Políticas de segurança e classificação da informação_prova

Prévia do material em texto

06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 1/6
Políticas de segurança e classificação da informação
Professor(a): Marcia Bastos de Almeida (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – A; II – B; III – C.
I – C; II – B; III – A.
I – C; II – A; III – B.  CORRETO
I – B; II – A; III – C.
I – A; II – C; III – B.
Código da questão: 58771
A primeira __________ foi promulgada por meio do ____________ de 13 de junho de
_________ pelo presidente Fernando Henrique Cardoso, que instituiu a Política de Segurança
da Informação _____________ da Administração Pública Federal no Brasil.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Classificação; Decreto nº 2.910; 1998; nos ministérios.
Estrutura; Decreto nº 9.637, 2000, nos órgãos.
Lei nº 8.159; ; Decreto; 2012; nas entidades.
Lei; direito; 1991; nos ministérios.
PSI; Decreto nº 3.505; 2000; nos órgãos e entidades.  CORRETO
Resolução comentada:
é necessário entender todas as estratégias e regras de negócios da organização,
analisar e utilizar todas as regulamentações, legislação e os contratos, e também
compreender todos os perfis de ameaças à segurança da informação que ocorreram
e poderão ocorrer na organização, para que somente assim o comitê gestor inicie o
desenvolvimento da política de segurança da informação.
As políticas são desenvolvidas dentro das necessidades reais da organização e
garantem eficientemente a segurança das informações pelo comitê gestor de
segurança da informação.
No nível 2 – tático, é desenvolvida a política complementar de segurança da
informação que contém as diretrizes e deve estar alinhada à política principal de
segurança da informação do nível 1.
Avaliação enviada com sucesso 
06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 2/6
3)
4)
5)
Código da questão: 58758
O especialista de segurança da informação, ao contar com um __________ na organização,
terá maior robustez em _____________ dos recursos de informação, ______________ das
informações, e garantir ______________ da organização.
Assinale uma alternativa correta que completa adequadamente as lacunas:
Alternativas:
Time de cibersegurança; um gestor propor segurança; os ativos.
Com um grupo de profissionais; cibersegurança; confidencialidade; a imagem e os bens
ativos.
Comitê de segurança da informação; sua equipe; assegurar a segurança; a imagem.
Comitê de segurança da informação; assegurar a disponibilidade; resguardar a
integridade; a confidencialidade do conteúdo.  CORRETO
Time de segurança da informação; sua equipe; garantir segurança; a imagem.
Código da questão: 58769
A classificação da informação visa assegurar que esta receba um nível adequado de
proteção. Neste sentido, com relação à propriedade confidencialidade, assinale a
alternativa correta sobre os critérios indicados:
Alternativas:
Vital, crítica e comum.
Confidencial, restrita, interna e pública.  CORRETO
Registrada, comum e normal.
Vital, interna e normal.
Pública, comum, normal e controlada.
Código da questão: 58746
Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança da
Informação – CERT.br, o Brasil, no ano de 2019, teve 875.327 incidentes de segurança da
informação. Entre estes, 46,81 foram incidentes por ________; 34,42% por ________; 11,48%
Resolução comentada:
a primeira política de segurança da informação foi promulgada pelo presidente
Fernando Henrique Cardoso por meio do Decreto nº 3.505 em 13 de junho de 2000,
que instituiu a política de segurança da informação nos órgãos e entidades da
Administração Pública Federal do Brasil.
Resolução comentada:
um especialista de segurança da informação que tem na organização um comitê de
segurança da informação lhe proporciona maior força para garantir e assegurar a
disponibilidade, integridade e confidencialidade das informações. Pois é este comitê
que irá ajudá-lo a desenvolver a política de segurança da informação da
organização.
Resolução comentada:
a propriedade confidencialidade limita o acesso à informação somente a autorização
pelo proprietário da informação. O critério confidencial proporciona isto e, em
conjunto com o critério restrito, faz com que seja limitado o acesso. E o critério
interno é um critério que controla a informação para uso particular de uma área; já o
critério público, associado a todos os outros, é disponibilizado somente a
informações que podem ser divulgadas.
Avaliação enviada com sucesso 
06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 3/6
6)
7)
por ________; 4,5% por ________; 2,55% por ________; e 0,06% por ________.
Assinale uma alternativa correta:
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Invasão; DoS, web; worm; scan; fraude.
Invasão; fraude; DoS, web; worm; scan.
Scan; DoS; worm; fraude; web; invasão.  CORRETO
Scan; DoS; fraude; worm; invasão; web.
Fraude; worm, DoS, web; scan; invasão.
Código da questão: 58720
Segundo a pesquisa recente da Identity Defined Security Alliance (IDSA), uma solução
para a redução dos riscos de violação da segurança da informação nas organizações é:
Alternativas:
Treinamento e conscientização sobre segurança da informação.  CORRETO
Empresas precisam ser mais reativas em ataques de segurança da informação.
Política de mudança de senhas em períodos curtos de tempo.
Empresas serem mais proativas em ações de controle lógico em segurança da
informação.
Mudança da cultura organizacional com relação à segurança da informação.
Código da questão: 58774
Sobre o uso do framework Cobit 5, desenvolvido pela Isaca para efetivar a governança
de TI nas organizações, considere as seguintes afirmações e classifique-as em verdadeiras
(V) ou falsas (F):
( ) Pesquisa realizada pela Isaca indicou que quase todos os entrevistados acreditavam que
uma melhor governança de TI resulta em melhores resultados econômicos, enquanto mais
da metade acreditava que isso levava mais agilidade aos negócios.
( ) O Cobit 5 é um framework desenvolvido pela Isaca para uso na governança de TI e que
não contribui para a segurança da informação nas organizações.
( ) Uma forte governança de TI pode levar a operações mais eficientes e enxutas e com
maior capacidade de resposta aos clientes e parceiros.
( ) A governança de TI não proporciona retornos mais demonstráveis dos investimentos e,
também, não atribui melhor priorização de projetos.
( ) Na atualidade, devido à velocidade digital, fazer negócios requer que a organização
avalie continuamente suas capacidades de tomada de decisão, isto é um item importante
em que o Cobit pode trazer eficiência.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – V – F – V – F.
V – V – V – F – F.
Resolução comentada:
Scan apresenta o maior número de incidentes, pois permite associar possíveis
vulnerabilidades aos serviços habilitados em um computador, indicando, neste
sentido, que as organizações têm política de segurança da informação com
controles fracos. Na sequência, seguem as fraudes: DoS, worm, fraude, web e
invasão.
Resolução comentada:
a pesquisa aponta que os usuários não estão sabendo lidar com o phishing (roubo
de dados pessoais on-line) e um maior treinamento e conscientização é uma solução
adequada.
Avaliação enviada com sucesso 
06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/59402484/6
8)
9)
F – V – V – V – F.
F – F – F – V – F.
V – F – V – F – V.  CORRETO
Código da questão: 58729
Sobre o desenvolvimento da política de segurança da informação na organização e em
seus níveis organizacionais, podemos afirmar que:
I. A política principal de segurança da informação nos níveis 2 e 3 (tático e operacional,
respectivamente) é chamada de diretrizes, normas ou procedimentos.
II. A política principal de segurança da informação – PPSI consiste na política gerada no
nível 1 – estratégico somente.
III. A partir do nível 2 – tático e do nível 3 – operacional, as políticas de segurança da
informação são chamadas de políticas complementares.
IV. A política principal de segurança da informação não precisa estar alinhada às políticas
complementares.
V. O comitê gestor de segurança da informação é o órgão na organização que
desenvolverá as políticas de segurança da informação.
São verdadeiras:
Alternativas:
I – II – IV.
II – III – V.  CORRETO
I – IV – V.
I – II – III.
II – IV – V.
Código da questão: 58773
Sobre a classificação da informação, com base na propriedade de confidencialidade,
podemos afirmar que:
I. A informação classificada como “pública” pode ser acessada por: usuários da organização;
organizações, clientes e prestadoras de serviço; e o público em geral. Essa classificação se
aplica, normalmente, às informações corporativas da organização que podem ser
divulgadas para o público e para os clientes. As informações sem classificação serão
consideradas “públicas”.
II. A informação classificada como “interna organização” indica que esta somente deve ser
acessada por usuários da organização ou de áreas organizacionais explicitadas. Ela se
aplica, normalmente, a informações da organização que não possuem segredo de negócio
ou que não comprometem a imagem da organização. Classificação: Informação Interna –
Organização. Ou seja, internamente: qualquer usuário organização. Externamente: não
autorizado.
Resolução comentada:
a governança de TI traz melhores resultados econômicos e leva maior agilidade aos
negócios. O Cobit 5 é um framework para uso na governança de TI e pode contribuir
para a segurança da informação, pois apresenta itens de gerenciamento e controle
específico para esta área e indica criação de políticas de segurança. A governança de
TI proporciona retornos mais consideráveis dos investimentos e atribui melhor
priorização de projetos.
Resolução comentada:
a afirmação I é falsa, pois, nos níveis 2 e 3, não pode ser desenvolvida como política
principal e sim complementar; já a II é correta, pois a política principal de segurança
da informação é desenvolvida no nível 1 (nível estratégico); e a III é correta, pois, nos
níveis 2 e 3, a política de segurança da informação é chamada de complementar. A
IV está errada, pois a política principal de segurança da informação necessita estar
alinhada às políticas complementares e estas necessitam estar alinhadas à política de
segurança da informação. E, a V é verdadeira, pois quem desenvolve a política de
segurança da informação na organização é o comitê gestor de segurança da
informação.
Avaliação enviada com sucesso 
06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 5/6
10)
III. Os níveis de classificação permitem que a informação possa ser identificada como: (1)
pública, (2) interna, (3) confidencial e (4) restrita. Nenhum dos relatórios de sistemas,
relatórios elaborados no ambiente de automação de escritório e nenhuma das telas do
sistema deverão indicar o nível de classificação da informação referente à tela ou ao
relatório. Toda e qualquer outra forma de exposição da informação da organização pode
ser classificada e não precisa ter explícito o seu nível de confidencialidade. Essa indicação
do nível de classificação deve ser colocada em qualquer lugar de cada página do relatório
ou na tela. No caso de correio eletrônico, não se deve colocar descrição alguma.
IV. A informação classificada como “confidencial” indica que ela tem forte restrição de uso,
um nível de confidencialidade maior que “interna” e somente pode ser acessada por
usuários da organização ou da organização e por pessoal do parceiro (cliente, prestador de
serviço, outro). A divulgação não autorizada dessa informação pode causar impacto
(financeiro, de imagem ou operacional) ao negócio da organização e/ou ao negócio do
parceiro.
V. A informação classificada como “restrita organização” indica que ela somente pode ser
acessada por usuário da informação da organização explicitamente indicado pelo nome ou
por área organizacional a que pertence. A divulgação não autorizada dessa informação
pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da
organização. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa
informação.
São verdadeiras:
Alternativas:
II – V.
I – II – IV – V.  CORRETO
I – II.
I – II – III – IV.
I – III – V.
Código da questão: 58763
Sobre política de segurança da informação, com base na Norma ISO/IEC 27.002:2013,
podemos afirmar que:
I. Como diretrizes para implementação, é indicado que, no mais alto nível, a organização
defina uma política de segurança da informação que seja aprovada pela direção e
estabeleça a abordagem da organização para gerenciar os objetivos de segurança da
informação.
II. É indicado que as políticas de segurança da informação contemplem requisitos oriundos
da estratégia do negócio; de regulamentações, legislação e contratos; e do ambiente de
Resolução comentada:
a afirmação I é verdadeira, pois usuários da organização; organizações clientes e
prestadoras de serviço; e o público em geral; já a II é correta, pois “interna
organização” indica que esta somente deve ser acessada por usuários da
organização ou de áreas organizacionais explicitadas (entende-se como áreas
organizacionais explicitadas os departamentos que podem ter acesso à informação).
E a III está errada, pois TODOS os relatórios de sistemas, relatórios elaborados no
ambiente de automação de escritório e TODAS as telas do sistema deverão indicar o
nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer
outra forma de exposição da informação da organização DEVE ser classificada e
PRECISA ter explícito o seu nível de confidencialidade. Essa indicação do nível de
classificação deve ser colocada no cabeçalho ou rodapé de cada página do relatório
ou na tela. No caso de correio eletrônico, DEVE-SE colocar descrição COM
DESTAQUE (negrito). A IV está correta, pois classificada como “confidencial” indica
que tem forte restrição de uso, um nível de confidencialidade maior que “interna” e
somente pode ser acessada por usuários: da organização; oupor pessoal parceiro
(por parceiros, entende-se os terceirizados e fornecedores) . A divulgação não
autorizada dessa informação pode causar impacto ao negócio da organização e/ou
ao negócio do parceiro. E, por fim, a V é correta, pois classificada como “restrita
ORGANIZAÇÃO” indica que somente pode ser acessada por usuário da informação
da organização explicitamente indicado pelo nome ou por área organizacional a que
pertence. A divulgação não autorizada dessa informação pode causar sérios danos
ao negócio e/ou comprometer sua estratégia de negócio. É obrigatória a indicação
do grupo ou das pessoas que podem acessar essa informação.
Avaliação enviada com sucesso 
06/04/2023, 22:23 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 6/6
ameaça da segurança da informação, atual e futuro.
III. Não é indicado que seja obtida a aprovação da direção para a política revisada.
IV. É indicado que cada política de segurança da informação tenha um gestor que tenha
aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas
de segurança da informação.
V. É indicado que estas políticas sejam comunicadas aos funcionários e partes externas
relevantes, de forma que sejam entendidas, acessíveis e relevantes aos usuáriospertinentes.
São verdadeiras:
Alternativas:
I – II – IV – V.  CORRETO
I – III – IV – V.
III – IV – V.
I – II – IV.
II – III – IV – V.
Código da questão: 58723
Resolução comentada:
a afirmação I é verdadeira, pois o alto nível da direção (nível estratégico) que é
indicado que defina a política de segurança e seja aprovada pela mesma e não nos
outros níveis (níveis tático e operacional); a II é correta, pois deve coletar todos os
requisitos indicados para ação atual e futura; e a III é incorreta, pois toda política tem
que obter a aprovação da direção. A IV está correta, pois é preciso um gestor que
será responsável por todas as responsabilidades da política de segurança; e IV é
correta também, pois toda política tem que ser comunicada a todos os funcionários.
Arquivos e Links
Avaliação enviada com sucesso 