Avaliação Final (Objetiva) - Individual

Prévia do material em texto

19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 1/6
Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual
(Cod.:885561)
Peso da Avaliação 3,00
Prova 69445434
Qtd. de Questões 10
Acertos/Erros 9/1
Nota 9,00
Existem basicamente dois tipos de estruturas organizacionais possíveis para compor o setor de 
segurança da informação de uma empresa: o “Escritório de Segurança da Informação” e o “Comitê de 
Segurança da Informação”, segundo Barros e Estrela (2015). Sobre as vantagens do Escritório de 
Segurança da Informação, analise as sentenças a seguir:
I- Disponibilidade da equipe em um local fixo.
II- Disponibilidade da equipe em tempo integral.
III- Custo inexistente com local físico.
IV- Atribuições da equipe somente focadas em segurança da informação.
V- Custo inexistente de pagamento para pessoal específico de segurança da informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: BARROS, E. N.; ESTRELA, L. de S. Organização da segurança da informação. In: LYRA, 
M. R. (org.). Governança da Segurança da Informação. Brasília: Edição do Autor, 2015. p. 27-35. 
Disponível em: http://docplayer.com.br/18984127-Governanca-da-seguranca-da-informacao.html. 
Acesso em: 30 mar. 2020.
A As sentenças I, II e IV estão corretas.
B As sentenças I, III e V estão corretas.
C As sentenças II, III e IV estão corretas.
D As sentenças III e V estão corretas.
Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) 
são conceitos básicos e fundamentais da segurança da informação para serem compreendidos por 
todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da 
Informação, analise as sentenças a seguir: 
I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de 
probabilidade e impacto fazem parte dos princípios e conceitos básicos da segurança da informação. 
II- Capital intelectual, definição das regras de negócio, processos organizacionais, engenharia de 
software, definições e papéis e responsabilidades fazem parte dos princípios e conceitos básicos da 
segurança da informação. 
III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos 
fazem parte dos princípios e conceitos básicos da segurança da informação, assim como a engenharia 
de software.
Assinale a alternativa CORRETA:
A
 VOLTAR
A+
Alterar modo de visualização
1
2
19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 2/6
As sentenças I e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença I está correta.
Os seis principais princípios para um Sistema de Governança (Governance System) e três 
princípios do Framework de Governança servem como referência à segurança, ao risco, ao 
desenvolvimento e operação das organizações. Com relação a esses princípios de Sistema e 
Framework de Governança, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão 
Analítica, (3) Sistema de Governança holístico, (4) Diferença Governança de Processos, (5) 
Adaptados às necessidades das pessoas e (6) Sistema de Gestão do Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes interessadas, (2) 
visão holística, (3) Sistema de Governança Dinâmico, (4) Diferencia Governança de Gestão, (5) 
Adaptados às necessidades das empresas e (6) Sistema de Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual, (2) 
Aberto e flexível e (3) Alinhado com a maioria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis princípios do 
sistema de governança, pois tratam da segurança de forma mais completa. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - V.
B F - V - V - F.
C V - F - V - F.
D F - V - V - V.
A estrutura do programa de conscientização e treinamento de segurança é composta por três 
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como 
deve ser projetado, desenvolvido e implementado. A respeito do que se trata cada um dos três 
modelos comumente aceitos na estrutura do programa de conscientização e treinamento, classifique V 
para as sentenças verdadeiras e F para as falsas: 
 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e 
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada, estratégia 
distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: 
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada, Plano 
de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e 
políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada, plano de 
segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
3
4
19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 3/6
A V - F - F.
B F - V - F.
C F - V - V.
D F - F - V.
De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a 
estratégia organizacional, com seu processo de negócios, com o modelo de gestão corporativo de 
segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar 
as ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às 
seis etapas do modelo de gestão corporativo de segurança da informação, analise as sentenças a 
seguir: 
I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança.
II- (4) planejamento de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos 
tangíveis produtivo. 
III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de 
segurança. 
IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia 
produtiva. 
Assinale a alternativa CORRETA:
FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do 
conhecimento. 2013. 41 f. Monografia (Especialização em Gestão da Tecnologia da Informação e 
Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do 
Paraná. Curitiba, 2013. Disponível em: 
http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 
2 fev. 2021.
A As sentenças II e IV estão corretas.
B As sentenças I e IV estão corretas.
C As sentenças I e II estão corretas.
D As sentenças II e III estão corretas.
Conforme Sêmola (2014, p. 7), “no ambiente corporativo, muitos outros processos de tratamento do 
risco estão amadurecidos, como risco jurídico, risco de crédito, risco financeiro, risco de pessoal etc., 
mas ainda há muito a desenvolver no campo do risco da informação”. Neste sentido, Sêmola define 
alguns conceitos importantes relativos à Segurança da Informação.
Sobre esses conceitos, assinale a alternativa CORRETA:
FONTE: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: 
Elsevier, 2014.
5
6
19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 4/6
A
Crescimento da dependência: a visão corporativa da segurança da informação deve ser
comparada a uma corrente, em que o elo mais fraco determina o seu grau de resistência e
proteção. A invasão ocorre onde a segurança falha.
B
Ciclo de vida da informação: as empresas são diferentes e precisarão mapear o seu risco através
da ponderação de ameaças, vulnerabilidades físicas, tecnológicas e humanas, e impactos, em
busca da especificação da solução ideal.
C Informação: representaa inteligência competitiva dos negócios e é reconhecida como ativo
crítico para a continuidade operacional e saúde da empresa.
D
Visão Corporativa: os riscos são inerentes e proporcionais aos índices de dependência que a
empresa tem da informação e da complexidade da estrutura que suporta os processos de
automação, informatização e compartilhamento de informações.
É crucial para o sucesso do programa de treinamento de conscientização que as pessoas 
reconheçam que receberam e compreendam de forma completa o conteúdo entregue sobre as 
atividades e os papéis necessários para assegurar a segurança da informação. É importante obter seu 
feedback constante para garantir que a equipe compreenda o conteúdo e as políticas de segurança da 
organização. Com relação à forma de conteúdo de treinamento geral de conscientização referente à 
segurança, analise as sentenças a seguir:
I- Utilização da Política de conscientização de segurança da organização, comércio eletrônico, 
práticas de e-mail seguro, mensagem instantâneas, o uso seguro de mídias sociais etc. 
II- Utilização de ambientes automatizados que oferecem práticas e orientações para trabalhar de 
forma presencial, a fim de evitar acesso às informações disponíveis em suas áreas. 
III- Utilização de segurança física, correios, fax, telefone, ambiente sem cartão, agente de segurança, 
acesso físico etc. 
Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças I e III estão corretas.
C As sentenças II e III estão corretas.
D Somente a sentença III está correta.
No contexto da segurança da informação, a engenharia social refere-se à manipulação 
psicológica do comportamento humano ou à divulgação de informações confidenciais. É usada para 
descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a 
informações ou informações no computador. Com relação à Engenharia Social, analise as sentenças a 
seguir: 
I- Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira 
fácil e sem que estas pessoas se deem conta. 
II- Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de violar a 
segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para 
acessar as informações. 
III- Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas 
e extrair suas informações sigilosas de forma anônima. 
7
8
19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 5/6
Assinale a alternativa CORRETA:
A Somente a sentença I está correta.
B As sentenças I e III estão corretas.
C As sentenças II e III estão corretas.
D As sentenças I e II estão corretas.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que 
buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as 
organizações independente do seu tipo, tamanho ou natureza. Com relação a estas 10 seções da 
estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as 
falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) 
Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação 
de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos 
genéricos e específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à 
informação e como a seção (5) está relacionada à alta gerência demonstrar liderança e compromisso 
com o SGSI, determinando políticas e atribuindo funções, responsabilidades e autoridades 
responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às 
informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção (10) 
aborda as conclusões de auditorias e revisões, não conformidades e ações corretivas buscando de 
forma contínua a melhoria.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F - V.
B F - F - V - V.
C V - V - V - F.
D V - F - V - V.
As políticas e os regulamentos de segurança da informação são os principais documentos da 
maior parte das organizações, eles contêm todas as orientações voltadas para o Sistema de 
Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security 
Management System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A 
respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) normas que podem ser 
escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as 
falsas: 
( ) Um regulamento é tanto igual quanto a um documento de política. 
( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir 
9
10
19/09/23, 23:00 Avaliação Final (Objetiva) - Individual
about:blank 6/6
instruções de trabalho. 
( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser 
examinados. 
( ) As normas descrevem regras e políticas para a segurança física e lógica. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - F - V.
B V - V - V - F.
C V - F - V - V.
D F - V - V - F.
Imprimir