específicas, como:
políticas de senhas, políticas de backup, política de privacidade, política de
confidencialidade e política de uso aceitável (PUA) ou Acceptable Use
Policy (AUP).
 
Fonte: Cartilha de Segurança da Informação para Internet. CERT.br.
Disponível em: https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 02 de junho de 2020.
A respeito das políticas de segurança, considere as seguintes afirmações:
 
I. Política de uso aceitável (PUA) está relacionada às regras de uso dos
recursos computacionais, os direitos e as responsabilidades de quem os
utiliza e as situações que são consideradas abusivas.
 
II. Política de confidencialidade define como são tratadas as informações
pessoais, sejam elas de clientes, usuários ou funcionários.
 
III. A Política de Backup define as regras sobre o uso de senhas nos
recursos computacionais, como tamanho mínimo e máximo, regra de
formação e periodicidade de troca.
 
É correto o que se afirma em:
 I, II e III. 
 I e III, apenas 
 I, apenas. Correto!Correto!
A+
A
A-
https://cartilha.cert.br/mecanismos/
27/06/22, 12:06 Atividade Objetiva 3: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100644 10/10
Alternativa correta.
A afirmação I está correta, pois a Política de uso aceitável (PUA) ou
Acceptable Use Policy (AUP): também chamada de "Termo de Uso" ou
"Termo de Serviço", define as regras de uso dos recursos
computacionais, os direitos e as responsabilidades de quem os utiliza
e as situações que são consideradas abusivas.
A afirmação II está incorreta, pois é Política de privacidade que define
como são tratadas as informações pessoais, sejam elas de clientes,
usuários ou funcionários. A política de confidencialidade: define como
são tratadas as informações institucionais, ou seja, se elas podem ser
repassadas a terceiros.
A afirmação III está incorreta, pois é a Política de senhas que define as
regras sobre o uso de senhas nos recursos computacionais, como
tamanho mínimo e máximo, regra de formação e periodicidade de
troca.
 III, apenas 
 I e II, apenas 
Pontuação do teste: 1,5 de 1,5
A+
A
A-