Módulo 2 Política de Segurança da Informação Exercício Avaliativo - Módulo 2_ Revisão da tentativa

Prévia do material em texto

Questão 1
Correto
Atingiu 1,00 de 1,00
Questão 2
Correto
Atingiu 1,00 de 1,00
Com relação ao processo de elaboração e implementação da Política de Segurança da Informação, julgue as assertivas a seguir.
I) A Política de Segurança da Informação deve ser elaborada exclusivamente pela equipe de TI, sem participação da alta administração ou
dos demais colaboradores.
II) Convém que o conjunto de Políticas de Segurança da Informação seja definido, aprovado pela direção, publicado e comunicado para
todos os funcionários e partes externas relevantes.
III) É comum que a Política de Segurança da Informação apresente uma estrutura hierárquica, onde diversos documentos de política sejam
desenvolvidos tendo como base e estando em conformidade com uma política de segurança corporativa.
IV) Procedimentos de rotina na organização como atualização de antivírus, política de senha, uso de e-mail e organização da mesa de
trabalho são aspectos abordados no conjunto que integra a Política de Segurança da Informação.
Assinale a alternativa correta.
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I e II estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas. 
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
A assertiva I está incorreta porque a elaboração da Política de Segurança da Informação não deve ficar a cargo somente dos colaboradores
da área de TI, ela deve envolver outros colaboradores e alta administração também.
A Política de Segurança da Informação é um documento vivo, que deve acompanhar a evolução das atividades da organização e as ameaças
externas e internas.
I) A segurança da informação é uma responsabilidade de todos dentro de uma organização.
II) A cultura de segurança da informação pode ser atingida por meio de educação, treinamento e conscientização.
III) O processo de implantação de uma Política de Segurança de Informação demanda recursos (pessoal ou financeiro), pois envolve
mudanças culturais na empresa e pode exigir a aquisição de equipamentos, softwares ou mesmo aprimoramento de instalações físicas.
IV) A Política de Segurança da Informação é um documento estático, que não necessita de monitoramento já que na sua elaboração já foram
elencados e formalizados todos os aspectos de segurança da informação relevantes para a organização.
Assinale a alternativa correta.
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I, II e III estão corretas. 
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas.
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva IV está incorreta. A Política de Segurança da Informação é um documento vivo, que deve acompanhar a evolução das
atividades da organização e as ameaças externas e internas.
Questão 3
Correto
Atingiu 1,00 de 1,00
Questão 4
Correto
Atingiu 1,00 de 1,00
Com relação à segurança física do ambiente, visando a resguardar a organização, julgue as assertivas a seguir.
I) Deve-se restringir o acesso aos ambientes que possuem recursos de informação apenas às pessoas que trabalham e utilizam esses
ambientes.
II) Sistemas de detecção e combate a incêndio devem ser considerados, sempre objetivando, em primeiro lugar, a segurança da informação.
III) Nem todos os aspectos relacionados à segurança física do ambiente precisam ser implementados, mas eles devem ser ao menos
avaliados quanto a sua necessidade de implementação.
IV) Embora nem sempre seja possível escolher a vizinhança, deve-se procurar ao menos monitorá-la, pois se uma organização vizinha não
tomar as devidas providências com relação a sua proteção física, isso pode impactar diretamente sua organização.
Assinale a alternativa correta.
Escolha uma opção:
a. Apenas as assertivas I e III estão corretas.
b. Apenas as assertivas I, II e III estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas I, III e IV estão corretas. 
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva II está incorreta. Nos sistemas de combate e detecção de incêndio deve-se prezar pela vida, antes da segurança da
informação.
No controle lógico de acesso à informação alguns aspectos devem ser considerados. Nesse contexto, julgue as alternativas a seguir a
marque a correta.
Escolha uma opção:
a. A segurança dos aplicativos envolve não somente o código executável, mas também o seu código-fonte. 
b. Os logs registram as atividades de sistemas e usuários e são importantes para identificar comportamentos de usuários e programas,
mas não têm muito uso para investigar tentativas de invasões.
c. O controle lógico de acesso à informação é uma atividade simples e pouco ligada a tecnologias.
d. Os sistemas operacionais, por serem softwares robustos e complexos, não necessitam de atualizações após suas instalações.
e. É uma boa prática o compartilhamento de um nome de usuário de sistema com mais de um colaborador, pois essa abordagem facilita
o gerenciamento de identificação e autenticação nos sistemas.
Sua resposta está correta.
b) Incorreta. Os logs são muito importantes para analisar as tentativas de invasão.
c) Incorreta. O controle lógico de acesso à informação é uma atividade complexa e muitas tecnologias estão envolvidas em seu
gerenciamento e proteção, sendo algumas delas:
Criptografia, infraestrutura de chave pública, VPN, antivírus, filtragem de conteúdo, sistemas de detecção de intrusão, respostas a incidentes,
backups, entre diversas outras.
d) Incorreta. Frequentemente surgem vulnerabilidades que são exploradas pelos atacantes nos sistemas operacionais e, ao tomarem
conhecimento, os fabricantes dos sistemas operacionais disponibilizam atualizações para impedir os ataques. Portanto, é importante mantê-lo
sempre atualizado.
e) Incorreta. A identificação do usuário deve ser única.
Questão 5
Correto
Atingiu 1,00 de 1,00
Questão 6
Correto
Atingiu 1,00 de 1,00
O Estado brasileiro possui uma regra própria de classificação da informação, regida pela Lei nº 12.527, de 18 de novembro de 2011. Essa Lei
determina três graus de sigilo da informação em seu Art. 24.
Assinale a alternativa que corresponde a esses três graus de sigilo.
Escolha uma opção:
a. Secreto, indisponível e reservado.
b. Reservado, público e privado.
c. Ultrassecreto, secreto e reservado. 
d. Ultrassecreto, secreto e disponível.
e. Reservado, secreto e público.
Sua resposta está correta.
O Estado brasileiro, por meio da Lei nº 12.527, de 18 de novembro de 2011, definiu três graus de sigilo da informação:
- ultrassecreto.
- secreto.
- reservado.
Com relação à classificação da informação, julgue os itens a seguir.
I) A classificação da informação tem como objetivo assegurar que ela receba um nível adequado de proteção, de acordo com a sua
importância para a organização.
II) A classificação da informação não é o objetivo final, mas sim um meio que permitirá tratamentos diferenciados na definição de
procedimentos de gestão da informação.
III) O processo de classificação da informação não pode simplesmente definir níveis simples como “informação privada” e “informação
pública”.
IV) Cada nível em que uma informação é classificada demandará um nível de controle de acesso distinto. E esses controles deverão existir
por todo o ciclo de vida da informação que compreende seu: manuseio, armazenamento, transporte e descarte.
Assinale a alternativa correta.
Escolha uma opção:
a. Apenas as assertivas I, II e IV estão corretas. 
b. Apenas as assertivas I e II estão corretas.
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II e IV estão corretas.
e. Todas as assertivas estão incorretas.
Sua resposta está correta.
Apenas a assertiva III está incorreta: a depender do tipo da organização e controle que ela deseja implementar, é possível que a classificação
da informação se dê em apenas dois níveis, como, por exemplo, “pública”e “privada”.
Questão 7
Correto
Atingiu 1,00 de 1,00
Questão 8
Correto
Atingiu 1,00 de 1,00
Para uma organização, ter um Plano de Continuidade de Negócio (PCN) desenvolvido e implementado seguindo critérios e metodologias
aderentes aos seus negócios é algo de grande importância atualmente. Com relação aos objetivos principais do Plano de Continuidade de
Negócios, julgue as assertivas a seguir.
I) O PCN contribui para melhorar proativamente a resiliência da organização contra possíveis interrupções de sua capacidade em atingir
seus principais objetivos.
II) O PCN contribui para prover uma prática para restabelecer a capacidade de uma organização fornecer seus principais produtos e
serviços, em um nível previamente acordado, dentro de um tempo previamente determinado após uma interrupção.
III) O PCN não contribui para obter reconhecida capacidade de gerenciar uma interrupção no negócio, de forma a proteger a marca e
reputação da organização.
IV) O PCN deve trabalhar com o aspecto preventivo, ou seja, buscando minimizar as chances de um evento crítico ocorrer e, no caso de
falha dessa prevenção (já que nem todas as prevenções dependem apenas da organização), um plano de recuperação deverá ser colocado
em prática.
Assinale a alternativa correta.
Escolha uma opção:
a. Todas as assertivas estão incorretas.
b. Apenas as assertivas I, II e IV estão corretas. 
c. Todas as assertivas estão corretas.
d. Apenas as assertivas II, III e IV estão corretas.
e. Apenas as assertivas I e III estão corretas.
Sua resposta está correta.
Apenas a assertiva III está incorreta. O PCN não contribui para obter reconhecida capacidade de gerenciar uma interrupção no negócio, de
forma a proteger a marca e reputação da organização.
A depender do porte da organização, algumas etapas para estruturação do plano de continuidade de negócios podem ter mais relevância que
as demais, no entanto, todas devem ser analisadas criteriosamente quanto à sua necessidade. Com relação a essas etapas, julgue as
assertivas a seguir.
I) A primeira etapa é a definição de escopo. Para que o projeto de implantação do plano se concretize, é necessário definir um escopo
factível de ser alcançado, podendo, inclusive, deixar áreas da organização de fora do plano de continuidade de negócios.
II) A etapa de análise de risco não é pontual: a organização deve criar um processo de análise de risco, colocá-lo em prática e mantê-lo em
funcionamento.
III) Na etapa análise de impacto no negócio não é indicada a participação das áreas de negócio da organização, pois elas têm o
conhecimento para indicar o tempo máximo de indisponibilidade aceito.
IV) A etapa de definição das estratégias de continuidade de negócio deve considerar aspectos de continuidade relativos a pessoas,
instalações, serviços de tecnologia, informação, suprimentos e relações com partes interessadas.
Assinale a alternativa correta.
Escolha uma opção:
a. Todas as assertivas estão incorretas.
b. Apenas as assertivas I e II estão corretas.
c. Apenas as assertivas I, II e IV estão corretas. 
d. Apenas as assertivas II e IV estão corretas.
e. Todas as assertivas estão corretas.
Sua resposta está correta.
Apenas o item III está incorreto: Um dos principais pressupostos da análise de impacto no negócio é que há bastante dependência entre os
processos de uma organização e alguns têm mais importância do que outros. Assim, manter os processos prioritários será o objetivo durante
uma situação de contingência.
Com a análise dos processos, deve-se identificar qual o tempo que seria tolerável de interrupção e calcular potenciais impactos e
infraestrutura mínima de contingência. Esta etapa exige ampla participação das áreas de negócio da organização, pois elas têm o
conhecimento necessário para indicar o tempo máximo de indisponibilidade aceito.
Questão 9
Correto
Atingiu 1,00 de 1,00
Com relação à conscientização e treinamento das pessoas dentro de uma organização quanto à importância da implementação e
manutenção de uma Política de Segurança da Informação, julgue os itens a seguir, marcando a opção correta.
Escolha uma opção:
a. As falhas humanas não podem comprometer as diretrizes de segurança da informação.
b. Um funcionário, fora do ambiente de trabalho, relatar a outras pessoas desconhecidas detalhes de um novo produto que a empresa
vai lançar não pode ser considerada uma falha de segurança da informação.
c. A aquisição e implementação das tecnologias mais avançadas de segurança da informação é suficiente para o sucesso da Política de
Segurança da Informação.
d. Todos os colaboradores de uma organização devem conhecer o seu papel dentro dela e saber a importância das informações que ela
detém e isso é alcançado com treinamentos e conscientização. 
e. No âmbito da Administração Pública Federal não há interesse em promover ações de capacitação e profissionalização dos seus
recursos humanos com relação a segurança da informação, visto que esse seria um custo elevado e sem retorno.
Sua resposta está correta.
a) Incorreta. As falhas humanas podem comprometer as diretrizes de segurança da informação.
b) Incorreta. É um exemplo de um funcionário que não conhece a importância da informação para a empresa, ou seja, falta de
conscientização.
c) Incorreta. Não basta somente investimento em compra e implementação de tecnologias voltadas à segurança da informação, é necessário
também treinamento e conscientização dos recursos humanos, bem como um bom Plano de Segurança da Informação.
e) Incorreta. Há, no âmbito da Administração Pública Federal, o interesse no treinamento e conscientização de seus colaboradores. Um
exemplo disso é o Decreto nº 9.637, de 26 de dezembro de 2018, que define que “Órgãos e entidades da administração pública federal”
devem “promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação”.
https://mooc38.escolavirtual.gov.br/mod/glossary/showentry.php?eid=11478&displayformat=dictionary