Atividade Objetiva 4_ Gestão de Riscos _ Passei Direto

Prévia do material em texto

Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 1/11
Avidade Objeva 4
Entrega 2 dez em 23:59 Pontos 1 Perguntas 5
Disponível 14 out em 0:00 - 15 dez em 23:59 2 meses
Limite de tempo Tentativas permitidas Nenhum 2
Instruções
Histórico de tentavas
Tentativa Tempo Pontuação
MANTIDO Tentativa 2 2 minutos 1 de 1
MAIS RECENTE Tentativa 2 2 minutos 1 de 1
Tentativa 1 11 minutos 0,4 de 1
Pontuação desta tentativa: de 11
Enviado 16 nov em 19:22
Esta tentativa levou 2 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,2 / 0,2 ptsPergunta 1
Leia o texto a seguir:
 
Na elaboração da política de segurança da informação, considere o
seguinte questionamento:
Qual o valor da informação para a sua organização?
A informação, independentemente de seu formato, é um ativo
importante para a organização. Na verdade, sem informação a
organização não realiza seu negócio. 
Por isto, os ambientes e os equipamentos utilizados para seu
processamento, armazenamento e transmissão devem ser protegidos.
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 2/11
 
Classificação da informação
A classificação da informação é uma atividade específica, de acordo
com o tipo de negócio da organização a que pertence e do grau de
importância da própria informação para aquela.
 
A NBR 27002:2005 recomenda que, na classificação da informação, a
organização leve em consideração o seu valor, requisitos legais,
sensibilidade e criticidade, bem como os controles de proteção
necessários (compartilhamento ou restrição de acesso) à informação.
A norma também recomenda que o proprietário do ativo defina a
classificação deste e assegure que o mesmo esteja atualizado e no
nível apropriado.
 
Nesta atividade, será determinado o tipo de controle necessário para
cada tipo de ativo da informação e o nível de classificação de cada um
deles.
 
Fonte: MACEDO, D. A importância da classificação e padronização da
informação na políca de segurança.
Disponível em: https://www.diegomacedo.com.br/a-importancia-da-
classificacao-e-padronizacao-da-informacao-na-politica-de-
seguranca/ (https://www.diegomacedo.com.br/a-importancia-da-
classificacao-e-padronizacao-da-informacao-na-politica-de-seguranca/) .
Acesso em: 02 de junho de 2020.
Sobre a Classificação da Informação, considere as seguintes
afirmações:
 
I. As informações são classificadas por dois motivos básicos:
Identificar o gestor da informação e descobrir seu valor.
 
II. Classificar a informação é criar níveis, critérios e categorias
adequados para as informações, que dê a devida importância,
prioridade e o nível de proteção adequados.
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 3/11
 
III. Quanto mais níveis de classificação houver, e diversas empresas
adotam o padrão ISO de 10 níveis.
 
É correto o que se afirma em:
 II, apenas. Correto!
A Afirmação I está incorreta, pois os dois principais motivos para
classificação das informações são que as informações não
possuem o mesmo valor e existe necessidade de priorizarmos
nossos recursos.
A Afirmação II está correta, pois classificar a informação é criar
níveis, critérios e categorias adequados para as informações, que
dê a devida importância, prioridade e o nível de proteção
adequados.
A afirmação III está incorreta, pois não há padronização sobre a
classificação da informação, ainda mais com 10 níveis de
classificação.
Assim, as somente a afirmação II está correta.
0,2 / 0,2 ptsPergunta 2
Leia o texto a seguir:
 
Por que é importante classificar informações?
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 4/11
 
Porque proteger informações, além de ser um requisito para o bom
desempenho organizacional, implica em custos financeiro e
operacional. A proteção deve ser adequada e priorizada para os
diferentes tipos de informações que a organização produz ou custodia.
As informações são recursos patrimoniais críticos, importantes para
qualquer organização, tanto para a concretização de negócios como
para a tomada de decisão em questões governamentais, sociais,
educativas, econômicas. Como a sociedade moderna depende de
informações para tomar decisões de negócios ou de bem-estar social,
a confidencialidade, a disponibilidade e a integridade dessas
informações devem ser preservadas.
Assim, documentos, sistemas, recursos e serviços dessas
organizações necessitam de ambientes controlados, protegidos contra
desastres naturais (incêndio, terremoto, enchente), falhas estruturais
(interrupção do fornecimento de energia elétrica, sobrecargas
elétricas), sabotagem, fraudes, acessos não autorizados. Tudo isso
para garantir a continuidade do negócio da instituição.
 
Fonte: Brasil. Tribunal de Contas da União. Classificação da
informação / Tribunal de Contas da União. – Brasília: TCU, Assessoria
de Segurança da Informação e Governança de Tecnologia da
Informação (Assig), 2010.
Assinale a alternativa que contenha as 2 principais razões para
classificar a informação.
 
As informações não possuem o possuem o mesmo valor e a
priorização da informação para a missão da organização
Correto!
Alternativa correta.
Os dois principais motivos para classificação das informações são
que as informações não possuem o mesmo valor e existe
necessidade de priorizarmos os recursos empresariais.
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 5/11
0,2 / 0,2 ptsPergunta 3
Leia o texto a seguir:
 
Política de segurança
 
A política de segurança define os direitos e as responsabilidades de
cada um em relação à segurança dos recursos computacionais que
utiliza e as penalidades às quais está sujeito, caso não a cumpra.
 
É considerada como um importante mecanismo de segurança, tanto
para as instituições como para os usuários, pois com ela é possível
deixar claro o comportamento esperado de cada um. Desta forma,
casos de mau comportamento, que estejam previstos na política,
podem ser tratados de forma adequada pelas partes envolvidas.
 
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 6/11
A política de segurança pode conter outras políticas específicas, como:
políticas de senhas, políticas de backup, política de privacidade,
política de confidencialidade e política de uso aceitável (PUA) ou
Acceptable Use Policy (AUP).Fonte: Cartilha de Segurança da Informação para Internet. CERT.br.
Disponível em: https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 02 de junho de 2020.
A respeito das políticas de segurança, considere as seguintes
afirmações:
 
I. Política de uso aceitável (PUA) está relacionada às regras de uso
dos recursos computacionais, os direitos e as responsabilidades de
quem os utiliza e as situações que são consideradas abusivas.
 
II. Política de confidencialidade define como são tratadas as
informações pessoais, sejam elas de clientes, usuários ou
funcionários.
 
III. A Política de Backup define as regras sobre o uso de senhas nos
recursos computacionais, como tamanho mínimo e máximo, regra de
formação e periodicidade de troca.
 
É correto o que se afirma em:
 I, apenas. Correto!
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 7/11
Alternativa correta.
A afirmação I está correta, pois a Política de uso aceitável (PUA)
ou (AUP): também chamada de "Termo deAcceptable Use Policy
Uso" ou "Termo de Serviço", define as regras de uso dos recursos
computacionais, os direitos e as responsabilidades de quem os
utiliza e as situações que são consideradas abusivas.
A afirmação II está incorreta, pois é Política de privacidade que
define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários. A política de confidencialidade:
define como são tratadas as informações institucionais, ou seja,
se elas podem ser repassadas a terceiros.
A afirmação III está incorreta, pois é a Política de senhas que
define as regras sobre o uso de senhas nos recursos
computacionais, como tamanho mínimo e máximo, regra de
formação e periodicidade de troca.
0,2 / 0,2 ptsPergunta 4
A empresa KYC, listada na Bolsa de Valores de São Paulo, adotou
uma política de classificação das informações descritas no quadro a
seguir:
 
Classificação Critério de classificação
Informação Pública
Ativos públicos e não exige sigilo e
pode ser divulgada para o 
ambiente interno e externo, sem
impactos para os negócios.
Informação Interna
Ativos cujo acesso ao público externo
deve ser evitado. Caso público
externo tenha acesso às informações,
não ocorrerão consequências críticas.
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 8/11
Informação Confidencial Ativos devem ter acesso restrito às
informações para público interno e
protegidos do aceso externo.
Informação Secreta
Deve estar restrito a poucas pessoas
com controles rígidos.
Considerando a classificação apresentada, assinale a alternativa
correta.
 
Informações sobre aquisições de outras empresas são classificadas
como informação secreta.
Correto!
Alternativa correta.
A classificação a ser atribuída para as Informações sobre
aquisições de outras empresas devem ser informação secreta,
pois poucas pessoas terão acesso e com rígidos controles, muitas
vezes com assinatura de contratos de confidencialidade.
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 9/11
0,2 / 0,2 ptsPergunta 5
Leia o texto a seguir:
 
Confidencialidade significa garantir que a informação não será
conhecida por pessoas que não estejam autorizadas para tal.
 
Esse conceito é o mais interessante dos três pilares, talvez porque
tenha a ver com sigilo e segredo; e isso mexe com a curiosidade
humana. No mundo corporativo, também é o aspecto mais estratégico,
pois a confidencialidade da informação protege o capital intelectual e
por consequência as vantagens competitivas da empresa.
 
Toda empresa investe dinheiro e/ou energia para criar conhecimentos
de negócio e de operação, energia essa que não deixa de ser dinheiro,
mas em formato de homem-hora. Esse conhecimento é o catalizador
que possibilita transformar o trabalho dos colaboradores no lucro do
acionista e o vazamento de capital intelectual dá aos concorrentes o
mesmo bônus do conhecimento que a empresa tem, mas sem o ônus
do investimento que a mesma fez para construí-lo.
 
Quando o vazamento acontece, estabelece-se uma corrida injusta em
que a empresa vai a pé e o concorrente de helicóptero, o que me faz
pensar que é bem melhor e sai bem mais barato investir para
preservar a confidencialidade do que entregar de bandeja para o
concorrente todo o investimento feito na inteligência do negócio.
 
Fonte: – Confidencialidade, Integridade eSegurança da Informação
Disponibilidade (CID). Disponível em:
https://www.profissionaisti.com.br/2015/07/seguranca-da-
informacao-confidencialidade-integridade-e-disponibilidade-cid/
(https://www.profissionaisti.com.br/2015/07/seguranca-da-informacao-
confidencialidade-integridade-e-disponibilidade-cid/) . Acesso em 02 de
junho de 2020.
Considerando as informações apresentadas, avalie as asserções a
seguir, e a relação entre elas:
Impresso por Geralt Rivia, CPF 227.403.268-82 para uso pessoal e privado. Este material pode ser protegido por direitos autorais e não
pode ser reproduzido ou repassado para terceiros. 03/03/2022 10:29:29
19/11/2020 Atividade Objetiva 4: Gestão de Riscos
https://famonline.instructure.com/courses/12487/quizzes/40911 10/11
 
I. Para assegurar que a empresa seja segura basta garantir a
confidencialidade das informações da empresa.
 
PORQUE
 
II. Confidencialidade significa proteger as informações de todos, exceto
daqueles que tenham direito a elas.
 
A respeito dessas asserções, assinale a alternativa correta.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
Correto!
Alternativa correta.
A Asserção I está incorreta, pois para garantir a segurança, são
necessárias a integridade, a disponibilidade e a confidencialidade,
formando a tríade C-I-D. A asserção II está correta, pois pode ser
entendida como a preservação de restrições autorizadas ao
acesso e revelação de informações, incluindo meios para proteger
a privacidade pessoal e as informações proprietárias, tais como
propriedade intelectual das empresas e segurança nacional para
países.