SEGURANÇA EM SISTEMAS DE INFORMAÇÃO Apol 1 nota 80

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação 
– para que possa ser empregada adequadamente pelos processos da organização. Tais ativos 
estão expostos a falhas de segurança da informação, possuindo pontos fracos que podem vir 
a ser explorados ou apresentarem comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser 
explorados ou apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, 
seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na 
segurança da informação ainda não foi comprovada, seja por haver interesses escusos 
devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma 
combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da 
informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser 
dispendido em recursos financeiros para a proteção dos ativos e redução das ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma 
sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na 
tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado 
na aula: 
 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
 
D Somente as afirmações IV e V são incorretas. 
 
 
E Todas as afirmações são corretas. 
Questão 2/5 - Segurança em Sistemas de Informação 
A gestão de riscos é um processo de suma importância para a segurança da informação. 
Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma 
sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, 
Act ou seja, planejar, fazer, avaliar, corrigir). 
Com relação ao processo de gestão de riscos é correto afirmar que: 
 
 
A Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização. 
 
 
B A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, e auxilia no cálculo do 
ROI – return of investiment. 
 
C Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela eliminação de 
vulnerabilidades ou tratamento contra as ameaças. 
 
 
D Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do risco. 
 
 
E Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo aplicando um 
tratamento aos riscos é improvável que se consiga eliminá-los totalmente. 
Questão 3/5 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os 
objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que 
oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, 
atenção: é de primordial importância que todos, na organização, tenham conhecimento 
dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-
la efetiva. 
Considere as afirmações a seguir quanto à Política de Segurança da Informação: 
( ) A política de segurança da informação é uma forma de legislação própria, na qual a 
Organização estabelece de forma soberana, autônoma e totalmente independente, as regras 
e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer 
outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na 
política de segurança da informação, e que estabeleça claramente os objetivos a serem 
alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie 
todas as iniciativas da organização relativas à segurança da informação. 
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação 
estar submetida à legislação, alinhada com as práticas de governança corporativa e 
adequada às normas e regulamentos aos quais a organização está sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as 
responsabilidades pela segurança da informação da organização, levando em conta que a 
segurança da informação não é responsabilidade exclusiva da área de tecnologia da 
informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as 
verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula: 
 
 
A V-F-F-V 
 
 
B F-V-V-F 
 
 
C F-V-V-V 
 
 
D V-V-V-F 
 
E F-F-V-V 
Questão 4/5 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a 
definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também 
implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é 
de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como 
um dos pilares da segurança da informação e dos sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar 
que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma 
lei voltada para as finanças, decorrente de problemas financeiros causados à economia 
mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança 
da informação e dos sistemas. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade 
e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das 
informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais 
países. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para 
Relatórios Financeiros) é um conjunto de recomendações do IASB (International 
Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece 
padrões para o tratamento e publicação de informações financeiras e contábeis, adotado 
principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos 
bancos centrais de diversos países, e estabelecem princípios de governança, transparência e 
auditoria, com impacto direto na segurança da informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na 
aula: 
 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
 
D Somente as afirmações I e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
Questão 5/5 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade 
planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover a 
devida proteção à informação, mas não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
 
 
A A segurança da informação pode ser traduzida do termo security da língua inglesa, que refere-se aos sistemas 
confiáveis, construídos para reagir perante as falhas do software, do hardwareou dos usuários. 
 
 
B Intrusões, ataques, perda e roubo de informações são abordados pela segurança da informação, tradução do 
termo reliability, em inglês. 
 
 
C A área do conhecimento humano designada como segurança da informação não abrange a utilização correta da 
informação, desde que essa informação seja adequada aos propósitos específicos para os quais se destina. 
 
 
D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham impacto 
nas pessoas ou representem risco à vida referem-se às questões de segurança (em inglês, safety) abrangidos pela 
segurança da informação. 
 
 
E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a segurança da informação implica em controlar a 
tecnologia da informação para estabelecer, implementar, monitorar, analisar criticamente e melhorar, quando 
necessário, os objetivos do negócio.