GESTÃO DA SEGURANÇA DA INFORMAÇÃO - QUESTIONÁRIO UNIDADE I RESPOSTAS

Prévia do material em texto

GESTÃO DA SEGURANÇA DA INFORMAÇÃO - QUESTIONÁRIO UNIDADE I – RESPOSTAS
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Analise as proposições a seguir sobre os conceitos de Segurança da Informação.
 
I – As ações voltadas para proteger os ativos de informação estão sempre baseadas nos princípios de integridade, disponibilidade e confidencialidade, ressaltando apenas que os princípios de legalidade e legitimidade podem ser adicionados.
 
II – O princípio de confidencialidade visa garantir que o acesso à informação seja dado apenas para aqueles usuários legitimados a acessar a informação.
 
III – O princípio de disponibilidade remete a responsabilidade de garantir que as informações não sofram alterações em todos os seus estados possíveis.
 
IV – O princípio de integridade remete à garantia de que a informação esteja disponível para os usuários legitimados quando eles requerem o seu acesso.  
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	a. 
I e II, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: A
Comentário: Quando falamos sobre a responsabilidade de garantir que as informações não sofram alterações em todos os seus estados possíveis, estamos falando do princípio de integridade, assim como quando falamos que a informação deve estar disponível para os usuários legitimados quando estes requerem acesso estamos nos referindo ao princípio de disponibilidade.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Analise as proposições a seguir sobre o ciclo de vida da informação.
 
I – Na fase de armazenamento, os ativos de informação que não estão sendo ou que já foram tratados ou transmitidos devem ser devidamente guardados de forma organizada para possíveis consultas futuras.
 
II – Na fase de descarte das informações, não há necessidade de medidas de segurança, uma vez que essas informações não têm mais valor algum para a organização.
 
III – A geração da informação é marcada por sua aquisição, criação no ambiente interno, pode ser retirada de banco de dados, mídias, internet e outras fontes de informação ou simplesmente herdada de uma área ou empresa.
 
IV – Na fase de transmissão da informação, é onde por algum motivo a informação será passada de um ponto a outro por meio de algum canal de comunicação.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	e. 
I, III e IV, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
I, III e IV, apenas.
	Comentário da resposta:
	Resposta: E
Comentário: Na fase de descarte, mesmo a informação não sendo mais necessária e onde será finalmente excluída do rol de informações da organização, o descarte inadequado pode causar prejuízos à segurança da informação.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Analise as proposições a seguir sobre os componentes de segurança da informação.
 
I – Proteções podem ser definidas como medidas que serão adotadas para proporcionar segurança aos ativos de informação, cabe ressaltar que o balanceamento entre o custo e o benefício é fundamentalmente necessário.
 
II – A implantação de mecanismos de proteção isolados não é suficiente para evitar os ataques, por isso, uma forma eficaz de implementação de mecanismos baseia-se na utilização de mecanismos em camadas.
 
III – A simples ausência de mecanismos de proteção apropriados, falhas em mecanismos de proteção existentes, sendo assim, as vulnerabilidades são a porta de entrada para que as ameaças se concretizem.
 
IV – As proteções são implantadas sob três aspectos, sendo lógico, físico e jurídico.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
I, III e IV, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: As proteções são implantadas sob três aspectos, sendo lógico, físico e administrativo, sendo este último focado em políticas, normas e procedimentos.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Analise as proposições a seguir sobre estratégias de proteção das informações.
 
I – A estratégia de defesa por obscuridade consiste em colocar vários mecanismos de proteção para proteger o mesmo ativo, isso funciona semelhante a uma casa que possui diversos níveis de proteção.
 
II – A estratégia de privilégio mínimo consiste em dar permissão mínima de acesso aos usuários aos sistemas, ou seja, fornece apenas o acesso necessário para que o usuário desenvolva suas atividades.
 
III – A origem dos problemas de segurança está baseada em três fontes diferentes: natural, acidental ou intencional.
 
IV – A estratégia do elo mais fraco: a força da corrente é determinada pela força de seu elo mais fraco, essa estratégia consiste em encontrar onde está a parte mais fraca nos processos, nas pessoas ou na tecnologia e ali adicionar maior carga de mecanismos de proteção para equilibrar a corrente.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	e. 
II, III e IV, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: E
Comentário: A estratégia de defesa em profundidade: consiste em colocar vários mecanismos de proteção para proteger o mesmo ativo, isso funciona semelhante a uma casa que possui diversos níveis de proteção, que funcionam como barreiras inibidoras, primeiro o portão, depois a porta de entrada, essa estratégia de proteção funciona como uma contingência da outra; agora quando falamos da estratégia de segurança por meio da obscuridade, consiste em esconder a existência de um ativo de informação, parte do pressuposto que se os atacantes não sabem da existência do ativo, não teriam interesse em furtá-lo, é a forma mais simples de proteção.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Analise as proposições a seguir sobre a classificação das informações.
 
I – As informações podem ser categorizadas como: Pessoais, de Segurança Nacional e de Negócio.
 
II – O processo de classificação da informação consiste em organizar as informações pelo seu grau de importância e, a partir daí, definir quais os níveis de proteção de cada ativo de informação.
 
III – Podem ser considerados benefícios tangíveis da classificação da informação:   conscientização, responsabilidades, níveis de proteção, tomada de decisões e uso de recursos.
 
IV – Os objetivos básicos da classificação da informação são dois: proteção e administrativa.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: Podemos mensurar os objetivos básicos da classificação da informação como sendo dois: proteção e economia, sendo esta última vinculada à forma que, quanto maior a necessidade de proteção para o ativo, maior será o investimento financeiro em mecanismos de proteção. Na prática, isso quer dizer que se a classificação das informações representarem a realidade, isso representará economia para a organização.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Analise as proposições sobre a estrutura da segurança da informação.
 
I – A estruturação da área de segurança da informação tem como objetivo criar uma estrutura funcional e operacional destinada a lidar com a segurança da informação.
 
II – As pessoas selecionadas para atuarem na área de segurança da informação devem possuir as seguintes habilidades: devem ser funcionários da corporação com ampla experiência em segurança da informação, além de gerenciamento de projetos de tecnologia.
 
III – O líder deve possuir um cargo na hierarquia que possibilite a tomada dedecisões, requisição de auxílio de funcionários de outras áreas e condução de verificações nas diversas áreas da corporação, esse líder poderá ser um gerente ou um diretor.
 
IV – O líder da área de segurança da informação ( security office) deve atuar como a pessoa que sempre inviabiliza o negócio, lembrando que geralmente deverá assumir sozinho o risco.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: O líder da área de segurança da informação ( security office) não deve atuar nem como um paranoico que sempre inviabiliza o negócio, nem como um cowboy que assume sozinho o risco, cabe a ele mostrar os riscos inerentes e negociar soluções alternativas com os gestores das áreas de negócio.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Analise as proposições sobre o sistema de gestão de segurança da informação – SGSI.
 
I – O ciclo do PDCA ( Plan, Do, Check e Act) se tornou uma ferramenta básica de gerenciamento do SGSI.
 
II – Deve-se realizar as tarefas conforme foram revistas no plano, coletar dados para verificação do funcionamento do processo conforme o previsto, isso remete ao item executar ( Do) do PDCA.
 
III – A partir dos dados coletados durante a execução, analisa e compara os resultados alcançados com a meta planejada. Isso remete ao item verificar ( Check) do PDCA.
 
IV – As etapas do projeto de preparação do SGSI apresentam uma sequência de atividades que precisam ser empreendidas para o sucesso, que são: Planejar, Implementar, Capacitar e Auditar.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e III, apenas.
	
	e. 
I, II, III e IV.
	Comentário da resposta:
	Resposta: E
Comentário: Todas as afirmativas estão corretas, o ciclo do PDCA se torna uma ferramenta básica de gerenciamento do SGSI. Para facilitar a implementação e estruturação do SGSI de acordo com o PDCA, as organizações seguem o modelo de projeto baseado no PMBOK 2004. As atividades de projeto são coordenadas e processadas de forma a auxiliar o gestor a acompanhar todas as etapas do projeto de implementação do SGSI.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Analise as proposições sobre os fatores de sucesso do Sistema de Gestão da Segurança da Informação – SGSI.
 
I – O comprometimento e apoio dado pela alta administração é considerado um fator de sucesso para o SGSI.
 
II – O SGSI estruturado de acordo com o PDCA será um sistema de gestão de segurança da informação que tende a amadurecer mais rapidamente.
 
III – No caso do SGSI, a certificação ISO 27001 representa apenas um ponto de melhoria no processo, uma amostra de que a empresa está iniciando seu processo de amadurecimento sobre Segurança da Informação.
 
IV – Existem outros fatores críticos de sucesso para determinar o sucesso de um SGSI bem estruturado, é necessário levar em consideração a sequência natural de amadurecimento do conhecimento sobre os requisitos de segurança que uma organização adquire com aplicação prática das normas.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e IV, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
III e IV, apenas.
	
	d. 
I, II e IV, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: Pelo contrário, a certificação ISO 27001 se refere a um nível de maturidade mais apurado, que está no topo da pirâmide de utilização das normas conhecidas para aplicação dos dispositivos de segurança da informação, pois ela prevê um sistema organizado que será depurado pelo ciclo do PDCA.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Analise as proposições sobre o estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI).
 
I – Deve ser definido o escopo da certificação, que também engloba o treinamento da equipe do projeto na interpretação da norma, para que todos os envolvidos conheçam os requisitos do SGSI.
 
II – O escopo deve considerar exclusivamente os aspectos de segurança da informação e os controles a ela definidos.
 
III – O escopo deve possuir processos definidos e maduros, para melhor estruturação de um SGSI que não tem como objetivo definir processos de trabalho, mas sim implementar segurança nos processos existentes.
 
IV – A política de segurança da informação é o documento que contém, de forma objetiva e estratégica, as premissas e diretrizes para o SGSI.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	c. 
I, III e IV, apenas.
	Respostas:
	a. 
I e II, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
I, III e IV, apenas.
	
	d. 
I, II e IV, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: C
Comentário: O escopo deve considerar as características do negócio, aspectos gerais da organização, sua localização, ativos e tecnologias, além de também incluir detalhes e justificativas para quaisquer exclusões.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Analise as proposições sobre o monitoramento e análise do Sistema de Gestão de Segurança da Informação (SGSI).
 
I – O SGSI não precisa ser monitorado consistentemente e revisitado periodicamente no período de 5 anos.
 
II – O monitoramento faz parte do processo de manutenção dos controles, que, quando implantados, serão a base para o acompanhamento cíclico dos indicadores do SGSI.
 
III – As auditorias podem ser de dois tipos: interna ou externa.
 
IV – As auditorias externas se tratam de uma autoavaliação, uma análise executada por uma área interna independente, porém dentro da própria organização, verificando a adequação, eficiência e eficácia dos sistemas de gestão.
 
É correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	a. 
II e III, apenas.
	Respostas:
	a. 
II e III, apenas.
	
	b. 
I e IV, apenas.
	
	c. 
I, III e IV, apenas.
	
	d. 
I, II e IV, apenas.
	
	e. 
II, III e IV, apenas.
	Comentário da resposta:
	Resposta: A
Comentário: Ressaltando que o SGSI deve ser monitorado consistentemente e revisitado periodicamente, o período não é indicado, todavia, recomenda-se anualmente. São as auditorias internas que se tratam de uma autoavaliação, uma análise executada por uma área interna independente, porém dentro da própria organização, verificando a adequação, eficiência e eficácia dos sistemas de gestão, e não as auditorias externas.