QUESTIONÁRIO I- G SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
Analise as proposições a seguir sobre os conceitos de Segurança da 
Informação. 
 
I – As ações voltadas para proteger os ativos de informação estão 
sempre baseadas nos princípios de integridade, disponibilidade e 
confidencialidade, ressaltando apenas que os princípios de 
legalidade e legitimidade podem ser adicionados. 
 
II – O princípio de confidencialidade visa garantir que o acesso à 
informação seja dado apenas para aqueles usuários legitimados a 
acessar a informação. 
 
III – O princípio de disponibilidade remete a responsabilidade de 
garantir que as informações não sofram alterações em todos os seus 
estados possíveis. 
 
IV – O princípio de integridade remete à garantia de que a 
informação esteja disponível para os usuários legitimados quando 
eles requerem o seu acesso. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: a. 
I e II, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: A 
Comentário: Quando falamos sobre a 
responsabilidade de garantir que as informações não 
sofram alterações em todos os seus estados possíveis, 
 
estamos falando do princípio de integridade, assim 
como quando falamos que a informação deve estar 
disponível para os usuários legitimados quando estes 
requerem acesso estamos nos referindo ao princípio 
de disponibilidade. 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
Analise as proposições a seguir sobre o ciclo de vida da informação. 
 
I – Na fase de armazenamento, os ativos de informação que não 
estão sendo ou que já foram tratados ou transmitidos devem ser 
devidamente guardados de forma organizada para possíveis 
consultas futuras. 
 
II – Na fase de descarte das informações, não há necessidade de 
medidas de segurança, uma vez que essas informações não têm mais 
valor algum para a organização. 
 
III – A geração da informação é marcada por sua aquisição, criação 
no ambiente interno, pode ser retirada de banco de dados, mídias, 
internet e outras fontes de informação ou simplesmente herdada de 
uma área ou empresa. 
 
IV – Na fase de transmissão da informação, é onde por algum 
motivo a informação será passada de um ponto a outro por meio de 
algum canal de comunicação. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: e. 
I, III e IV, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
 
e. 
I, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: E 
Comentário: Na fase de descarte, mesmo a 
informação não sendo mais necessária e onde será 
finalmente excluída do rol de informações da 
organização, o descarte inadequado pode causar 
prejuízos à segurança da informação. 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
Analise as proposições a seguir sobre os componentes de 
segurança da informação. 
 
I – Proteções podem ser definidas como medidas que serão 
adotadas para proporcionar segurança aos ativos de 
informação, cabe ressaltar que o balanceamento entre o 
custo e o benefício é fundamentalmente necessário. 
 
II – A implantação de mecanismos de proteção isolados não é 
suficiente para evitar os ataques, por isso, uma forma eficaz 
de implementação de mecanismos baseia-se na utilização de 
mecanismos em camadas. 
 
III – A simples ausência de mecanismos de proteção 
apropriados, falhas em mecanismos de proteção existentes, 
sendo assim, as vulnerabilidades são a porta de entrada para 
que as ameaças se concretizem. 
 
IV – As proteções são implantadas sob três aspectos, sendo 
lógico, físico e jurídico. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: d. 
I, II e III, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
I, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: D 
Comentário: As proteções são implantadas sob 
três aspectos, sendo lógico, físico e 
administrativo, sendo este último focado em 
políticas, normas e procedimentos. 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Analise as proposições a seguir sobre estratégias de proteção das 
informações. 
 
I – A estratégia de defesa por obscuridade consiste em colocar vários 
mecanismos de proteção para proteger o mesmo ativo, isso funciona 
semelhante a uma casa que possui diversos níveis de proteção. 
 
II – A estratégia de privilégio mínimo consiste em dar permissão 
mínima de acesso aos usuários aos sistemas, ou seja, fornece apenas 
o acesso necessário para que o usuário desenvolva suas atividades. 
 
III – A origem dos problemas de segurança está baseada em três 
fontes diferentes: natural, acidental ou intencional. 
 
IV – A estratégia do elo mais fraco: a força da corrente é 
determinada pela força de seu elo mais fraco, essa estratégia consiste 
em encontrar onde está a parte mais fraca nos processos, nas pessoas 
ou na tecnologia e ali adicionar maior carga de mecanismos de 
proteção para equilibrar a corrente. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: e. 
II, III e IV, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: E 
Comentário: A estratégia de defesa em 
profundidade: consiste em colocar vários 
mecanismos de proteção para proteger o mesmo 
ativo, isso funciona semelhante a uma casa que 
possui diversos níveis de proteção, que funcionam 
como barreiras inibidoras, primeiro o portão, depois 
a porta de entrada, essa estratégia de proteção 
funciona como uma contingência da outra; agora 
quando falamos da estratégia de segurança por meio 
da obscuridade, consiste em esconder a existência de 
um ativo de informação, parte do pressuposto que se 
os atacantes não sabem da existência do ativo, não 
teriam interesse em furtá-lo, é a forma mais simples 
de proteção. 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
Analise as proposições a seguir sobre a classificação das 
informações. 
 
I – As informações podem ser categorizadas como: Pessoais, 
de Segurança Nacional e de Negócio. 
 
II – O processo de classificação da informação consiste em 
organizar as informações pelo seu grau de importância e, a 
partir daí, definir quais os níveis de proteção de cada ativo de 
informação. 
 
III – Podem ser considerados benefícios tangíveis da 
classificação da informação: conscientização, 
responsabilidades, níveis de proteção, tomada de decisões e 
uso de recursos. 
 
IV – Os objetivos básicos da classificação da informação são 
 
dois: proteção e administrativa. 
 
É correto o que se afirma em: 
Resposta Selecionada: d. 
I, II e III, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: D 
Comentário: Podemos mensurar os objetivos 
básicos da classificação da informação como 
sendo dois: proteção e economia, sendo esta 
última vinculada à forma que, quanto maior a 
necessidade de proteção para o ativo, maior 
será o investimento financeiro em mecanismos 
de proteção. Na prática, isso quer dizer que se 
a classificação das informações representarem 
a realidade, isso representará economia para a 
organização. 
 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
Analise as proposições sobre a estrutura da segurança da 
informação. 
 
I – A estruturação da área de segurança da informação tem 
como objetivo criar uma estrutura funcional e operacional 
destinada a lidar com a segurança da informação. 
 
II – As pessoas selecionadas para atuarem na área de 
segurança da informação devem possuir as seguintes 
habilidades: devem ser funcionários da corporação com 
amplaexperiência em segurança da informação, além de 
gerenciamento de projetos de tecnologia. 
 
 
III – O líder deve possuir um cargo na hierarquia que 
possibilite a tomada de decisões, requisição de auxílio de 
funcionários de outras áreas e condução de verificações nas 
diversas áreas da corporação, esse líder poderá ser um 
gerente ou um diretor. 
 
IV – O líder da área de segurança da informação 
( security office) deve atuar como a pessoa que sempre 
inviabiliza o negócio, lembrando que geralmente deverá 
assumir sozinho o risco. 
 
É correto o que se afirma em: 
Resposta Selecionada: d. 
I, II e III, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: D 
Comentário: O líder da área de segurança da 
informação ( security office) não deve atuar 
nem como um paranoico que sempre inviabiliza 
o negócio, nem como um cowboy que assume 
sozinho o risco, cabe a ele mostrar os riscos 
inerentes e negociar soluções alternativas com 
os gestores das áreas de negócio. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
Analise as proposições sobre o sistema de gestão de 
segurança da informação – SGSI. 
 
I – O ciclo do PDCA ( Plan, Do, Check e Act) se tornou uma 
ferramenta básica de gerenciamento do SGSI. 
 
 
II – Deve-se realizar as tarefas conforme foram revistas no 
plano, coletar dados para verificação do funcionamento do 
processo conforme o previsto, isso remete ao item executar 
( Do) do PDCA. 
 
III – A partir dos dados coletados durante a execução, analisa 
e compara os resultados alcançados com a meta planejada. 
Isso remete ao item verificar ( Check) do PDCA. 
 
IV – As etapas do projeto de preparação do SGSI apresentam 
uma sequência de atividades que precisam ser empreendidas 
para o sucesso, que são: Planejar, Implementar, Capacitar e 
Auditar. 
 
É correto o que se afirma em: 
Resposta Selecionada: e. 
I, II, III e IV. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e III, apenas. 
 
e. 
I, II, III e IV. 
Comentário 
da resposta: 
Resposta: E 
Comentário: Todas as afirmativas estão 
corretas, o ciclo do PDCA se torna uma 
ferramenta básica de gerenciamento do SGSI. 
Para facilitar a implementação e estruturação 
do SGSI de acordo com o PDCA, as 
organizações seguem o modelo de projeto 
baseado no PMBOK 2004. As atividades de 
projeto são coordenadas e processadas de 
forma a auxiliar o gestor a acompanhar todas 
as etapas do projeto de implementação do 
SGSI. 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Analise as proposições sobre os fatores de sucesso do Sistema de 
Gestão da Segurança da Informação – SGSI. 
 
I – O comprometimento e apoio dado pela alta administração é 
considerado um fator de sucesso para o SGSI. 
 
II – O SGSI estruturado de acordo com o PDCA será um sistema de 
gestão de segurança da informação que tende a amadurecer mais 
rapidamente. 
 
III – No caso do SGSI, a certificação ISO 27001 representa apenas 
um ponto de melhoria no processo, uma amostra de que a empresa 
está iniciando seu processo de amadurecimento sobre Segurança da 
Informação. 
 
IV – Existem outros fatores críticos de sucesso para determinar o 
sucesso de um SGSI bem estruturado, é necessário levar em 
consideração a sequência natural de amadurecimento do 
conhecimento sobre os requisitos de segurança que uma organização 
adquire com aplicação prática das normas. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: d. 
I, II e IV, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
III e IV, apenas. 
 
d. 
I, II e IV, apenas. 
 
e. 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: D 
Comentário: Pelo contrário, a certificação ISO 
27001 se refere a um nível de maturidade mais 
 
apurado, que está no topo da pirâmide de utilização 
das normas conhecidas para aplicação dos 
dispositivos de segurança da informação, pois ela 
prevê um sistema organizado que será depurado pelo 
ciclo do PDCA. 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Analise as proposições sobre o estabelecimento do Sistema 
de Gestão de Segurança da Informação (SGSI). 
 
I – Deve ser definido o escopo da certificação, que também 
engloba o treinamento da equipe do projeto na interpretação 
da norma, para que todos os envolvidos conheçam os 
requisitos do SGSI. 
 
II – O escopo deve considerar exclusivamente os aspectos de 
segurança da informação e os controles a ela definidos. 
 
III – O escopo deve possuir processos definidos e maduros, 
para melhor estruturação de um SGSI que não tem como 
objetivo definir processos de trabalho, mas sim implementar 
segurança nos processos existentes. 
 
IV – A política de segurança da informação é o documento 
que contém, de forma objetiva e estratégica, as premissas e 
diretrizes para o SGSI. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: c. 
I, III e IV, apenas. 
Respostas: a. 
I e II, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
I, III e IV, apenas. 
 
d. 
I, II e IV, apenas. 
 
e. 
 
II, III e IV, apenas. 
Comentário 
da resposta: 
Resposta: C 
Comentário: O escopo deve considerar as 
características do negócio, aspectos gerais da 
organização, sua localização, ativos e 
tecnologias, além de também incluir detalhes e 
justificativas para quaisquer exclusões. 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Analise as proposições sobre o monitoramento e análise do 
Sistema de Gestão de Segurança da Informação (SGSI). 
 
I – O SGSI não precisa ser monitorado consistentemente e 
revisitado periodicamente no período de 5 anos. 
 
II – O monitoramento faz parte do processo de manutenção 
dos controles, que, quando implantados, serão a base para o 
acompanhamento cíclico dos indicadores do SGSI. 
 
III – As auditorias podem ser de dois tipos: interna ou externa. 
 
IV – As auditorias externas se tratam de uma autoavaliação, 
uma análise executada por uma área interna independente, 
porém dentro da própria organização, verificando a 
adequação, eficiência e eficácia dos sistemas de gestão. 
 
É correto o que se afirma em: 
 
Resposta Selecionada: a. 
II e III, apenas. 
Respostas: a. 
II e III, apenas. 
 
b. 
I e IV, apenas. 
 
c. 
I, III e IV, apenas. 
 
d. 
I, II e IV, apenas. 
 
e. 
II, III e IV, apenas. 
 
Comentário 
da resposta: 
Resposta: A 
Comentário: Ressaltando que o SGSI deve ser 
monitorado consistentemente e revisitado 
periodicamente, o período não é indicado, 
todavia, recomenda-se anualmente. São as 
auditorias internas que se tratam de uma 
autoavaliação, uma análise executada por uma 
área interna independente, porém dentro da 
própria organização, verificando a adequação, 
eficiência e eficácia dos sistemas de gestão, e 
não as auditorias externas. 
 
 
TELE AULA 
 Pergunta 1 
0 em 0 pontos 
 
A origem dos problemas de segurança está baseada em três fontes 
diferentes, quais são elas? 
Resposta Selecionada: 
c. 
Natural, acidental e intencional. 
Respostas: a. 
Natural, anormal e humana. 
 
b. 
Acidental, humana e tecnológica. 
 
c. 
Natural, acidental e intencional. 
 
d. 
Intencional, humana e anormal. 
 
e. 
Acidental, anormal e tecnológica. 
Comentário da resposta: Resposta: c) 
 
 
 Pergunta 2 
0 em 0 pontos 
 
Podemos segmentar a classificação das informações por: 
 
Resposta Selecionada: 
a. 
Pessoas, processos e tecnologia. 
Respostas: 
a. 
Pessoas, processos e tecnologia. 
 
b. 
Porte, tipo e tamanho. 
 
c. 
Pessoas, porte e tamanho. 
 
d. 
Pessoas, processos e tamanho. 
 
 
e. 
Tecnologia, processos e tipo. 
Comentário da resposta: Resposta: a) 
 
 Pergunta 3 
0 em 0 pontos 
 
Quais são as etapas do Sistema de Gestão da Segurança da 
Informação – SGSI? 
Resposta Selecionada: 
e. 
Planejar, Implementar, Capacitare Auditar. 
Respostas: a. 
Preparar, Manter, Abordar e Melhorar. 
 
b. 
Planejar, Definir, Implantar e Manter. 
 
c. 
Planejar, Organizar, Manter e Melhorar. 
 
d. 
Organizar, Estruturar, Manter e Melhorar. 
 
e. 
Planejar, Implementar, Capacitar e Auditar. 
Comentário da resposta: Resposta: e) 
 
 
 Pergunta 4 
0 em 0 pontos 
 
Realizada por uma empresa independente (Órgão Certificador) que 
avalia a existência, a adequação e a eficácia dos requisitos da norma. 
Essa auditoria é chamada de: 
 
Resposta Selecionada: 
b. 
Externa. 
Respostas: a. 
Interna. 
 
b. 
Externa. 
 
c. 
De manutenção. 
 
d. 
De expansão. 
 
e. 
De inspeção. 
Comentário da resposta: Resposta: b)