Segurança da Informação e Governança

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:827033)
Peso da Avaliação 1,50
Prova 60630989
Qtd. de Questões 10
Acertos/Erros 10/0
Nota 10,00
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da 
informação da organização trata sobre "implementação do programa", na qual é compreendida a etapa 
responsável pela realização da comunicação e implementação do plano de conscientização e treinamento, com o 
objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de 
realização desta etapa de Implementação do Programa, analise as sentenças a seguir: 
 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, 
vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de 
primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de 
teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma 
presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e 
treinamento em segurança da informação da própria organização. 
 
Assinale a alternativa CORRETA:
A As sentenças I e III estão corretas.
B Somente a sentença II está correta.
C As sentenças II e III estão corretas.
D As sentenças I e II estão corretas.
A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos 
diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado, 
desenvolvido e implementado. A respeito do que se trata cada um dos três modelos comumente aceitos na 
estrutura do programa de conscientização e treinamento, classifique V para as sentenças verdadeiras e F para as 
falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e estratégia 
centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia distribuída e 
implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: Norma, Plano de 
Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e políticas 
centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de segurança distribuída e 
implementação. 
 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V.
B F - V - F.
C V F F
 VOLTAR
A+ Alterar modo de visualização
1
2
C V - F - F.
D F - F - V.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um método que tem 
a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz referência ao modelo PDCA 
aplicado para estruturar todos os processos do Sistema de Gerenciamento de Segurança da Informação (SGSI), 
que é composto por um conjunto de ações de forma sequencial para atender à área de Segurança da Informação. 
Com relação a estas etapas do modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a 
seguir: 
 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados e 
implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para fazer a 
implementação e a operação do SGSI. 
 
Assinale a alternativa CORRETA:
A As sentenças II e IV estão corretas.
B As sentenças I e IV estão corretas.
C As sentenças III e IV estão corretas.
D As sentenças I e III estão corretas.
Os seis principais princípios para um Sistema de Governança (Governance System) e três princípios do 
Framework de Governança servem como referência à segurança, ao risco, ao desenvolvimento e operação das 
organizações. Com relação a esses princípios de Sistema e Framework de Governança, classifique V para as 
sentenças verdadeiras e F para as falsas: 
 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão Analítica, (3) 
Sistema de Governança holístico, (4) Diferença Governança de Processos, (5) Adaptados às necessidades das 
pessoas e (6) Sistema de Gestão do Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes interessadas, (2) visão 
holística, (3) Sistema de Governança Dinâmico, (4) Diferencia Governança de Gestão, (5) Adaptados às 
necessidades das empresas e (6) Sistema de Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual, (2) Aberto e flexível 
e (3) Alinhado com a maioria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis princípios do sistema de 
governança, pois tratam da segurança de forma mais completa. 
 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - V.
B F - V - V - F.
C V - F - V - F.
D F - V - F - V.
3
4
As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças estão os 
riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, p. 7) nos apresentam 
que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito das Mudanças Tecnológicas 
envolve a legislação, a ISO 21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três 
fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de 
uma organização, assinale a alternativa CORRETA: 
 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 
27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - RNP/ESR, 2014.
A Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
B Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de riscos.
C Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação.
D Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em 
conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e treinamento, (2) 
Conscientização e desenvolvimento de materiais de treinamento e (3) Implementação do programa e (4) Pós-
implementação. Com relação à descrição da etapa de Projeto de conscientização e treinamento, assinale a 
alternativa CORRETA: 
 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. 
NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: 
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
A Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
B Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de
treinamento.
C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento.
D Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de
Informação.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que buscam de 
maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do 
seu tipo, tamanho ou natureza.Com relação a estas 10 seções da estrutura da ABNT NBR ISO/IEC 27001, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) Contexto 
da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação de desempenho e (10) 
Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos genéricos e 
específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à informação e 
como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI, 
determinando políticas e atribuindo funções, responsabilidades e autoridades responsáveis pela segurança da 
informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às informações 
devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10) aborda as conclusões de 
auditorias e revisões, não conformidades e ações corretivas buscando de forma contínua a melhoria. 
5
6
7
 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - F.
B F - F - V - V.
C V - F - V - V.
D V - F - F - V.
Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de 
Segurança da Informação são a International Organization for Standardization (ISO), a International 
Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas Brasileiras 
(BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança.
B A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização.
C A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de
conscientização e treinamento.
D A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da
Informação (SGSI).
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma ferramenta de 
suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas 
e riscos de negócios, comunicando esse nível de controle às partes interessadas. O COBIT habilita o 
desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. Com relação ao que 
o framework Cobit®2019 fornece aos profissionais de segurança de informação e para as partes interessadas da 
organização, analise as sentenças a seguir: 
 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da 
informação. 
II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas 
questões de entrega e suporte de serviço. 
III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser reconhecido 
mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. 
 
Assinale a alternativa CORRETA: 
 
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da 
estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A Somente a sentença III está correta.
B As sentenças II e III estão corretas.
C As sentenças I e II estão corretas.
D As sentenças I e III estão corretas.
8
9
O Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle 
de Sistemas de Informação internacional viabilizava as boas práticas de conscientização pelos habilitadores no 
Cobit 5, fornecendo orientação sobre as exigências relativas ao comportamento humano, tendo como princípio 
básico guias que detalham os habilitadores de governança e gestão. Com relação às boas práticas de 
conscientização pelos habilitadores no Cobit 5, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura, ética e 
comportamento. 
( ) Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de inovação 
organizacional. 
( ) Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento. 
 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V.
B V - V - F.
C V - F - V.
D V - F - F.
10
Imprimir