Baixe o app para aproveitar ainda mais
Prévia do material em texto
20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 1/8 Revisar envio do teste: Clique aqui para iniciar o Quiz SSGICAS5DA_2301-2301-695434 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Quiz REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ Usuário DIEGO HENRIQUE VAZ PEREIRA Curso 2301-GESTÃO DE SEGURANÇA DA INFORMAÇÃO Teste Clique aqui para iniciar o Quiz Iniciado 28/02/23 21:32 Enviado 20/03/23 20:33 Data de vencimento 29/03/23 23:59 Status Completada Resultado da tentativa 4 em 10 pontos Tempo decorrido 479 horas, 1 minuto Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: Respostas: Segurança física é parte da segurança da informação, pois todos os ativos do negócio também devem ser fisicamente protegidos. Por outro lado, a segurança física é mais antiga do que a segurança da informação. Assim sendo, é objetivo de um dos controles da seção de segurança física e do meio ambiente: prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização. garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. assegurar a proteção dos dados usados para teste. prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização. Sala de Aula Tutoriais 0 em 1 pontos DIEGO HENRIQUE VAZ PEREIRA https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205163_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205163_1&content_id=_9202814_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 2/8 Comentário da resposta: garantir a operação segura e correta dos recursos de processamento da informação. garantir que a segurança da informação integre todo o ciclo de vida dos sistemas de informação, incluindo os requisitos para sistemas de informação fornecedores de serviços para as redes públicas. O anexo A.11. Segurança Física e do Ambiente da Norma 27001:2013 é composta por 15 controles e separado em duas seções: A.11.1 Áreas seguras e A.11.2 – Equipamentos. O objetivo “Prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas informações da organização” se refere à seção A.11.1. Pergunta 2 Resposta Selecionada: Respostas: Comentário da resposta: Um Sistema de Gestão de Segurança da Informação (SGSI) é uma estrutura de políticas e procedimentos de controles que gerencia a segurança e os riscos de forma sistemática e em toda a empresa. A ISO 27002 é um padrão suplementar que enfoca os controles de segurança da informação que as organizações podem optar por implementar. Diante desta afirmação, indique qual área não é um controle e sim um processo para gerenciar e proteger as informações organizacionais, não sendo, portanto, coberta pelos controles do Anexo A da Norma 27001. Segurança em Recursos Humanos. Organização da segurança da informação. Segurança em Recursos Humanos. Gestão de Ativos. Gestão de Acesso. Gestão de Riscos. A Gestão de Riscos não é um controle e sim um processo para gerenciar e proteger as informações organizacionais, diferentes dos controles que são Contramedidas para tratar vulnerabilidades e reduzir os riscos de incidentes de segurança da informação. Pergunta 3 A Norma ISO 27002:2019 define que uma política de controle de acesso deve ser estabelecida, documentada e revisada com base nos requisitos de negócio e de 0 em 1 pontos 0 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 3/8 Resposta Selecionada: Respostas: Comentário da resposta: segurança da informação, além de levar em consideração uma série de aspectos. Selecione a opção que que se caracteriza como um item a ser considerado pela política de controle de acesso. Controles a ambientes físicos e controle de acesso aos sistemas de informação. Legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços e gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis. Controles para registro e cancelamento de usuário e provisionamento para acesso de usuário. Restrição de acesso à informação e uso de programas utilitários privilegiados. Procedimentos seguros de entrada no sistema e Controle de acesso ao código-fonte de programas. Controles a ambientes físicos e controle de acesso aos sistemas de informação. São vários itens que devem ser considerados quando se define uma política: - requisitos de segurança de aplicações de negócios individuais; - política para disseminação e autorização da informação; - consistência entre os direitos de acesso e as políticas de classificação da informação de sistemas e redes; - legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços; - gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis. Pergunta 4 Resposta Selecionada: Qualquer informação crítica para os negócios (seja na forma física papel ou mídia de armazenamento) deve ser mantida no armário e usuários não autorizados não devem ter acesso para usar fotocopiadoras e scanners. Esta é uma diretriz de que controle? Política de mesa limpa e tela limpa. 1 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 4/8 Respostas: Comentário da resposta: Política de mesa limpa e tela limpa. Equipamento de usuário sem monitoração. Reutilização e ou descarte seguro de equipamentos. Segurança de equipamentos e ativos fora das dependências da Organização. Remoção de ativos. O controle A.11.2.9 – Política de mesa limpa e tela limpa visa assegurar que materiais sensíveis não sejam facilmente removidos, e que nenhuma informação deve ser deixada sobre uma mesa sem supervisão de alguém e, após o expediente, toda informação deve ser guardada em algo que possa ser trancado. Pergunta 5 Resposta Selecionada: Respostas: Comentário da resposta: Para que o controle de acesso funcione, é fundamental que os usuários conheçam suas responsabilidades em termos de manter as informações e os ativos seguros e protegidos. Para conseguir isso, os usuários devem ser responsáveis por suas próprias informações de autenticação, salvaguardando essas informações. Estamos nos referindo ao controle: restrição de acesso à informação. uso da informação de autenticação secreta. restrição de acesso à informação. sistema de gerenciamento de senha. uso de programas utilitários privilegiados. controle de acesso ao código-fonte de programas. No uso do controle A.9.3.1 – Uso da informação de autenticação secreta, os usuários devem ser orientados a seguir as práticas da organização quanto ao uso da informação de autenticação secreta. Para que o controle de acesso funcione, é fundamental queos usuários conheçam suas responsabilidades em termos de manter as informações e os ativos seguros e protegidos. Pergunta 6 A central de atendimento de TI de uma empresa é abordada com a seguinte questão: “você pode me dizer, no Word, como eu posso ter de volta a função negrito na barra de ferramentas no alto da minha tela?”. Essa questão é gravada 0 em 1 pontos 0 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 5/8 Resposta Selecionada: Respostas: Comentário da resposta: como um incidente no sistema de atendimento. Selecione a opção que apresenta um procedimento correto, pela equipe de atendimento. A central de atendimento de TI deve dar o atendimento para o usuário e não precisa registrar a ocorrência. Essa questão é gravada como um incidente no sistema da central de atendimento, embora não possamos chamá-lo de um incidente de segurança. Essa questão não deve ser gravada como um incidente no sistema da central de atendimento, a menos que haja um “vírus de remoção do botão de negrito”. Essa questão deve ser gravada como um incidente de segurança no sistema da central de atendimento, independentemente de ter ou não um “vírus de remoção do botão de negrito”. A central de atendimento de TI deve dar o atendimento para o usuário e não precisa registrar a ocorrência. A central de atendimento de TI não deve dar o atendimento para o usuário. Há vários tipos de incidentes e eles ocorrem em diversos graus. O padrão ISO/IEC 20000 descreve como incidentes podem ser geridos no processo de gerenciamento de incidentes. Mas nem todo incidente é um incidente de segurança. Então, deve ser feita uma avaliação do incidente para determinar se realmente há um incidente de segurança (BAARS et al, 2015). BAARS, H., HINTZGERGEN, K., HINTZGERGEN, J., SMULDERS, A. Fundamentos de Segurança da Informação com base na ISO 27001 e na ISO 27002. 2. ed. Brasport, 2015 Pergunta 7 Resposta Selecionada: Respostas: A segurança em processos de desenvolvimento e de suporte tem como objetivo garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. Podemos citar como controle dessa seção do Anexo A.14.2 -Segurança em processos de desenvolvimento e de suporte: política de desenvolvimento seguro. política de desenvolvimento seguro. equipamento de usuário sem monitoração. 1 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 6/8 Comentário da resposta: análise e especificação dos requisitos de segurança da informação. gestão de capacidade. monitoramento e análise crítica de serviços com fornecedores. Esta é uma política que deve ser desenvolvida e aplicada internamente na organização aos departamentos envolvidos no processo de desenvolvimento de sistemas de software, pois trata-se de um controle com o objetivo de se definir regras para a atividade de desenvolvimento de software realizadas dentro da organização. Pergunta 8 Resposta Selecionada: Respostas: Comentário da resposta: A identificação dos requisitos de segurança de informação é fundamental para o processo de gestão de risco de uma organização. Segundo o autor, esses requisitos podem ter origem em três fontes distintas: Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005. avaliação dos riscos, política de segurança e requisitos legais. Norma ABNT 27001, Norma ABNT 27002 e Norma ABNT 27005. política de segurança da informação e objetivos, plano de tratamento de risco e Inventário de ativos. avaliação dos riscos, requisitos legais e conjunto de princípios, objetivos e requisitos de negócio. política de controle de acesso, metodologia de avaliação de risco e de tratamento de risco e avaliação dos riscos. Para uma organização, é essencial que ela identifique seus requisitos de segurança, sendo que estes se originam de três fontes principais: a avaliação dos riscos à organização, levando em conta a estratégia e os objetivos globais de negócio da organização; os requisitos legais, determinados por estatutos, regulamentos e contratos e o conjunto de princípios, objetivos e requisitos de negócio para o manuseio. Pergunta 9 0 em 1 pontos 1 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 7/8 Resposta Selecionada: a. Respostas: a. b. c. d. e. Comentário da resposta: No Brasil, a ABNT é o único Foro Nacional de Normalização representante da ISO reconhecida pela sociedade brasileira desde a sua fundação, em 28 de setembro de 1940. Ela é responsável por publicar e manter a atualização da norma ISO / IEC 27001: 2013, que é responsável por: prover os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação no contexto da organização. prover os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação no contexto da organização. preservar a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos. para ser uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação. facilitar uma implementação satisfatória da segurança da informação tendo como base uma abordagem de gestão de riscos. fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação e recomendações, possibilidades e permissões em relação a eles. Essa Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). A adoção de um SGSI é uma decisão estratégica para uma organização. O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização. Pergunta 10 Durante uma crise nos negócios, são contratados recursos humanos extras, que devem ser treinados primeiro em procedimentos de segurança. Trata-se de um exemplo de mitigação de segurança para atender ao controle: 1 em 1 pontos 20/03/2023, 20:34 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_29458378_1&course_id=_205163_1&content_id=_920286… 8/8 Segunda-feira, 20 de Março de 2023 20h34min00s BRT Resposta Selecionada: Respostas: Comentário da resposta: implementando a continuidade da segurança da informação. cópias de segurança das informações. planejando a continuidade da segurança da informação. implementando a continuidade da segurança da informação. verificação, análise crítica e avaliação da continuidade da segurança da informação. disponibilidade dos recursos de processamento da Informação. 17.1.2 – Implementando a continuidade da segurança da informação. Para os riscos de Gestão de continuidade de negócios, que a empresa decida mitigar, os aspectos de segurança da informação devem ser incluídos. ← OK
Compartilhar