Avaliação Final (Objetiva) - Individual - Sistemas de Informação em Segurança

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:827035)
Peso da Avaliação 3,00
Prova 61746429
Qtd. de Questões 10
Acertos/Erros 6/4
Nota 6,00
As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as 
orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management 
System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) 
normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Um regulamento é tanto igual quanto a um documento de política. 
( ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de trabalho. 
( ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados. 
( ) As normas descrevem regras e políticas para a segurança física e lógica. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B V - V - V - F.
C V - V - F - V.
D F - V - V - F.
Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International 
Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas 
Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento.
B A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização.
C A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI).
D A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança.
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre 
"implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e 
treinamento, com o objetivo de realizar a entrega de material para todos os colaboradores da organização. Com relação ao formato de realização desta etapa 
de Implementação do Programa, analise as sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, vídeo, no local entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros, boletins, lista de 
verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com 
palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização. 
Assinale a alternativa CORRETA:
A As sentenças II e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças I e III estão corretas.
D Somente a sentença II está correta.
De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de 
negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as 
ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da 
informação, analise as sentenças a seguir: 
I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança.
II- (4) planejamento de segurança; (5) gestão de ativos de segurança; (6) segurança dos ativos tangíveis produtivo. 
III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de segurança. 
IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva. 
Assinale a alternativa CORRETA:
 VOLTAR
A+ Alterar modo de visualização
1
2
3
4
FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f. Monografia (Especialização em 
Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do Paraná. Curitiba, 
2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 2 fev. 2021.
A As sentenças I e IV estão corretas.
B As sentenças I e II estão corretas.
C As sentenças II e III estão corretas.
D As sentenças II e IV estão corretas.
Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do 
programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização, com responsabilidades 
diferentes e representantes dos setores envolvidos da organização. Com base nas funções para conscientização de segurança, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) A organização deverá prover a realização de treinamentos, baseando-se nas funções de trabalho dos colaboradores conforme o nível de responsabilidade 
e os papéis definidos na organização. 
( ) A organização deve criar um catálogo de referência de vários tipos e profundidades de treinamento, auxiliando as organizações a prover treinamento 
certo para as pessoas certas, na hora certa. 
( ) A organização deve definir um processo de segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de 
conscientização de segurança. 
( ) A organização deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções, ou 
seja, conforme os três tipos de funções: todo o pessoal, funções especializadas e funções de gerenciamento dos colaboradores. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F - V.
B V - V - F - V.
C F - V - F - F.
D V - V - V - F.
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações. Portanto, é importante contar 
com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações. A postura de 
segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em 
segurança de TI. No que se refere ao que deve ser descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO, classifique V para as 
sentenças verdadeiras e F para as falsas: 
( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por que realizar uma avaliação de necessidades. 
( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como estabelecer prioridades e como definir o nível de 
complexidade do objeto adequadamente. 
( ) Realizar a descrição de como financiar o programa de conscientização.
( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e 
treinamento, bem como realizar a verificação de qual área deve ser realizada a conscientização.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B V - V - V - F.
C V - V - F - V.
D V - F - V - F.
Segundo DocuSign (2018), a política de segurança da informação é definidacomo as regras que indicam o acesso, controle e transmissão da informação 
em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação 
contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. Com base na 
documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O documento além da política contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem 
expectativas detalhadas. 
( ) Os documentos escritos baseados na política de segurança pode conter regulamento, procedimentos, diretrizes e normas.
( ) Vários documentos de política são desenvolvidos, tendo como base uma política de segurança corporativa de alto nível, estando sempre de acordo com a 
política corporativa e fornece diretrizes mais detalhadas para uma determinada política. 
( ) É comum um documento de políticas ter uma estrutura hierárquica.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: 
https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-
5
6
7
la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%2
Acesso em: 3 fev. 2021.
A F - V - V - V.
B V - V - V - F.
C V - V - V - V.
D V - F - F - V.
Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de 
informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue 
que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias. 
Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da 
informação nos principais processos de negócios: 
FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de desenvolvimento. 2008. Disponível em: 
http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20
processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021.
A Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de
serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial.
B Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento
de Soluções; Desenvolvimento de Negócios; e Visão empresarial.
C Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento
de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial.
D Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e serviços;
Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa.
Os princípios conhecidos como a tríade Confidencialidade, Integridade e Disponibilidade (CID) são conceitos básicos e fundamentais da segurança da 
informação para serem compreendidos por todas as pessoas e as organizações. Com relação aos princípios e conceitos básicos da segurança da Informação, 
analise as sentenças a seguir: 
I- Ativo da informação, vulnerabilidades, agentes, ameaças, ataques, incidentes de segurança; e de probabilidade e impacto fazem parte dos princípios e 
conceitos básicos da segurança da informação. 
II- Capital intelectual, definição das regras de negócio, processos organizacionais, engenharia de software, definições e papéis e responsabilidades fazem 
parte dos princípios e conceitos básicos da segurança da informação. 
III- Definições de regras, métodos e técnicas para a manipulação de ambientes físicos e tecnológicos fazem parte dos princípios e conceitos básicos da 
segurança da informação, assim como a engenharia de software.
Assinale a alternativa CORRETA:
A As sentenças I e III estão corretas.
B Somente a sentença I está correta.
C As sentenças I e II estão corretas.
D As sentenças II e III estão corretas.
Os ataques estão presentes no cotidiano, sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da 
informação conforme sua cultura e das organizações. Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da 
informação da tríade disponibilidade, confidencialidade e integridade, assinale a alternativa CORRETA:
A A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a
confidencialidade e a integridade da informação.
B Quando uma organização incorpora a cultura da segurança da informação, toda a organização fica comprometida.
C O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação.
D Por mais que haja mecanismos automatizados, a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de
manter a confidencialidade das informações.
8
9
10
Imprimir