Avaliação Final (Objetiva) - Sistemas de Informação em Segurança

Prévia do material em texto

21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 1/6
Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual
(Cod.:770713)
Peso da Avaliação 3,00
Prova 53586616
Qtd. de Questões 10
Acertos/Erros 10/0
Nota 10,00
Existem basicamente dois tipos de estruturas organizacionais possíveis para compor o setor de 
segurança da informação de uma empresa: o “Escritório de Segurança da Informação” e o “Comitê de 
Segurança da Informação”, segundo Barros e Estrela (2015). Sobre as vantagens do Escritório de 
Segurança da Informação, analise as sentenças a seguir:
I- Disponibilidade da equipe em um local fixo.
II- Disponibilidade da equipe em tempo integral.
III- Custo inexistente com local físico.
IV- Atribuições da equipe somente focadas em segurança da informação.
V- Custo inexistente de pagamento para pessoal específico de segurança da informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: BARROS, E. N.; ESTRELA, L. de S. Organização da segurança da informação. In: LYRA, 
M. R. (org.). Governança da Segurança da Informação. Brasília: Edição do Autor, 2015. p. 27-35. 
Disponível em: http://docplayer.com.br/18984127-Governanca-da-seguranca-da-informacao.html. 
Acesso em: 30 mar. 2020.
A As sentenças I, III e V estão corretas.
B As sentenças I, II e IV estão corretas.
C As sentenças III e V estão corretas.
D As sentenças II, III e IV estão corretas.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um 
método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz 
referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de 
Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de 
forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do 
modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do 
SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados 
e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para 
fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
 VOLTAR
A+
Alterar modo de visualização
1
2
21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 2/6
A As sentenças II e IV estão corretas.
B As sentenças III e IV estão corretas.
C As sentenças I e III estão corretas.
D As sentenças I e IV estão corretas.
De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a 
estratégia organizacional, com seu processo de negócios, com o modelo de gestão corporativo de 
segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar 
as ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às 
seis etapas do modelo de gestão corporativo de segurança da informação, analise as sentenças a 
seguir: 
I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança.
II- (4) planejamento de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos 
tangíveis produtivo. 
III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de 
segurança. 
IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia 
produtiva. 
Assinale a alternativa CORRETA:
FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do 
conhecimento. 2013. 41 f. Monografia (Especialização em Gestão da Tecnologia da Informação e 
Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do 
Paraná. Curitiba, 2013. Disponível em: 
http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 
2 fev. 2021.
A As sentenças I e II estão corretas.
B As sentenças II e IV estão corretas.
C As sentenças II e III estão corretas.
D As sentenças I e IV estão corretas.
Conforme Sêmola (2014, p. 7), “no ambiente corporativo, muitos outros processos de tratamento do 
risco estão amadurecidos, como risco jurídico, risco de crédito, risco financeiro, risco de pessoal etc., 
mas ainda há muito a desenvolver no campo do risco da informação”. Neste sentido, Sêmola define 
alguns conceitos importantes relativos à Segurança da Informação.
Sobre esses conceitos, assinale a alternativa CORRETA:
FONTE: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: 
Elsevier, 2014.
3
4
21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 3/6
A
Ciclo de vida da informação: as empresas são diferentes e precisarão mapear o seu risco através
da ponderação de ameaças, vulnerabilidades físicas, tecnológicas e humanas, e impactos, em
busca da especificação da solução ideal.
B
Crescimento da dependência: a visão corporativa da segurança da informação deve ser
comparada a uma corrente, em que o elo mais fraco determina o seu grau de resistência e
proteção. A invasão ocorre onde a segurança falha.
C Informação: representa a inteligência competitiva dos negócios e é reconhecida como ativo
crítico para a continuidade operacional e saúde da empresa.
D
Visão Corporativa: os riscos são inerentes e proporcionais aos índices de dependência que a
empresa tem da informação e da complexidade da estrutura que suporta os processos de
automação, informatização e compartilhamento de informações.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que 
buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as 
organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções da 
estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as 
falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) 
Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação 
de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos 
genéricos e específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à 
informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso 
com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades 
responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às 
informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10) 
aborda as conclusões de auditorias e revisões, não conformidades e ações corretivas buscando de 
forma contínua a melhoria.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - F.
B F - F - V - V.
C V - F - F - V.
D V - F - V - V.
Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma 
consciente para garantir a eficácia da segurança da informação conforme sua cultura e das 
organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios 
da segurança da informação da tríade disponibilidade, confidencialidade e integridade, assinale a 
alternativa CORRETA:
A O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir
o risco e o impacto da segurança da informação.
5
6
21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 4/6
B
Por mais que haja mecanismos automatizados, asegurança da informação estará comprometida
se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das
informações.
C Quando uma organização incorpora a cultura da segurança da informação, toda a organização
fica comprometida.
D
A cultura da segurança da informação bem disseminada em uma organização não impacta na
maneira como as pessoas se comportam para manter a confidencialidade e a integridade da
informação.
Existem diversos métodos de comunicar a conscientização de segurança em toda a organização, 
no qual é recomendado que o conteúdo do treinamento seja determinado com base na função e na 
cultura da organização. Ao disseminar o treinamento de conscientização sobre segurança por meio de 
vários canais de comunicação, a organização garante que o pessoal seja exposto a mesma informação 
várias vezes de diferentes maneiras. Dessa forma, as pessoas se lembram das informações a elas 
apresentadas e estarão preparadas para lidar de forma segura com a manipulação de seus ativos. Com 
relação aos métodos de comunicação da conscientização da segurança da informação, analise as 
sentenças a seguir: 
I- Os métodos de comunicação eletrônicos podem ser notificações por e-mail, e-learning, mídia social 
interna, pôsteres, eventos de treinamentos, seminários internos etc. 
II- O método de comunicação deve oferecer notificações direcionadas ao perfil do seu usuário de 
forma clara para que a mesma seja facilmente lida e entendida e todos estejam melhor preparados 
para lidar com diferentes situações, a fim de garantir a proteção de seus dados e informações. 
III- Eventos sociais que envolvem palestras, vídeos educacionais e sessões de perguntas e respostas 
são poucos recomendados aos colaboradores de uma organização, pois oferecem momentos de pouco 
aprendizado dos colaboradores interessados. 
 
Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças II e III estão corretas.
C As sentenças I e III estão corretas.
D Somente a sentença II está correta.
A conscientização de segurança da informação deve ser disseminada via processo institucional, 
que demande melhoria continuada nas organizações onde possa disseminar seu conhecimento e possa 
oferecer um programa de treinamento para obter alto nível de conscientização de segurança para 
todos os funcionários. No que diz respeito ao programa de treinamento de conscientização de 
segurança, assinale a alternativa CORRETA:
A A organização precisa definir junto a entidades externas um programa pronto para auxiliar na
definição de diretrizes sobre segurança de informação para ser seguida.
B
Um programa sólido de treinamento de conscientização possibilitará que a organização possa
reconhecer ameaças e permitir que poucas pessoas possam se sentir confiantes em relatar
possíveis problemas de segurança.
7
8
21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 5/6
C Um programa de melhoria contínua sobre conscientização de segurança da informação tem como
benefício certificar a organização e seguir as estratégias impostas por órgãos internacionais.
D A organização deve definir uma lista de verificação para se desenvolver, monitorar e/ou manter
um programa de treinamento de conscientização de segurança de forma eficaz.
A estrutura do programa de conscientização e treinamento de segurança é composta por três 
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como 
deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três 
modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique V 
para as sentenças verdadeiras e F para as falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e 
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia 
distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: 
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano 
de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e 
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de 
segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F.
B V - F - F.
C F - V - V.
D F - F - V.
As políticas e os regulamentos de segurança da informação são os principais documentos da 
maior parte das organizações, eles contêm todas as orientações voltadas para o Sistema de 
Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security 
Management System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A 
respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) normas que podem ser 
escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as 
falsas: 
( ) Um regulamento é tanto igual quanto a um documento de política. 
( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir 
instruções de trabalho. 
( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser 
examinados. 
( ) As normas descrevem regras e políticas para a segurança física e lógica. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B V - V - V - F.
9
10
21/04/2023, 16:26 Avaliação Final (Objetiva) - Individual
about:blank 6/6
C F - V - V - F.
D V - V - F - V.
Imprimir