Avaliação II - Individual (Conscientização em Segurança da Informação)

Prévia do material em texto

Pergunta 
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma 
ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos 
requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de 
controle às partes interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas 
práticas para controles de TI em toda a empresa. Com relação ao que o framework Cobit®2019 
fornece aos profissionais de segurança de informação e para as partes interessadas da 
organização, analise as sentenças a seguir: 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na 
segurança da informação. 
II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de 
software e nas questões de entrega e suporte de serviço. 
III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser 
reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia 
de maneira eficaz. 
Assinale a alternativa CORRETA: 
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança 
de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008. 
A) Somente a sentença III está correta. 
B) As sentenças I e III estão corretas. 
C) As sentenças I e II estão corretas. 
D) As sentenças II e III estão corretas. 
 
Pergunta 
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de 
tecnologia das organizações. Portanto, é importante contar com um plano de conscientização 
em segurança da informação para garantir a segurança de estratégias e projetos internos das 
organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora 
consideravelmente quando existe algum tipo de conscientização e treinamento em segurança 
de TI. No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E 
TREINAMENTO, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, 
como e por que realizar uma avaliação de necessidades. 
( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, 
como estabelecer prioridades e como definir o nível de complexidade do objeto 
adequadamente. 
( ) Realizar a descrição de como financiar o programa de conscientização. 
( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar 
as não conformidades nos planos de conscientização e treinamento, bem como realizar a 
verificação de qual área deve ser realizada a conscientização. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A) V - V - F - V. 
B) V - V - V - F. 
C) F - V - V - F. 
D) V - F - V - F. 
 
Pergunta 
Os seis principais princípios para um Sistema de Governança (Governance System) e três 
princípios do Framework de Governança servem como referência à segurança, ao risco, ao 
desenvolvimento e operação das organizações. Com relação a esses princípios de Sistema e 
Framework de Governança, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão 
Analítica, (3) Sistema de Governança holístico, (4) Diferença Governança de Processos, (5) 
Adaptados às necessidades das pessoas e (6) Sistema de Gestão do Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes 
interessadas, (2) visão holística, (3) Sistema de Governança Dinâmico, (4) Diferencia 
Governança de Gestão, (5) Adaptados às necessidades das empresas e (6) Sistema de 
Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual, (2) 
Aberto e flexível e (3) Alinhado com a maioria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis 
princípios do sistema de governança, pois tratam da segurança de forma mais completa. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A) V - F - V - F. 
B) F - V - V - V. 
C) F - V - V - F. 
D) F - V - F - V. 
 
Pergunta 
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que 
buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as 
organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções 
da estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para 
as falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e 
definições, (4) Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) 
Operação, (9) Avaliação de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos 
genéricos e específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à 
informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e 
compromisso com o SGSI, determinando políticas e atribuindo funções, responsabilidades e 
autoridades responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os 
riscos às informações devem ser tratados e esclarece os objetivos de segurança das 
informações e a seção (10) aborda as conclusões de auditorias e revisões, não conformidades 
e ações corretivas buscando de forma contínua a melhoria. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
A) F - F - V - V. 
B) V - F - F - V. 
C) V - F - V - V. 
D) V - V - V - F. 
 
Pergunta 
A estrutura do programa de conscientização e treinamento de segurança é composta por três 
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades 
definindo como deve ser projetado, desenvolvido e implementado. A respeito do que se trata 
cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e 
treinamento, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e 
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, 
estratégia distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: 
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, 
Plano de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e 
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano 
de segurança distribuída e implementação. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
A) V - F - F. 
B) F - F - V. 
C) F - V - V. 
D) F - V - F. 
 
 
 
Pergunta 
Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais 
preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no 
ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os 
negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança da 
informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques 
cibernéticos. Com base nas quatro etapas de críticas no ciclo de vida do plano em 
conscientização e treinamento em segurança da informação, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliaçãodas necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é 
focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material 
de treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à 
implementação do plano de conscientização e treinamento, bem como nas opções para a 
entrega de material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano 
atualizado e métodos de feedback eficazes. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda 
sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-
conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021. 
A) V - V - V - V. 
B) V - F - V - V. 
C) F - V - F - V. 
D) V - V - V - F. 
 
Pergunta 
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em 
segurança da informação da organização trata sobre "implementação do programa", na qual é 
compreendida a etapa responsável pela realização da comunicação e implementação do plano 
de conscientização e treinamento, com o objetivo de realizar a entrega de material para todos 
os colaboradores da organização. Com relação ao formato de realização desta etapa de 
Implementação do Programa, analise as sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, 
ensino a distância, vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização 
podem ser via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o 
que fazer o não fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização 
somente de forma presencial por meio de workshop e seminários com palestrantes 
especializados em programa de conscientização e treinamento em segurança da informação 
da própria organização. 
Assinale a alternativa CORRETA: 
A) Somente a sentença II está correta. 
B) As sentenças I e III estão corretas. 
C) As sentenças II e III estão corretas. 
D) As sentenças I e II estão corretas. 
 
Pergunta 
A sigla COBIT significa, em inglês, objetivos de controle para a informação e tecnologia (Control 
Objetives for Information and related Technology) e tem como objetivo promover um modelo 
para Governança de TI confiável, adotado por empresas, sendo atualizado diariamente por 
gerentes de negócio, profissionais de TI e auditores. Com relação às etapas da estrutura do 
Cobit®2019, analise as sentenças a seguir: 
I- É composta pela Introdução e Metodologia e pelos Objetivos de Governança e 
Gerenciamento. 
II- É composta pela etapa de Desenhar seu Sistema de Governança de Informação & 
Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação & 
Tecnologia. 
III- É composta pelo Documentação dos processos de Conscientização da Segurança da 
Informação e pelos Objetivos de Informação & Tecnologia. 
Assinale a alternativa CORRETA: 
A) Somente a sentença I está correta. 
B) As sentenças II e III estão corretas. 
C) As sentenças I e III estão corretas. 
D) As sentenças I e II estão corretas. 
 
Pergunta 
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em 
conscientização e treinamento em segurança da informação são: (1) Projeto de 
conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de 
treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à 
descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa 
CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and 
training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: 
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020. 
 
A) Define as políticas de segurança da informação voltadas para o programa de 
conscientização e treinamento. 
B) Realiza avaliação das necessidades da organização, bem como desenvolve e aprova 
uma estratégia de treinamento. 
C) Documenta as diretrizes de treinamentos para o programa de conscientização e 
treinamento de Segurança de Informação. 
D) Desenvolve material de treinamento e desenvolve e aprova sua estratégia de 
realização. 
 
Pergunta 
As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas 
mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo 
e Bezerra (2014, p. 7) nos apresentam que na visão geral da Segurança da Informação, a 
Análise de Riscos no âmbito das Mudanças Tecnológicas envolve a legislação, a ISO 
21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três fontes 
principais a serem consideradas no momento de estabelecer os requisitos de segurança da 
informação de uma organização, assinale a alternativa CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da 
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - 
RNP/ESR, 2014. 
A) Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de 
princípios. 
B) Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da 
Informação. 
C) Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade 
de riscos. 
D) Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.