APOL 1 - Segurança em Sistemas de Informação Nota 80

Prévia do material em texto

APOL 1 - Segurança em Sistemas de Informação
1- A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos 
a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie 
todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial 
importância que todos, na organização, tenham conhecimento dessa Política de Segurança, 
comprometam-se e atuem para colocá-la em prática e torná-la efetiva.
Considere as afirmações a seguir quanto à Política de Segurança da Informação:
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização 
estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até 
as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e 
aplicável.
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de 
segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de 
tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da 
organização relativas à segurança da informação.
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar 
submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e 
regulamentos aos quais a organização está sujeita.
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades 
pela segurança da informação da organização, levando em conta que a segurança da informação não 
é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e 
tampouco restrita aos aspectos tecnológicos
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula:
Resp: letra C – F, V, V, V
2- Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a 
definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica 
em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha 
importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da 
segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei 
voltada para as finanças, decorrente de problemas financeiros causados à economia mundial devido 
a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos 
sistemas.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de 
usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board 
ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e 
publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, 
seguradoras e agentes do mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
Resp: letra C – III e IV corretas
3) A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, 
bem, patrimônio – da organização, de grande importância e valor, e que por isso necessita de 
proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos 
diversos meios utilizados para obter, armazenar, transportar e modificar a informação.
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação:
( ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e 
imagens.
( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação.
( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o 
negócio da organização, necessitando, portanto, de proteção.
( ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de 
informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de 
todas essas informações.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina:
Resp: letra C – F, V, F, V
4) Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma 
quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um 
grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século 
XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das 
telecomunicações – que a quantidade de informação produzida, disponível e transportada ganhou 
tamanha proporção.
Avalie as afirmações sobre os conceitos de informação a seguir:
I – A informação é restrita a um conjunto de nomes, números, imagens e sons.
II – No mundo moderno a informação somente pode existir com o uso da tecnologia.
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na 
separação entre a informação e os dados.
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam 
manter sua utilidade e seu valor.
V – Os dados são os resultados da análise ou processamento que, mediante processos e regras 
definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos.
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina:
Resp: letra C – III e IV corretas
5) A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se 
considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas 
de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, 
avaliar, corrigir).
Com relação ao processo de gestão de riscos é correto afirmar que:
Resp: letra A - Impacto é a medida do resultado que um incidente pode produzir nos negócios da 
organização.