APOL 01 - NOTA 80 SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

Questão 1/5 
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se 
considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de 
maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, 
corrigir). 
Com relação ao processo de gestão de riscos é correto afirmar que: 
 
 
A Impacto é a medida do resultado que um incidente pode produzir nos negócios da 
organização. 
 
 
B A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, 
e auxilia no cálculo do ROI – return of investiment. 
 
C Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela 
eliminação de vulnerabilidades ou tratamento contra as ameaças. 
 
 
D Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do 
risco. 
 
 
E Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo 
aplicando um tratamento aos riscos é improvável que se consiga eliminá-los totalmente. 
 
 
Questão 2/5 
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, 
patrimônio – da organização, de grande importância e valor, e que por isso necessita de proteção 
adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios 
utilizados para obter, armazenar, transportar e modificar a informação. 
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação: 
( ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e 
imagens. 
( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação. 
( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio 
da organização, necessitando, portanto, de proteção. 
( ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de 
informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de 
todas essas informações. 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) 
as afirmativas, de acordo com o conteúdo apresentado na disciplina: 
 
 
A V-F-F-V 
 
 
B F-V-V-F 
 
C F-V-F-V 
 
D F-V-V-V 
 
 
E V-V-V-F 
 
Questão 3/5 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a 
serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as 
iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância 
que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e 
atuem para colocá-la em prática e torná-la efetiva. 
Considere as afirmações a seguir quanto à Política de Segurança da Informação: 
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização 
estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as 
punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de 
segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de 
tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização 
relativas à segurança da informação. 
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar 
submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e 
regulamentos aos quais a organização está sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela 
segurança da informação da organização, levando em conta que a segurança da informação não é 
responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e 
tampouco restrita aos aspectos tecnológicos 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) 
as afirmativas, de acordo com o conteúdo apresentado em aula: 
 
 
A V-F-F-V 
 
 
B F-V-V-F 
 
 
C F-V-V-V 
 
 
D V-V-V-F 
 
E F-F-V-V 
 
Questão 4/5 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e 
a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto 
de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns 
autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos 
sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada 
para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes 
contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e 
Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de 
usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios 
Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou 
Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de 
informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e 
agentes do mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos 
centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com 
impacto direto na segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
 
D Somente as afirmações I e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
 
Questão 5/5 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a 
organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte 
delas, são oriundas de estratégias militares de defesa e foram validadas por sua aplicação por milhares 
de vezes no decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de 
aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes pois sempre 
atuam em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a obscuridade é 
necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a 
black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada 
quando o universode possibilidades é difícil de se dimensionar 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) 
as afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 
 
A V-F-F-F 
 
 
B F-V-V-F 
 
 
C F-F-V-V 
 
 
D F-V-V-V 
 
 
E V-V-V-F 
 
 
1A 2C 3C 4C 5A