Quiz Gestão de Segurança da Informação - Tentativa 1

Prévia do material em texto

20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 1/8
 
Revisar envio do teste: Clique aqui para iniciar o Quiz
SSGICAS5DA_2301-2301-695434 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Quiz
REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ 
Usuário DIEGO HENRIQUE VAZ PEREIRA
Curso 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Teste Clique aqui para iniciar o Quiz
Iniciado 28/02/23 21:32
Enviado 20/03/23 20:33
Data de vencimento 29/03/23 23:59
Status Completada
Resultado da tentativa 4 em 10 pontos  
Tempo decorrido 479 horas, 1 minuto
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários
Pergunta 1
Resposta
Selecionada:
Respostas:
Segurança física é parte da segurança da informação, pois todos os ativos do
negócio também devem ser fisicamente protegidos. Por outro lado, a segurança
física é mais antiga do que a segurança da informação. Assim sendo, é objetivo
de um dos controles da seção de segurança física e do meio ambiente:
prevenir o acesso físico não autorizado, danos e interferências
nos recursos de processamento das informações e nas
informações da organização.
garantir que a segurança da informação está projetada e
implementada no ciclo de vida de desenvolvimento dos
sistemas de informação.
assegurar a proteção dos dados usados para teste.
prevenir o acesso físico não autorizado, danos e interferências
nos recursos de processamento das informações e nas
informações da organização.
Sala de Aula Tutoriais
0 em 1 pontos
DIEGO HENRIQUE VAZ PEREIRA
https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205163_1
https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205163_1&content_id=_9202814_1&mode=reset
https://www.ead.senac.br/
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1
https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1
https://senacsp.blackboard.com/webapps/login/?action=logout
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 2/8
Comentário
da resposta:
garantir a operação segura e correta dos recursos de
processamento da informação.
garantir que a segurança da informação integre todo o ciclo de
vida dos sistemas de informação, incluindo os requisitos para
sistemas de informação fornecedores de serviços para as redes
públicas.
O anexo A.11. Segurança Física e do Ambiente da Norma
27001:2013 é composta por 15 controles e separado em duas
seções: A.11.1 Áreas seguras e A.11.2 – Equipamentos. O
objetivo “Prevenir o acesso físico não autorizado, danos e
interferências nos recursos de processamento das informações e
nas informações da organização” se refere à seção A.11.1.
Pergunta 2
Resposta Selecionada: 
Respostas:
 
Comentário da
resposta:
Um Sistema de Gestão de Segurança da Informação (SGSI) é uma estrutura de
políticas e procedimentos de controles que gerencia a segurança e os riscos de
forma sistemática e em toda a empresa. A ISO 27002 é um padrão suplementar
que enfoca os controles de segurança da informação que as organizações podem
optar por implementar.
Diante desta afirmação, indique qual área não é um controle e sim um processo
para gerenciar e proteger as informações organizacionais, não sendo, portanto,
coberta pelos controles do Anexo A da Norma 27001.
Segurança em Recursos Humanos.
Organização da segurança da informação.
Segurança em Recursos Humanos.
Gestão de Ativos.
Gestão de Acesso.
Gestão de Riscos.
A Gestão de Riscos não é um controle e sim um processo para
gerenciar e proteger as informações organizacionais, diferentes
dos controles que são Contramedidas para tratar
vulnerabilidades e reduzir os riscos de incidentes de segurança
da informação.
Pergunta 3
A Norma ISO 27002:2019 define que uma política de controle de acesso deve ser
estabelecida, documentada e revisada com base nos requisitos de negócio e de
0 em 1 pontos
0 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 3/8
Resposta
Selecionada:
Respostas:
Comentário da
resposta:
segurança da informação, além de levar em consideração uma série de aspectos.
Selecione a opção que que se caracteriza como um item a ser considerado pela
política de controle de acesso.
Controles a ambientes físicos e controle de acesso aos sistemas
de informação.
Legislação pertinente e qualquer obrigação contratual relativa à
proteção de acesso para dados ou serviços e gerenciamento de
direitos de acesso em um ambiente distribuído e conectado à
rede que reconhece todos os tipos de conexões disponíveis.
Controles para registro e cancelamento de usuário e
provisionamento para acesso de usuário.
Restrição de acesso à informação e uso de programas utilitários
privilegiados.
Procedimentos seguros de entrada no sistema e Controle de
acesso ao código-fonte de programas.
Controles a ambientes físicos e controle de acesso aos sistemas
de informação.
São vários itens que devem ser considerados quando se
define uma política:
- requisitos de segurança de aplicações de negócios
individuais;
- política para disseminação e autorização da informação;
- consistência entre os direitos de acesso e as políticas de
classificação da informação de sistemas e redes;
- legislação pertinente e qualquer obrigação contratual relativa
à proteção de acesso para dados ou serviços;
- gerenciamento de direitos de acesso em um ambiente
distribuído e conectado à rede que reconhece todos os tipos
de conexões disponíveis.
Pergunta 4
Resposta
Selecionada:
 
Qualquer informação crítica para os negócios (seja na forma física papel ou mídia
de armazenamento) deve ser mantida no armário e usuários não autorizados não
devem ter acesso para usar fotocopiadoras e scanners. Esta é uma diretriz de que
controle?
Política de mesa limpa e tela limpa.
1 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 4/8
Respostas: 
Comentário
da resposta:
Política de mesa limpa e tela limpa.
Equipamento de usuário sem monitoração.
Reutilização e ou descarte seguro de equipamentos.
Segurança de equipamentos e ativos fora das dependências
da Organização.
Remoção de ativos.
O controle A.11.2.9 – Política de mesa limpa e tela limpa visa
assegurar que materiais sensíveis não sejam facilmente
removidos, e que nenhuma informação deve ser deixada sobre
uma mesa sem supervisão de alguém e, após o expediente, toda
informação deve ser guardada em algo que possa ser trancado.
Pergunta 5
Resposta Selecionada: 
Respostas: 
Comentário
da resposta:
Para que o controle de acesso funcione, é fundamental que os
usuários conheçam suas responsabilidades em termos de manter as informações
e os ativos seguros e protegidos. Para conseguir isso, os usuários devem
ser responsáveis por suas próprias informações de autenticação,
salvaguardando essas informações. Estamos nos referindo ao controle:
restrição de acesso à informação.
uso da informação de autenticação secreta.
restrição de acesso à informação.
sistema de gerenciamento de senha.
uso de programas utilitários privilegiados.
controle de acesso ao código-fonte de programas.
No uso do controle A.9.3.1 – Uso da informação de autenticação
secreta, os usuários devem ser orientados a seguir as práticas da
organização quanto ao uso da informação de autenticação
secreta. Para que o controle de acesso funcione, é fundamental
queos usuários conheçam suas responsabilidades em termos de
manter as informações e os ativos seguros e protegidos.
Pergunta 6
A central de atendimento de TI de uma empresa é abordada com a seguinte
questão: “você pode me dizer, no Word, como eu posso ter de volta a função
negrito na barra de ferramentas no alto da minha tela?”. Essa questão é gravada
0 em 1 pontos
0 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 5/8
Resposta
Selecionada:
Respostas:
Comentário
da resposta:
como um incidente no sistema de atendimento. Selecione a opção que apresenta
um procedimento correto, pela equipe de atendimento.
A central de atendimento de TI deve dar o atendimento para o
usuário e não precisa registrar a ocorrência.
Essa questão é gravada como um incidente no sistema da
central de atendimento, embora não possamos chamá-lo de um
incidente de segurança.
Essa questão não deve ser gravada como um incidente no
sistema da central de atendimento, a menos que haja um “vírus
de remoção do botão de negrito”.
Essa questão deve ser gravada como um incidente de
segurança no sistema da central de atendimento,
independentemente de ter ou não um “vírus de remoção do
botão de negrito”.
A central de atendimento de TI deve dar o atendimento para o
usuário e não precisa registrar a ocorrência.
A central de atendimento de TI não deve dar o atendimento para
o usuário.
Há vários tipos de incidentes e eles ocorrem em diversos graus.
O padrão ISO/IEC 20000 descreve como incidentes podem ser
geridos no processo de gerenciamento de incidentes. Mas nem
todo incidente é um incidente de segurança. Então, deve ser feita
uma avaliação do incidente para determinar se realmente há um
incidente de segurança (BAARS et al, 2015). 
BAARS, H., HINTZGERGEN, K., HINTZGERGEN, J., SMULDERS,
A. Fundamentos de Segurança da Informação com base na ISO
27001 e na ISO 27002. 2. ed. Brasport, 2015
Pergunta 7
Resposta
Selecionada:
 
Respostas: 
A segurança em processos de desenvolvimento e de suporte tem como objetivo
garantir que a segurança da informação está projetada e implementada no ciclo
de vida de desenvolvimento dos sistemas de informação. Podemos citar como
controle dessa seção do Anexo A.14.2 -Segurança em processos de
desenvolvimento e de suporte:
política de desenvolvimento seguro.
política de desenvolvimento seguro.
equipamento de usuário sem monitoração.
1 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 6/8
Comentário
da resposta:
análise e especificação dos requisitos de segurança da
informação.
gestão de capacidade.
monitoramento e análise crítica de serviços com
fornecedores.
Esta é uma política que deve ser desenvolvida e aplicada
internamente na organização aos departamentos envolvidos no
processo de desenvolvimento de sistemas de software, pois
trata-se de um controle com o objetivo de se definir regras para a
atividade de desenvolvimento de software realizadas dentro da
organização.
Pergunta 8
Resposta
Selecionada:
Respostas:
Comentário
da resposta:
A identificação dos requisitos de segurança de informação é fundamental para o
processo de gestão de risco de uma organização. Segundo o autor, esses
requisitos podem ter origem em três fontes distintas:
Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT
27005.
avaliação dos riscos, política de segurança e requisitos legais.
Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT
27005.
política de segurança da informação e objetivos, plano de
tratamento de risco e Inventário de ativos.
avaliação dos riscos, requisitos legais e conjunto de princípios,
objetivos e requisitos de negócio.
política de controle de acesso, metodologia de avaliação de
risco e de tratamento de risco e avaliação dos riscos.
Para uma organização, é essencial que ela identifique seus
requisitos de segurança, sendo que estes se originam de três
fontes principais: a avaliação dos riscos à organização, levando
em conta a estratégia e os objetivos globais de negócio da
organização; os requisitos legais, determinados por estatutos,
regulamentos e contratos e o conjunto de princípios, objetivos e
requisitos de negócio para o manuseio.
Pergunta 9
0 em 1 pontos
1 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 7/8
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
e.
Comentário
da resposta:
No Brasil, a ABNT é o único Foro Nacional de Normalização representante da ISO
reconhecida pela sociedade brasileira desde a sua fundação, em 28 de setembro
de 1940. Ela é responsável por publicar e manter a atualização da norma ISO /
IEC 27001: 2013, que é responsável por:
prover os requisitos para estabelecer, implementar, manter e
melhorar continuamente um sistema de gestão de segurança
da informação no contexto da organização.
prover os requisitos para estabelecer, implementar, manter e
melhorar continuamente um sistema de gestão de segurança
da informação no contexto da organização.
preservar a confidencialidade, integridade e disponibilidade da
informação por meio da aplicação de um processo de gestão de
riscos.
para ser uma referência na seleção de controles dentro do
processo de implementação de um sistema de gestão da
segurança da informação.
facilitar uma implementação satisfatória da segurança da
informação tendo como base uma abordagem de gestão de
riscos.
fornece orientações sobre os requisitos para um sistema de
gestão de segurança da informação e recomendações,
possibilidades e permissões em relação a eles.
Essa Norma foi preparada para prover requisitos para
estabelecer, implementar, manter e melhorar continuamente um
sistema de gestão de segurança da informação (SGSI). A adoção
de um SGSI é uma decisão estratégica para uma organização. O
estabelecimento e a implementação do SGSI de uma organização
são influenciados pelas suas necessidades e objetivos, requisitos
de segurança, processos organizacionais usados, tamanho e
estrutura da organização.
Pergunta 10
Durante uma crise nos negócios, são contratados recursos humanos extras, que
devem ser treinados primeiro em procedimentos de segurança. Trata-se de um
exemplo de mitigação de segurança para atender ao controle:
1 em 1 pontos
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 8/8
Segunda-feira, 20 de Março de 2023 20h34min00s BRT
Resposta
Selecionada:
Respostas:
Comentário da
resposta:
implementando a continuidade da segurança da informação.
cópias de segurança das informações.
planejando a continuidade da segurança da informação.
implementando a continuidade da segurança da informação.
verificação, análise crítica e avaliação da continuidade
da segurança da informação.
disponibilidade dos recursos de processamento
da Informação.
17.1.2 – Implementando a continuidade da segurança da
informação. Para os riscos de Gestão de continuidade de
negócios, que a empresa decida mitigar, os aspectos de
segurança da informação devem ser incluídos.
← OK