Baixe o app para aproveitar ainda mais
Prévia do material em texto
19/09/23, 22:59 Avaliação II - Individual about:blank 1/6 Prova Impressa GABARITO | Avaliação II - Individual (Cod.:885559) Peso da Avaliação 1,50 Prova 68892524 Qtd. de Questões 10 Acertos/Erros 7/3 Nota 7,00 Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são: (1) Projeto de conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa CORRETA: FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020. A Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento. B Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de treinamento. C Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação. D Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização. Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA: A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança. B A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento. C A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização. D A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI). Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações. Portanto, é importante contar com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora VOLTAR A+ Alterar modo de visualização 1 2 3 19/09/23, 22:59 Avaliação II - Individual about:blank 2/6 consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI. No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por que realizar uma avaliação de necessidades. ( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente. ( ) Realizar a descrição de como financiar o programa de conscientização. ( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e treinamento, bem como realizar a verificação de qual área deve ser realizada a conscientização. Assinale a alternativa que apresenta a sequência CORRETA: A V - V - F - V. B V - V - V - F. C F - V - V - F. D V - F - V - F. A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique V para as sentenças verdadeiras e F para as falsas: ( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia distribuída e implementação. ( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano de Segurança distribuída. ( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de segurança distribuída e implementação. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - F. B F - V - V. C F - F - V. D F - V - F. Segundo Fernandes e Abreu (2008), o modelo COBIT é um assunto relevante, porque é uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de 4 5 19/09/23, 22:59 Avaliação II - Individual about:blank 3/6 controle, questões técnicas e riscos de negócios, comunicando esse nível de controle às partes interessadas. O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa. Com relação ao que o framework Cobit®2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização, analise as sentenças a seguir: I- O framework Cobit®2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação. II- O framework Cobit®2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço. III- O framework Cobit®2019 foi fundamentado nas melhores práticas acadêmicas, além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz. Assinale a alternativa CORRETA: FONTE: FERNANDES, Agnaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008. A As sentenças I e III estão corretas. B As sentenças II e III estão corretas. C Somente a sentença III está correta. D As sentenças I e II estão corretas. Segundo Athena Security (2020), há alguns anos, os vírus eram uma das principais preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada. ( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento. ( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de material. ( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda sem Complicações. 2020. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021. A F - V - F - V. B V - F - V - V. 6 19/09/23, 22:59 Avaliação II - Individual about:blank 4/6 C V - V - V - V. D V - V - V - F. A sigla COBIT significa, em inglês, objetivos de controle para a informação e tecnologia (Control Objetives for Information and related Technology) e tem como objetivo promover um modelo para Governança de TI confiável, adotado por empresas, sendo atualizado diariamente por gerentes de negócio, profissionais de TI e auditores. Com relação às etapas da estrutura do Cobit®2019, analise as sentenças a seguir: I- É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento. II- É composta pela etapa de Desenhar seu Sistema de Governança de Informação & Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação & Tecnologia. III- É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação & Tecnologia. Assinale a alternativa CORRETA: A As sentenças I e II estão corretas. B As sentenças II e III estão corretas. C As sentenças I e III estão corretas. D Somente a sentença I está correta. As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa CORRETA: FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - RNP/ESR, 2014. A Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de riscos. B Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação. C Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios. D Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios. 7 8 19/09/23, 22:59 Avaliação II - Individual about:blank 5/6 A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre "implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento, com o objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação do Programa, analise as sentenças a seguir: I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, vídeo, no local entre outros. II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização. Assinale a alternativa CORRETA: A As sentenças II e III estão corretas. B Somente a sentença II está correta. C As sentenças I e III estão corretas. D As sentenças I e II estão corretas. O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um método que tem a função de garantir que a empresa organize seus processos. A norma ISO 27001 faz referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do modelo PDCA (Plan, Do, Check, Action ) para o SGSI, analise as sentenças a seguir: I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do SGSI. II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados e implementa melhorias no SGSI. III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para fazer a implementação e a operação do SGSI. Assinale a alternativa CORRETA: A As sentenças II e IV estão corretas. B As sentenças I e III estão corretas. C As sentenças I e IV estão corretas. D As sentenças III e IV estão corretas. 9 10 19/09/23, 22:59 Avaliação II - Individual about:blank 6/6 Imprimir
Compartilhar