Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova Impressa GABARITO | Avaliação II - Individual (Cod.:825472) Peso da Avaliação 1,50 Prova 60694336 Qtd. de Questões 10 Acertos/Erros 9/1 Nota 9,00 Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA: A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança. B A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento. C A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI). D A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização. Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. ( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento. ( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de material. ( ) O objetivo da etapa de Pós-implementação fornece orientação para VOLTAR A+ Alterar modo de visualização 1 2 Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 1 of 7 14/05/2023, 22:11 manter o plano atualizado e métodos de feedback eficazes. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca- da-informacao/. Acesso em: 28 jan. 2021. A F - V - F - V. B V - F - V - V. C V - V - V - F. D V - V - V - V. A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções da estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as falsas: ( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação de desempenho e (10) Melhorias. ( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos genéricos e específicos do SGSI adaptado à cultura da organização. ( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades responsáveis pela segurança da informação. ( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10) aborda as conclusões de auditorias e revisões, não conformidades e ações corretivas buscando de forma contínua a melhoria. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - V - V. B F - F - V - V. C V - V - V - F. 3 Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 2 of 7 14/05/2023, 22:11 D V - F - F - V. Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa CORRETA: FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: https://tsapps.nist.gov/publication /get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020. A Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação. B Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização. C Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de treinamento. D Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento. Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação. II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço. III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. Assinale a alternativa CORRETA: FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos processos e 4 5 Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 3 of 7 14/05/2023, 22:11 serviços. 2. ed. Rio de Janeiro: Brasport, 2008. A As sentenças I e III estão corretas. B As sentenças I e II estão corretas. C As sentenças II e III estão corretas. D Somente a sentença III está correta. A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique V para as sentenças verdadeiras e F para as falsas: ( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia distribuída e implementação. ( ) (1) Modelo 1: Norma, Plano de Segurança e implementação daSegurança. (2) Modelo 2: Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano de Segurança distribuída. ( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de segurança distribuída e implementação. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - F. B F - V - V. C F - F - V. D V - F - F. A sigla COBIT significa, em inglês, objetivos de controle para a informação e tecnologia (Control Objetives for Information and related Technology) e tem como objetivo promover um modelo para Governança de TI confiável, adotado por empresas, sendo atualizado diariamente por gerentes de negócio, profissionais de TI e auditores. Com relação às etapas da estrutura do Cobit®2019, analise as sentenças a seguir: I- É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento. 6 7 Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 4 of 7 14/05/2023, 22:11 II- É composta pela etapa de Desenhar seu Sistema de Governança de Informação & Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação & Tecnologia. III- É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação & Tecnologia. Assinale a alternativa CORRETA: A Somente a sentença I está correta. B As sentenças I e III estão corretas. C As sentenças II e III estão corretas. D As sentenças I e II estão corretas. O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do SGSI. II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados e implementa melhorias no SGSI. III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para fazer a implementação e a operação do SGSI. Assinale a alternativa CORRETA: A As sentenças II e IV estão corretas. B As sentenças I e IV estão corretas. C As sentenças III e IV estão corretas. D As sentenças I e III estão corretas. As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito 8 9 Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 5 of 7 14/05/2023, 22:11 das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa CORRETA: FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - RNP/ESR, 2014. A Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de riscos. B Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios. C Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios. D Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação. Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 6 of 7 14/05/2023, 22:11 A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre "implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento, com o objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação do Programa, analise as sentenças a seguir: I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, vídeo, no local entre outros. II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização. Assinale a alternativa CORRETA: A As sentenças I e III estão corretas. B As sentenças I e II estão corretas. C As sentenças II e III estão corretas. D Somente a sentença II está correta. 10 Imprimir Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test... 7 of 7 14/05/2023, 22:11
Compartilhar