Baixe o app para aproveitar ainda mais
Prévia do material em texto
APOL 1 - Segurança em Sistemas de Informação 1- A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva. Considere as afirmações a seguir quanto à Política de Segurança da Informação: ( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável. ( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. ( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita. ( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula: Resp: letra C – F, V, V, V 2- Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas. Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas. II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países. III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: Resp: letra C – III e IV corretas 3) A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso necessita de proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e modificar a informação. Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação: ( ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e imagens. ( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação. ( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio da organização, necessitando, portanto, de proteção. ( ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de todas essas informações. Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina: Resp: letra C – F, V, F, V 4) Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação produzida, disponível e transportada ganhou tamanha proporção. Avalie as afirmações sobre os conceitos de informação a seguir: I – A informação é restrita a um conjunto de nomes, números, imagens e sons. II – No mundo moderno a informação somente pode existir com o uso da tecnologia. III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na separação entre a informação e os dados. IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua utilidade e seu valor. V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos. Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: Resp: letra C – III e IV corretas 5) A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir). Com relação ao processo de gestão de riscos é correto afirmar que: Resp: letra A - Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização.
Compartilhar