CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO - AVALIAÇÃO l - CORRIGIDA

Prévia do material em texto

CONSCIENTIZAÇÃO EM SEGURANÇA DA INFORMAÇÃO
Avaliação l - Individual
1) Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização, com responsabilidades diferentes e representantes dos setores envolvidos da organização. Com base nas funções para conscientização de segurança, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) A organização deverá prover a realização de treinamentos, baseando-se nas funções de trabalho dos colaboradores conforme o nível de responsabilidade e os papéis definidos na organização.
 ( ) A organização deve criar um catálogo de referência de vários tipos e profundidades de treinamento, auxiliando as organizações a prover treinamento certo para as pessoas certas, na hora certa.
 ( ) A organização deve definir um processo de segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de conscientização de segurança. 
( ) A organização deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções, ou seja, conforme os três tipos de funções: todo o pessoal, funções especializadas e funções de gerenciamento dos colaboradores. Assinale a alternativa que apresenta a sequência CORRETA:
(A) V - V - V - F.
(B) V - V - F - V.
(C) F - V - F - F.
(D) V - F - F - V.
2) É fundamental que exista a inclusão de conscientização sobre os ataques e sejam identificados como situações de risco, ataques sobre o ativo mais valioso e a informação e encontrar formas eficazes e seguras de nos protegermos. Enfim, essa conscientização permitirá que se tenha ciência dos métodos usados por fraudadores, hackers ou outras pessoas mal-intencionadas. Com base na Disseminação da Conscientização (3), classifique V para as sentenças verdadeiras e F para as falsas:
 ( ) A organização deve criar uma cultura corporativa forte, com priorização na conscientização e treinamento de seus colaboradores.
 ( ) A organização precisa treinar e educar somente sua liderança referente aos ativos da informação e como elas devem ser protegidas. 
 ( ) A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas, para que os ataques de engenharia social sejam identificados como situações de risco.
 ( ) A organização deve criar e divulgar suas políticas, normas e procedimentos de segurança da informação por meio de programas de treinamento e conscientização constantes. Assinale a alternativa que apresenta a sequência CORRETA:
(A)V - V - F - F.
(B)F - F - F - V.
(C)V - F - V - V.
(D)V - F - F - V.
3) A segurança da informação está diretamente relacionada à proteção de um conjunto de informações, a fim de preservar seu valor para os usuários ou organizações. A segurança da informação é "[...] como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade". A respeito da definição conceitual da segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) A segurança da informação é caracterizada pelo uso de recursos de proteção sobre o ativo ou conjunto de ativos com o objetivo de preservar seu valor para o usuário ou organização. 
( ) O Armazenamento, a Avaliação e a Proteção de Riscos dos ativos de valor para o usuário ou organização fazem parte dos três princípios básicos da segurança da informação. 
( ) A segurança de informação se aplica em todas as áreas de conhecimento e busca controlar e proteger os indivíduos responsáveis dos ativos de valores da organização.
 ( ) A Confidencialidade, a Integridade e a Disponibilidade fazem parte dos três princípios básicos da segurança da informação. Assinale a alternativa que apresenta a sequência CORRETA:
(A) F - F - V - F.
(B) V - V - F - V.
(C) V - F - V - F.
(D) V - F - F - V.
4) Partindo do princípio de que a tecnologia sozinha não pode solucionar a segurança da informação onde o fator humano também deve ser considerado, autores e pesquisadores enfatizam que a solução efetiva da segurança da informação requer a integração de pessoas de forma gradativa e constantes de forma que possa criar e fortalecer a cultura de segurança da informação. Com base nos conceitos sobre a Cultura de Segurança da Informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Quando os indivíduos e as organizações incorporam a Cultura de Segurança da Informação significa que os cuidados com a proteção das informações são vivenciados diariamente de forma que as ameaças e emergências de hoje podem mudar e no futuro não terem tanta importância, pois a vivência da segurança requer de forma natural um planejamento constante.
( ) A Segurança de Informação deve fazer parte da cultura no dia a dia das pessoas e das organizações, pois vivemos em constante mudanças devido às inovações, de maneira que podemos mudar a forma como se proteger diante das situações de risco.
( ) A falta de consciência com relação à segurança tem grande relação com a falta de se ter incorporada em nossas vidas uma Cultura de Segurança da Informação para que saibamos agir diante dos riscos e vulnerabilidades.
( ) A Cultura de Segurança da Informação é fundamentada por características que definem os direitos e os deveres que os indivíduos devem ter na realização das suas atividades impostas pela liderança das organizações. Assinale a alternativa que apresenta a sequência CORRETA:
(A) V - V - V - F.
(B) V - F - V - F.
(C) F - V - V - F.
(D) V - F - F - V.
5) É crucial para o sucesso do programa de treinamento de conscientização que as pessoas reconheçam que receberam e compreendam de forma completa o conteúdo entregue sobre as atividades e os papéis necessários para assegurar a segurança da informação. É importante obter seu feedback constante para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização. Com relação à forma de conteúdo de treinamento geral de conscientização referente à segurança, analise as sentenças a seguir: 
I- Utilização da Política de conscientização de segurança da organização, comércio eletrônico, práticas de e-mail seguro, mensagem instantâneas, o uso seguro de mídias sociais etc. 
II- Utilização de ambientes automatizados que oferecem práticas e orientações para trabalhar de forma presencial, a fim de evitar acesso às informações disponíveis em suas áreas.
 III- Utilização de segurança física, correios, fax, telefone, ambiente sem cartão, agente de segurança, acesso físico etc. Assinale a alternativa CORRETA:
(A) As sentenças I e III estão corretas.
(B) Somente a sentença III está correta.
(C) As sentenças II e III estão corretas.
(D) As sentenças I e II estão corretas.
6) Existem diversos métodos de comunicar a conscientização de segurança em toda a organização, no qual é recomendado que o conteúdo do treinamento seja determinado com base na função e na cultura da organização. Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação, a organização garante que o pessoal seja exposto a mesma informação várias vezes de diferentes maneiras. Dessa forma, as pessoas se lembram das informações a elas apresentadas e estarão preparadas para lidar de forma segura com a manipulação de seus ativos. Com relação aos métodos de comunicação da conscientização da segurança da informação, analise as sentenças a seguir:
 I - Os métodos de comunicação eletrônicos podem ser notificações por e-mail, e-learning, mídia social interna, pôsteres, eventos de treinamentos, seminários internos etc.
 II - O método de comunicação deve oferecer notificações direcionadas ao perfil do seu usuário de forma clara para que a mesma seja facilmente lida e entendidae todos estejam melhor preparados para lidar com diferentes situações, a fim de garantir a proteção de seus dados e informações. 
 III - Eventos sociais que envolvem palestras, vídeos educacionais e sessões de perguntas e respostas são poucos recomendados aos colaboradores de uma organização, pois oferecem momentos de pouco aprendizado dos colaboradores interessados. Assinale a alternativa CORRETA:
(A) Somente a sentença II está correta.
(B) As sentenças I e III estão corretas.
(C) As sentenças I e II estão corretas.
(D) As sentenças II e III estão corretas.
7) Infelizmente existem muitas pessoas que utilizam a tecnologia em função de enganar e obter informações confidenciais. O engenheiro social é aquele que utiliza a influência, a fraude e a persuasão contra as organizações, geralmente, com a intenção de obter informações. Com relação tipo do perfil do Engenheiro Social apontadas por Rabelo Júnior e Vieira (2015, p. 49), classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Boa aparência e agradável com as pessoas. 
( ) Grandes conhecedores de tecnologia e psicologia. 
( ) Boa aparência e são autodidatas. 
( ) Tem habilidade em lidar com pessoas e educados. 
Assinale a alternativa que apresenta a sequência CORRETA: FONTE: RABELO JÚNIOR, M. R.; VIEIRA, S. C. da C. Aspectos humanos da segurança da informação. In: LYRA, M. R. (org.). Governança da Segurança da Informação. Brasília: Edição do Autor, 2015, p. 47-58. Disponível em: http://docplayer.com.br/18984127-Governanca-da-seguranca-da-informacao.html. Acesso em: 30 mar. 2020.
(A) V - F - F - V.
(B) V - V - F - F.
(C) F - F - V - F.
(D) V - F - V - V.
8) A conscientização de segurança da informação deve ser disseminada via processo institucional, que demande melhoria continuada nas organizações onde possa disseminar seu conhecimento e possa oferecer um programa de treinamento para obter alto nível de conscientização de segurança para todos os funcionários. No que diz respeito ao programa de treinamento de conscientização de segurança, assinale a alternativa CORRETA:
(A) Um programa de melhoria contínua sobre conscientização de segurança da informação tem como benefício certificar a organização e seguir as estratégias impostas por órgãos internacionais.
(B) Um programa sólido de treinamento de conscientização possibilitará que a organização possa reconhecer ameaças e permitir que poucas pessoas possam se sentir confiantes em relatar possíveis problemas de segurança.
(C) A organização precisa definir junto a entidades externas um programa pronto para auxiliar na definição de diretrizes sobre segurança de informação para ser seguida.
(D) A organização deve definir uma lista de verificação para se desenvolver, monitorar e/ou manter um programa de treinamento de conscientização de segurança de forma eficaz.
9) Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) são conceitos básicos e fundamentais da segurança da informação para serem compreendidos por todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da Informação, analise as sentenças a seguir:
I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto fazem parte dos princípios e conceitos básicos da segurança da informação.
II- Capital intelectual, definição das regras de negócio, processos organizacionais, engenharia de software, definições e papéis e responsabilidades fazem parte dos princípios e conceitos básicos da segurança da informação. 
III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos fazem parte dos princípios e conceitos básicos da segurança da informação, assim como a engenharia de software. Assinale a alternativa CORRETA:
(A) As sentenças II e III estão corretas.
(B) As sentenças I e II estão corretas.
(C) As sentenças I e III estão corretas.
(D) Somente a sentença I está correta.
10) Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da informação conforme sua cultura e das organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade disponibilidade, confidencialidade e integridade, assinale a alternativa CORRETA:
(A) Por mais que haja mecanismos automatizados, a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das informações.
(B) Quando uma organização incorpora a cultura da segurança da informação, toda a organização fica comprometida.
(C) O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação.
(D) A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a confidencialidade e a integridade da informação.
GABARITO:
1) B
2) C
3) D
4) A
5) A
6) A
7) A
8) D
9) D
10) A