Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova Impressa GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:827035) Peso da Avaliação 3,00 Prova 61746429 Qtd. de Questões 10 Acertos/Erros 6/4 Nota 6,00 As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um regulamento é tanto igual quanto a um documento de política. ( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de trabalho. ( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados. ( ) As normas descrevem regras e políticas para a segurança física e lógica. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - V - V. B V - V - V - F. C V - V - F - V. D F - V - V - F. Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA: A A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento. B A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização. C A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI). D A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança. A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre "implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento, com o objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação do Programa, analise as sentenças a seguir: I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, vídeo, no local entre outros. II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros, boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização. Assinale a alternativa CORRETA: A As sentenças II e III estão corretas. B As sentenças I e II estão corretas. C As sentenças I e III estão corretas. D Somente a sentença II está correta. De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da informação, analise as sentenças a seguir: I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança. II- (4) planejamento de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos tangíveis produtivo. III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de segurança. IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva. Assinale a alternativa CORRETA: VOLTAR A+ Alterar modo de visualização 1 2 3 4 FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f. Monografia (Especialização em Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do Paraná. Curitiba, 2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 2 fev. 2021. A As sentenças I e IV estão corretas. B As sentenças I e II estão corretas. C As sentenças II e III estão corretas. D As sentenças II e IV estão corretas. Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização, com responsabilidades diferentes e representantes dos setores envolvidos da organização. Com base nas funções para conscientização de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) A organização deverá prover a realização de treinamentos, baseando-se nas funções de trabalho dos colaboradores conforme o nível de responsabilidade e os papéis definidos na organização. ( ) A organização deve criar um catálogo de referência de vários tipos e profundidades de treinamento, auxiliando as organizações a prover treinamento certo para as pessoas certas, na hora certa. ( ) A organização deve definir um processo de segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de conscientização de segurança. ( ) A organização deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções, ou seja, conforme os três tipos de funções: todo o pessoal, funções especializadas e funções de gerenciamento dos colaboradores. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - F - V. B V - V - F - V. C F - V - F - F. D V - V - V - F. Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações. Portanto, é importante contar com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI. No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por que realizar uma avaliação de necessidades. ( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente. ( ) Realizar a descrição de como financiar o programa de conscientização. ( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e treinamento, bem como realizar a verificação de qual área deve ser realizada a conscientização. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - F. B V - V - V - F. C V - V - F - V. D V - F - V - F. Segundo DocuSign (2018), a política de segurança da informação é definidacomo as regras que indicam o acesso, controle e transmissão da informação em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. Com base na documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O documento além da política contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas. ( ) Os documentos escritos baseados na política de segurança pode conter regulamento, procedimentos, diretrizes e normas. ( ) Vários documentos de política são desenvolvidos, tendo como base uma política de segurança corporativa de alto nível, estando sempre de acordo com a política corporativa e fornece diretrizes mais detalhadas para uma determinada política. ( ) É comum um documento de políticas ter uma estrutura hierárquica. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve- 5 6 7 la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%2 Acesso em: 3 fev. 2021. A F - V - V - V. B V - V - V - F. C V - V - V - V. D V - F - F - V. Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias. Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da informação nos principais processos de negócios: FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de desenvolvimento. 2008. Disponível em: http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20 processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021. A Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial. B Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento de Soluções; Desenvolvimento de Negócios; e Visão empresarial. C Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial. D Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e serviços; Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa. Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) são conceitos básicos e fundamentais da segurança da informação para serem compreendidos por todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da Informação, analise as sentenças a seguir: I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto fazem parte dos princípios e conceitos básicos da segurança da informação. II- Capital intelectual, definição das regras de negócio, processos organizacionais, engenharia de software, definições e papéis e responsabilidades fazem parte dos princípios e conceitos básicos da segurança da informação. III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos fazem parte dos princípios e conceitos básicos da segurança da informação, assim como a engenharia de software. Assinale a alternativa CORRETA: A As sentenças I e III estão corretas. B Somente a sentença I está correta. C As sentenças I e II estão corretas. D As sentenças II e III estão corretas. Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da informação conforme sua cultura e das organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade disponibilidade, confidencialidade e integridade, assinale a alternativa CORRETA: A A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a confidencialidade e a integridade da informação. B Quando uma organização incorpora a cultura da segurança da informação, toda a organização fica comprometida. C O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação. D Por mais que haja mecanismos automatizados, a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das informações. 8 9 10 Imprimir
Compartilhar