EXERCÍCIOS DE FIXAÇÃO

Prévia do material em texto

EXERCÍCIOS DE FIXAÇÃO 
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne 
ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas 
são de suma importância para o aproveitamento de seus estudos. 
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito. 
Questão 1 
A Dra. Ana Carolina possui um escritório especializado em Direito Internacional. Um dos seus 
clientes, a empresa brasileira XPTO, representada pelo seu CEO Henrique Brandão, procurou o 
escritório para informar que sua empresa passaria a negociar ações ADR (American Depositary 
Receipt) nas bolsas norte-americanas e se, por conta disso, a organização estaria submetida a 
alguma lei específica. A Dra. Ana Carolina explicou ao Sr. Henrique Brandão que existe uma lei 
americana, de julho de 2002, que afeta a divulgação financeira de empresas que têm ações 
negociadas nas bolsas dos Estados Unidos. Disse também que o não cumprimento dessa lei 
pode ocasionar a prisão do CEO e do CFO, além de sanções pecuniárias. 
Que lei é essa? 
 
a) Lei Sarbanes-Oxley 
b) Lei Protecionista 
c) Lei Rockefeller 
d) Lei Firewall 
e) Lei Protection 
 
Questão 2 
O conceito aqui descrito se relaciona com o modo como as empresas são dirigidas e 
controladas. Nesse contexto, é criada uma expectativa que nem sempre atingida, relacionando 
o esforço dos administradores para aumentar o valor da empresa visando aos acionistas. Existe 
ainda uma preocupação com a transparência, a equidade, a prestação de contas e a 
responsabilidade corporativa. 
A opção que melhor define o conceito descrito acima é: 
 
a) Acordo de Basileia 
b) Governança Corporativa 
c) Governança de valor 
d) Governança Contábil 
e) Resolução 3380 do Banco Central do Brasil 
leydson.oliveira
Realce
leydson.oliveira
Realce
leydson.oliveira
Nota
A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei afeta a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos da América.
leydson.oliveira
Nota
Podemos entender a Governança Corporativa como um sistema baseado em um conjunto de mecanismos pelo qual os negócios e as corporações possam ser dirigidos e controlados, fazendo com que as decisões corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio.
Questão 3 
Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de interesses 
que ocorrem nas empresas e quais mecanismos podem ser empregados para reduzir seus 
custos. A teoria sustenta que as relações humanas levam, inevitavelmente, a conflitos de 
interesse. Nas relações hierárquicas, não se pode afirmar que o subordinado sempre agirá no 
melhor interesse do principal. 
A opção que melhor define o conceito descrito acima é: 
 
a) Teoria de interesses 
b) Teoria hierárquica 
c) Teoria do agente-principal 
d) Teoria maximizadora de utilidade 
e) Teoria vanguardista 
 
Questão 4 
Esse acordo fez com que as principais autoridades bancárias de vários países criassem seus 
modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, 
determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo 
Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. 
A opção que melhor define o conceito descrito acima é: 
 
a) Acordo de globalização 
b) Acordo bancário 
c) Acordo internacional 
d) Acordo de Basileia II 
e) Acordo entre os países mais ricos 
 
Questão 5 
Segundo Weill & Ross (2006), o lado comportamental da governança de TI define os 
relacionamentos formais e informais, e confere direitos decisórios a indivíduos ou grupo de 
indivíduos específicos. O lado normativo define mecanismos, formalizando os relacionamentos 
e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam 
atingidos. 
Neste contexto, a Governança de TI eficaz deve tratar de três questões: 
leydson.oliveira
Realce
leydson.oliveira
Realce
leydson.oliveira
Nota
Essa teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de decisão) e principal (pessoas que confiam as decisões para terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá no melhor interesse do principal. Isto implicará num problema entre ambos, conhecido como problema do agente-principal ou problema de agência.
leydson.oliveira
Nota
O Acordo da Basileia II fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos.
I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? 
II) Quem deve tomar essas decisões? 
III) Como essas decisões serão tomadas e monitoradas? 
Destas três questões, quais aparecem diretamente na Matriz de Arranjos de Governança de TI? 
 
a) Apenas a questão I 
b) Apenas a questão II 
c) Apenas a questão III 
d) As questões I, II e III 
e) Apenas as questões I e II 
 
Questão 6 
Segundo Weill & Ross (2006), na Matriz de Arranjos de Governança de TI os princípios de TI 
motivam a arquitetura de TI, que leva à infraestrutura de TI. Já a infraestrutura habilita o 
desenvolvimento das aplicações com base nas necessidades de negócio. Por fim, os 
investimentos devem ser motivados pelas necessidades de aplicações. 
A questão de Weill & Ross (2006) relacionada com este contexto é: 
 
a) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? 
b) Quem deve tomar essas decisões? 
c) Como essas decisões serão tomadas e monitoradas? 
d) Quais estereótipos estão envolvidos na tomada dessas decisões? 
e) Quais unidades de negócio devem tomar essas decisões? 
 
Questão 7 
Analise as seguintes afirmações: 
I) Trata das questões relacionadas às decisões que devem ser tomadas para garantir 
a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas 
decisões serão tomadas e monitoradas. 
II) Envolve os conceitos básicos de confidencialidade, integridade e disponibilidade. 
III) Cada modelo de governança se junta a outros modelos para configurar os modelos 
que a compõe. 
Estas afirmações estão associadas respectivamente a: 
a) Governança Ambiental, Governança de Segurança da Informação e Governança Corporativa. 
leydson.oliveira
Realce
leydson.oliveira
Realce
leydson.oliveira
Nota
: Os títulos das colunas da Matriz de Arranjos de Governança de TI listam as cinco decisões de TI inter-relacionadas.
leydson.oliveira
Nota
Os títulos das colunas da Matriz de Arranjos listam as decisões que devem ser tomadas e as linhas quem deve tomá-las.
b) Governança Administrativa, Governança de Segurança da Informação e Governança 
Corporativa. 
c) Governança de TI, Governança de Segurança da Informação e Governança Corporativa. 
d) Governança de TI, Governança de Seguros e Governança Administrativa. 
e) Governança Ambiental, Governança de Seguros e Governança Administrativa. 
 
Questão 8 
A Segurança da Informação se propõe a proteger a informação e a preservar o seu valor. Um 
dos elementos que a compõe é a __________, responsável pela fidedignidade e totalidade da 
informação, mantendo as características originais e sua validade de acordo com os valores e 
expectativas do negócio. 
a) Confidencialidadeb) Disponibilidade 
c) Auditabilidade 
d) Integridade 
e) Elasticidade 
 
Questão 9 
Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na visão de 
muitos executivos quando o assunto é segurança da informação. “A porção de gelo que vemos 
fora da linha d’água é comumente correspondente a apenas 1/7 de todo o bloco do gelo que 
permanece submerso e, portanto, escondido dos nossos olhos”. 
A probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de 
confidencialidade, integridade e disponibilidade, chama-se: 
a) Impacto 
b) Incidente 
c) Desvio padrão 
d) Risco 
e) Ataque 
 
Questão 10 
Muitos executivos ainda associam a Segurança da Informação exclusivamente à área de 
Tecnologia. Este entendimento parcial acaba fazendo com que algumas ações sejam tomadas 
de forma equivocada. 
leydson.oliveira
Realce
leydson.oliveira
Nota
O item I está relacionado com as questões de Weill & Ross (2006) para Governança de TI; o item II trata do CID (Confidencialidade, Integridade e Disponibilidade), se relacionando com a Governança de Segurança da Informação; e o item III sugere que cada modelo de governança se junta a outros modelos para configurar os modelos que compõem a Governança Corporativa.
leydson.oliveira
Realce
leydson.oliveira
Nota
A integridade mantém as características originais da informação, estabelecidas pelo dono da informação.
leydson.oliveira
Realce
leydson.oliveira
Nota
Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente impacto no negócio.
Qual das opções abaixo representa uma decisão equivocada: 
a) Definir os investimentos em segurança sem subestimá-los. 
b) Elaborar planos de ação de Segurança da Informação orientados à proatividade. 
c) Tratar as atividades de segurança como investimento. 
d) Tratar a segurança como processo e não como projeto. 
e) Pensar que a segurança não possui interferência no negócio. 
 
Questão 11 
Em todo momento, as empresas são vítimas de __________ que buscam __________ que 
possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é 
realizado, a segurança é quebrada. 
a) Ameaças / fragilidades 
b) Impactos / riscos 
c) Fragilidades / riscos 
d) Ameaças / impactos 
e) Riscos / impactos 
 
Questão 12 
Para implementar a Segurança da Informação, na empresa, deve-se estabelecer um escopo 
com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma 
corporativa. 
Associe a coluna da direita de acordo com o modelo de Sêmola na coluna da esquerda: 
Algumas etapas de Sêmola (2014) Descrição 
1. Mapeamento de segurança ( ) Elaborar uma política de Segurança da Informação 
2. Estratégia de segurança ( ) Criar sinergia entre os cenários atual e desejado. 
3. Planejamento de segurança ( ) Divulgar corporativamente a política de segurança. 
4. Implementação da segurança ( ) Inventariar os ativos físicos, tecnológicos, humanos e ambientais. 
 
a) 1, 2, 3, 4 
b) 3, 2, 4, 1 
c) 1, 3, 4, 2 
d) 4, 3, 1, 2 
e) 2, 3, 1, 4 
leydson.oliveira
Realce
leydson.oliveira
Nota
A Segurança da Informação é definitivamente um importante componente do negócio.
leydson.oliveira
Realce
leydson.oliveira
Nota
Em todo momento, as empresas são vítimas de ameaças buscando fragilidades que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada.
leydson.oliveira
Realce
leydson.oliveira
Nota
O modelo de Sêmola (2014) é composto de sete etapas: (1) comitê corporativo de segurança da informação, (2) mapeamento de segurança, (3) estratégia de segurança, (4) planejamento de segurança, (5) implementação de segurança, (6) administração de segurança e (7) segurança na cadeia produtiva.
Questão 13 
A área, o processo de negócio e o ativo de informação compõem os itens organizacionais. Esses 
componentes devem ser identificados e mapeados durante a realização do projeto de 
Segurança da Informação Corporativa. 
Com relação aos componentes organizacionais podemos afirmar que: 
 
a) São utilizados para definir a abrangência da Segurança da Informação na empresa. 
b) Devem ser identificados após a conclusão do projeto de Segurança da Informação. 
c) Os processos nunca devem ser priorizados porque se equivalem. 
d) As entrevistas devem ficar restritas à alta direção da empresa. 
e) Os processos devem ser detalhados em subprocessos. 
 
Questão 14 
Após a realização do mapeamento das áreas da empresa é feito o mapeamento dos processos 
de negócio. Para cada processo de negócio é identificada a sua área, o seu responsável e a sua 
relevância para a organização, bem como os resultados do estudo de impacto e prioridade dos 
processos. 
Com relação ao estudo de impacto podemos afirmar que: 
 
a) Não possui relação com a confidencialidade, a integridade e a disponibilidade. 
b) Auxilia na identificação da sensibilidade de cada processo na eventualidade de uma 
possível quebra dos princípios básicos de Segurança da Informação. 
c) Trata da probabilidade de ameaças explorarem vulnerabilidades. 
d) São exclusivamente decorrentes de fenômenos da natureza, como incêndios e enchentes. 
e) São decorrentes de ameaças involuntárias causadas por agentes humanos como 
invasores e espiões. 
 
Questão 15 
Trata-se de um recurso utilizado para auxiliar na priorização de resolução de problemas. Ele 
classifica cada problema utilizando três variáveis. A prioridade é obtida aplicando valores 
dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 
5. Uma vez obtidos os valores de cada uma das três dimensões, esses valores de classificação 
são multiplicados, gerando o resultado final. 
O recurso descrito acima se chama: 
 
leydson.oliveira
Realce
leydson.oliveira
Nota
Os componentes organizacionais são utilizados para definir a abrangência da Segurança da Informação na empresa. O resultado desse trabalho permitirá que se faça uma análise servindo de base para diagnosticar a situação atual da Segurança da Informação na empresa, e também para endereçar o escopo da gestão de riscos.
leydson.oliveira
Realce
leydson.oliveira
Nota
O estudo de impacto auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação.
a) Matriz BSC 
b) Matriz ABC 
c) Matriz GUT 
d) Matriz SWOT 
e) Matriz BCG 
 
Questão 16 
Após o mapeamento dos componentes organizacionais é hora de planejar as ações a partir da 
consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um mapa de 
relacionamento e dependência entre os processos de negócio, as aplicações e a infraestrutura 
física, tecnológica e humana. Em outras palavras, devem ser estudados todos os ativos que 
sustentam os processos de negócio. Serão entrevistados os gestores capacitados para ajudar a 
levantar números e informações topológicas, físicas e tecnológicas, ligadas aos processos de 
negócio. 
Com tudo inventariado, é hora de elaborar o: 
 
a) Plano Diretor Corporativo. 
b) Plano Diretor de TI. 
c) Plano Estratégico de Tecnologia da Informação. 
d) Plano Diretor de Segurança da Informação. 
e) Plano Estratégico Corporativo. 
 
Questão 17 
A adoção de um modelo de Governança de Segurança da Informação exige que o foco desse 
trabalho seja estudado tanto nos aspectos que se relacionam ao seu segmento de negócio da 
empresa quanto nos aspectos que se referem à segurança da informação propriamente dita. 
A modelagem da Segurança da Informação e o consequente estabelecimentoda governança 
influenciarão na credibilidade do ambiente de TI, possibilitando um maior e melhor controle 
sobre os ativos de informação, assim como sobre os serviços disponibilizados pela empresa e 
que são sustentados pela área de TI. 
Considerando o contexto apresentado, segundo a ABNT NBR ISO/IEC 27014:2013, um dos itens 
para que o projeto de Governança de Segurança da Informação seja bem sucedido é: 
 
a) Desenvolver a estratégia de Segurança da Informação em função da estratégia 
estabelecida para se alcançar os objetivos do negócio. 
leydson.oliveira
Realce
leydson.oliveira
Nota
A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a gravidade (G) do problema; a urgência (U) de resolução do problema; e a tendência (T) do problema piorar com mais rapidez ou de forma mais lenta.nullA prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada dimensão (G, U, T), esses valores de classificação são multiplicados (G x U x T), gerando o GUT final.
leydson.oliveira
Realce
leydson.oliveira
Nota
Plano Diretor de Segurança da Informação, estabelecendo as diretrizes básicas que nortearão as atividades e os projetos necessários que serão distribuídos ao longo do tempo e de acordo com a prioridade relacionada com a relevância de cada processo de negócio.
leydson.oliveira
Realce
leydson.oliveira
Nota
A estratégia da área de TI deve se alinhar com a estratégia da área de negócio para poder ajudar a empresa a agregar valor nas suas atividades diárias.
b) Desenvolver a estratégia do negócio em função da estratégia estabelecida para se 
alcançar os objetivos da Segurança da Informação. 
c) Desenvolver a Governança de Segurança da Informação desconsiderando as informações 
sobre a estratégia do negócio. 
d) Ter como premissa que os objetivos e a estratégia do negócio não influenciarão na 
implementação da Governança de Segurança da Informação. 
e) Não utilizar o mapeamento das ameaças relacionadas com a Segurança da Informação na 
implementação da Governança da Segurança da Informação. 
 
Questão 18 
A norma ABNT NBR ISO/IEC 27014:2013, define seis princípios orientadores da Governança de 
Segurança da Informação. São declarações de alto nível que definem como a Segurança da 
Informação será utilizada no negócio da organização. 
NÃO é um dos princípios orientadores da Governança de Segurança da Informação: 
 
a) Estabelecer a segurança da informação em toda a organização. 
b) Adotar uma abordagem baseada em riscos. 
c) Estabelecer a direção de decisões de investimento. 
d) Assegurar a não conformidade com os requisitos internos e externos. 
e) Analisar criticamente o desempenho em relação aos resultados de negócios. 
 
Questão 19 
A norma ABNT NBR ISO/IEC 27014:2013 possui um modelo baseado em processos. Um desses 
processos considera que as trocas de informação com as partes interessadas são realizadas, 
considerando os objetivos da Segurança da Informação e também as ações pertinentes que 
foram implantadas. 
O nome desse processo é: 
 
a) Processo de comunicação 
b) Processo de direção 
c) Processo de garantia 
d) Processo de avaliação 
e) Processo de monitoração 
 
leydson.oliveira
Realce
leydson.oliveira
Nota
null• P1: Estabelecer a segurança da informação em toda a organização; null• P2: Adotar uma abordagem baseada em riscos; null• P3: Estabelecer a direção de decisões de investimento; null• P4: Assegurar conformidade com os requisitos internos e externos; null• P5: Promover um ambiente positivo de segurança; null• P6: Analisar criticamente o desempenho em relação aos resultados de negócios. null
leydson.oliveira
Realce
leydson.oliveira
Nota
Neste processo, são realizadas as trocas de informação com as partes interessadas, considerando os objetivos da segurança da informação e também as ações pertinentes que foram implantadas. 
Questão 20 
A criação da estratégia da Governança de Segurança da Informação necessita de alguma 
ferramenta de gestão estratégica que possa ajudar a materializá-la. Tal ferramenta deve apoiar 
a modelagem, a mensuração e o gerenciamento dos processos de formulação, e a gestão dessa 
estratégia. Deve ainda proporcionar uma visão sistêmica das principais decisões e ações que 
direcionarão a evolução da Governança de Segurança da Informação, traduzidas em objetivos, 
indicadores e metas, além de projetos e planos de ação. 
Para atender a essas necessidades, a ferramenta indicada é: 
a) SWOT 
b) TOGAF 
c) GUT 
d) Balanced Scorecard (BSC) 
e) Val IT 
 
Questão 21 
Associe a coluna da direita de acordo com as definições de Sêmola (2014), aplicadas no Sistema 
de Gestão de Segurança da Informação (SGSI): 
A sequência que mostra a associação correta é: 
Descrição da atividade (Sêmola, 2014) Atividade 
I. Aponta o caminho e tudo o que é necessário para 
suprir as necessidades de segurança do negócio, 
conduzindo-o a operar com risco controlado. 
( ) Implementação de controles de 
segurança. 
II. Planeja a continuidade das atividades de negócio, 
caso ocorra alguma falha ou desastre significativos. 
Permite a retomada das atividades em tempo hábil, 
sempre que necessário. 
( ) Equipe para resposta a incidentes. 
III. Aplica mecanismos de controle de segurança para 
atingir o nível de risco adequado. 
( ) Plano de Continuidade de Negócios 
(PCN). 
IV. Cuida para que as fragilidades e os eventos 
relacionados à Segurança da Informação possam ser 
tratados em tempo hábil. 
( ) Plano Diretor de Segurança (PDS). 
 
a) IV, II, I e III 
b) I, III, II e IV 
c) III, I, II e IV 
d) III, IV, II e I 
e) II, IV, III e I 
leydson.oliveira
Realce
leydson.oliveira
Nota
O Balanced Scorecard (BSC) é muito utilizado para materializar a estratégia da empresa.
leydson.oliveira
Realce
leydson.oliveira
Nota
Os conceitos são estabelecidos de acordo com cada definição.
Questão 22 
A norma ABNT NBR ISO/IEC 27001:2013 propõe um Sistema de Gestão de Segurança da 
Informação (SGSI) com base no PDCA. Associe a coluna da direita de acordo com as descrições 
das fases do PDCA: 
A sequência que mostra a associação correta é: 
 
Descrição da fase Fase 
I. Manter e melhorar o SGSI. ( ) Planejar 
II. “Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI, 
relevantes para a gestão de riscos e a melhoria da segurança da informação para 
produzir resultados de acordo com as políticas e objetivos globais de uma 
organização”. (ABNT NBR ISO/IEC 27001:2013) 
( ) Agir 
III. “Implementar e operar a política, controles, processos e procedimentos do 
SGSI”. (ABNT NBR ISO/IEC 27001:2013) 
( ) Checar 
IV. Monitorar e analisar criticamente o SGSI. ( ) Fazer 
 
a) II, I, IV e III 
b) I, II, IV e III 
c) III, II, I e IV 
d) IV, II, I e III 
e) II, I, III e IV 
 
Questão 23 
Considere a seguinte afirmação: “Evitar violações de quaisquer obrigações legais, estatutárias, 
regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT 
NBR ISO/IEC 27002:2013) 
Esta afirmação está relacionada mais especificamente com: 
 
a) Confidencialidade 
b) Auditabilidade 
c) Integridade 
d) Disponibilidade 
e) Conformidade 
 
 
leydson.oliveira
Realce
leydson.oliveira
Nota
Utilização das fases do PDCA associadas ao SGSI, de acordo com a norma ABNT NBR ISO/IEC 27001:2013.
leydson.oliveira
Realce
leydson.oliveira
Nota
Risco de conformidade - null“Cuidado para não acreditar que, por estar conforme ou mesmo certificada em uma norma, sua empresa está segura”. (Sêmola,2014) null“Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) nullnull
Questão 24 
As informações existentes, em cada empresa, possuem importâncias e valores que 
transpassam os vários ambientes para sustentar os processos de negócio. Informações distintas 
necessitam de proteções distintas e, nesse sentido, há necessidade de se estabelecer um 
modelo de Gestão de Segurança da Informação (GSI) que possa se adequar aos atuais e futuros 
desafios de cada empresa. 
Analise as seguintes proposições: 
 
I) O modelo do Sistema de Gestão de Segurança da Informação (SGSI) proposto pela norma ABNT 
NBR ISO/IEC 27001:2013 utiliza o PDCA. 
II) A fase Check - Checar (C) do PDCA está relacionada com “avaliar e, quando aplicável, medir o 
desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar 
os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC 27001:2013) 
III) A fase Do - Fazer (D) do PDCA está relacionada com “implementar e operar a política, controles, 
processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) 
IV) Com relação à segurança da informação, a análise de risco realiza um diagnóstico da situação 
atual da empresa. 
 
De acordo com as proposições, estão corretas: 
a) Apenas a proposição I. 
b) Apenas a proposição II. 
c) Apenas as proposições II e III. 
d) Apenas as proposições I, II e III. 
e) As proposições I, II, III e IV. 
 
Questão 25 
Avalie as proposições a seguir e identifique com (V) as proposições Verdadeiras e com (F) as 
proposições Falsas: 
 
( ) Em geral, a classificação da informação determina como essa informação será tratada e protegida. 
( ) As pessoas devem ser treinadas e conscientizadas porque é nas pessoas que começa e termina a 
segurança. 
( ) Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se 
limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. 
( ) A conscientização, em segurança da informação, é um pré-requisito para a implantação de uma 
Governança de Segurança da Informação bem-sucedida. 
leydson.oliveira
Realce
leydson.oliveira
Nota
Todas as proposições estão corretas e alinhadas com a norma ABNT NBR ISO/IEC 27001:2013.
A sequência correta da avaliação das proposições é: 
a) V, V, V, V 
b) V, F, V, F 
c) F, F, F, F 
d) V, V, F, V 
e) F, V, V, F 
 
Questão 26 
O ciclo de vida da informação existe para todo e qualquer tipo de informação. No 
estabelecimento da cultura de Segurança da Informação, todos devem ter esse conhecimento 
e saber que esse ciclo de vida é composto por quatro momentos. 
A sequência que melhor representa, respectivamente, os momentos do ciclo de vida da 
informação, é: 
a) Manuseio; armazenamento; transporte; e descarte. 
b) Armazenamento; manuseio; transporte; e descarte. 
c) Armazenamento; transporte; manuseio; e descarte. 
d) Preparo; armazenamento; transporte; e descarte. 
e) Preparo; manuseio; armazenamento; e descarte. 
 
Questão 27 
Na cultura em Segurança da Informação, é importante mostrar as camadas que estabelecem 
barreiras para as ameaças aos ativos da organização. Considere as quatro primeiras camadas 
apresentadas por Sêmola (2014): 
1. Detectar 
2. Desencorajar 
3. Dificultar 
4. Discriminar 
 
A opção que representa a sequência correta dessas barreiras é: 
a) 2, 3, 4, 1. 
b) 1, 2, 4, 3. 
c) 4, 3, 1, 2. 
d) 3, 4, 2, 1. 
e) 3, 2, 4, 1. 
leydson.oliveira
Realce
leydson.oliveira
Nota
* - Em geral, a classificação da informação determina como essa informação será tratada e protegida. Cada empresa deve estabelecer a quantidade de níveis que considera adequada. nullnull* - As pessoas devem ser treinadas e conscientizadas porque é nelas que começa e termina a segurança. Basta que uma não esteja preparada para que o risco relacionado com a segurança da informação aumente. nullnull* - Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. O fator humano talvez seja a questão mais importante a ser tratada em uma PSI.nullnull* - Cuidar da conscientização em segurança da informação é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem-sucedida. A implantação de uma cultura em segurança da informação transformará um ambiente negligente em um ambiente vigilante. Significa criar um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. 
leydson.oliveira
Realce
leydson.oliveira
Nota
No estabelecimento da cultura de segurança da informação, todos devem saber que a informação possui um ciclo de vida composto por quatro momentos: (1) manuseio — onde a informação é criada e manipulada; (2) armazenamento — onde a informação é armazenada; (3) transporte — onde a informação é transportada; e (4) descarte — onde a informação é descartada. 
leydson.oliveira
Realce
leydson.oliveira
Nota
Barreiras da segurança da informação nullnullPara a cultura de segurança da informação também é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Sêmola (2014) define as seguintes barreiras: (1) desencorajar — utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança, como por exemplo, uma câmera de vídeo, ainda que falsa; (2) dificultar — controles para dificultar o acesso indevido, como por exemplo, roletas de acesso, senhas e biometria; (3) discriminar — recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões, como por exemplo, os acessos aos módulos de um ERP; (4) detectar — recursos para alertar os gestores de segurança na detecção de situações de risco, como por exemplo, uma tentativa de invasão; (5) deter — impedir que a ameaça atinja os ativos que suportam o negócio, como por exemplo, bloqueio de acessos físicos e lógicos; e (6) diagnosticar — baseada em análise de riscos físicos, tecnológicos e humanos e orientada aos processos de negócio da empresa, representa a continuidade do processo de gestão de segurança da informação criando uma ligação cíclica e contínua com a primeira barreira. 
Questão 28 
Todos, na empresa, devem ter conhecimento e consciência sobre o valor da informação que 
dispõem e manipulam independente dela ser pessoal ou institucional. O treinamento e a 
conscientização em Segurança da Informação devem ter o objetivo de influenciar as pessoas 
para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de 
informações da empresa. 
Existem vários recursos de apoio para disseminação da cultura em Segurança da Informação, na 
empresa, conforme exemplos citados por Sêmola (2014), exceto: 
a) Seminários abertos para toda empresa. 
b) Campanha de divulgação para toda empresa. 
c) Carta do presidente para área de Informática. 
d) Termo de responsabilidade para toda a empresa. 
e) Termo de confidencialidade para toda empresa. 
 
Questão 29 
A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. 
Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, 
querendo acessar a rede corporativa e armazenar as informações da empresa no próprio 
dispositivo. 
Esta tendência recebeu o nome de: 
 
a) Bring Your Own Device (BYOD) 
b) Geração X 
c) Geração Y 
d) Geração Z 
e) Geração baby bommer 
 
Questão 30 
Considere a seguinte definição do National Institute of Standard and Technology — NIST —, 
em 2011: “um modelo para permitiro acesso conveniente, sob demanda, a uma rede com um 
conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, 
armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados 
com o mínimo de esforço gerencial e interação com o provedor de serviço”. 
Trata-se de uma definição de: 
 
leydson.oliveira
Realce
leydson.oliveira
Nota
• Seminários — abertos para compartilhar a percepção dos riscos associados às atividades da empresa, os impactos potenciais no negócio e o comprometimento dos processos críticos se alguma ameaça se concretizar. nullnull• Campanha de divulgação — divulgar a PSI de forma incansável para que suas diretrizes sejam do conhecimento de todos. Para comunicar padrões, critérios e instruções operacionais, é uma boa prática a utilização de cartazes, jogos, peças promocionais, protetores de tela, quadro de avisos, contracheque, e-mails informativos, e-mails de alerta etc. nullnull•Carta do presidente — encaminhada a cada funcionário para dar um caráter formal a PSI. nullnull• Termo de responsabilidade e confidencialidade — define as responsabilidades relacionadas à proteção das informações, formalizando o compromisso e o entendimento de cada funcionário e de outros profissionais que vierem a assiná-lo.nullnull•Cursos de capacitação e certificação — existem perfis profissionais dentro da empresa que podem necessitar de mais domínio sobre os conceitos de segurança da informação, como por exemplo, os administradores de rede para reagir a situações de risco. Nesses casos, onde existe uma necessidade de mais aprofundamento no assunto, recomenda-se uma capacitação formal através de cursos especializados, tendo a certificação como instrumento da respectiva competência adquirida. null
leydson.oliveira
Realce
leydson.oliveira
Nota
Mobilidade e BYOD nullA tecnologia móvel está influenciando o comportamento humano do século XXI e se posicionando como base principal da revolução tecnológica que vem transformando as interações pessoais e corporativas. nullA costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de Bring Your Own Device (BYOD). 
a) Computação em nuvem (cloud computing) 
b) Big data 
c) TOGAF 
d) Business Process Outsourcing (BPO) 
e) DAMA DMBOK 
 
Questão 31 
As empresas costumam terceirizar sempre que, por algum motivo, não compensar para elas 
desenvolver determinada atividade internamente. Apesar da impulsividade de alguns 
empresários, terceirizar pode ser um grande desastre se não for respaldado por um 
planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, fixando 
objetivos e definindo as melhores condições para atingi-los. 
Analise as seguintes proposições: 
I) A terceirização da área de TI não influencia na Governança de Segurança da Informação. 
II) Uma das justificativas da terceirização da área de TI é a empresa querer se concentrar na 
sua atividade principal — core business. 
III) A empresa que estiver em processo de terceirização deve escolher o provedor de serviços 
baseada no menor custo, uma vez que todos eles oferecem um ambiente seguro e com os 
riscos mitigados. 
IV) A terceirização de TI pode ser total ou parcial. 
 
De acordo com as proposições, estão corretas: 
 
a) Apenas as proposições II e IV. 
b) Apenas a proposição I. 
c) Apenas a proposição II. 
d) Apenas as proposições I e III. 
e) As proposições I, II, III e IV. 
 
Questão 32 
Considere a seguinte definição de Siewert citado por Fernandes; Abreu (2014): “Definido 
genericamente como a captura, gerenciamento é a análise de dados que vão além dos dados 
tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de 
dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como 
vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não 
contidos em registros típicos com campos que podem ser pesquisados”. 
leydson.oliveira
Nota
Computação em nuvem ou cloud computing foi definida pelo National Institute of Standard and Technology — NIST —, em 2011, como: nullnull“um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. ]nullnullA contratação de um provedor de serviço em nuvem — Cloud Service Provider (CSP) deve ser realizada através de critérios de escolha que inclua avaliação in loco, uma infraestrutura atendendo aos padrões de segurança da informação (ISO 27001) e uma equipe de especialistas certificados e com formação diferenciada. 
leydson.oliveira
Realce
leydson.oliveira
Nota
I - O cliente deve ter clareza do que será terceirizado e da importância em manter, na empresa, o conhecimento gerado por terceiros. Um exemplo é quando o cliente terceiriza a sua área de desenvolvimento e não se preocupa em manter algum funcionário de sua equipe acompanhando o que está sendo feito pelo provedor e exigindo que se mantenha nas suas instalações uma documentação detalhada e atualizada. Caso isto não ocorra, na renovação do contrato, todas as informações estarão nas mãos do provedor e o cliente estará refém, tendendo a pagar o que for cobrado. nullnullII - A resposta mais direta é a concentração da empresa na sua atividade principal — core business. Como consequência, aparecem justificativas complementares, como a redução de custos; o melhor controle dos serviços; o retorno do investimento; os conhecimentos e as habilidades de especialistas; e a garantia de qualidade. nullnullIII - O resultado da terceirização é medido a médio e em longo prazo. A escolha do provedor não deve ser feita exclusivamente pelo critério de custo mais baixo. Além disso, é indispensável a capacidade do provedor poder atender o cliente conforme estabelecido em contrato. Também deve existir atenção para alguns riscos de terceirização como: perda do controle gerencial; problemas de comunicação entre o cliente e o provedor de serviços; e, principalmente, ameaça à segurança das informações. nullnullIV - O contrato de terceirização da área de TI, seja ele total ou parcial, implica na possibilidade de acesso às informações do cliente. É uma boa prática a existência de cláusulas contratuais com implicações pecuniárias, para definir as condições nas quais as informações do cliente poderão ser acessadas, bem como o comprometimento do provedor em manter a confidencialidade e a responsabilidade durante a utilização dessas informações. 
leydson.oliveira
Realce
 
Trata-se de uma definição de: 
a) Computação em nuvem (cloud computing) 
b) Big data 
c) TOGAF 
d) Business Process Outsourcing (BPO) 
e) DAMA DMBOK 
 
 
leydson.oliveira
Realce
leydson.oliveira
Nota
O big data traz como principal característica o armazenamento de grandes volumes de dados que podem ser tratados mais rapidamente e com uma quantidade maior de recursos. O objetivo é possibilitar que essas informações possam ser analisadas mais rapidamente para auxiliar na tomada de decisões.