Prova Políticas de segurança e classificação da informação

Prévia do material em texto

Políticas de segurança e classificação da informação
Professor(a): Marcia Maria Savoine (Mestrado acadêmico)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder
as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Os rótulos que são atribuídos às informações, após a classificação da informação, consistem em:
Alternativas:
Realizar um tratamento com o critério integridade.
Estabelecer as propriedades de disponibilidade, confidencialidade e integridade das informações.
Tratar as informações classificadas.
Definir os níveis de classificação que identificam o conteúdo daquela informação.  CORRETO
Conjunto de ações referentes a recepção, classificação, utilização, armazenamento e descarte da informação.
Código da questão: 58767
Ao implementar _________ em uma organização, a utilização de alguns frameworks já consolidados no mercado pode fornecer métricas para
garantir sua eficácia. Um bom exemplo é a __________, que proporciona orientações de boas práticas para gestão e execução de ____________, sob a
perspectiva da geração de ___________.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Estratégias gerenciais; PMBOK; gerenciamento de projetos; qualidade.
Modelos estratégicos; COSO; valor; promoção no trabalho.
O Cobit 5; estrutura; governança de TI; eficiência.
Governança de TI; biblioteca ITIL; serviços de TI; valor ao negócio.  CORRETO
Modelos estratégicos; estrutura de práticas; TI; eficácia.
Código da questão: 58727
O Cobit é um modelo de boas práticas de governança e gerenciamento da TI empresarial desenvolvida pela Isaca. Este framework é sustentado
por cinco princípios. Assinale a alternativa que indica estes cinco princípios:
Alternativas:
Satisfazer as necessidades das partes interessadas; cobrir a organização de ponta a ponta; aplicar um framework integrado único; possibilitar
uma visão holística; separar governança de gerenciamento.  CORRETO
Desenvolvimento iterativo do software; gestão de requisitos; uso de arquiteturas baseadas em componentes; verificação contínua da qualidade
do software; controle de mudanças no software.
Controle empírico do processo; auto-organização; colaboração; priorização baseada em valor; desenvolvimento iterativo.
Justificação de negócio contínua; aprender com a experiência; papéis e responsabilidade definidos; gerenciar por estágios; gerenciar por
exceção.
Proteger os ativos da empresa; produzir dados contábeis confiáveis; estabelecer protocolos e procedimentos que colaboradores devem seguir;
manter informações financeiras organizadas; reduzir erros.
Resolução comentada:
consiste em efetivar os níveis das informações já classificadas, identificando o tipo de conteúdo daquela informação. Por exemplo: confidencial,
restrita, interna e pública, entre outros.
Resolução comentada:
a governança de TI, ao ser usada com outros frameworks, melhora sua eficácia e, com a biblioteca ITIL, consiste em boas práticas para a
execução de gestão de serviços de TI, gerando valor ao negócio.
Resolução comentada:
4)
5)
6)
Código da questão: 58735
Em uma política de segurança da informação no nível operacional é onde são criados(as):
Alternativas:
Políticas.
Normas.
Normas e regras.
Regras.
Procedimentos e instruções.  CORRETO
Código da questão: 58724
Na classificação da informação, temos alguns responsáveis inseridos para que o processo funcione de maneira adequada.
Leia e associe as duas colunas:
Assinale a alternativa que traz a associação correta entre as duas colunas:
Alternativas:
I – D; II – A; III – B; IV – C.
I – C; II – A; III – D; IV – B.  CORRETO
I – B; II – C; III – A; IV – D.
I – A; II – D; III – B; IV – C.
I – C; II – B; III – A; IV – D.
Código da questão: 58762
A classificação da informação visa assegurar que esta receba um nível adequado de proteção. Neste sentido, com relação à propriedade
confidencialidade, assinale a alternativa correta sobre os critérios indicados:
Alternativas:
Pública, comum, normal e controlada.
satisfazer as necessidades das partes interessadas; cobrir a organização de ponta a ponta; aplicar um framework integrado único; possibilitar
uma visão holística; separar governança de gerenciamento constituem todos os princípios do Cobit.
Resolução comentada:
no nível operacional são descritos na política quais as instruções ou procedimentos que o usuário técnico tem que realizar para poder acessar
informações do ambiente de tecnologia da organização.
Resolução comentada:
proprietário é o responsável por definir e realizar a análise crítica das classificações e restrições de acesso.
Custodiante são pessoas, grupos de trabalho ou áreas delegadas pelo proprietário da informação para cuidar da manutenção e guarda do
ativo de informação no dia a dia.
Grupo de acesso são pessoas, grupos de trabalho ou áreas autorizadas a terem acesso à determinada informação.
Usuário é o responsável por interagir com a informação.
7)
8)
9)
Vital, interna e normal.
Registrada, comum e normal.
Vital, crítica e comum.
Confidencial, restrita, interna e pública.  CORRETO
Código da questão: 58746
A norma ISO/IEC 27.002:2013 tem por objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de
segurança da informação em uma organização. A norma está dividida em várias seções, que correspondem a controles de segurança da informação.
Neste sentido, pergunta-se: a norma tem uma seção específica voltada para a política de segurança da informação? Assinale a alternativa correta:
Alternativas:
Ela não possui nenhuma seção voltada exclusivamente para a política de segurança da informação.
Sim, ela possui uma seção específica denominada “Seção 9 – Política de segurança física e do ambiente”.
Todas as seções da norma são voltadas exclusivamente para segurança da informação e não contempla a política de segurança da informação.
Sim, ela possui uma seção específica denominada “Seção 5 – Política de segurança da informação”.  CORRETO
Sim, ela possui uma seção específica denominada “Seção 6 – Organização da segurança da informação e política de segurança da informação”.
Código da questão: 58719
Segundo a pesquisa recente da Identity Defined Security Alliance (IDSA), uma solução para a redução dos riscos de violação da segurança da
informação nas organizações é:
Alternativas:
Mudança da cultura organizacional com relação à segurança da informação.
Empresas precisam ser mais reativas em ataques de segurança da informação.
Empresas serem mais proativas em ações de controle lógico em segurança da informação.
Treinamento e conscientização sobre segurança da informação.  CORRETO
Política de mudança de senhas em períodos curtos de tempo.
Código da questão: 58774
Sobre a pesquisa realizada pela Identity Defined Security Alliance (IDSA), aliança que auxilia as empresas mundiais a estabelecer o gerenciamento
seguro das identidades, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F):
( ) Organizações reativas trabalham em resolver os problemas de segurança já acontecidos.
( ) Organizações proativas trabalham em prevenir que ocorram os problemas de segurança.
( ) Ataques por violações relacionadas à identidade, chamados de phishing, são tão comuns quanto spyware ou ataques DDoS.
( ) As empresas reativas experimentaram violações sobre o phishing, porém com menos credenciais roubadas.
( ) Treinamento em segurança da informação não ajuda a reduzir o risco de uma violação de dados, chamada de phishing.
Assinale a alternativa que contenha a sequência correta:
Resolução comentada:
a propriedade confidencialidade limita o acesso à informação somente a autorização pelo proprietário da informação. O critério confidencial
proporcionaisto e, em conjunto com o critério restrito, faz com que seja limitado o acesso. E o critério interno é um critério que controla a
informação para uso particular de uma área; já o critério público, associado a todos os outros, é disponibilizado somente a informações que
podem ser divulgadas.
Resolução comentada:
por ser uma norma de segurança da informação, ela possui uma seção específica voltada para a política de segurança da informação, sendo a
seção 5, pois qualquer garantia de segurança da informação somente tem realização efetiva com uma política de segurança da informação.
As outras alternativas não existem na norma ISO 27.002.
Resolução comentada:
a pesquisa aponta que os usuários não estão sabendo lidar com o phishing (roubo de dados pessoais on-line) e um maior treinamento e
conscientização é uma solução adequada.
10)
Alternativas:
F – F – F – V – V.
V – V – V – F – F.  CORRETO
V – F – V – F – V.
F – V – F – V – F.
F – F – V – V – F.
Código da questão: 58770
O gestor de TI de uma empresa de médio porte deseja melhorar a governança e a gestão de TI dessa empresa. Nesse caso, ele escolhe
implantar um framework que venha orientar a organização na implementação, operação e melhoria dos processos de governança de TI. Assinale a
alternativa correta, com o framework escolhido pelo gestor de TI de acordo com suas necessidades.
Alternativas:
PMBOK.
COSO
CMMI
ITIL v4.
Cobit 5.  CORRETO
Código da questão: 58726
Resolução comentada:
as empresas proativas experimentam violações sobre o phishing, porém com menos credenciais roubadas, e não empresas reativas.
O treinamento em segurança da informação ajuda a reduzir o risco de uma violação de dados, chamada de phishing, justamente porque os
usuários entendem que não podem acessar links desconhecidos de e-mails e sites.
Resolução comentada:
o Cobit 5 é um framework com foco em orientar a organização na implementação, operação e melhoria dos processos de governança de TI.
A ITIL v4 é uma biblioteca com foco em práticas de gerenciamento dos serviços de TI. PMBOK é um guia de boas práticas para orientar as
ações do gerenciamento de projetos. CMMI é um modelo voltado para a capacidade de maturidade de processos de software. COSO é guia
com o objetivo de orientar as organizações quanto a princípios e melhores práticas de controle interno, para assegurar a produção de
relatórios financeiros confiáveis e prevenir fraudes.
Arquivos e Links