Baixe o app para aproveitar ainda mais
Prévia do material em texto
EXERCÍCIOS DE FIXAÇÃO Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos. Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito. Questão 1 A Dra. Ana Carolina possui um escritório especializado em Direito Internacional. Um dos seus clientes, a empresa brasileira XPTO, representada pelo seu CEO Henrique Brandão, procurou o escritório para informar que sua empresa passaria a negociar ações ADR (American Depositary Receipt) nas bolsas norte-americanas e se, por conta disso, a organização estaria submetida a alguma lei específica. A Dra. Ana Carolina explicou ao Sr. Henrique Brandão que existe uma lei americana, de julho de 2002, que afeta a divulgação financeira de empresas que têm ações negociadas nas bolsas dos Estados Unidos. Disse também que o não cumprimento dessa lei pode ocasionar a prisão do CEO e do CFO, além de sanções pecuniárias. Que lei é essa? a) Lei Sarbanes-Oxley b) Lei Protecionista c) Lei Rockefeller d) Lei Firewall e) Lei Protection Questão 2 O conceito aqui descrito se relaciona com o modo como as empresas são dirigidas e controladas. Nesse contexto, é criada uma expectativa que nem sempre atingida, relacionando o esforço dos administradores para aumentar o valor da empresa visando aos acionistas. Existe ainda uma preocupação com a transparência, a equidade, a prestação de contas e a responsabilidade corporativa. A opção que melhor define o conceito descrito acima é: a) Acordo de Basileia b) Governança Corporativa c) Governança de valor d) Governança Contábil e) Resolução 3380 do Banco Central do Brasil leydson.oliveira Realce leydson.oliveira Realce leydson.oliveira Nota A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei afeta a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos da América. leydson.oliveira Nota Podemos entender a Governança Corporativa como um sistema baseado em um conjunto de mecanismos pelo qual os negócios e as corporações possam ser dirigidos e controlados, fazendo com que as decisões corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio. Questão 3 Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para reduzir seus custos. A teoria sustenta que as relações humanas levam, inevitavelmente, a conflitos de interesse. Nas relações hierárquicas, não se pode afirmar que o subordinado sempre agirá no melhor interesse do principal. A opção que melhor define o conceito descrito acima é: a) Teoria de interesses b) Teoria hierárquica c) Teoria do agente-principal d) Teoria maximizadora de utilidade e) Teoria vanguardista Questão 4 Esse acordo fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. A opção que melhor define o conceito descrito acima é: a) Acordo de globalização b) Acordo bancário c) Acordo internacional d) Acordo de Basileia II e) Acordo entre os países mais ricos Questão 5 Segundo Weill & Ross (2006), o lado comportamental da governança de TI define os relacionamentos formais e informais, e confere direitos decisórios a indivíduos ou grupo de indivíduos específicos. O lado normativo define mecanismos, formalizando os relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam atingidos. Neste contexto, a Governança de TI eficaz deve tratar de três questões: leydson.oliveira Realce leydson.oliveira Realce leydson.oliveira Nota Essa teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de decisão) e principal (pessoas que confiam as decisões para terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá no melhor interesse do principal. Isto implicará num problema entre ambos, conhecido como problema do agente-principal ou problema de agência. leydson.oliveira Nota O Acordo da Basileia II fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? II) Quem deve tomar essas decisões? III) Como essas decisões serão tomadas e monitoradas? Destas três questões, quais aparecem diretamente na Matriz de Arranjos de Governança de TI? a) Apenas a questão I b) Apenas a questão II c) Apenas a questão III d) As questões I, II e III e) Apenas as questões I e II Questão 6 Segundo Weill & Ross (2006), na Matriz de Arranjos de Governança de TI os princípios de TI motivam a arquitetura de TI, que leva à infraestrutura de TI. Já a infraestrutura habilita o desenvolvimento das aplicações com base nas necessidades de negócio. Por fim, os investimentos devem ser motivados pelas necessidades de aplicações. A questão de Weill & Ross (2006) relacionada com este contexto é: a) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? b) Quem deve tomar essas decisões? c) Como essas decisões serão tomadas e monitoradas? d) Quais estereótipos estão envolvidos na tomada dessas decisões? e) Quais unidades de negócio devem tomar essas decisões? Questão 7 Analise as seguintes afirmações: I) Trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas. II) Envolve os conceitos básicos de confidencialidade, integridade e disponibilidade. III) Cada modelo de governança se junta a outros modelos para configurar os modelos que a compõe. Estas afirmações estão associadas respectivamente a: a) Governança Ambiental, Governança de Segurança da Informação e Governança Corporativa. leydson.oliveira Realce leydson.oliveira Realce leydson.oliveira Nota : Os títulos das colunas da Matriz de Arranjos de Governança de TI listam as cinco decisões de TI inter-relacionadas. leydson.oliveira Nota Os títulos das colunas da Matriz de Arranjos listam as decisões que devem ser tomadas e as linhas quem deve tomá-las. b) Governança Administrativa, Governança de Segurança da Informação e Governança Corporativa. c) Governança de TI, Governança de Segurança da Informação e Governança Corporativa. d) Governança de TI, Governança de Seguros e Governança Administrativa. e) Governança Ambiental, Governança de Seguros e Governança Administrativa. Questão 8 A Segurança da Informação se propõe a proteger a informação e a preservar o seu valor. Um dos elementos que a compõe é a __________, responsável pela fidedignidade e totalidade da informação, mantendo as características originais e sua validade de acordo com os valores e expectativas do negócio. a) Confidencialidadeb) Disponibilidade c) Auditabilidade d) Integridade e) Elasticidade Questão 9 Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na visão de muitos executivos quando o assunto é segurança da informação. “A porção de gelo que vemos fora da linha d’água é comumente correspondente a apenas 1/7 de todo o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos”. A probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, chama-se: a) Impacto b) Incidente c) Desvio padrão d) Risco e) Ataque Questão 10 Muitos executivos ainda associam a Segurança da Informação exclusivamente à área de Tecnologia. Este entendimento parcial acaba fazendo com que algumas ações sejam tomadas de forma equivocada. leydson.oliveira Realce leydson.oliveira Nota O item I está relacionado com as questões de Weill & Ross (2006) para Governança de TI; o item II trata do CID (Confidencialidade, Integridade e Disponibilidade), se relacionando com a Governança de Segurança da Informação; e o item III sugere que cada modelo de governança se junta a outros modelos para configurar os modelos que compõem a Governança Corporativa. leydson.oliveira Realce leydson.oliveira Nota A integridade mantém as características originais da informação, estabelecidas pelo dono da informação. leydson.oliveira Realce leydson.oliveira Nota Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente impacto no negócio. Qual das opções abaixo representa uma decisão equivocada: a) Definir os investimentos em segurança sem subestimá-los. b) Elaborar planos de ação de Segurança da Informação orientados à proatividade. c) Tratar as atividades de segurança como investimento. d) Tratar a segurança como processo e não como projeto. e) Pensar que a segurança não possui interferência no negócio. Questão 11 Em todo momento, as empresas são vítimas de __________ que buscam __________ que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada. a) Ameaças / fragilidades b) Impactos / riscos c) Fragilidades / riscos d) Ameaças / impactos e) Riscos / impactos Questão 12 Para implementar a Segurança da Informação, na empresa, deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa. Associe a coluna da direita de acordo com o modelo de Sêmola na coluna da esquerda: Algumas etapas de Sêmola (2014) Descrição 1. Mapeamento de segurança ( ) Elaborar uma política de Segurança da Informação 2. Estratégia de segurança ( ) Criar sinergia entre os cenários atual e desejado. 3. Planejamento de segurança ( ) Divulgar corporativamente a política de segurança. 4. Implementação da segurança ( ) Inventariar os ativos físicos, tecnológicos, humanos e ambientais. a) 1, 2, 3, 4 b) 3, 2, 4, 1 c) 1, 3, 4, 2 d) 4, 3, 1, 2 e) 2, 3, 1, 4 leydson.oliveira Realce leydson.oliveira Nota A Segurança da Informação é definitivamente um importante componente do negócio. leydson.oliveira Realce leydson.oliveira Nota Em todo momento, as empresas são vítimas de ameaças buscando fragilidades que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada. leydson.oliveira Realce leydson.oliveira Nota O modelo de Sêmola (2014) é composto de sete etapas: (1) comitê corporativo de segurança da informação, (2) mapeamento de segurança, (3) estratégia de segurança, (4) planejamento de segurança, (5) implementação de segurança, (6) administração de segurança e (7) segurança na cadeia produtiva. Questão 13 A área, o processo de negócio e o ativo de informação compõem os itens organizacionais. Esses componentes devem ser identificados e mapeados durante a realização do projeto de Segurança da Informação Corporativa. Com relação aos componentes organizacionais podemos afirmar que: a) São utilizados para definir a abrangência da Segurança da Informação na empresa. b) Devem ser identificados após a conclusão do projeto de Segurança da Informação. c) Os processos nunca devem ser priorizados porque se equivalem. d) As entrevistas devem ficar restritas à alta direção da empresa. e) Os processos devem ser detalhados em subprocessos. Questão 14 Após a realização do mapeamento das áreas da empresa é feito o mapeamento dos processos de negócio. Para cada processo de negócio é identificada a sua área, o seu responsável e a sua relevância para a organização, bem como os resultados do estudo de impacto e prioridade dos processos. Com relação ao estudo de impacto podemos afirmar que: a) Não possui relação com a confidencialidade, a integridade e a disponibilidade. b) Auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação. c) Trata da probabilidade de ameaças explorarem vulnerabilidades. d) São exclusivamente decorrentes de fenômenos da natureza, como incêndios e enchentes. e) São decorrentes de ameaças involuntárias causadas por agentes humanos como invasores e espiões. Questão 15 Trata-se de um recurso utilizado para auxiliar na priorização de resolução de problemas. Ele classifica cada problema utilizando três variáveis. A prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada uma das três dimensões, esses valores de classificação são multiplicados, gerando o resultado final. O recurso descrito acima se chama: leydson.oliveira Realce leydson.oliveira Nota Os componentes organizacionais são utilizados para definir a abrangência da Segurança da Informação na empresa. O resultado desse trabalho permitirá que se faça uma análise servindo de base para diagnosticar a situação atual da Segurança da Informação na empresa, e também para endereçar o escopo da gestão de riscos. leydson.oliveira Realce leydson.oliveira Nota O estudo de impacto auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação. a) Matriz BSC b) Matriz ABC c) Matriz GUT d) Matriz SWOT e) Matriz BCG Questão 16 Após o mapeamento dos componentes organizacionais é hora de planejar as ações a partir da consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um mapa de relacionamento e dependência entre os processos de negócio, as aplicações e a infraestrutura física, tecnológica e humana. Em outras palavras, devem ser estudados todos os ativos que sustentam os processos de negócio. Serão entrevistados os gestores capacitados para ajudar a levantar números e informações topológicas, físicas e tecnológicas, ligadas aos processos de negócio. Com tudo inventariado, é hora de elaborar o: a) Plano Diretor Corporativo. b) Plano Diretor de TI. c) Plano Estratégico de Tecnologia da Informação. d) Plano Diretor de Segurança da Informação. e) Plano Estratégico Corporativo. Questão 17 A adoção de um modelo de Governança de Segurança da Informação exige que o foco desse trabalho seja estudado tanto nos aspectos que se relacionam ao seu segmento de negócio da empresa quanto nos aspectos que se referem à segurança da informação propriamente dita. A modelagem da Segurança da Informação e o consequente estabelecimentoda governança influenciarão na credibilidade do ambiente de TI, possibilitando um maior e melhor controle sobre os ativos de informação, assim como sobre os serviços disponibilizados pela empresa e que são sustentados pela área de TI. Considerando o contexto apresentado, segundo a ABNT NBR ISO/IEC 27014:2013, um dos itens para que o projeto de Governança de Segurança da Informação seja bem sucedido é: a) Desenvolver a estratégia de Segurança da Informação em função da estratégia estabelecida para se alcançar os objetivos do negócio. leydson.oliveira Realce leydson.oliveira Nota A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a gravidade (G) do problema; a urgência (U) de resolução do problema; e a tendência (T) do problema piorar com mais rapidez ou de forma mais lenta.nullA prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada dimensão (G, U, T), esses valores de classificação são multiplicados (G x U x T), gerando o GUT final. leydson.oliveira Realce leydson.oliveira Nota Plano Diretor de Segurança da Informação, estabelecendo as diretrizes básicas que nortearão as atividades e os projetos necessários que serão distribuídos ao longo do tempo e de acordo com a prioridade relacionada com a relevância de cada processo de negócio. leydson.oliveira Realce leydson.oliveira Nota A estratégia da área de TI deve se alinhar com a estratégia da área de negócio para poder ajudar a empresa a agregar valor nas suas atividades diárias. b) Desenvolver a estratégia do negócio em função da estratégia estabelecida para se alcançar os objetivos da Segurança da Informação. c) Desenvolver a Governança de Segurança da Informação desconsiderando as informações sobre a estratégia do negócio. d) Ter como premissa que os objetivos e a estratégia do negócio não influenciarão na implementação da Governança de Segurança da Informação. e) Não utilizar o mapeamento das ameaças relacionadas com a Segurança da Informação na implementação da Governança da Segurança da Informação. Questão 18 A norma ABNT NBR ISO/IEC 27014:2013, define seis princípios orientadores da Governança de Segurança da Informação. São declarações de alto nível que definem como a Segurança da Informação será utilizada no negócio da organização. NÃO é um dos princípios orientadores da Governança de Segurança da Informação: a) Estabelecer a segurança da informação em toda a organização. b) Adotar uma abordagem baseada em riscos. c) Estabelecer a direção de decisões de investimento. d) Assegurar a não conformidade com os requisitos internos e externos. e) Analisar criticamente o desempenho em relação aos resultados de negócios. Questão 19 A norma ABNT NBR ISO/IEC 27014:2013 possui um modelo baseado em processos. Um desses processos considera que as trocas de informação com as partes interessadas são realizadas, considerando os objetivos da Segurança da Informação e também as ações pertinentes que foram implantadas. O nome desse processo é: a) Processo de comunicação b) Processo de direção c) Processo de garantia d) Processo de avaliação e) Processo de monitoração leydson.oliveira Realce leydson.oliveira Nota null• P1: Estabelecer a segurança da informação em toda a organização; null• P2: Adotar uma abordagem baseada em riscos; null• P3: Estabelecer a direção de decisões de investimento; null• P4: Assegurar conformidade com os requisitos internos e externos; null• P5: Promover um ambiente positivo de segurança; null• P6: Analisar criticamente o desempenho em relação aos resultados de negócios. null leydson.oliveira Realce leydson.oliveira Nota Neste processo, são realizadas as trocas de informação com as partes interessadas, considerando os objetivos da segurança da informação e também as ações pertinentes que foram implantadas. Questão 20 A criação da estratégia da Governança de Segurança da Informação necessita de alguma ferramenta de gestão estratégica que possa ajudar a materializá-la. Tal ferramenta deve apoiar a modelagem, a mensuração e o gerenciamento dos processos de formulação, e a gestão dessa estratégia. Deve ainda proporcionar uma visão sistêmica das principais decisões e ações que direcionarão a evolução da Governança de Segurança da Informação, traduzidas em objetivos, indicadores e metas, além de projetos e planos de ação. Para atender a essas necessidades, a ferramenta indicada é: a) SWOT b) TOGAF c) GUT d) Balanced Scorecard (BSC) e) Val IT Questão 21 Associe a coluna da direita de acordo com as definições de Sêmola (2014), aplicadas no Sistema de Gestão de Segurança da Informação (SGSI): A sequência que mostra a associação correta é: Descrição da atividade (Sêmola, 2014) Atividade I. Aponta o caminho e tudo o que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado. ( ) Implementação de controles de segurança. II. Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário. ( ) Equipe para resposta a incidentes. III. Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. ( ) Plano de Continuidade de Negócios (PCN). IV. Cuida para que as fragilidades e os eventos relacionados à Segurança da Informação possam ser tratados em tempo hábil. ( ) Plano Diretor de Segurança (PDS). a) IV, II, I e III b) I, III, II e IV c) III, I, II e IV d) III, IV, II e I e) II, IV, III e I leydson.oliveira Realce leydson.oliveira Nota O Balanced Scorecard (BSC) é muito utilizado para materializar a estratégia da empresa. leydson.oliveira Realce leydson.oliveira Nota Os conceitos são estabelecidos de acordo com cada definição. Questão 22 A norma ABNT NBR ISO/IEC 27001:2013 propõe um Sistema de Gestão de Segurança da Informação (SGSI) com base no PDCA. Associe a coluna da direita de acordo com as descrições das fases do PDCA: A sequência que mostra a associação correta é: Descrição da fase Fase I. Manter e melhorar o SGSI. ( ) Planejar II. “Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização”. (ABNT NBR ISO/IEC 27001:2013) ( ) Agir III. “Implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) ( ) Checar IV. Monitorar e analisar criticamente o SGSI. ( ) Fazer a) II, I, IV e III b) I, II, IV e III c) III, II, I e IV d) IV, II, I e III e) II, I, III e IV Questão 23 Considere a seguinte afirmação: “Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) Esta afirmação está relacionada mais especificamente com: a) Confidencialidade b) Auditabilidade c) Integridade d) Disponibilidade e) Conformidade leydson.oliveira Realce leydson.oliveira Nota Utilização das fases do PDCA associadas ao SGSI, de acordo com a norma ABNT NBR ISO/IEC 27001:2013. leydson.oliveira Realce leydson.oliveira Nota Risco de conformidade - null“Cuidado para não acreditar que, por estar conforme ou mesmo certificada em uma norma, sua empresa está segura”. (Sêmola,2014) null“Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) nullnull Questão 24 As informações existentes, em cada empresa, possuem importâncias e valores que transpassam os vários ambientes para sustentar os processos de negócio. Informações distintas necessitam de proteções distintas e, nesse sentido, há necessidade de se estabelecer um modelo de Gestão de Segurança da Informação (GSI) que possa se adequar aos atuais e futuros desafios de cada empresa. Analise as seguintes proposições: I) O modelo do Sistema de Gestão de Segurança da Informação (SGSI) proposto pela norma ABNT NBR ISO/IEC 27001:2013 utiliza o PDCA. II) A fase Check - Checar (C) do PDCA está relacionada com “avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC 27001:2013) III) A fase Do - Fazer (D) do PDCA está relacionada com “implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) IV) Com relação à segurança da informação, a análise de risco realiza um diagnóstico da situação atual da empresa. De acordo com as proposições, estão corretas: a) Apenas a proposição I. b) Apenas a proposição II. c) Apenas as proposições II e III. d) Apenas as proposições I, II e III. e) As proposições I, II, III e IV. Questão 25 Avalie as proposições a seguir e identifique com (V) as proposições Verdadeiras e com (F) as proposições Falsas: ( ) Em geral, a classificação da informação determina como essa informação será tratada e protegida. ( ) As pessoas devem ser treinadas e conscientizadas porque é nas pessoas que começa e termina a segurança. ( ) Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. ( ) A conscientização, em segurança da informação, é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem-sucedida. leydson.oliveira Realce leydson.oliveira Nota Todas as proposições estão corretas e alinhadas com a norma ABNT NBR ISO/IEC 27001:2013. A sequência correta da avaliação das proposições é: a) V, V, V, V b) V, F, V, F c) F, F, F, F d) V, V, F, V e) F, V, V, F Questão 26 O ciclo de vida da informação existe para todo e qualquer tipo de informação. No estabelecimento da cultura de Segurança da Informação, todos devem ter esse conhecimento e saber que esse ciclo de vida é composto por quatro momentos. A sequência que melhor representa, respectivamente, os momentos do ciclo de vida da informação, é: a) Manuseio; armazenamento; transporte; e descarte. b) Armazenamento; manuseio; transporte; e descarte. c) Armazenamento; transporte; manuseio; e descarte. d) Preparo; armazenamento; transporte; e descarte. e) Preparo; manuseio; armazenamento; e descarte. Questão 27 Na cultura em Segurança da Informação, é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Considere as quatro primeiras camadas apresentadas por Sêmola (2014): 1. Detectar 2. Desencorajar 3. Dificultar 4. Discriminar A opção que representa a sequência correta dessas barreiras é: a) 2, 3, 4, 1. b) 1, 2, 4, 3. c) 4, 3, 1, 2. d) 3, 4, 2, 1. e) 3, 2, 4, 1. leydson.oliveira Realce leydson.oliveira Nota * - Em geral, a classificação da informação determina como essa informação será tratada e protegida. Cada empresa deve estabelecer a quantidade de níveis que considera adequada. nullnull* - As pessoas devem ser treinadas e conscientizadas porque é nelas que começa e termina a segurança. Basta que uma não esteja preparada para que o risco relacionado com a segurança da informação aumente. nullnull* - Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. O fator humano talvez seja a questão mais importante a ser tratada em uma PSI.nullnull* - Cuidar da conscientização em segurança da informação é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem-sucedida. A implantação de uma cultura em segurança da informação transformará um ambiente negligente em um ambiente vigilante. Significa criar um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. leydson.oliveira Realce leydson.oliveira Nota No estabelecimento da cultura de segurança da informação, todos devem saber que a informação possui um ciclo de vida composto por quatro momentos: (1) manuseio — onde a informação é criada e manipulada; (2) armazenamento — onde a informação é armazenada; (3) transporte — onde a informação é transportada; e (4) descarte — onde a informação é descartada. leydson.oliveira Realce leydson.oliveira Nota Barreiras da segurança da informação nullnullPara a cultura de segurança da informação também é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Sêmola (2014) define as seguintes barreiras: (1) desencorajar — utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança, como por exemplo, uma câmera de vídeo, ainda que falsa; (2) dificultar — controles para dificultar o acesso indevido, como por exemplo, roletas de acesso, senhas e biometria; (3) discriminar — recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões, como por exemplo, os acessos aos módulos de um ERP; (4) detectar — recursos para alertar os gestores de segurança na detecção de situações de risco, como por exemplo, uma tentativa de invasão; (5) deter — impedir que a ameaça atinja os ativos que suportam o negócio, como por exemplo, bloqueio de acessos físicos e lógicos; e (6) diagnosticar — baseada em análise de riscos físicos, tecnológicos e humanos e orientada aos processos de negócio da empresa, representa a continuidade do processo de gestão de segurança da informação criando uma ligação cíclica e contínua com a primeira barreira. Questão 28 Todos, na empresa, devem ter conhecimento e consciência sobre o valor da informação que dispõem e manipulam independente dela ser pessoal ou institucional. O treinamento e a conscientização em Segurança da Informação devem ter o objetivo de influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de informações da empresa. Existem vários recursos de apoio para disseminação da cultura em Segurança da Informação, na empresa, conforme exemplos citados por Sêmola (2014), exceto: a) Seminários abertos para toda empresa. b) Campanha de divulgação para toda empresa. c) Carta do presidente para área de Informática. d) Termo de responsabilidade para toda a empresa. e) Termo de confidencialidade para toda empresa. Questão 29 A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de: a) Bring Your Own Device (BYOD) b) Geração X c) Geração Y d) Geração Z e) Geração baby bommer Questão 30 Considere a seguinte definição do National Institute of Standard and Technology — NIST —, em 2011: “um modelo para permitiro acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. Trata-se de uma definição de: leydson.oliveira Realce leydson.oliveira Nota • Seminários — abertos para compartilhar a percepção dos riscos associados às atividades da empresa, os impactos potenciais no negócio e o comprometimento dos processos críticos se alguma ameaça se concretizar. nullnull• Campanha de divulgação — divulgar a PSI de forma incansável para que suas diretrizes sejam do conhecimento de todos. Para comunicar padrões, critérios e instruções operacionais, é uma boa prática a utilização de cartazes, jogos, peças promocionais, protetores de tela, quadro de avisos, contracheque, e-mails informativos, e-mails de alerta etc. nullnull•Carta do presidente — encaminhada a cada funcionário para dar um caráter formal a PSI. nullnull• Termo de responsabilidade e confidencialidade — define as responsabilidades relacionadas à proteção das informações, formalizando o compromisso e o entendimento de cada funcionário e de outros profissionais que vierem a assiná-lo.nullnull•Cursos de capacitação e certificação — existem perfis profissionais dentro da empresa que podem necessitar de mais domínio sobre os conceitos de segurança da informação, como por exemplo, os administradores de rede para reagir a situações de risco. Nesses casos, onde existe uma necessidade de mais aprofundamento no assunto, recomenda-se uma capacitação formal através de cursos especializados, tendo a certificação como instrumento da respectiva competência adquirida. null leydson.oliveira Realce leydson.oliveira Nota Mobilidade e BYOD nullA tecnologia móvel está influenciando o comportamento humano do século XXI e se posicionando como base principal da revolução tecnológica que vem transformando as interações pessoais e corporativas. nullA costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de Bring Your Own Device (BYOD). a) Computação em nuvem (cloud computing) b) Big data c) TOGAF d) Business Process Outsourcing (BPO) e) DAMA DMBOK Questão 31 As empresas costumam terceirizar sempre que, por algum motivo, não compensar para elas desenvolver determinada atividade internamente. Apesar da impulsividade de alguns empresários, terceirizar pode ser um grande desastre se não for respaldado por um planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, fixando objetivos e definindo as melhores condições para atingi-los. Analise as seguintes proposições: I) A terceirização da área de TI não influencia na Governança de Segurança da Informação. II) Uma das justificativas da terceirização da área de TI é a empresa querer se concentrar na sua atividade principal — core business. III) A empresa que estiver em processo de terceirização deve escolher o provedor de serviços baseada no menor custo, uma vez que todos eles oferecem um ambiente seguro e com os riscos mitigados. IV) A terceirização de TI pode ser total ou parcial. De acordo com as proposições, estão corretas: a) Apenas as proposições II e IV. b) Apenas a proposição I. c) Apenas a proposição II. d) Apenas as proposições I e III. e) As proposições I, II, III e IV. Questão 32 Considere a seguinte definição de Siewert citado por Fernandes; Abreu (2014): “Definido genericamente como a captura, gerenciamento é a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. leydson.oliveira Nota Computação em nuvem ou cloud computing foi definida pelo National Institute of Standard and Technology — NIST —, em 2011, como: nullnull“um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. ]nullnullA contratação de um provedor de serviço em nuvem — Cloud Service Provider (CSP) deve ser realizada através de critérios de escolha que inclua avaliação in loco, uma infraestrutura atendendo aos padrões de segurança da informação (ISO 27001) e uma equipe de especialistas certificados e com formação diferenciada. leydson.oliveira Realce leydson.oliveira Nota I - O cliente deve ter clareza do que será terceirizado e da importância em manter, na empresa, o conhecimento gerado por terceiros. Um exemplo é quando o cliente terceiriza a sua área de desenvolvimento e não se preocupa em manter algum funcionário de sua equipe acompanhando o que está sendo feito pelo provedor e exigindo que se mantenha nas suas instalações uma documentação detalhada e atualizada. Caso isto não ocorra, na renovação do contrato, todas as informações estarão nas mãos do provedor e o cliente estará refém, tendendo a pagar o que for cobrado. nullnullII - A resposta mais direta é a concentração da empresa na sua atividade principal — core business. Como consequência, aparecem justificativas complementares, como a redução de custos; o melhor controle dos serviços; o retorno do investimento; os conhecimentos e as habilidades de especialistas; e a garantia de qualidade. nullnullIII - O resultado da terceirização é medido a médio e em longo prazo. A escolha do provedor não deve ser feita exclusivamente pelo critério de custo mais baixo. Além disso, é indispensável a capacidade do provedor poder atender o cliente conforme estabelecido em contrato. Também deve existir atenção para alguns riscos de terceirização como: perda do controle gerencial; problemas de comunicação entre o cliente e o provedor de serviços; e, principalmente, ameaça à segurança das informações. nullnullIV - O contrato de terceirização da área de TI, seja ele total ou parcial, implica na possibilidade de acesso às informações do cliente. É uma boa prática a existência de cláusulas contratuais com implicações pecuniárias, para definir as condições nas quais as informações do cliente poderão ser acessadas, bem como o comprometimento do provedor em manter a confidencialidade e a responsabilidade durante a utilização dessas informações. leydson.oliveira Realce Trata-se de uma definição de: a) Computação em nuvem (cloud computing) b) Big data c) TOGAF d) Business Process Outsourcing (BPO) e) DAMA DMBOK leydson.oliveira Realce leydson.oliveira Nota O big data traz como principal característica o armazenamento de grandes volumes de dados que podem ser tratados mais rapidamente e com uma quantidade maior de recursos. O objetivo é possibilitar que essas informações possam ser analisadas mais rapidamente para auxiliar na tomada de decisões.
Compartilhar