Avaliação II - Individual - Conscientização em Segurança da Informação

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação II - Individual
(Cod.:825472)
Peso da Avaliação 1,50
Prova 60694336
Qtd. de Questões 10
Acertos/Erros 9/1
Nota 9,00
Destacamos que as principais entidades e órgãos do mundo e no Brasil 
voltados para as normas de Segurança da Informação são a International 
Organization for Standardization (ISO), a International Electrotechnical 
Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as 
Normas Brasileiras (BNR). Com relação às normas de Segurança de 
Informação, assinale a alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao
treinamento em segurança.
B A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e
manutenção de um plano de conscientização e treinamento.
C A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de
Gerenciamento de Segurança da Informação (SGSI).
D A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao
treinamento de conscientização.
Segundo Athena Security (2020), há alguns anos, os vírus eram uma das 
principais preocupações da TI nas empresas. Na atualidade, com a adesão de 
novas tecnologias no ambiente corporativo, como as ferramentas IoT, 
também surgiram novas ameaças para os negócios. Diante desse cenário, é 
preciso criar um plano de conscientização em segurança da informação, que 
orienta os usuários sobre as melhores práticas para evitar invasões e ataques 
cibernéticos. Com base nas quatro etapas de críticas no ciclo de vida do 
plano em conscientização e treinamento em segurança da informação, 
classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é 
realizar uma avaliação das necessidades da organização e uma estratégia de 
treinamento é desenvolvida e aprovada. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais 
de treinamento é focar nas fontes de treinamento disponíveis, escopo, 
conteúdo e desenvolvimento de material de treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na 
comunicação eficaz quanto à implementação do plano de conscientização e 
treinamento, bem como nas opções para a entrega de material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para 
 VOLTAR
A+
Alterar modo de visualização
1
2
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
1 of 7 14/05/2023, 22:11
manter o plano atualizado e métodos de feedback eficazes. 
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da 
Informação: Entenda sem Complicações. 2020. Disponível em: 
https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-
da-informacao/. Acesso em: 28 jan. 2021.
A F - V - F - V.
B V - F - V - V.
C V - V - V - F.
D V - V - V - V.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, 
anexos e bibliografias que buscam de maneira objetiva e de forma genérica 
apresentar os requisitos aplicáveis a todas as organizações independente do 
seu tipo, tamanho ou natureza. Com relação a estas 10 seções da estrutura 
da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e 
F para as falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) 
Termos e definições, (4) Contexto da organização, (5) Liderança, (6) 
Planejamento, (7) Suporte, (8) Operação, (9) Avaliação de desempenho e (10) 
Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização 
especifica os requisitos genéricos e específicos do SGSI adaptado à cultura 
da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar 
sistematicamente os riscos à informação e como a seção (5) está relacionada 
à alta gerência demonstrar liderança e compromisso com o SGSI, 
determinando políticas e atribuindo funções, responsabilidades e autoridades 
responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento 
de como os riscos às informações devem ser tratados e esclarece os objetivos 
de segurança das informações e a seção (10) aborda as conclusões de 
auditorias e revisões, não conformidades e ações corretivas buscando de 
forma contínua a melhoria.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B F - F - V - V.
C V - V - V - F.
3
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
2 of 7 14/05/2023, 22:11
D V - F - F - V.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo 
de vida do plano em conscientização e treinamento em segurança da 
informação são: (1) Projeto de conscientização e treinamento, (2) 
Conscientização e desenvolvimento de materiais de treinamento e (3) 
Implementação do programa e (4) Pós-implementação. Com relação à 
descrição da etapa de Projeto de conscientização e treinamento, assinale a 
alternativa CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security 
awareness and training program. NIST Special publication, v. 800, n. 50, p. 
1-70, 2003. Disponível em: https://tsapps.nist.gov/publication
/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
A Documenta as diretrizes de treinamentos para o programa de
conscientização e treinamento de Segurança de Informação.
B Desenvolve material de treinamento e desenvolve e aprova sua estratégia
de realização.
C Realiza avaliação das necessidades da organização, bem como desenvolve
e aprova uma estratégia de treinamento.
D Define as políticas de segurança da informação voltadas para o programa
de conscientização e treinamento.
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto 
relevante, porque é uma ferramenta de suporte que permite aos gerentes 
suprir as deficiências com respeito aos requisitos de controle, questões 
técnicas e riscos de negócios, comunicando esse nível de controle às partes 
interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas 
práticas para controles de TI em toda a empresa. Com relação ao que o 
framework Cobit®2019 fornece aos profissionais de segurança de 
informação e para as partes interessadas da organização, analise as 
sentenças a seguir: 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a 
serem aplicadas na segurança da informação. 
II- O framework Cobit®2019 foca nas melhores práticas para 
desenvolvimento de produtos de software e nas questões de entrega e 
suporte de serviço. 
III- O framework Cobit®2019 foi fundamentado nas melhores práticas 
acadêmicas, além de ser reconhecido mundialmente ao apoiar a governança 
corporativa de informações e tecnologia de maneira eficaz. 
Assinale a alternativa CORRETA:
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. 
Implantando a governança de TI: da estratégia à gestão dos processos e 
4
5
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
3 of 7 14/05/2023, 22:11
serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A As sentenças I e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença III está correta.
A estrutura do programa de conscientização e treinamento de segurança 
é composta por três modelos diferentes que são adotados e estabelecidos 
para supervisionar as atividades definindo como deve ser projetado, 
desenvolvido e implementado. A respeito do que se trata cada um dos três 
modelos comumente aceitos na estrutura do programa de conscientização e 
treinamento, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) 
Modelo 2: Política e estratégia centralizada, implementação distribuída. (3) 
Modelo 3: Política centralizada, estratégia distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação daSegurança. (2) Modelo 2: Norma, Plano de Segurança, implementação 
centralizada. (3) Modelo 3: Política centralizada, Plano de Segurança 
distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) 
Modelo 2: Diretrizes e políticas centralizada, implementação e distribuída. 
(3) Modelo 3: Política centralizada, plano de segurança distribuída e 
implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F.
B F - V - V.
C F - F - V.
D V - F - F.
A sigla COBIT significa, em inglês, objetivos de controle para a 
informação e tecnologia (Control Objetives for Information and related 
Technology) e tem como objetivo promover um modelo para Governança de 
TI confiável, adotado por empresas, sendo atualizado diariamente por 
gerentes de negócio, profissionais de TI e auditores. Com relação às etapas 
da estrutura do Cobit®2019, analise as sentenças a seguir: 
I- É composta pela Introdução e Metodologia e pelos Objetivos de 
Governança e Gerenciamento. 
6
7
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
4 of 7 14/05/2023, 22:11
II- É composta pela etapa de Desenhar seu Sistema de Governança de 
Informação & Tecnologia e de Implementar e Otimizar seu Sistema de 
Governança de Informação & Tecnologia. 
III- É composta pelo Documentação dos processos de Conscientização da 
Segurança da Informação e pelos Objetivos de Informação & Tecnologia. 
Assinale a alternativa CORRETA:
A Somente a sentença I está correta.
B As sentenças I e III estão corretas.
C As sentenças II e III estão corretas.
D As sentenças I e II estão corretas.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar 
e Agir), e é um método que tem a função de garantir que a empresa organize 
seus processos. A norma ISO 27001 faz referência ao modelo PDCA aplicado 
para estruturar todos os processos do Sistema de Gerenciamento de 
Segurança da Informação (SGSI), que é composto por um conjunto de ações 
de forma sequencial para atender à área de Segurança da Informação. Com 
relação a estas etapas do modelo PDCA (Plan, Do, Check, Action ) para o 
SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a 
manutenção e a melhoria do SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do 
analisa-se os resultados e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as 
mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a 
etapa do Do serve para fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
A As sentenças II e IV estão corretas.
B As sentenças I e IV estão corretas.
C As sentenças III e IV estão corretas.
D As sentenças I e III estão corretas.
As mudanças tecnológicas fazem parte do dia a dia das organizações e 
aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano 
das organizações. Coelho, Araújo e Bezerra (2014, p. 7) nos apresentam que 
na visão geral da Segurança da Informação, a Análise de Riscos no âmbito 
8
9
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
5 of 7 14/05/2023, 22:11
das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas 
de Segurança às Normas e Procedimentos. Com relação às três fontes 
principais a serem consideradas no momento de estabelecer os requisitos de 
segurança da informação de uma organização, assinale a alternativa 
CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da 
segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede 
Nacional de Ensino e Pesquisa - RNP/ESR, 2014.
A Conjunto de princípios, Políticas de Segurança da Informação e Estudo
de Viabilidade de riscos.
B Análise e avaliação de riscos, a Legislação vigente e Conjunto de
princípios.
C Análise de avaliação de riscos, Políticas de Segurança da Informação e
Conjunto de princípios.
D Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da
Segurança da Informação.
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
6 of 7 14/05/2023, 22:11
A terceira etapa do ciclo de vida do plano do programa de 
conscientização e treinamento em segurança da informação da organização 
trata sobre "implementação do programa", na qual é compreendida a etapa 
responsável pela realização da comunicação e implementação do plano de 
conscientização e treinamento, com o objetivo de realizar a entrega de 
material para todos os colaboradores da organização. Com relação ao 
formato de realização desta etapa de Implementação do Programa, analise as 
sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento 
baseado na web, ensino a distância, vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de 
conscientização podem ser via kits de primeiros socorros, boletins, lista de 
verificação, cartazes informando o que fazer o não fazer, sessões de 
teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua 
realização somente de forma presencial por meio de workshop e seminários 
com palestrantes especializados em programa de conscientização e 
treinamento em segurança da informação da própria organização. 
Assinale a alternativa CORRETA:
A As sentenças I e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença II está correta.
10
Imprimir
Avaliação II - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
7 of 7 14/05/2023, 22:11