Avaliação Final (Discursiva) - Individual - Mapeamento de Processos de Negócios na área de Segurança da Informação

Prévia do material em texto

02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual
about:blank 1/4
Prova Impressa
GABARITO | Avaliação Final (Discursiva) - Individual
(Cod.:825489)
Peso da Avaliação 4,00
Prova 67319249
Qtd. de Questões 2
Nota 10,00
O processo de segurança em recursos humanos visa assegurar que os colaboradores, fornecedores e 
terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco 
de furto ou roubo, fraude ou mal uso de recursos. Além disso, esse processo visa assegurar que 
colaboradores, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à 
segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a 
política de segurança da informação da organização. Por fim, ele visa assegurar que colaboradores, 
fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada. Para isso, 
ele possui nove controles, sendo eles: ORG03.1 – Papéis e responsabilidades, ORG03.2 – Seleção, 
ORG03.3 – Termos e condições de contratação, ORG03.4 – Responsabilidades da direção, ORG03.5 
– Conscientização, educação e treinamento em segurança da informação, ORG03.6 – Processo 
disciplinar, ORG03.7 – Encerramento das atividades, ORG03.8 – Devolução de ativos e ORG03.9 – 
Retirada de direitos de acesso. 
Diante disso, disserte sobre os objetivos de cada um desses controles.
Resposta esperada
*ORG03.1 – Papéis e responsabilidades - Convém que papéis e responsabilidades pela SI de
colaboradores, fornecedores e terceiros sejam definidos e documentados de acordo com a
política de segurança da organização. *ORG03.2 – Seleção - Convém que verificações de
histórico de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo
com a ética, as leis e as regulamentações pertinentes, e proporcionais aos requisitos do negócio, à
classificação das informações a serem acessadas e aos riscos percebidos. * ORG03.3 – Termos e
condições de contratação - Como parte das suas obrigações contratuais, convém que
colaboradores, fornecedores e terceiros concordem e assinemos termos e condições de sua
contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da
organização para a SI. * ORG03.4 – Responsabilidades da direção - Convém que a direção
solicite aos colaboradores, fornecedores e terceiros que pratiquem a SI de acordo com o
estabelecido nas políticas e procedimentos da organização. * ORG03.5 – Conscientização,
educação e treinamento em segurança da informação- Convém que todos os colaboradores da
organização e, na qual pertinente, fornecedores e terceiros recebam treinamento apropriado em
conscientização, atualizações regulares nas políticas e procedimentos organizacionais, relevantes
para as suas funções. ORG03.6 – Processo disciplinar - Convém que exista um processo
disciplinar formal para os funcionários que tenham cometido uma violação da SI. ORG03.7 –
Encerramento das atividades - Convém que responsabilidades para realizar o encerramento ou
mudança de um trabalho sejam claramente definidas e atribuídas. * ORG03.8 – Devolução de
ativos - Convém que todos os colaboradores, fornecedores e terceiros devolvam todos os ativos
da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato
ou acordo.* ORG03.9 – Retirada de direitos de acesso – Convém que os direitos de acesso de
todos os colaboradores, fornecedores e terceiros às informações e aos recursos de processamento
 VOLTAR
A+
Alterar modo de visualização
1
02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual
about:blank 2/4
da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou
ajustado após a mudança destas atividades. 
Minha resposta
O controle inicial, ORG03.1, trata dos "Papéis e responsabilidades". Sua finalidade é estabelecer
uma compreensão clara das funções e obrigações individuais no que diz respeito à segurança da
informação. Assim, busca-se promover uma contribuição organizada e efetiva para a proteção
dos recursos, garantindo que cada pessoa saiba exatamente o que fazer. Em seguida,
encontramos o controle ORG03.2, relacionado à "Seleção". Seu propósito é garantir uma
avaliação adequada antes do acesso a informações importantes da organização. Por meio da
verificação de antecedentes, referências e habilidades, busca-se evitar a contratação de
indivíduos não confiáveis ou com intenções questionáveis. O item ORG03.3 aborda os "Termos
e condições de contratação". Ele engloba cláusulas específicas sobre segurança da informação
presentes nos contratos. Essas cláusulas são destinadas a assegurar a confidencialidade, a
proteção de informações críticas e a utilização correta dos recursos, visando à proteção dos
ativos organizacionais. No controle ORG03.4, referente às "Responsabilidades da direção",
destaca-se a definição da alta gestão como responsável pela segurança da informação. Essa
responsabilidade engloba o fornecimento de apoio, o estabelecimento de regras e metas, a
alocação adequada de recursos e a demonstração de comprometimento visível com a segurança.
É fundamental criar uma cultura organizacional que valorize a segurança. O controle ORG03.5
aborda a "Conscientização, educação e treinamento em segurança da informação". Seu objetivo é
garantir que todos tenham conhecimento dos riscos à segurança e possuam as habilidades
necessárias para agir em conformidade com as normas de segurança. Isso é realizado por meio
de programas de conscientização, treinamentos regulares e compartilhamento de informações
relevantes para a proteção dos recursos. Por fim, o controle ORG03.6, conhecido como
"Processo disciplinar", destina-se a lidar com indivíduos que não cumprem as regras de
segurança. Esse controle estabelece consequências claras e justas para aqueles que não seguem
as políticas e práticas de segurança. Seu objetivo é desencorajar comportamentos inadequados e
garantir que todos assumam a responsabilidade pela segurança. Em resumo, os controles de
segurança em recursos humanos têm como objetivo garantir a proteção dos ativos e promover
uma cultura de segurança. Através da definição de papéis e responsabilidades claros, seleção
cuidadosa, inclusão de cláusulas contratuais específicas, envolvimento da alta direção,
conscientização e treinamento adequados, além de consequências disciplinares, busca-se
assegurar que todos entendam suas responsabilidades e contribuam para a segurança. Esses
controles visam mitigar riscos e garantir uma transição ordenada quando necessário.
Implementar essas medidas de forma eficaz fortalece a segurança da organização contra ameaças
internas e externas.
Retorno da correção
Parabéns, acadêmico(a)! Sua resposta atingiu os objetivos da questão e você atingiu o esperado,
demonstrando a competência da análise e síntese do assunto abordado, apresentando excelentes
argumentos próprios, com base nos materiais disponibilizados. Confira no quadro "Resposta
esperada" a sugestão de resposta para esta questão.
A visão de um ciclo de vida do processo não é nova. Na literatura, encontramos alguns tipos de 
ciclos, como o de um ciclo de vida do processo contendo sete estágios individuais: Análise → Design 
2
02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual
about:blank 3/4
→ Construir/Desenvolver → Implementar → Operar → Manter/Melhoria Contínua. Existem outros 
ciclos que trazem um ciclo de vida com o objetivo de produzir um padrão abrangente, que dizem 
respeito aos estágios Analisar ou Descobrir (Analyze) → Projeto (Design) → Construir (Build) 
→ Implantar/Implementar (Deploy/Implement) → Executar/Manter (Monitoramento) 
(Run/Maintain) → Melhoria contínua (Continuous improvement). 
Disserte sobre o estágio Analisar ou Descobrir do ciclo de vida do processo. 
Resposta esperada
O objetivo da análise de processos é detectar o conhecimento implícito que existe na organização
sobre os processos existentes ou no estado em que se encontram, para organizar e representar
esse conhecimento.Assim, a fase de análise e a documentação são as primeiras etapas para
fornecer uma descoberta completa dos processos de negócios existentes, seguidos de perto pela
captura, decomposição e documentação de todos os objetos, propriedades e relacionamentos de
informações relacionadas relevantes. Esse procedimento é conhecido como análise de processos
de negócios Business Process Analysis (BPA). 
Minha resposta
O estágio de "Analisar" ou "Descobrir" no ciclo de vida do processo desempenha um papel
crucial no início do processo. Ele envolve uma análise abrangente que visa compreender as
necessidades e metas do processo. Durante essa fase, é realizada uma investigação detalhada
para identificar possíveis problemas e oportunidades de melhoria. Durante o estágio de
"Analisar" ou "Descobrir", informações relevantes são coletadas por meio de pesquisas e
análises. O objetivo é obter uma compreensão clara do processo existente, detectando lacunas e
ineficiências, e documentando as atividades, fluxos de trabalho e interações envolvidas. É
essencial identificar os requisitos e expectativas das partes interessadas em relação ao processo.
Isso garante que o processo seja projetado e implementado de maneira adequada, atendendo às
necessidades de todos os envolvidos. Essa fase, também podem ser realizadas análises de riscos
e avaliações de custo-benefício para avaliar os possíveis impactos do processo. Essas análises
são importantes para embasar decisões informadas sobre o desenvolvimento e implementação do
processo. Enfim, o estágio de "Analisar" ou "Descobrir" desempenha um papel fundamental na
compreensão dos requisitos, identificação de problemas e identificação de oportunidades de
melhoria. É a base para o design e desenvolvimento adequados do processo.
Retorno da correção
Parabéns, acadêmico(a)! Sua resposta atingiu os objetivos da questão e você atingiu o esperado,
demonstrando a competência da análise e síntese do assunto abordado, apresentando excelentes
02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual
about:blank 4/4
argumentos próprios, com base nos materiais disponibilizados. Confira no quadro "Resposta
esperada" a sugestão de resposta para esta questão.
Imprimir