gestao de segurança

Prévia do material em texto

02/11/2017 Conteúdo Interativo
http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 1/3
 
CCT0185_EX_A8_201501303465
 
 
 
 
 GESTÃO DE SEGURANÇA DA INFORMAÇÃO 8a aula
 Lupa 
Vídeo
 
PPT
 
MP3
 
 
Exercício: CCT0185_EX_A8_201501303465 Matrícula: 201501303465
Aluno(a): HUELITON RODRIGUES BARROS DA SILVA Data: 04/10/2015 11:23:25 (Finalizada)
 
 1a Questão (Ref.: 201502074559) Fórum de Dúvidas (4) Saiba (1)
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR
ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o
SGSI, que compreende a atividade de:
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades
prevalecentes
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração,
análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI)
dentro do contexto dos riscos de negócio da organização.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
 
 
 2a Questão (Ref.: 201501393161) Fórum de Dúvidas (1 de 4) Saiba (1)
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a
que tipo de proteção ?
Limitação.
Reação.
Recuperação .
 Preventiva.
Correção.
 
 
 3a Questão (Ref.: 201501393163) Fórum de Dúvidas (1 de 4) Saiba (1)
No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema
de Segurança:
A perda de qualquer aspecto de segurança importante para a organização.
Uma inundação.
HUELITON
Realce
HUELITON
Realce
02/11/2017 Conteúdo Interativo
http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 2/3
 Restrição Financeira.
Uma tempestade.
Uma Operação Incorreta ou Erro do usuário.
 
 
 4a Questão (Ref.: 201501599683) Fórum de Dúvidas (1 de 4) Saiba (1)
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão
e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos
dizer que uma das características da fase "Plan" é:
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e
tecnologia.
 Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do
SGSI.
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos
resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os
incidente de segurança da informação.
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI,
buscando não burocratizar o funcionamento das áreas.
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das
auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
 
 Gabarito Comentado
 
 5a Questão (Ref.: 201502063552) Fórum de Dúvidas (1 de 4) Saiba (1)
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais,
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem
informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada
negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e
cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-
Act. Podemos dizer que a empresa deve implementar na etapa Do:
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos
resultados de processamento e identificar os incidentes de segurança da informação.
 Selecionar objetivos de controle e controles para o tratamento de riscos.
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações
preventivas e corretivas necessárias para o bom funcionamento do SGSI.
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e
tecnologia.
 A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI,
buscando não burocratizar o funcionamento das áreas.
 
 Gabarito Comentado
 
 6a Questão (Ref.: 201501957193) Fórum de Dúvidas (1 de 4) Saiba (1)
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser
alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
02/11/2017 Conteúdo Interativo
http://estacio.webaula.com.br/Classroom/index.html?id=1545639&classId=798894&topicId=2557456&p0=03c7c0ace395d80182db07ae2c30f034… 3/3
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações,
independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para
satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados
foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido
para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
I e III.
 II e III.
III e IV.
 I e II.
II.
 
 Gabarito Comentado