Avaliação II - Individual

Prévia do material em texto

19/09/23, 22:59 Avaliação II - Individual
about:blank 1/6
Prova Impressa
GABARITO | Avaliação II - Individual (Cod.:885559)
Peso da Avaliação 1,50
Prova 68892524
Qtd. de Questões 10
Acertos/Erros 7/3
Nota 7,00
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em 
conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e 
treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) 
Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto 
de conscientização e treinamento, assinale a alternativa CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and 
training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: 
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
A Define as políticas de segurança da informação voltadas para o programa de conscientização e
treinamento.
B Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma
estratégia de treinamento.
C Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de
Segurança de Informação.
D Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas 
de Segurança da Informação são a International Organization for Standardization (ISO), a 
International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas 
(ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, 
assinale a alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em
segurança.
B A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um
plano de conscientização e treinamento.
C A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de
conscientização.
D A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de
Segurança da Informação (SGSI).
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de 
tecnologia das organizações. Portanto, é importante contar com um plano de conscientização em 
segurança da informação para garantir a segurança de estratégias e projetos internos das 
organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora 
 VOLTAR
A+ Alterar modo de visualização
1
2
3
19/09/23, 22:59 Avaliação II - Individual
about:blank 2/6
consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI. 
No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E 
TREINAMENTO, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e 
por que realizar uma avaliação de necessidades. 
( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como 
estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente. 
( ) Realizar a descrição de como financiar o programa de conscientização.
( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não 
conformidades nos planos de conscientização e treinamento, bem como realizar a verificação de qual 
área deve ser realizada a conscientização.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - F - V.
B V - V - V - F.
C F - V - V - F.
D V - F - V - F.
A estrutura do programa de conscientização e treinamento de segurança é composta por três 
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como 
deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três 
modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique V 
para as sentenças verdadeiras e F para as falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e 
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia 
distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: 
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano 
de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e 
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de 
segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F.
B F - V - V.
C F - F - V.
D F - V - F.
Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma 
ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de 
4
5
19/09/23, 22:59 Avaliação II - Individual
about:blank 3/6
controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes 
interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles 
de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de 
segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: 
I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na 
segurança da informação. 
II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de 
software e nas questões de entrega e suporte de serviço. 
III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser 
reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de 
maneira eficaz. 
Assinale a alternativa CORRETA:
FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança 
de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
A As sentenças I e III estão corretas.
B As sentenças II e III estão corretas.
C Somente a sentença III está correta.
D As sentenças I e II estão corretas.
Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais 
preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente 
corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante 
desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta 
os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas 
quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da 
informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das 
necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar 
nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de 
treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à 
implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de 
material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e 
métodos de feedback eficazes. 
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda 
sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021.
A F - V - F - V.
B V - F - V - V.
6
19/09/23, 22:59 Avaliação II - Individual
about:blank 4/6
C V - V - V - V.
D V - V - V - F.
A sigla COBIT significa, em inglês, objetivos de controle para a informação e tecnologia 
(Control Objetives for Information and related Technology) e tem como objetivo promover um 
modelo para Governança de TI confiável, adotado por empresas, sendo atualizado diariamente por 
gerentes de negócio, profissionais de TI e auditores. Com relação às etapas da estrutura do 
Cobit®2019, analise as sentenças a seguir: 
I- É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento. 
II- É composta pela etapa de Desenhar seu Sistema de Governança de Informação & Tecnologia e de 
Implementar e Otimizar seu Sistema de Governança de Informação & Tecnologia. 
III- É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e 
pelos Objetivos de Informação & Tecnologia. 
Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças II e III estão corretas.
C As sentenças I e III estão corretas.
D Somente a sentença I está correta.
As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças 
estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, 
p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito 
das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às 
Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de 
estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa 
CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da 
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - 
RNP/ESR, 2014.
A Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de
riscos.
B Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação.
C Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
D Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios.
7
8
19/09/23, 22:59 Avaliação II - Individual
about:blank 5/6
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em 
segurança da informação da organização trata sobre "implementação do programa", na qual é 
compreendida a etapa responsável pela realização da comunicação e implementação do plano de 
conscientização e treinamento, com o objetivo de realizar a entrega de material para todos os 
colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação 
do Programa, analise as sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a 
distância, vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser 
via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não 
fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de 
forma presencial por meio de workshop e seminários com palestrantes especializados em programa 
de conscientização e treinamento em segurança da informação da própria organização. 
Assinale a alternativa CORRETA:
A As sentenças II e III estão corretas.
B Somente a sentença II está correta.
C As sentenças I e III estão corretas.
D As sentenças I e II estão corretas.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um 
método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz 
referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de 
Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de 
forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do 
modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do 
SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados 
e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para 
fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
A As sentenças II e IV estão corretas.
B As sentenças I e III estão corretas.
C As sentenças I e IV estão corretas.
D As sentenças III e IV estão corretas.
9
10
19/09/23, 22:59 Avaliação II - Individual
about:blank 6/6
Imprimir