Política de segurança e Inventário e Ativos de Informação (20217)

Prévia do material em texto

PROVA 1
Quando falamos de segurança da informação, não devemos apenas pensar nos equipamentos e redes. É preciso estar atento aos comportamentos dos colaboradores. A engenharia social refere-se à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais. É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador. Com relação à Engenharia Social, assinale a alternativa CORRETA:
A
Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta.
B
Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de violar a segurança da informação, utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações.
C
Envolve práticas e técnicas de hacker e cracker para capturar informações do sistema das pessoas e extrair suas informações sigilosas de forma anônima.
D
A engenharia social somente se aplica ao contexto empresarial, pois os engenheiros sociais são contratados para melhorar a segurança.
Estar atento aos ativos de informação é fator fundamental para a sobrevivência das organizações. Isso deve-se ao alto valor que esses ativos possuem. Já imaginou o impacto em uma organização ao perder todos os seus dados que estão armazenados em um servidor. Baseado nesse cenário de grande valor e em relação aos aspectos da segurança da informação, assinale a alternativa CORRETA:
A
Como as informações são consideradas com um ativo tangível em uma organização, é necessário garantir que as informações não sejam afetadas por ameaças, ataques e erros do usuário.
B
É necessário disponibilizar as informações das organizações de maneira precisa, completa e em tempo hábil para que as pessoas possam utilizá-las livremente sem a necessidade de autenticação e autorização.
C
A informação é um ativo intangível fundamental para o funcionamento da maioria das organizações, portanto, é necessário garantir que a informação não seja afetada por ameaças, ataques e erros do usuário.
D
A informação é considerada como um ativo tangível e intangível e que tem valor, sua proteção contra a perda de disponibilidade, confidencialidade e integridade depende exclusivamente de recursos tecnológicos.
A informação é também considerada um ativo e, diferente de um equipamento, na maioria das vezes, seu valor é incalculável para as organizações e fundamental para o funcionamento dela. Portanto, é necessário que seja dada a devida atenção em todas as etapas do ciclo de vida. O incorreto descarte pode representar um risco para a organização quando não são observados os devidos cuidados. 
Sobre esse contexto de descarte de informações, assinale a alternativa CORRETA:
A
Quando realizamos a exclusão de informações importantes e que são consideradas confidenciais de um microcomputador, não há necessidade de preocupação extra, já que essas informações não podem ser recuperadas através do uso de utilitários de recuperação de dados.
B
O descarte de informações só ocorre quando deletamos dados no sistema. Ações como jogar documentos no lixo não são consideradas descarte de informações.
C
O descarte da informação é a primeira etapa do ciclo de vida da informação, pois descartar o que não precisa e só ficar com o que está correto.
 
 
D
A política de segurança deve identificar como será o descarte de informações e equipamentos de hardware, pois estes podem conter informações valiosas que não foram devidamente apagadas de seus dispositivos de armazenamento.
Quando se pretende implementar uma política de segurança em uma organização, o quanto antes for feito, mais fácil será e melhores serão os resultados, pois processos e procedimentos podem ser estipulados e implementados, gerando bons resultados. Por exemplo, deve-se verificar o tipo de estrutura de segurança física, como clima e restrição de acesso, também quem serão os profissionais e quais serão suas qualificações. Além disso, devem ser criadas e implantadas diretrizes de segurança, quais equipamentos e sistemas serão utilizados, responsáveis pela execução do projeto e quais normas de segurança deverão ser utilizadas. Portanto, no que diz respeito à segurança lógica e física, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Com relação à segurança física, a única preocupação diz respeito à proteção das informações armazenadas em meio digital. ( ) A segurança ambiental compreende os aspectos relacionados ao ambiente tecnológico e envolve a integridade, confidencialidade e disponibilidade das informações armazenadas nos dispositivos de computação e nas redes que os interligam. ( ) Na segurança física, deve-se observar as áreas e ambientes físicos da organização que não devem ser acessados por pessoas não autorizadas. Por exemplo: a sala do servidor deve estar sempre trancada e a chave dessa sala só pode ser acessada por usuários autorizados a trabalhar nos servidores. ( ) Barreiras de controle e físicas, como catracas, são uma técnica de segurança antiga e não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa segurança lógica dos dados. Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - F - V.
B
F - F - V - F.
C
F - V - V - F.
D
V - F - V - F.
Um dos fatores de grande vulnerabilidade, quando falamos de segurança da informação, são as pessoas. Por isso, na construção da política de segurança da informação (PSI) é importante deixar claro a importância de todos no processo de manter a informação segura. As organizações devem periodicamente promover treinamentos e explicar sobre as possíveis formas de obtenção indevida de dados através da engenharia social. Com base nesse assunto e na formas de engenharia social, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Você recebe um e-mail dizendo que tem fotos da turma de colégio e coloca um link para ver as fotos. ( ) Uma pessoa fazendo-se passar por pesquisador de uma instituição, e fica na frente do portão de entrada de uma empresa para obter dados. ( ) Batedores de carteira, que roubam cartões bancários ou carteiras na rua. ( ) Mensagens de bancos, solicitando atualização de cadastros, para clicar em um site que não seja o do banco. Assinale a alternativa que apresenta a sequência CORRETA:
A
V - V - F - V.
B
F - V - F - F.
C
F - F - V - V.
D
V - V - F - F.
Quando se pretende implementar uma política de segurança em uma organização, o quanto antes for feito, mais fácil será e melhores serão os resultados, pois processos e procedimentos podem ser estipulados e implementados, gerando bons resultados. Por exemplo, se deve verificar o tipo de estrutura de segurança física como clima e restrição de acesso. Também quem serão os profissionais e quais serão suas qualificações. Além disso, devem ser criadas e implantadas diretrizes de segurança; quais equipamentos e sistemas serão utilizados, responsáveis pela execução do projeto; e quais normas de segurança deverão ser utilizadas. Sobre as seguranças lógica e física, analise as afirmativas a seguir:
I- Com relação à segurança física, a única preocupação diz respeito à proteção das informações armazenadas em meio digital.
II- A segurança ambiental compreende os aspectos relacionados ao ambiente tecnológico e envolve a integridade, confidencialidade e disponibilidade das informações armazenadas nos dispositivos de computação e nas redes que os interligam.
III- Na segurança física, se deve observar as áreas e ambientes físicos da organização que não devem ser acessados por pessoas não autorizadas.
IV- Barreiras de controle e físicas, como catracas, são uma técnica de segurança antiga e não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa segurança lógica dos dados. 
Assinale a alternativa CORRETA:
A
Somente a afirmativa IV está correta.
B
Somente a afirmativa III está correta.
C
As afirmativas II, III e IV estão corretas.
D
As afirmativasI, II e III estão corretas.
Quando falamos em ataques aos ativos da informação, devemos estar atentos não somente aos ataques as estrutura da organização, mas também aos ataques onde se exploram as vulnerabilidades humanas, como os ataques de engenharia social. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as afirmativas a seguir: I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços. II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de uma empresa para obter dados. III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo. Assinale a alternativa CORRETA:
A
Somente a afirmativa IV está correta.
B
As afirmativas I, II e IV estão corretas.
C
Somente a afirmativa I está correta.
D
As afirmativas II, III e IV estão corretas.
A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários:
A
Tratamento.
B
Identificação das necessidades e requisitos.
C
Obtenção.
D
Uso.
A informação é também considerada um ativo e, diferente de um equipamento, na maioria das vezes, seu valor é incalculável para as organizações e fundamental para o funcionamento dela. Dito isso, é necessário que seja dada a devida atenção a todas as etapas do ciclo de vida. O incorreto descarte pode representar um risco para a organização quando não são observados os devidos cuidados. Portanto, no que diz respeito ao descarte de informações, analise as afirmativas a seguir:
I- A política de segurança deve identificar como será o descarte de informações e equipamentos de hardware, pois estes podem conter informações valiosas que não foram devidamente apagadas de seus dispositivos de armazenamento.
II- Quando realizamos a exclusão de informações importantes, que são consideradas confidenciais de um microcomputador, devemos também ter a preocupação extra, já que essas informações podem ser recuperadas através do uso de utilitários de recuperação de dados.
III- O descarte de informações só ocorre quando deletamos dados no sistema. Ações como jogar documentos no lixo não são considerados descarte de informação.
IV- O descarte da informação é a primeira etapa do ciclo de vida desta, pois descartar o que não precisa e só ficar com o que está correto. 
Assinale a alternativa CORRETA:
A
As afirmativas II e IV estão corretas.
B
As afirmativas III e IV estão corretas.
C
As afirmativas I e III estão corretas.
D
As afirmativas I e II estão corretas.
O interesse do ser humano em guardar informações é muito antigo, mas era feito de forma rudimentar apenas para registro pessoal. Hoje, o valor da informação é quase imensurável para as empresas, e todo seu ciclo deve ser controlado. Para auxiliar e obter melhor uso das informações, é necessário o gerenciamento da informação, durante o seu ciclo de vida. Esse gerenciamento é um conjunto estruturado de atividades que reflete a forma pela qual uma organização captura, distribui e usa informação e conhecimento. Com base no exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) No momento em que uma informação não tem mais utilidade para uma organização, ela deve ser armazenada, mas nunca descartada. ( ) Enquanto ocorre o processo de descarte de uma informação, critérios como confidencialidade e disponibilidade não são importantes. ( ) Uma maneira de realizar o descarte de papéis importantes em uma organização é por meio de máquinas fragmentadoras. ( ) A empresa deve definir em sua política critérios para o descarte, mas também deve obedecer às normas legais. Assinale a alternativa que apresenta a sequência CORRETA:
A
F - V - V - F.
B
V - F - F - F.
C
F - F - V - V.
D
F - V - F - V.
PROVA 2
Sabemos que a Segurança da Informação (SI) é a responsável por proteger um conjunto de dados, no sentido de preservar o valor que detém um indivíduo ou uma organização. Confidencialidade, integridade, disponibilidade, autenticidade e legalidade são propriedades básicas da SI. No entanto, acima de tudo, é importante lembrar que SI sem conscientização do usuário é igual fechar as portas e deixar as janelas abertas. 
Com relação ao papel do usuário em uma PSI, assinale a alternativa INCORRETA: FONTE: https://computerworld.com.br/seguranca/a-importancia-da-conscientizacao-do-usuario-na-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
A
Não adianta a organização possuir a melhor Política de Segurança da Informação, se os funcionários não lerem, entenderem e cumprirem o que está definido.
B
A segurança da informação vai além de colocar uma senha complexa no computador, o fato de descartar papéis importantes sem a total destruição, também pode colocar em risco a organização.
C
Durante a criação de uma Política de Segurança da Informação (PSI), a sua forma de divulgação não é fundamental, isso é função do RH.
D
A boa fé e o descuido das pessoas de uma organização, independentemente do cargo que ocupam, são uma porta de entrada para pessoas que pretendem roubar informações.
Para manter e melhorar a segurança da organização, é importante que seja criado um Sistema de gestão de segurança da informação (SGSI). Para auxiliar nesse processo, pode-se fazer uso do ciclo PDCA, que é uma ferramenta que busca aprimorar as práticas de gestão nas organizações por meio de um conjunto de ações organizadas em etapas. Com base nesse ciclo, analise as afirmativas a seguir: I- A identificação das vulnerabilidades, essa atividade é realizada na etapa C, de consulta. II- A aplicação de programas internos de divulgação e treinamentos acontecem na etapa D (do). III- Na etapa D (Do - Fazer) é o momento de verificar se o que foi implementado está funcionando como previsto. IV- Ao identificar que algo não está funcionando conforme previsto e que medidas corretivas devem ser executadas, refere-se à letra A (Act). Assinale a alternativa CORRETA:
A
As afirmativas I e II estão corretas.
B
As afirmativas II e IV estão corretas.
C
As afirmativas III e IV estão corretas.
D
As afirmativas I e III estão corretas.
AnteriorPróxima
Uma política de segurança da informação (PSI), que fica na gaveta de um gerente de segurança da informação ou de qualquer funcionário é quase inútil. Portanto, para reverter esse cenário é necessário divulgar e educar os usuários para que entendam os benefícios da segurança da informação. A conscientização é sempre uma boa ferramenta para prevenir incidentes. Portanto, a PSI não se resume a uma lista de proibições, permissões e regras, mas também deve ser considerada pelos usuários como uma ferramenta de trabalho que faz parte do seu trabalho rotineiro. Com base nas formas de divulgação e aplicação das PSI, analise as afirmativas a seguir: I- Uma boa prática que as organizações podem adotar é a de valorizar os funcionários que mantêm a organização das suas estações de trabalho. II- O protetor de tela não deve ser o mesmo sempre, assim evita que o usuário desinteresse. III- A utilização de palestras é uma boa forma de divulgação, e todos devem estar presentes, independente de horário e localização. IV- Para divulgação de trechos curtos como "mantenha sua mesa organizada", podem ser feitos através de pôsteres. 
Assinale a alternativa CORRETA:
A
As afirmativas I, II e IV estão corretas.
B
Somente a afirmativa II está correta.
C
Somente a afirmativa I está correta.
D
As afirmativas III e IV estão corretas.AnteriorPróxima
Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte. Além disso, é necessário para a continuidade dos negócios das organizações que suas informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade. Por isso, a necessidade de uma política de segurança da informação nas empresas. O Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a Melhoria contínua da segurança da informação. 
Com base nesse ciclo PDCA e na criação de uma PSI, assinale a alternativa INCORRETA:
A
A fase Check é o momento em que deve-se verificar se a implantação do SGSI está de acordo com o previsto, além de realizar o monitoramento e análise.
B
O Sistema de Gestão de Segurança da Informação (SGSI), pode ser substituído por um ERP, ou outro sistema de controle de produtos.
C
A segunda fase do ciclo PDCA (DO) é o momento em que se coloca em uso o que foi proposto na fase anterior.
D
A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade realizada durante a primeira fase Plan.
AnteriorPróxima
A política de segurança da informação (PSI) é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação, devendo, portanto, ser aplicado a todas as esferas de uma instituição, com o objetivo de preservar as informações quanto à integridade, confidencialidade e disponibilidade. No que se refere ao planejamento de uma PSI, analise as afirmativas a seguir: 
I- O e-mail é a melhor e única forma de divulgação da PSI, pois assim todos recebem e todos leem. 
II- Além da divulgação da política, é necessário também divulgar canais de denúncia de incidentes. 
III- Para a divulgação de mensagens curtas, pode-se utilizar de pôsteres, que devem ser colocados em locais de grande circulação. 
IV- Refeitórios não são um bom exemplo para a colocação de quadro de aviso para a divulgação da PSI, devido à grande circulação. 
Assinale a alternativa CORRETA:
A
Somente a afirmativa IV está correta.
B
Somente a afirmativa III está correta.
C
As afirmativas II e III estão corretas.
D
As afirmativas II e IV estão corretas.
AnteriorPróxima
Inicialmente, os problemas de ataques à Segurança da Informação eram baseados em vírus e acessos indevidos nas páginas da internet, hoje os dados são sequestrados e só são liberados mediante o pagamento de grandes quantias de criptomoedas. Esses ataques hoje não buscam somente brechas nas redes, onde os invasores sabem que existem muitos mecanismos de proteção e detecção implementados, eles atacam o que consideram como o elo mais fraco da cadeia, o usuário. 
Com relação ao papel do usuário em uma Política de Segurança da Informação (PSI), assinale a alternativa INCORRETA: FONTE: https://www.proof.com.br/blog/conscientizacao-de-usuarios-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
A
Uma PSI deve ser orientativa no sentido de deixar claro os comportamentos que serão ou não tolerados.
B
Durante a criação da PSI, é importante deixar claro a responsabilidade do usuário e as consequências da não adoção.
C
Durante a criação da PSI, deve informar qual sua abrangência e as implicações com relação ao não cumprimento.
D
Os terceiros ou usuário externos não precisam estar cientes das políticas internas, elas são apenas para funcionários.
AnteriorPróxima
Uma política de segurança da informação (PSI), que fica na gaveta de um gerente de segurança da informação ou de qualquer funcionário é quase inútil. Portanto, para reverter esse cenário é necessário divulgar e educar os usuários para que entendam os benefícios da segurança da informação. A conscientização é sempre uma boa ferramenta para prevenir incidentes. Portanto, a PSI não se resume a uma lista de proibições, permissões e regras, mas também deve ser considerada pelos usuários como uma ferramenta de trabalho que faz parte do seu trabalho rotineiro. Com base nas formas de divulgação e aplicação das PSI, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Uma boa prática que as organizações podem adotar é a de valorizar os funcionários que mantêm a organização das suas estações de trabalho. ( ) O protetor de tela deve ser o mesmo sempre, assim evita que o usuário se interesse. ( ) A utilização de palestras é uma boa forma de divulgação, e todos devem estar presentes, independente de horário e localização. ( ) Para divulgação de trechos curtos como "mantenha sua mesa organizada", podem ser feitos através de pôsteres. Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - F - V.
B
V - V - F - V.
C
F - V - F - V.
D
F - V - V - F.
AnteriorPróxima
Para que a política se torne parte integrante da cultura da empresa, é essencial que haja a participação de todos na conscientização sobre os ataques e sejam identificados como situações de risco, ataques sobre o ativo mais valioso e a informação e encontrar formas eficazes e seguras de nos protegermos. Enfim, esta conscientização permitirá que se tenha ciência dos métodos usados por fraudadores, hackers ou outras pessoas mal-intencionadas. Com relação às formas de divulgação, assinale a alternativa CORRETA:
A
As empresa não precisam se preocupar com a conscientização e o treinamento de seus colaboradores, todos já sabem.
B
A organização deve criar e divulgar suas políticas, normas e procedimentos de segurança da informação por meio de programas de treinamento e conscientização constantes.
C
A organização precisa treinar e educar somente sua liderança referente aos ativos da informação e como elas devem ser protegidas.
D
A organização deve preservar somente seus ambientes físicos e tecnológicos e treinar todos os colaboradores a utilizarem os recursos tecnológicos de proteção usados nestes ambientes.
AnteriorPróxima
Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte. Além disso, é necessário para a continuidade aos negócios das organizações que suas informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade. Por isso, a necessidade de uma política de segurança da informação nas empresas. O Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a Melhoria contínua da segurança da informação em um Sistema de Gestão da Segurança da Informação (SGSI). Com base nesse ciclo PDCA e na criação de uma PSI, analise as afirmativas a seguir: I- A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade realizada durante a primeira fase ACT. II- O Sistema de Gestão de Segurança da Informação (SGSI) pode ser substituído por um ERP, ou outro sistema de controle de produtos. III- Na segunda fase do ciclo PDCA (DO), é o momento em que se coloca em uso o que foi proposto na fase anterior. IV- Na fase Check, é o momento em que deve-se verificar se a implantação do SGSI, está de acordo com o previsto, além de realizar o monitoramento e a análise.
Assinale a alternativa CORRETA:
A
As afirmativas III e IV estão corretas.
B
Somente a afirmativa I está correta.
C
As afirmativas II e IV estão corretas.
D
Somente a afirmativa IV está correta.
Não é novidade que somos dependentes da tecnologia da informação, e ela tem proporcionado grandes mudanças especialmente nas organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, assinale a alternativa INCORRETA:
A
As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
B
A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de hardware e software.C
A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva.
D
Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
PROVA OBJETIVA
2,00
A informação é um dos ativos mais importantes para qualquer organização, mas só tem valor quando é confiável, íntegra e esteja disponível aos que têm direito. Uma política de segurança da informação (PSI) é como uma bússola da cultura de segurança da informação porque orienta o comportamento dos funcionários, pois é nela que estão as regras, procedimentos, padrões, normas e diretrizes que devem ser observados e seguidos por todos da organização. Disserte sobre o que deve constar na criação da PSI, com relação às penalidade e sanções.
Resposta esperada
Durante a criação da PSI, deve incluir quais são as sanções e penalidades pelo não cumprimento, como advertências, demissões e responder criminalmente em casos determinados.
Minha resposta
Durante a criação da PSI, devesse incluir quais são as sanções e penalidades, pelo não cumprimento como: advertências, demissões e responder criminalmente em casos determinados.
Retorno da correção
Olá, acadêmico(a)! Sua resposta não apresentou relação com os objetivos da questão e/ou com o assunto abordado, porém, identificamos uma tentativa de desenvolvimento da resposta. Sugerimos que nas próximas vezes você leia atentamente o enunciado da questão contemplando com o assunto abordado.
Confira no quadro "Resposta esperada" a sugestão de resposta para esta questão.
Existe uma conhecida frase de William Edwards Deming, executivo premiado pela criação de processos inovadores, que diz que :" Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende e não há sucesso no que não se gerencia." Ou seja, é fundamental saber o que queremos proteger, pois não é possível obter bons resultados, do que quer que seja, se não se sabe quais os riscos estamos expostos e como mitigá-los. Disserte sobre como a ferramenta chamada análise SWOT pode ser utilizada na segurança da informação. FONTE: https://realprotect.net/e-impossivel-proteger-o-que-nao-se-conhece/. Acesso em: 24 fev. 2021.
Resposta esperada
*Ao definir as forças e fraquezas, as organizações conseguem proteger melhor seus ativos. *Identificar quais os perigos internos e externos, *dá a oportunidade de ampliar a segurança e mitigar os impactos.
Minha resposta
Ao definir suas forças e fraquezas, as organizações conseguem proteger melhor seus ativos. -Identificar quais os perigos internos e externos,- dá oportunidade de ampliar a segurança e mitigar os impactos.
Retorno da correção
Olá, acadêmico(a)! Sua resposta não apresentou relação com os objetivos da questão e/ou com o assunto abordado, porém, identificamos uma tentativa de desenvolvimento da resposta. Sugerimos que nas próximas vezes você leia atentamente o enunciado da questão contemplando com o assunto abordado.
Confira no quadro "Resposta esperada" a sugestão de resposta para esta questão.
ÚLTIMA PROVA
A política de segurança da informação (PSI) é o documento que orienta e estabelece as diretrizes organizacionais no que diz respeito à proteção de ativos de informação, devendo, portanto, ser aplicado a todas as esferas de uma instituição, com o objetivo de preservar as informações quanto à integridade, confidencialidade e disponibilidade. No que se refere ao planejamento de uma PSI, analise as afirmativas a seguir: I- O e-mail é a melhor e única forma de divulgação da PSI, pois assim todos recebem e todos leem. II- Além da divulgação da política, é necessário também divulgar canais de denúncia de incidentes. III- Para a divulgação de mensagens curtas, pode-se utilizar de pôsteres, que devem ser colocados em locais de grande circulação. IV- Refeitórios não são um bom exemplo para a colocação de quadro de aviso para a divulgação da PSI, devido à grande circulação. 
Assinale a alternativa CORRETA:
A
Somente a afirmativa IV está correta.
B
As afirmativas II e IV estão corretas.
C
As afirmativas II e III estão corretas.
D
Somente a afirmativa III está correta.
A segurança da informação nas organizações é um assunto de extrema importância e não deve ser deixado para depois, ou pensar que invasões e ataques só acontecem com os outros. Por isso, adotar medidas, boas práticas e adquirir ferramentas seguras é essencial para qualquer negócio, independentemente do seu tamanho ou segmento. Com relação à Matriz de risco, analise as afirmativas a seguir: I- A classificação dos riscos é uma medida universal e seguida por todas as organizações, que buscam proteger os ativos. II- A mesma ameaça, como um vírus, por exemplo, pode atacar vários ativos de uma organização, como o servidor ou sistema interno. III- Além da identificação dos ativos, deve-se fazer um levantamento de quais ameaças e qual o grau de exposição os ativos estão submetidos. IV- Antes de começar a construção da matriz de risco, devemos começar fazer o inventário dos ativos de segurança da informação. V- A matriz de RISCO é a mesma que a matriz de responsabilidade, apenas com nome diferente. Assinale a alternativa CORRETA:
A
As afirmativas II, III e IV estão corretas.
B
As afirmativas I, II, III e V estão corretas.
C
As afirmativas I, III, IV e V estão corretas.
D
As afirmativas I e IV estão corretas.
Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte. Além disso, é necessário para a continuidade dos negócios das organizações que suas informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade. Por isso, a necessidade de uma política de segurança da informação nas empresas. O Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a Melhoria contínua da segurança da informação. 
Com base nesse ciclo PDCA e na criação de uma PSI, assinale a alternativa INCORRETA:
A
A fase Check é o momento em que deve-se verificar se a implantação do SGSI está de acordo com o previsto, além de realizar o monitoramento e análise.
B
A segunda fase do ciclo PDCA (DO) é o momento em que se coloca em uso o que foi proposto na fase anterior.
C
O Sistema de Gestão de Segurança da Informação (SGSI), pode ser substituído por um ERP, ou outro sistema de controle de produtos.
D
A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade realizada durante a primeira fase Plan.
A origem da palavra inventário vem da palavra inventarium, que era um termo Romano (latim) para designar um grande documento/lista onde se encontravam registrados os produtos dos armazéns. Na maioria dos casos, um inventário é basicamente uma lista de bens e materiais disponíveis em estoque que estão armazenados na empresa ou então armazenados externamente, mas pertencentes à empresa. Com relação ao inventário de ativos de TI, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Convém que a organização identifique os ativos relevantes, em seu respectivo momento no ciclo de vida da informação e documente a sua importância. ( ) Os ativos que a organização deve manter são apenas os físicos, pois os lógicos não podem ser inventariados. ( ) Em um inventário de ativos, a norma ISO recomenda a identificação de uma pessoa responsável pelo respectivo ativo. ( ) Em um inventário de ativos de TI, a organização não deve identificar qual é o ativo e nem a sua importância dentro da organização. Assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - V - F.
B
F - F - V - F.
C
F - V - F - F.
D
V - F - V - V.
AnteriorPróxima
As empresas atualmente possuem uma grande quantidade de dados. O que antigamente se resolvia com um fichário para armazenar os telefones dos clientes, já não acontece mais. Atualmente temos acesso a várias coisas, como preferências de compras entre outras informações,e essas bases continuam crescendo. Baseado nisso, é fundamental que esses dados estejam seguros e disponíveis quando necessário e somente para quem tem direito. Sobre esses princípios, analise as afirmativas a seguir:
I- A confidencialidade de uma informação se refere ao fato dela não estar disponível para quem não é autorizado.
II- Não há necessidade de limitar o acesso dos funcionários aos sistemas para garantir a confidencialidade, basta confiar.
III- A informação não é um ativo, pois para ser considerada como tal, deve ter passado pelo filtro C.I.D.
IV- O uso de senha nos computadores não é uma maneira de aumentar a confidencialidade, é só burocracia.
Assinale a alternativa CORRETA:
A
Somente a afirmativa I está correta.
B
Somente a afirmativa IV está correta.
C
As afirmativas I, II e III estão corretas.
D
As afirmativas II, III e IV estão corretas.
O ditado popular diz que "cachorro de dois donos morre de fome". Isso serve de alerta para as dificuldades de um acompanhamento a várias mãos, da responsabilidade compartilhada, ou seja, enquanto um dono acredita que seu cachorro foi alimentado pelo outro, este segundo pensa a mesma coisa do primeiro e, por esse raciocínio, o animal acaba não sendo alimentado por ninguém. Por isso, precisamos levantar informações sobre processos ou serviços de TI para tomada de decisões e definir um responsável. Para facilitar esse processo, podemos fazer uso de ferramentas que auxiliam nesse controle, por exemplo a matriz R.A.C.I. Com base nessa matriz, analise as afirmativas a seguir: I- R.A.C.I é uma abreviação para identificar: o responsável, a autoridade, o consultado e o informado (do inglês: Renponsible, Accountable, Consulted e Informed). II- O consultado indica quem deve responder por determinado item do inventário, ele é consultado porque é o dono. III- Na letra I de informado, são as pessoas que devem receber a informação de que uma atividade foi executada. IV- A pessoa que deve responder pela atividade é chamada de responsável (Responsible), ela será única na planilha e considerada como o dono. Assinale a alternativa CORRETA:
A
As afirmativas II e III estão corretas.
B
As afirmativas I e IV estão corretas.
C
As afirmativas I e III estão corretas.
D
As afirmativas II, III e IV estão corretas.
Para manter e melhorar a segurança da organização, é importante que seja criado um Sistema de gestão de segurança da informação (SGSI). Para auxiliar nesse processo, pode-se fazer uso do ciclo PDCA, que é uma ferramenta que busca aprimorar as práticas de gestão nas organizações por meio de um conjunto de ações organizadas em etapas. Com base nesse ciclo, analise as afirmativas a seguir: I- A identificação das vulnerabilidades, essa atividade é realizada na etapa C, de consulta. II- A aplicação de programas internos de divulgação e treinamentos acontecem na etapa D (do). III- Na etapa D (Do - Fazer) é o momento de verificar se o que foi implementado está funcionando como previsto. IV- Ao identificar que algo não está funcionando conforme previsto e que medidas corretivas devem ser executadas, refere-se à letra A (Act). Assinale a alternativa CORRETA:
A
As afirmativas I e III estão corretas.
B
As afirmativas II e IV estão corretas.
C
As afirmativas I e II estão corretas.
D
As afirmativas III e IV estão corretas.
As empresas atualmente possuem uma grande quantidade de dados. O que antigamente se resolvia com um fichário para armazenar os telefones dos clientes, já não acontece mais, pois hoje temos acesso a muitas coisas, como preferências de compras, entre outras informações, e essas bases continuam crescendo. Baseado nisso, é fundamental que esses dados estejam seguros e disponíveis quando necessários e somente para quem tem direito. 
Sobre a importância das informações, assinale a alternativa CORRETA:
A
Não há necessidade de limitar o acesso dos funcionários aos sistemas para garantir a confidencialidade, basta confiar.
B
A utilização de políticas de segurança é uma medida utilizada para melhorar a confidencialidade dos dados.
C
O uso de senha nos computadores é perda de tempo, pois não ajuda a aumentar a confidencialidade, sendo apenas burocracia.
D
A informação não é um ativo, pois é intangível, por isso não há necessidade de atender a tríade C.I.D.
O ditado popular diz que "cachorro de dois donos morre de fome". Isso serve de alerta para as dificuldades de um acompanhamento a várias mãos, da responsabilidade compartilhada, ou seja, enquanto um dono acredita que seu cachorro foi alimentado pelo outro, este segundo pensa a mesma coisa do primeiro e, por esse raciocínio, o animal acaba não sendo alimentado por ninguém. Por isso, precisamos levantar informações sobre processos ou serviços de TI para tomada de decisões e definir um responsável. Para facilitar esse processo, podemos fazer uso de ferramentas que auxiliam nesse controle, por exemplo a matriz R.A.C.I 
Com base nessa matriz, assinale a alternativa INCORRETA:
A
R.A.C.I é uma abreviação para identificar: o responsável, a autoridade, o consultado e o informado (do inglês Responsible, Accountable, Consulted e Informed).
B
A pessoa que deve responder pela atividade é chamada de Autoridade (Accountable), ela será única na planilha, e considerada como o dono.
C
O consultado (Consulted) indica quem deve responder por determinado item do inventário, ele é consultado porque é o dono.
D
Na letra I (Informed) de informado, são as pessoas que devem apenas receber a informação de que uma atividade foi executada.
Para que a políticaaos ativos da informação, devemos estar atentos não somente aos ataques as estrutura da organização, mas também aos ataques onde se exploram as vulnerabilidades humanas, como os ataques de engenharia social. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as afirmativas a seguir: I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços. II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de uma empresa para obter dados. III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo. Assinale a alternativa CORRETA:
A
As afirmativas II, III e IV estão corretas.
B
Somente a afirmativa IV está correta.
C
As afirmativas I, II e IV estão corretas.
D
Somente a afirmativa I está correta.