Baixe o app para aproveitar ainda mais
Prévia do material em texto
06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 1/6 Políticas de segurança e classificação da informação Professor(a): Marcia Bastos de Almeida (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Leia e associe as duas colunas: Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I – A; II – B; III – C. I – C; II – B; III – A. I – C; II – A; III – B. CORRETO I – B; II – A; III – C. I – A; II – C; III – B. Código da questão: 58771 A primeira __________ foi promulgada por meio do ____________ de 13 de junho de _________ pelo presidente Fernando Henrique Cardoso, que instituiu a Política de Segurança da Informação _____________ da Administração Pública Federal no Brasil. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Classificação; Decreto nº 2.910; 1998; nos ministérios. Estrutura; Decreto nº 9.637, 2000, nos órgãos. Lei nº 8.159; ; Decreto; 2012; nas entidades. Lei; direito; 1991; nos ministérios. PSI; Decreto nº 3.505; 2000; nos órgãos e entidades. CORRETO Resolução comentada: é necessário entender todas as estratégias e regras de negócios da organização, analisar e utilizar todas as regulamentações, legislação e os contratos, e também compreender todos os perfis de ameaças à segurança da informação que ocorreram e poderão ocorrer na organização, para que somente assim o comitê gestor inicie o desenvolvimento da política de segurança da informação. As políticas são desenvolvidas dentro das necessidades reais da organização e garantem eficientemente a segurança das informações pelo comitê gestor de segurança da informação. No nível 2 – tático, é desenvolvida a política complementar de segurança da informação que contém as diretrizes e deve estar alinhada à política principal de segurança da informação do nível 1. Avaliação enviada com sucesso 06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 2/6 3) 4) 5) Código da questão: 58758 O especialista de segurança da informação, ao contar com um __________ na organização, terá maior robustez em _____________ dos recursos de informação, ______________ das informações, e garantir ______________ da organização. Assinale uma alternativa correta que completa adequadamente as lacunas: Alternativas: Time de cibersegurança; um gestor propor segurança; os ativos. Com um grupo de profissionais; cibersegurança; confidencialidade; a imagem e os bens ativos. Comitê de segurança da informação; sua equipe; assegurar a segurança; a imagem. Comitê de segurança da informação; assegurar a disponibilidade; resguardar a integridade; a confidencialidade do conteúdo. CORRETO Time de segurança da informação; sua equipe; garantir segurança; a imagem. Código da questão: 58769 A classificação da informação visa assegurar que esta receba um nível adequado de proteção. Neste sentido, com relação à propriedade confidencialidade, assinale a alternativa correta sobre os critérios indicados: Alternativas: Vital, crítica e comum. Confidencial, restrita, interna e pública. CORRETO Registrada, comum e normal. Vital, interna e normal. Pública, comum, normal e controlada. Código da questão: 58746 Segundo o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança da Informação – CERT.br, o Brasil, no ano de 2019, teve 875.327 incidentes de segurança da informação. Entre estes, 46,81 foram incidentes por ________; 34,42% por ________; 11,48% Resolução comentada: a primeira política de segurança da informação foi promulgada pelo presidente Fernando Henrique Cardoso por meio do Decreto nº 3.505 em 13 de junho de 2000, que instituiu a política de segurança da informação nos órgãos e entidades da Administração Pública Federal do Brasil. Resolução comentada: um especialista de segurança da informação que tem na organização um comitê de segurança da informação lhe proporciona maior força para garantir e assegurar a disponibilidade, integridade e confidencialidade das informações. Pois é este comitê que irá ajudá-lo a desenvolver a política de segurança da informação da organização. Resolução comentada: a propriedade confidencialidade limita o acesso à informação somente a autorização pelo proprietário da informação. O critério confidencial proporciona isto e, em conjunto com o critério restrito, faz com que seja limitado o acesso. E o critério interno é um critério que controla a informação para uso particular de uma área; já o critério público, associado a todos os outros, é disponibilizado somente a informações que podem ser divulgadas. Avaliação enviada com sucesso 06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 3/6 6) 7) por ________; 4,5% por ________; 2,55% por ________; e 0,06% por ________. Assinale uma alternativa correta: Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Invasão; DoS, web; worm; scan; fraude. Invasão; fraude; DoS, web; worm; scan. Scan; DoS; worm; fraude; web; invasão. CORRETO Scan; DoS; fraude; worm; invasão; web. Fraude; worm, DoS, web; scan; invasão. Código da questão: 58720 Segundo a pesquisa recente da Identity Defined Security Alliance (IDSA), uma solução para a redução dos riscos de violação da segurança da informação nas organizações é: Alternativas: Treinamento e conscientização sobre segurança da informação. CORRETO Empresas precisam ser mais reativas em ataques de segurança da informação. Política de mudança de senhas em períodos curtos de tempo. Empresas serem mais proativas em ações de controle lógico em segurança da informação. Mudança da cultura organizacional com relação à segurança da informação. Código da questão: 58774 Sobre o uso do framework Cobit 5, desenvolvido pela Isaca para efetivar a governança de TI nas organizações, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F): ( ) Pesquisa realizada pela Isaca indicou que quase todos os entrevistados acreditavam que uma melhor governança de TI resulta em melhores resultados econômicos, enquanto mais da metade acreditava que isso levava mais agilidade aos negócios. ( ) O Cobit 5 é um framework desenvolvido pela Isaca para uso na governança de TI e que não contribui para a segurança da informação nas organizações. ( ) Uma forte governança de TI pode levar a operações mais eficientes e enxutas e com maior capacidade de resposta aos clientes e parceiros. ( ) A governança de TI não proporciona retornos mais demonstráveis dos investimentos e, também, não atribui melhor priorização de projetos. ( ) Na atualidade, devido à velocidade digital, fazer negócios requer que a organização avalie continuamente suas capacidades de tomada de decisão, isto é um item importante em que o Cobit pode trazer eficiência. Assinale a alternativa que contenha a sequência correta: Alternativas: V – V – F – V – F. V – V – V – F – F. Resolução comentada: Scan apresenta o maior número de incidentes, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador, indicando, neste sentido, que as organizações têm política de segurança da informação com controles fracos. Na sequência, seguem as fraudes: DoS, worm, fraude, web e invasão. Resolução comentada: a pesquisa aponta que os usuários não estão sabendo lidar com o phishing (roubo de dados pessoais on-line) e um maior treinamento e conscientização é uma solução adequada. Avaliação enviada com sucesso 06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/59402484/6 8) 9) F – V – V – V – F. F – F – F – V – F. V – F – V – F – V. CORRETO Código da questão: 58729 Sobre o desenvolvimento da política de segurança da informação na organização e em seus níveis organizacionais, podemos afirmar que: I. A política principal de segurança da informação nos níveis 2 e 3 (tático e operacional, respectivamente) é chamada de diretrizes, normas ou procedimentos. II. A política principal de segurança da informação – PPSI consiste na política gerada no nível 1 – estratégico somente. III. A partir do nível 2 – tático e do nível 3 – operacional, as políticas de segurança da informação são chamadas de políticas complementares. IV. A política principal de segurança da informação não precisa estar alinhada às políticas complementares. V. O comitê gestor de segurança da informação é o órgão na organização que desenvolverá as políticas de segurança da informação. São verdadeiras: Alternativas: I – II – IV. II – III – V. CORRETO I – IV – V. I – II – III. II – IV – V. Código da questão: 58773 Sobre a classificação da informação, com base na propriedade de confidencialidade, podemos afirmar que: I. A informação classificada como “pública” pode ser acessada por: usuários da organização; organizações, clientes e prestadoras de serviço; e o público em geral. Essa classificação se aplica, normalmente, às informações corporativas da organização que podem ser divulgadas para o público e para os clientes. As informações sem classificação serão consideradas “públicas”. II. A informação classificada como “interna organização” indica que esta somente deve ser acessada por usuários da organização ou de áreas organizacionais explicitadas. Ela se aplica, normalmente, a informações da organização que não possuem segredo de negócio ou que não comprometem a imagem da organização. Classificação: Informação Interna – Organização. Ou seja, internamente: qualquer usuário organização. Externamente: não autorizado. Resolução comentada: a governança de TI traz melhores resultados econômicos e leva maior agilidade aos negócios. O Cobit 5 é um framework para uso na governança de TI e pode contribuir para a segurança da informação, pois apresenta itens de gerenciamento e controle específico para esta área e indica criação de políticas de segurança. A governança de TI proporciona retornos mais consideráveis dos investimentos e atribui melhor priorização de projetos. Resolução comentada: a afirmação I é falsa, pois, nos níveis 2 e 3, não pode ser desenvolvida como política principal e sim complementar; já a II é correta, pois a política principal de segurança da informação é desenvolvida no nível 1 (nível estratégico); e a III é correta, pois, nos níveis 2 e 3, a política de segurança da informação é chamada de complementar. A IV está errada, pois a política principal de segurança da informação necessita estar alinhada às políticas complementares e estas necessitam estar alinhadas à política de segurança da informação. E, a V é verdadeira, pois quem desenvolve a política de segurança da informação na organização é o comitê gestor de segurança da informação. Avaliação enviada com sucesso 06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 5/6 10) III. Os níveis de classificação permitem que a informação possa ser identificada como: (1) pública, (2) interna, (3) confidencial e (4) restrita. Nenhum dos relatórios de sistemas, relatórios elaborados no ambiente de automação de escritório e nenhuma das telas do sistema deverão indicar o nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer outra forma de exposição da informação da organização pode ser classificada e não precisa ter explícito o seu nível de confidencialidade. Essa indicação do nível de classificação deve ser colocada em qualquer lugar de cada página do relatório ou na tela. No caso de correio eletrônico, não se deve colocar descrição alguma. IV. A informação classificada como “confidencial” indica que ela tem forte restrição de uso, um nível de confidencialidade maior que “interna” e somente pode ser acessada por usuários da organização ou da organização e por pessoal do parceiro (cliente, prestador de serviço, outro). A divulgação não autorizada dessa informação pode causar impacto (financeiro, de imagem ou operacional) ao negócio da organização e/ou ao negócio do parceiro. V. A informação classificada como “restrita organização” indica que ela somente pode ser acessada por usuário da informação da organização explicitamente indicado pelo nome ou por área organizacional a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa informação. São verdadeiras: Alternativas: II – V. I – II – IV – V. CORRETO I – II. I – II – III – IV. I – III – V. Código da questão: 58763 Sobre política de segurança da informação, com base na Norma ISO/IEC 27.002:2013, podemos afirmar que: I. Como diretrizes para implementação, é indicado que, no mais alto nível, a organização defina uma política de segurança da informação que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. II. É indicado que as políticas de segurança da informação contemplem requisitos oriundos da estratégia do negócio; de regulamentações, legislação e contratos; e do ambiente de Resolução comentada: a afirmação I é verdadeira, pois usuários da organização; organizações clientes e prestadoras de serviço; e o público em geral; já a II é correta, pois “interna organização” indica que esta somente deve ser acessada por usuários da organização ou de áreas organizacionais explicitadas (entende-se como áreas organizacionais explicitadas os departamentos que podem ter acesso à informação). E a III está errada, pois TODOS os relatórios de sistemas, relatórios elaborados no ambiente de automação de escritório e TODAS as telas do sistema deverão indicar o nível de classificação da informação referente à tela ou ao relatório. Toda e qualquer outra forma de exposição da informação da organização DEVE ser classificada e PRECISA ter explícito o seu nível de confidencialidade. Essa indicação do nível de classificação deve ser colocada no cabeçalho ou rodapé de cada página do relatório ou na tela. No caso de correio eletrônico, DEVE-SE colocar descrição COM DESTAQUE (negrito). A IV está correta, pois classificada como “confidencial” indica que tem forte restrição de uso, um nível de confidencialidade maior que “interna” e somente pode ser acessada por usuários: da organização; oupor pessoal parceiro (por parceiros, entende-se os terceirizados e fornecedores) . A divulgação não autorizada dessa informação pode causar impacto ao negócio da organização e/ou ao negócio do parceiro. E, por fim, a V é correta, pois classificada como “restrita ORGANIZAÇÃO” indica que somente pode ser acessada por usuário da informação da organização explicitamente indicado pelo nome ou por área organizacional a que pertence. A divulgação não autorizada dessa informação pode causar sérios danos ao negócio e/ou comprometer sua estratégia de negócio. É obrigatória a indicação do grupo ou das pessoas que podem acessar essa informação. Avaliação enviada com sucesso 06/04/2023, 22:23 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2802824/5940248 6/6 ameaça da segurança da informação, atual e futuro. III. Não é indicado que seja obtida a aprovação da direção para a política revisada. IV. É indicado que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação. V. É indicado que estas políticas sejam comunicadas aos funcionários e partes externas relevantes, de forma que sejam entendidas, acessíveis e relevantes aos usuáriospertinentes. São verdadeiras: Alternativas: I – II – IV – V. CORRETO I – III – IV – V. III – IV – V. I – II – IV. II – III – IV – V. Código da questão: 58723 Resolução comentada: a afirmação I é verdadeira, pois o alto nível da direção (nível estratégico) que é indicado que defina a política de segurança e seja aprovada pela mesma e não nos outros níveis (níveis tático e operacional); a II é correta, pois deve coletar todos os requisitos indicados para ação atual e futura; e a III é incorreta, pois toda política tem que obter a aprovação da direção. A IV está correta, pois é preciso um gestor que será responsável por todas as responsabilidades da política de segurança; e IV é correta também, pois toda política tem que ser comunicada a todos os funcionários. Arquivos e Links Avaliação enviada com sucesso
Compartilhar