Apol 1 Segurança em sistemas de informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
A organização deve dispor de uma Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de 
tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da 
informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, 
comprometam-se e atuem para colocá-la em prática e torná-la efetiva. 
Considere as afirmações a seguir quanto à Política de Segurança da Informação: 
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, 
autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de 
qualquer outra legislação vigente e aplicável. 
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que 
estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie 
todas as iniciativas da organização relativas à segurança da informação. 
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as 
práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita. 
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da 
organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, 
comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o 
conteúdo apresentado em aula: 
 E F-F-V-V 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos 
de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo 
ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as 
metas de segurança da informação e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de 
vulnerabilidades. 
 
Questão 3/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a 
organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte 
delas, são oriundas de estratégias militares de defesa e foram validadas por sua aplicação por milhares 
de vezes no decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de 
aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes pois sempre 
atuam em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a obscuridade é 
necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a 
black list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada 
quando o universo de possibilidades é difícil de se dimensionar 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeiras) 
as afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 A V-F-F-F 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que 
possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a 
falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou 
apresentarem comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados 
ou apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo 
seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação 
ainda não foi comprovada, seja por haver interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação 
entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido 
em recursos financeiros para a proteção dos ativos e redução das ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e 
executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são 
elaboradas à partir de uma matriz PxI – Probabilidade x Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula: 
 D Somente as afirmações IV e V são incorretas. 
 
Questão 5/5 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade planejar e operar 
processos, técnicas, ferramentas e mecanismos que possam prover a devida proteção à informação, 
mas não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
 D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham 
impacto nas pessoas ou representem risco à vida referem-se às questões de segurança (em inglês, safety) abrangidos pela 
segurança da informação.