Prévia do material em texto
02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual about:blank 1/4 Prova Impressa GABARITO | Avaliação Final (Discursiva) - Individual (Cod.:825489) Peso da Avaliação 4,00 Prova 67319249 Qtd. de Questões 2 Nota 10,00 O processo de segurança em recursos humanos visa assegurar que os colaboradores, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto ou roubo, fraude ou mal uso de recursos. Além disso, esse processo visa assegurar que colaboradores, fornecedores e terceiros estão conscientes das ameaças e preocupações relativas à segurança da informação, suas responsabilidades e obrigações, e estão preparados para apoiar a política de segurança da informação da organização. Por fim, ele visa assegurar que colaboradores, fornecedores e terceiros deixem a organização ou mudem de trabalho de forma ordenada. Para isso, ele possui nove controles, sendo eles: ORG03.1 – Papéis e responsabilidades, ORG03.2 – Seleção, ORG03.3 – Termos e condições de contratação, ORG03.4 – Responsabilidades da direção, ORG03.5 – Conscientização, educação e treinamento em segurança da informação, ORG03.6 – Processo disciplinar, ORG03.7 – Encerramento das atividades, ORG03.8 – Devolução de ativos e ORG03.9 – Retirada de direitos de acesso. Diante disso, disserte sobre os objetivos de cada um desses controles. Resposta esperada *ORG03.1 – Papéis e responsabilidades - Convém que papéis e responsabilidades pela SI de colaboradores, fornecedores e terceiros sejam definidos e documentados de acordo com a política de segurança da organização. *ORG03.2 – Seleção - Convém que verificações de histórico de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com a ética, as leis e as regulamentações pertinentes, e proporcionais aos requisitos do negócio, à classificação das informações a serem acessadas e aos riscos percebidos. * ORG03.3 – Termos e condições de contratação - Como parte das suas obrigações contratuais, convém que colaboradores, fornecedores e terceiros concordem e assinemos termos e condições de sua contratação para o trabalho, os quais devem declarar as suas responsabilidades e a da organização para a SI. * ORG03.4 – Responsabilidades da direção - Convém que a direção solicite aos colaboradores, fornecedores e terceiros que pratiquem a SI de acordo com o estabelecido nas políticas e procedimentos da organização. * ORG03.5 – Conscientização, educação e treinamento em segurança da informação- Convém que todos os colaboradores da organização e, na qual pertinente, fornecedores e terceiros recebam treinamento apropriado em conscientização, atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções. ORG03.6 – Processo disciplinar - Convém que exista um processo disciplinar formal para os funcionários que tenham cometido uma violação da SI. ORG03.7 – Encerramento das atividades - Convém que responsabilidades para realizar o encerramento ou mudança de um trabalho sejam claramente definidas e atribuídas. * ORG03.8 – Devolução de ativos - Convém que todos os colaboradores, fornecedores e terceiros devolvam todos os ativos da organização que estejam em sua posse, após o encerramento de suas atividades, do contrato ou acordo.* ORG03.9 – Retirada de direitos de acesso – Convém que os direitos de acesso de todos os colaboradores, fornecedores e terceiros às informações e aos recursos de processamento VOLTAR A+ Alterar modo de visualização 1 02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual about:blank 2/4 da informação sejam retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado após a mudança destas atividades. Minha resposta O controle inicial, ORG03.1, trata dos "Papéis e responsabilidades". Sua finalidade é estabelecer uma compreensão clara das funções e obrigações individuais no que diz respeito à segurança da informação. Assim, busca-se promover uma contribuição organizada e efetiva para a proteção dos recursos, garantindo que cada pessoa saiba exatamente o que fazer. Em seguida, encontramos o controle ORG03.2, relacionado à "Seleção". Seu propósito é garantir uma avaliação adequada antes do acesso a informações importantes da organização. Por meio da verificação de antecedentes, referências e habilidades, busca-se evitar a contratação de indivíduos não confiáveis ou com intenções questionáveis. O item ORG03.3 aborda os "Termos e condições de contratação". Ele engloba cláusulas específicas sobre segurança da informação presentes nos contratos. Essas cláusulas são destinadas a assegurar a confidencialidade, a proteção de informações críticas e a utilização correta dos recursos, visando à proteção dos ativos organizacionais. No controle ORG03.4, referente às "Responsabilidades da direção", destaca-se a definição da alta gestão como responsável pela segurança da informação. Essa responsabilidade engloba o fornecimento de apoio, o estabelecimento de regras e metas, a alocação adequada de recursos e a demonstração de comprometimento visível com a segurança. É fundamental criar uma cultura organizacional que valorize a segurança. O controle ORG03.5 aborda a "Conscientização, educação e treinamento em segurança da informação". Seu objetivo é garantir que todos tenham conhecimento dos riscos à segurança e possuam as habilidades necessárias para agir em conformidade com as normas de segurança. Isso é realizado por meio de programas de conscientização, treinamentos regulares e compartilhamento de informações relevantes para a proteção dos recursos. Por fim, o controle ORG03.6, conhecido como "Processo disciplinar", destina-se a lidar com indivíduos que não cumprem as regras de segurança. Esse controle estabelece consequências claras e justas para aqueles que não seguem as políticas e práticas de segurança. Seu objetivo é desencorajar comportamentos inadequados e garantir que todos assumam a responsabilidade pela segurança. Em resumo, os controles de segurança em recursos humanos têm como objetivo garantir a proteção dos ativos e promover uma cultura de segurança. Através da definição de papéis e responsabilidades claros, seleção cuidadosa, inclusão de cláusulas contratuais específicas, envolvimento da alta direção, conscientização e treinamento adequados, além de consequências disciplinares, busca-se assegurar que todos entendam suas responsabilidades e contribuam para a segurança. Esses controles visam mitigar riscos e garantir uma transição ordenada quando necessário. Implementar essas medidas de forma eficaz fortalece a segurança da organização contra ameaças internas e externas. Retorno da correção Parabéns, acadêmico(a)! Sua resposta atingiu os objetivos da questão e você atingiu o esperado, demonstrando a competência da análise e síntese do assunto abordado, apresentando excelentes argumentos próprios, com base nos materiais disponibilizados. Confira no quadro "Resposta esperada" a sugestão de resposta para esta questão. A visão de um ciclo de vida do processo não é nova. Na literatura, encontramos alguns tipos de ciclos, como o de um ciclo de vida do processo contendo sete estágios individuais: Análise → Design 2 02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual about:blank 3/4 → Construir/Desenvolver → Implementar → Operar → Manter/Melhoria Contínua. Existem outros ciclos que trazem um ciclo de vida com o objetivo de produzir um padrão abrangente, que dizem respeito aos estágios Analisar ou Descobrir (Analyze) → Projeto (Design) → Construir (Build) → Implantar/Implementar (Deploy/Implement) → Executar/Manter (Monitoramento) (Run/Maintain) → Melhoria contínua (Continuous improvement). Disserte sobre o estágio Analisar ou Descobrir do ciclo de vida do processo. Resposta esperada O objetivo da análise de processos é detectar o conhecimento implícito que existe na organização sobre os processos existentes ou no estado em que se encontram, para organizar e representar esse conhecimento.Assim, a fase de análise e a documentação são as primeiras etapas para fornecer uma descoberta completa dos processos de negócios existentes, seguidos de perto pela captura, decomposição e documentação de todos os objetos, propriedades e relacionamentos de informações relacionadas relevantes. Esse procedimento é conhecido como análise de processos de negócios Business Process Analysis (BPA). Minha resposta O estágio de "Analisar" ou "Descobrir" no ciclo de vida do processo desempenha um papel crucial no início do processo. Ele envolve uma análise abrangente que visa compreender as necessidades e metas do processo. Durante essa fase, é realizada uma investigação detalhada para identificar possíveis problemas e oportunidades de melhoria. Durante o estágio de "Analisar" ou "Descobrir", informações relevantes são coletadas por meio de pesquisas e análises. O objetivo é obter uma compreensão clara do processo existente, detectando lacunas e ineficiências, e documentando as atividades, fluxos de trabalho e interações envolvidas. É essencial identificar os requisitos e expectativas das partes interessadas em relação ao processo. Isso garante que o processo seja projetado e implementado de maneira adequada, atendendo às necessidades de todos os envolvidos. Essa fase, também podem ser realizadas análises de riscos e avaliações de custo-benefício para avaliar os possíveis impactos do processo. Essas análises são importantes para embasar decisões informadas sobre o desenvolvimento e implementação do processo. Enfim, o estágio de "Analisar" ou "Descobrir" desempenha um papel fundamental na compreensão dos requisitos, identificação de problemas e identificação de oportunidades de melhoria. É a base para o design e desenvolvimento adequados do processo. Retorno da correção Parabéns, acadêmico(a)! Sua resposta atingiu os objetivos da questão e você atingiu o esperado, demonstrando a competência da análise e síntese do assunto abordado, apresentando excelentes 02/08/2023, 20:42 Avaliação Final (Discursiva) - Individual about:blank 4/4 argumentos próprios, com base nos materiais disponibilizados. Confira no quadro "Resposta esperada" a sugestão de resposta para esta questão. Imprimir