GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1.
		Considere as seguintes afirmativas relacionadas com a governança corporativa:
I) Entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa.
II) Resposta legislativa aos escândalos financeiros que aconteceram por volta de 2001-2002 em companhias abertas nos Estados Unidos, como a Enron, Worldcom, Tyco e outras.
III) Sob o patrocínio do "Bank International Settlements" ou BIS, foi desenvolvido para buscar o máximo de ajuste entre os requisitos de capital das instituições financeiras e os riscos a que estão expostas.
IV) Determina que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil criem e implantem sua própria estrutura de gerenciamento de riscos.
Agora marque a opção que melhor identifica, respectivamente, cada uma destas afirmações:
	
	
	
	
	
	COSO, Resolução 3380, Basileia II e Lei SOX.
	
	
	Resolução 3380, Lei SOX, COSO e Basileia II.
	
	
	COSO, Lei SOX, Basileia II e Resolução 3380.
	
	
	Basileia II, Lei SOX, COSO e Resolução 3380.
	
	
	COSO, Basileia II e Resolução 3380 e Lei SOX.
	
	
		2.
		De acordo com o Instituto Brasileiro de Governança Corporativa - IBGC (2009), "Governança Corporativa é o sistema pelo qual as organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre proprietários, conselho de administração, diretoria e órgãos de controle. As boas práticas de Governança Corporativa convertem princípios em recomendações objetivas, alinhando interesses com a finalidade de preservar e otimizar o valor da organização, facilitando seu acesso ao capital e contribuindo para a sua longevidade".
Considere as seguintes definições sobre princípios básicos estabelecidas no Código das Melhores Práticas de Governança Corporativa do IBGC (2009):
I) Obrigação e desejo de informar;
II) Conselheiros e executivos devem zelar pela perenidade das organizações, com visão de longo prazo e de sustentabilidade, incorporando considerações de ordem social e ambiental na definição dos negócios e operações;
III) Os agentes da governança corporativa devem prestar contas de sua atuação a quem os elegeu e assumir a responsabilidade pelos seus atos e omissões;
IV) Tratamento justo e igualitário para todos os acionistas.
Agora marque a opção que melhor identifica, respectivamente, cada uma destas afirmações:
	
	
	
	
	
	Transparência, Equidade, Responsabilidade corporativa e Prestação de contas.
	
	
	Prestação de contas, Transparência, Responsabilidade corporativa e Equidade.
	
	
	Transparência, Responsabilidade corporativa, Prestação de contas e Equidade.
	
	
	Equidade, Transparência, Prestação de contas e Responsabilidade corporativa.
	
	
	Transparência, Prestação de contas, Equidade e Responsabilidade corporativa.
	
	
		3.
		O dia a dia da governança corporativa inclui assuntos que muitas vezes são subjetivos e ambíguos. Isso faz com que os atores diretamente envolvidos nessa governança tenham que ter no seu perfil de formação uma forte capacidade para avaliar, fundamentar e julgar. Nesse sentido, os aspectos relacionados ao perfil de riscos considerado, a consciência sobre o desempenho dos papéis desses atores de governança e a utilização de critérios éticos, se estabelecem como essenciais para que as decisões possam gerar uma maior reflexão e serem tomadas de forma mais equilibrada.
Segundo o Instituto Brasileiro de Governança Corporativa (IBGC), uma boa governança corporativa possui como seu principal componente o:
	
	
	
	
	
	Conselho de Administração, responsável pelo direcionamento estratégico da empresa.
	
	
	Conselho de Família, responsável por manter assuntos de ordem familiar na pauta dos assuntos da organização.  
	
	
	Conselho Fiscal, parte integrante do sistema de governança das organizações brasileiras.
	
	
	Comitê de Auditoria para assessorar o Conselho de Administração.
	
	
	Conselho de Administração, responsável pelo direcionamento tático da empresa.
	
	
		4.
		Considere as seguintes afirmativas relacionadas com a governança corporativa:
I) Fortemente recomendado que exista.
II) Analisa as demonstrações financeiras.
III) Garante que a Diretoria desenvolva controles internos confiáveis.
IV) Cuida para que os auditores independentes avaliem, através de seus próprios métodos, a conformidade das práticas da Diretoria e da Auditoria Interna.
Agora marque a opção que melhor identifica estas afirmações:
	
	
	
	
	
	Comitê Financeiro
	
	
	Comitê de Auditoria
	
	
	Comitê de Governança
	
	
	Conselho Fiscal
	
	
	Conselho de Gestão
	
	
		5.
		Considere a governança corporativa para analisar se as proposições a seguir são verdadeiras    ( V ) ou falsas ( F ):
(  V ) A transparência está baseada na obrigação e no desejo de informar;
(   V) A governança corporativa está associada ao processo decisório da alta gestão e aos  relacionamentos entre os principais atores das organizações, caracterizados principalmente pelos executivos, conselheiros e acionistas;
(  V ) A teoria mais aceita para discutir a temática da governança corporativa é a do gente-principal;
( F  ) O principal componente da estrutura de governança corporativa é o Conselho Fiscal;
(  V ) A Lei Sarbanes-Oxley, apelidada de SOX ou SARBOX, afeta a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos da América.  
Agora escolha a opção correta:
	
	
	
	
	
	V,V,V,V,V
	
	
	V,F,V,F,V
	
	
	V,V,V,F,V
	
	
	F,F,F,V,F
	
	
	F,V,V,F,V
	
	
		6.
		A Dra. Ana Carolina possui um escritório especializado em direito internacional. Um dos seus clientes, a empresa brasileira XPTO, representada pelo seu CEO Henrique Brandão, procurou o escritório para informar que sua empresa passaria a negociar ações ADR (American Depositary Receipt) nas bolsas norte-americanas e se, por conta disso, a organização estaria submetida a alguma lei específica.  A Dra. Ana Carolina explicou ao Senhor Henrique Brandão que existe uma lei americana de julho de 2002 que afeta a divulgação financeira de empresas que têm ações negociadas nas bolsas dos Estados Unidos da América. Disse também que o não cumprimento dessa lei pode ocasionar a prisão do CEO e do CFO, além de sanções pecuniárias.
O nome dessa lei é:
	
	
	
	
	
	Jumpstart Our Business Startups Act
	
	
	Investment Company Act
	
	
	Trust Indenture Act
	
	
	Sarbanes-Oxley Act
	
	
	Securities Exchange Act
	
	
		7.
		Considere as seguintes afirmativas relacionadas com uma típica estrutura organizacional de governança corporativa:
I) Funciona como interface entre o Conselho de Administração e o restante da empresa.
II) Estabelece a ligação entre a governança e a gestão.
III) Responsável pela execução das diretrizes fixadas pelo Conselho de Administração e presta contas a ele.
IV) Responsável pela gestão da organização.
Agora marque a opção que identifica o papel que melhor se relaciona com essas afirmativas:
	
	
	
	
	
	Diretor de TI
	
	
	Diretor de Controles Internos
	
	
	Conselho Fiscal
	
	
	Auditoria Interna
	
	
	Diretor Presidente
	
	
		8.
		O alto executivo que toma boas decisões para o negócio costuma ser bem avaliado e obter benefícios profissionais e financeiros como prêmio pela realização desse bom trabalho em favor da empresa. No entanto, quando esse alto executivo visa benefícios pessoais, isso provoca um desalinhamento de interesses entre ele e os acionistas, caracterizando um conflito de interesses. Esta possibilidade fez com que fosse desenvolvida uma teoria na qual não se pode afirmar que o tomador de decisãosempre agirá no melhor interesse de quem confiou as decisões para ele.
Este contexto nos remete a um problema conhecido como:
	
	
	
	
	
	Problema de distrato ou problema de rescisão.
	
	
	Problema de agência ou problema de distrato.
	
	
	Problema de interesses divergentes ou problema de desalinhamento.
	
	
	Problema do agente-principal ou problema de agência.
	
	
	Problema do agente-principal ou problema de rescisão.
		1.
		O mundo virtual abriu novas possibilidades de negócios. Por outro lado, aumentou a possibilidade de vulnerabilidades, fazendo com que as organizações multiplicassem suas preocupações para proteger as informações. Com uma necessidade cada vez maior de se manter a qualidade da informação com todas as suas proteções, mais recentemente, a segurança da informação também ascendeu a categoria de governança, ganhando maior visibilidade nas organizações com o nome de Governança de Segurança da Informação.
Considere a seguinte classificação:
1. Governança Corporativa.
2. Governança de Tecnologia da Informação.
3. Governança de Segurança da Informação.
Agora associe 1, 2 ou 3, de acordo com as afirmativas abaixo:
(   ) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?
(   ) Envolve os conceitos básicos de confidencialidade, integridade e Disponibilidade.
(   ) Problema do agente-principal ou problema de agência.
(   ) Oferece princípios para orientar os dirigentes das organizações sobre o uso eficaz, eficiente e aceitável da Tecnologia da Informação (TI) dentro de suas organizações.
(   ) Propõe o desenvolvimento de um Plano de Contingência.
Agora assinale a opção correta:
	
	
	
	
	
	3,3,2,1,2
	
	
	1,3,2,1,3
	
	
	2,3,2,1,1
	
	
	2,3,1,2,3
	
	
	2,2,2,1,3
	
	
		2.
		Os altos executivos das empresas vêm percebendo que cada vez se faz mais necessário tratar a segurança da informação como uma questão de risco para o negócio e não se limitar a um problema operacional de tecnologia da informação. Tais percepções estão fundamentadas não apenas nos requisitos regulamentares que se tornam cada vez maiores, mas principalmente por impacto direto, derivado de fragilidades que acabam influenciando na reputação da organização e que têm como consequência o prejuízo financeiro.
Analise as seguintes proposições relacionadas com a Governança de Segurança da Informação:
I) É recomendável que os altos executivos incluam a Governança de Segurança da Informação como parte de suas responsabilidades.
II) Uma Governança de Segurança da Informação bem implementada permitirá que os altos executivos recebam informações relevantes sobre as atividades relacionadas com a segurança de informação dentro do contexto de negócio.
III) A Governança de Segurança da Informação envolve os conceitos básicos de confidencialidade e integridade sem disponibilidade.
IV) Enquanto o modelo de Governança de Tecnologia da Informação necessita ser submetido ao ciclo avaliar-dirigir-monitorar, isto não se faz necessário no modelo de Governança de Segurança da Informação.
De acordo com as proposições acima, podemos afirmar que:
	
	
	
	
	
	As proposições I, II, III e IV estão corretas.
	
	
	Apenas a proposição I está correta.
	
	
	Apenas a proposição II está correta.
	
	
	As proposições I e II estão corretas.
	
	
	As proposições II, III e IV estão corretas.
	
	
		3.
		De acordo com a norma ABNT NBR ISO/IEC 27014:2013, existe um relacionamento entre o modelo de Governança de Tecnologia da Informação e o modelo de Governança de Segurança da Informação.
Considere a seguinte classificação:
1. Governança de TI.
2. Governança de Segurança da Informação.
Associe 1 ou 2, de acordo com as afirmativas abaixo:
(  1 ) Trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas.
(  2 ) Promove ações na empresa que possam permitir mapear a situação atual, visível e invisível, inventariando as ameaças, vulnerabilidades, riscos e possíveis impactos.
(  1 ) Determina quem tem o direito de decidir sobre quanto a empresa investirá em TI.
(   ) Implementa planos e políticas que possam fazer com que o uso da tecnologia da informação  atenda aos objetivos do negócio.
(   ) Promove o ensinamento de engenharia social na empresa.
Agora assinale a opção correta:
	
	
	
	
	
	2,2,1,1,2
	
	
	1,1,1,2,2
	
	
	1,2,2,1,1
	
	
	1,2,1,1,2
	
	
	2,2,1,1,1
	
	
		4.
		Avalie as seguintes proposições relacionadas com a governança de tecnologia da informação, governança corporativa e governança de segurança da informação:
I) Não existe interseção entre a governança de tecnologia da informação e a governança de segurança da informação;
II) A governança de tecnologia da informação está subordinada à governança corporativa;
III) A governança de segurança da informação está subordinada à governança de tecnologia da informação;
IV) A governança de tecnologia da informação e a governança de segurança da informação estão subordinadas à governança corporativa.
De acordo com as proposições acima, podemos afirmar que:
	
	
	
	
	
	As proposições II e IV estão corretas.
	
	
	Apenas a proposição II está correta.
	
	
	Apenas a posição I está correta.
	
	
	As proposições I, II, III e IV estão corretas.
	
	
	As proposições II e III estão corretas.
	
	
		5.
		Para planejar TI devemos  estar cientes das ligações entre o planejamento para o negócio como um todo, os sistemas de aplicação e a infraestrutura.
Analise a seguinte figura:
Com base na figura acima e na lógica de um ambiente de TI, escolha a opção correta:
	
	
	
	
	
	Infraestrutura de TI é sustentada pelos Aplicativos de TI que são sustentados pelos Processos de negócio.
	
	
	Aplicativos de TI são sustentados pelos Processos de negócio que são sustentados pela Infraestrutura de TI.
	
	
	Processos de negócio são sustentados pelos Aplicativos de TI que são sustentados pela Infraestrutura de TI.
	
	
	Processos de negócio são sustentados pela Infraestrutura de TI que é sustentada pelos Aplicativos de TI. 
	
	
	Infraestrutura de TI é sustentada pelos Processos de negócio que são sustentados pelos Aplicativos de TI.
	
	
		6.
		A __________ trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas, ajudando os altos executivos a garantirem o cumprimento das obrigações relativas ao uso aceitável da tecnologia da informação. Já a __________ envolve os conceitos básicos de confidencialidade, integridade e disponibilidade.
Considerando o texto acima, o conteúdo que melhor preenche as lacunas é:
	
	
	
	
	
	Governança de Tecnologia da Informação / Governança de Segurança da Informação.
	
	
	Governança de Tecnologia da Informação / Governança Ambiental.
	
	
	Governança Corporativa / Governança de Segurança da Informação.
	
	
	Governança Corporativa / Governança de Tecnologia da Informação.
	
	
	Governança de Projetos / Governança de Segurança da Informação.
	
	
		7.
		Segundo Weill e Ross (2006), "Governança de Tecnologia da Informação é a especificação dos direitos decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na utilização da TI". Ainda segundo os autores, uma Governança de Tecnologia da Informação eficaz deve tratar de três questões.
Analise as seguintes proposições relacionadas com as questões propostas por Weill e Ross (2006):
I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?
II) Quemdeve tomar essas decisões?
III) Como essas decisões serão tomadas e monitoradas?
IV) Qual é o perfil desejado para contratação do Chief Information Officer (CIO)?
V) Qual é o arquétipo principal que deverá ser utilizado na matriz de arranjos?
De acordo com as proposições acima, podemos afirmar que:
	
	
	
	
	
	As proposições I, II e III estão corretas.
	
	
	As proposições III, IV e V estão corretas.
	
	
	As proposições I, III e V estão corretas.
	
	
	As proposições II, III e IV estão corretas.
	
	
	As proposições I, II e IV estão corretas.
	
	
		8.
		As frequentes mudanças que ocorrem na área de Tecnologia da Informação (TI) fazem com que as empresas necessitem reavaliar os seus sistemas de TI com maior frequência, evitando ficarem defasadas.  Isto implica em decisões a serem tomadas por pessoas que possuem direitos decisórios.
Sobre o processo de decisão na Governança de TI, marque a alternativa correta:
	
	
	
	
	
	As decisões são tomadas e monitoradas, a partir de um conjunto de mecanismos de governança, composto por estruturas de tomadas de decisão, processos de alinhamento e abordagens de comunicações.
	
	
	A governança de TI só deve ser usada em organizações cujo negócio é TI.   
	
	
	Governança de TI é sinônimo de administração de projetos.   
	
	
	Não se faz necessário que a governança de TI estabeleça mecanismos relativos ao processo decisório. 
	
	
	Somente empresas de grande porte requerem governança de TI. 
		1.
		De uma maneira geral, a boa prática sugere que todo problema deve ser analisado em detalhes para que se possa identificar o motivo que está gerando tal problema. Especificamente quando o assunto está relacionado com a segurança da informação na empresa, o desafio se torna muito maior em função da variação de fatores pertencentes ao tema.
Considere os desafios a serem enfrentados com a segurança da informação para analisar se as proposições a seguir são verdadeiras ( V ) ou falsas ( F ):
(  V ) O desafio na empresa é o de realizar ações que possam permitir mapear a situação atual, visível e invisível, inventariando as ameaças, vulnerabilidades, riscos e possíveis impactos, para que posteriormente possa se fazer a modelagem da solução que será proposta.
( F ) Para melhor proteção da informação, a boa prática sugere que as informações públicas que se encontram em papel sejam trituradas antes do descarte.
(  F ) Os altos executivos devem enxergar e propagar por toda a empresa que a segurança da informação é de responsabilidade exclusiva da área de informática. 
(  F ) A segurança da informação sempre deve ser tratada como projeto e nunca como um processo.
(  V ) Para implementar a segurança da informação na empresa deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa.
Agora escolha a opção correta:
	
	
	
	
	
	V,F,F,F,V
	
	
	F,F,F,F,V
	
	
	V,V,V,F,V
	
	
	V,V,V,V,V
	
	
	V,V,F,F,V
	
	
		2.
		Conscientizar os altos executivos para aprovarem um projeto de segurança da informação não é simples. Eles estão acostumados com situações nas quais o dinheiro que é investido irá retornar num determinado espaço de tempo e, em seguida, alguma vantagem financeira direta ou indireta poderá ser observada.
Considere a seguinte classificação:
1. Verdadeiro.
2. Falso.
Agora associe 1 ou 2, de acordo com as afirmativas abaixo:
( 1  ) O "return on investment" (ROI) é a relação que existe entre a quantidade de dinheiro ganho (ou perdido) através de um investimento e o montante de dinheiro que foi investido;
(  1 ) As mudanças influenciam nos riscos operacionais da organização e pressupõem uma análise detalhada sobre o surgimento de novos riscos ou do aumento dos que existem;
(  1 ) O negócio sempre deve ser o foco principal da segurança da informação;
(  2 ) A estratégia da segurança da informação não necessita estar alinhada com a estratégia da empresa, sendo necessária apenas uma visão corporativa que possa contribuir com o retorno sobre o investimento;
( 2  ) Tratando-se da estrutura organizacional, uma boa prática é posicionar a área de segurança da informação hierarquicamente abaixo da diretoria de TI.
Agora assinale a opção correta:
	
	
	
	
	
	1,1,2,2,2
	
	
	1,1,1,2,2
	
	
	2,1,1,2,2
	
	
	1,1,1,2,1
	
	
	1,1,1,1,1
	
	
		3.
		As empresas estão integrando seus processos cada vez mais, utilizando diversas soluções, incluindo a "Enterprise Resource Planning (ERP)", facilitadas pela utilização de redes de comunicação que suportam a internet, a intranet e a extranet.
A informação circula dentro e fora das organizações, tendo em seus processos de negócio ameaças constantes, alimentadas mais ainda por conta das transações que ocorrem no mundo virtual.
Assinale a opção correta:
	
	
	
	
	
	Tratando-se especificamente de projetos de governança de segurança da informação, as ameaças se prendem apenas aos aspectos tecnológicos.
	
	
	Partindo-se da premissa que a segurança da informação deve abranger o âmbito de toda a empresa, a boa prática determina que para sua implementação a área operacional deve ser consultada antes para ver se aprova o início do projeto.
	
	
	As empresas são vítimas de ameaças que buscam fragilidades que possam ajudar a concretizar um ataque.
	
	
	A ocorrência de uma mudança significa a alteração de uma situação anterior. Porém, as mudanças não influenciam os riscos operacionais da empresa. 
	
	
	A estratégia da segurança da informação não necessita estar alinhada com a estratégia do negócio.
	
	
		4.
		Considere as seguintes etapas do modelo de gestão corporativa de segurança da informação, sugeridas por Sêmola (2014), em seu livro "Gestão da Segurança da Informação - Uma Visão Executiva":
1. Planejamento de segurança;
2. Segurança da cadeia produtiva;
3. Comitê Corporativo de Segurança da Informação;
4. Mapeamento da segurança;
5. Estratégia de segurança;
6. Implementação de segurança;
7. Administração de segurança.
A ordem correta destas etapas é:
	
	
	
	
	
	4,3,5,1,6,2,7
	
	
	3,4,5,1,6,7.2
	
	
	2,5,3,4,1,6,7
	
	
	4,3,5,1,6,7,2
	
	
	5,3,4,1,6,7,2
	
	
		5.
		O __________  é a relação que existe entre a quantidade de dinheiro ganho (ou perdido) através de um investimento e o montante de dinheiro que foi investido.
Considerando o texto acima, o conteúdo que melhor preenche a lacuna é:
	
	
	
	
	
	"break even point"
	
	
	"return on investment" (ROI)
	
	
	"prime rate"
	
	
	balanço
	
	
	"benchmark"
	
	
		6.
		Fusões entre empresas, parcerias estratégicas e diversas formas de comunicação não param de ocorrer no mundo dos negócios. Essas grandes transformações se beneficiaram da internet e fizeram com que surgisse um novo ambiente cooperativo com várias empresas se relacionando e trocando informações por meio de uma infraestrutura tecnológica com rede heterogênea integrada.
Essa rede conecta empresas, clientes, fornecedores e usuários. A infraestrutura é montada para que a comunicação possa ser realizada e as transações possam ser executadas, preferencialmente de forma rápida, segura e correta.
Considere a governança de segurança da informação para analisar se as proposições a seguir são verdadeiras ( V ) ou falsas ( F ):
( F  ) A boa prática sugere que todo problema deve ser analisado de forma superficial para que se possa identificar rapidamente o motivo que está gerando tal problema, principalmente quando se trata de segurança da informação.
( F  ) Para que se possa concluir um projeto de governança de segurança da informação mais rapidamente e com êxito, deve-se realizar ações que permitam mapear a situação da segurança dainformação atual visível e desconsiderar a invisível, uma vez essa não irá causar impacto no projeto.
( F  ) Um projeto de governança de segurança da informação deve considerar em seu escopo apenas as informações digitais. Aspectos relacionados com as informações não digitais, como por exemplo, as que são impressas e jogadas no lixo sem serem trituradas, estão fora do escopo desse projeto.
( V  ) O conceito de engenharia social deve ser disseminado por toda a empresa e os colaboradores devem saber lidar com ela.
(  V) Um projeto de governança de segurança da informação deve ser corporativo.
Agora escolha a opção correta:
	
	
	
	
	
	V,F,F,F,V
	
	
	V,V,F,V,F
	
	
	F,F,F,V,V
	
	
	V,F,F,F,F
	
	
	F,F,F,F,V
	
	
		7.
		Os altos executivos devem enxergar e propagar por toda a empresa que a segurança da
informação possui visão corporativa e que deve ser comparada a uma corrente, onde o elo mais fraco determina o seu grau de resistência e proteção.
Analise as seguintes proposições relacionadas com a Governança de Segurança da Informação:
I) O escopo de um projeto de governança de segurança da informação abrange apenas a área tecnológica.
II) A boa prática determina que a implementação da governança de segurança da informação deve ocorrer sensibilizando e mobilizando primeiro os altos executivos para que eles possam apoiar as ações necessárias.
III) A boa prática sugere que para se implementar a segurança da informação na empresa deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa.
IV) Possuir um modelo de gestão corporativa de segurança da informação cria diferencial para a empresa, trazendo benefícios, como por exemplo, o fortalecimento da imagem da empresa.
De acordo com as proposições acima, podemos afirmar que:
	
	
	
	
	
	Apenas as proposições I, II e III estão corretas.
	
	
	As proposições I, II, III e IV estão corretas.
	
	
	Apenas as proposições I, III e IV estão corretas.
	
	
	Apenas as proposições, II, III e IV estão corretas.
	
	
	Apenas as proposições I e II estão corretas.
	
	
		8.
		Em seu livro "Gestão da Segurança da Informação - Uma Visão Executiva", Sêmola (2014) faz referência ao termo "visão do iceberg", fazendo uma analogia entre:
	
	
	
	
	
	A porção de gelo vista fora da linha d'água é maior do que a submersa e, por analogia, a parte visível das falhas de segurança da informação são menores que as invisíveis.
	
	
	A porção de gelo vista fora da linha d'água é a metade da submersa e por analogia, a parte visível das falhas de segurança da informação é a metade da parte invisível.
	
	
	A porção de gelo vista fora da linha d'água é maior do que a submersa e, por analogia, a parte visível das falhas de segurança da informação são maiores que as invisíveis.
	
	
	A porção de gelo vista fora da linha d'água é menor do que a submersa e, por analogia, a parte visível das falhas de segurança da informação são menores que as invisíveis.
	
	
	A porção de gelo vista fora da linha d'água é menor do que a submersa e, por analogia, a parte visível das falhas de segurança da informação são maiores que as invisíveis.
		1.
		Quais são os processos críticos para o negócio? Esta é uma pergunta fácil de entender e difícil de responder. No entanto, essa resposta é importante para a implementação da gestão de segurança corporativa na empresa. Então, o que fazer?
A orientação das boas práticas sugere que se comece identificando:
	
	
	
	
	
	A missão da empresa, a visão e seus objetivos estratégicos.
	
	
	A visão da empresa, as áreas da empresa e seus processos de negócio.
	
	
	A missão da empresa, as áreas da empresa e seus processos de negócio.
	
	
	Os objetivos estratégicos da empresa, a visão da empresa e seus processos de negócio.
	
	
	As divisões, os departamentos e os setores da empresa.
	
	
		2.
		A solução de problemas é uma atividade de rotina nas organizações e principalmente na área de Tecnologia da Informação. O acúmulo desses problemas associado a escassez de recursos para resolvê-los acaba gerando necessidade de priorizá-los, segundo algum critério previamente estabelecido. Uma das técnicas que existe para essas situações se baseia na classificação de cada problema levando em conta a gravidade do problema, a urgência de resolução do problema e a tendência do problema piorar com maior rapidez ou de forma mais lenta. Tal classificação é dada a partir do estabelecimento de valores dentro de uma faixa que varia de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Esses valores de classificação são multiplicados (A x B x C), gerando o resultado final para cada problema.         
A opção que melhor descreve a técnica descrita acima:
	
	
	
	
	
	Classificação das prioridades utilizando a Matriz ABC.
	
	
	Classificação das prioridades utilizando a Técnica 125 (5 x 5 x 5).
	
	
	Classificação das prioridades utilizando a Técnica das Cinco Opções.
	
	
	Classificação das prioridades utilizando a Matriz do Três Quadrantes.
	
	
	Classificação das prioridades utilizando a Matriz GUT.
	
	
		3.
		A identificação e o mapeamento dos componentes organizacionais são importantes para delimitar a segurança da informação na empresa e ajudar na elaboração do modelo de governança de segurança da informação.
Esses componentes organizacionais são:
	
	
	
	
	
	Divisões, processos de negócio e departamentos.
	
	
	Áreas, processos de negócio e departamentos.
	
	
	Divisões, departamentos e setores.
	
	
	Áreas, processos de negócio e ativos de informação.
	
	
	Áreas, divisões e setores.
	
	
		4.
		A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a __________ (G) do problema; a _________ (U) de resolução do problema; e a __________ (T) do problema piorar com maior rapidez ou de forma mais lenta.
Considerando o texto acima, o conteúdo que melhor preenche as lacunas são:
	
	
	
	
	
	Gênese / Urgência / Tendência.
	
	
	Gravidade / Utilidade / Tendência.
	
	
	Geração / Urgência / Tensão.
	
	
	Gravidade / Urgência / Tendência.
	
	
	Gênese / Urgência / Tensão.
		1.
		Considere as seguintes proposições:
I)     Princípio 1: Estabelecer a segurança da informação em toda a organização;
II)    Princípio 2: Adotar uma abordagem baseada em riscos;
III)   Princípio 3: Estabelecer a direção de decisões de investimento.
Agora marque a opção correta:
	
	
	
	
	
	Os três princípios fazem parte da norma ABNT NBR ISO/IEC 27014 e são os únicos princípios orientadores da Governança de Segurança da Informação.
	
	
	Os três princípios fazem parte da norma ABNT NBR ISO/IEC 27001 e são princípios orientadores da Governança de Segurança da Informação.
 
	
	
	Os três princípios fazem parte da norma ABNT NBR ISO/IEC 27014 e são princípios orientadores da Governança de Segurança da Informação.
	
	
	Os três princípios fazem parte da norma ABNT NBR ISO/IEC 27002 e são princípios orientadores da Governança de Segurança da Informação.
	
	
	Os três princípios fazem parte da norma ABNT NBR ISO/IEC 27005 e são os únicos princípios orientadores da Governança de Segurança da Informação.
	
	
		2.
		Correlacione os princípios das normas, conforme a seguir:
1)    ABNT NBR ISO/IEC 38500 - Governança Corporativa de TI. 
2)    ABNT NBR ISO/IEC 27014 - Governança de Segurança da Informação.
( 1 ) Princípio 2: A estratégia de negócio da organização leva em conta as capacidades atuais e futuras de TI.
(2  ) Princípio 4: Assegurar conformidadecom os requisitos internos e externos.
( 2  ) Princípio 5: Promover um ambiente positivo de segurança.
(  ) Princípio 6: As políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano.
Agora assinale a opção correta:
	
	
	
	
	
	1,2,2,1
	
	
	2,2,2,1
	
	
	1,2,1,2
	
	
	2,1,1,2
	
	
	2,1,2,1
	
	
		3.
		Considere os seguintes fragmentos da descrição dos processos da norma ABNT NBR ISO/IEC 27014:2013:
I) Trocas de informação com as partes interessadas.
II) Processo planejado pelo Comitê Corporativo de Segurança da Informação.
III) Verificar se os objetivos de segurança da informação foram atingidos.
IV) Fornecer o direcionamento sobre os objetivos segurança da informação.
V) Validação da eficiência, eficácia e evolução dos objetivos da segurança da informação.
A opção que melhor representa cada processo, respectivamente é:
	
	
	
	
	
	Monitoração, garantia, avaliação, comunicação e direção.
	
	
	Comunicação, garantia, avaliação, direção e monitoração.
	
	
	Direção, garantia, comunicação, avaliação e monitoração.
	
	
	Garantia, avaliação, comunicação, direção e monitoração.
	
	
	Comunicação, garantia, avaliação, monitoração e direção.
	
	
		4.
		Existe um recurso que é bastante utilizado pelas empresas quando elas necessitam realizar uma análise ambiental. Trata-se de um importante instrumento utilizado para planejamento estratégico e que ajuda a avaliar duas vertentes. Por um lado, os pontos fortes e os pontos fracos do ambiente interno da empresa e, por outro, as oportunidades e as ameaças que se originam do ambiente externo. É um instrumento de avaliação tão simples e tão útil que pode ser utilizado tanto em uma microempresa quanto em uma empresa de grande porte.
A opção que melhor representa a técnica descrita acima é:
	
	
	
	
	
	SWOT
	
	
	KPI
	
	
	Val IT
	
	
	BSC
	
	
	Six Sigma
	
	
		5.
		Um dos processos do modelo de implantação de Governança de Segurança da Informação, descrito na norma ABNT NBR ISO/IEC 27014:2013, se caracteriza pela realização das trocas de informação com as partes interessadas, considerando os objetivos da segurança da informação e também as ações pertinentes que foram implantadas.
Trata-se do processo:
	
	
	
	
	
	Direção
	
	
	Avaliação
	
	
	Comunicação
	
	
	Garantia
	
	
	Monitoração
	
	
		6.
		Como regra geral, a Governança de Segurança da Informação (GSI) deve buscar o alinhamento da segurança da informação com os objetivos estratégicos da empresa, de forma que possa contribuir para o sucesso do negócio. Um dos caminhos para esta prática é conhecer o planejamento estratégico da empresa e os seus principais objetivos. Entrevistas com a alta direção também são bem-vindas. Além disto, uma boa prática para esta etapa é a utilização de técnicas que permitam materializar a estratégia e o seu direcionamento, bem como, analisar cenários, a partir de forças, fraquezas, oportunidades e ameaças.
A opção que melhor representa as técnicas descritas acima é:
	
	
	
	
	
	ITIL e COBIT  
	
	
	BSC e SWOT
	
	
	BSC e COBIT
	
	
	SWOT e BSC
	
	
	BSC e ITIL
	
	
		7.
		De uma maneira simples, governar a segurança da informação é fazer gestão da gestão da segurança da informação. No entanto, o que não costuma ser tão simples é obter a aprovação do projeto de governança de segurança da informação.
De acordo com as melhores práticas, a primeira providência a ser tomada para implementar um modelo de Governança de Segurança da Informação (GSI) na empresa é:
	
	
	
	
	
	Fazer uma pesquisa na empresa para verificar o percentual de adesão ao projeto de GSI.
	
	
	Avaliar para verificar se os objetivos de segurança da informação foram atingidos, conforme os indicadores propostos durante a implantação do GSI.
	
	
	Solicitar ao "Chief Information Security Officer" (CISO), Chefe de Segurança da Informação, a aprovação dos softwares que serão utilizados na análise de vulnerabilidades.
	
	
	Convencer a alta direção dessa necessidade para que ela possa se comprometer com o sucesso do empreendimento.
	
	
	Mapear os processos de negócio e avaliar as suas vulnerabilidades para que esse resultado possa servir de convencimento para o "Chief Information Officer" (CIO). 
	
	
		8.
		O modelo de Governança de Segurança da Informação deve contribuir com o objetivo estratégico da empresa, garantindo que os riscos da informação estão sendo endereçados adequadamente para as pessoas responsáveis e agregando valor para os altos executivos e para as partes interessadas.
Considere a seguinte descrição de um dos processos do modelo de implantação de Governança de Segurança da Informação, descrito na norma ABNT NBR ISO/IEC 27014:2013:
"Validação da eficiência, eficácia e evolução dos objetivos da segurança da informação, considerando o seu desempenho e a agregação de valor ao negócio.".
Trata-se do processo:
	
	
	
	
	
	Avaliação
	
	
	Direção
	
	
	Monitoração
	
	
	Garantia
	
	
	Comunicação
	
	
		1.
		Considere as seguintes afirmações relacionadas ao modelo PDCA aplicado nos processos do modelo do Sistema de Gestão de Segurança da Informação (SGSI):
I) Fase para monitorar e analisar criticamente o SGSI.
II) Fase que abrange todo o ciclo de vida da informação em um SGSI.
III) Fase para manter e melhorar o SGSI.
IV) Fase  para "implementar e operar a política, controles, processos e procedimentos do SGSI". (ABNT NBR ISO/IEC 27001:2013).
A opção que melhor representa as fases do PDCA, respectivamente é:
	
	
	
	
	
	Planejar (P), Fazer (D), Agir (A) e Checar (C)
	
	
	Checar (C), Planejar (P), Agir (A) e Fazer (D) 
	
	
	Agir (A), Checar (C), Planejar (P) e Fazer (D) 
	
	
	Checar (C), Planejar (P), Fazer (D) e Agir (A)  
	
	
	Checar (C), Fazer (D), Agir (A) e Planejar (P)
	
	
		2.
		Considere os seguintes itens do PDCA:
1. Planejar (P)
2. Fazer (D)
3. Checar (C)
4. Agir (A)
Agora, analise a sequência de atividades mostradas a seguir e correlacione cada uma delas, respectivamente, de acordo com os itens do PDCA:
(  D  ) Implementação de controles de segurança
(   P ) Plano de Continuidade de Negócios (PCN)
(  C ) Teste de invasão
(   A ) Equipe para resposta a incidentes
( P   ) Política de Segurança da Informação (PSI)
A opção correta é:
	
	
	
	
	
	P,D,A,C,P
	
	
	C,A,P,D,P
	
	
	D,P,C,A,P
	
	
	P,P,A,C,D
	
	
	D,P,A,C,P
	
	
		3.
		Considere os seguintes itens do PDCA:
1. Planejar (P)
2. Fazer (D)
3. Checar (C)
4. Agir (A)
Agora, analise a sequência de atividades mostradas a seguir e correlacione cada uma delas, respectivamente, de acordo com os itens do PDCA:
(   ) Realiza um diagnóstico da situação atual de segurança da empresa, considerando o negócio, o mapeamento dos processos de negócio e o relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de segurança.
(   ) Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário.
(   ) Aponta o caminho e tudo que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado.
(   ) Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. 
(   ) Cuida para que as fragilidades e eventos relacionados a segurança da informação possam ser tratadas em tempo hábil.
A opção correta é:
	
	
	
	
	
	3,1,2,1,4
	
	
	4,1,1,2,3
	
	
	3,1,1,4,2
	
	
	3,1,1,2,4
	
	
	3,1,2,4,1
	
	
		4.Considere as seguintes proposições relacionadas com a segurança da informação:
I)    Uma das vantagens em fazer uma boa documentação do projeto de Governança de Segurança da Informação é que, se for necessário, ele servirá por inteiro em outra empresa.
II)   O controle não significa necessariamente o bloqueio.
III)  Considerando o PDCA, o "A" é a fase para manter e melhorar o Sistema de Gestão de Segurança da Informação (SGSI).
IV)  A implementação de controles de segurança está associada à fase "D" do PDCA.
Agora marque a opção correta:
	
	
	
	
	
	Somente I e II são proposições verdadeiras.
	
	
	As proposições I, II, III e IV são proposições verdadeiras.
	
	
	Somente I, II e III são proposições verdadeiras.
	
	
	Somente III e IV são proposições verdadeiras.
	
	
	Somente II, III e IV são proposições verdadeiras.
	
	
		5.
		A palavra controle é representativa para resumir a questão da segurança da informação. O controle não significa necessariamente o bloqueio. Até porque o bloqueio pode criar um engessamento com proporções prejudiciais ao negócio da empresa. Neste sentido, a inteligência do controle está exatamente na equação que protege a informação sem prejudicar a rotina de trabalho.
Considere o PDCA e analise as seguintes as atividades relacionadas com a segurança da informação:
I) Plano Diretor de Segurança (PDS)
II) Análise de riscos
III) Equipe para resposta a incidentes
A opção que melhor representa as fases do PDCA que estas atividades estão ligadas, respectivamente é:
	
	
	
	
	
	Planejar (P), Checar (C) e Agir (A)
	
	
	Planejar (P), Agir (A) e Checar (C)
	
	
	Fazer (D), Checar (C) e Agir (A)
	
	
	Fazer (D), Planejar (P) e Agir (A)
	
	
	Planejar (P), Fazer (D) e Checar (C)
		1.
		A informação vem merecendo cada vez mais atenção para tomada de decisão nas organizações. Consequentemente, uma informação com qualidade tornou-se um ativo bastante valioso para a empresa. Em função disso, a necessidade do seu gerenciamento vem se tornando cada vez mais desafiador, seja pelo seu crescimento ou, ainda, pela sua dispersão.
Os quatro momentos do Ciclo de Vida da Informação são, respectivamente:
	
	
	
	
	
	Manuseio, armazenamento, descarte e transporte.
	
	
	Armazenamento, manuseio, descarte e transporte.
	
	
	Armazenamento, transporte, manuseio e descarte.
	
	
	Manuseio, armazenamento, transporte e descarte.
	
	
	Armazenamento, manuseio, transporte e descarte.
	
	
		2.
		Para disseminar a cultura em segurança da informação é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. 
De acordo com Sêmola (2014), a opção que cuida dos recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões é:
	
	
	
	
	
	Discriminar
	
	
	Dificultar
	
	
	Deter
	
	
	Detectar
	
	
	Desencorajar
	
	
		3.
		A assinatura nesse documento ratifica que o colaborador teve ciência das regras relacionadas com a segurança da informação que subsidiam a operação da empresa e os compromissos a serem assumidos com relação ao uso das informações da empresa, estejam elas contidas em sistemas de informação automatizados ou não.
Esse documento costuma ser chamado de:
	
	
	
	
	
	Termo de Compromisso de Trabalho
	
	
	Termo de Acordo de Nível de Serviço
	
	
	Termo de Tratamento de Incidentes
	
	
	Termo de Responsabilidade e Confidencialidade
	
	
	Consolidação das Leis do Trabalho (CLT)
	
	
		4.
		Todos na empresa devem ter conhecimento e consciência sobre o valor da informação que dispõem e manipulam, independente dela ser pessoal ou institucional. O treinamento e a conscientização em segurança da informação devem ter o objetivo de influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de informações da empresa.
Considere a seguinte afirmativa:
Define as responsabilidades relacionadas à proteção das informações, formalizando o compromisso e o entendimento de cada funcionário e de outros profissionais que vierem a assiná-lo.
A opção que melhor define esta afirmativa é:
	
	
	
	
	
	Termo de responsabilidade e confidencialidade
	
	
	Termo de Acordo de Nível de Operação (ANO)
	
	
	Termo de apontamento das responsabilidades
	
	
	Termo do presidente
	
	
	Termo de Acordo de Nível de Serviço (ANS)
	
	
		5.
		Considere as proposições a seguir e marque (V) para as proposições verdadeiras e (F) para as proposições falsas:
(  ) A escolha dos funcionários e colaboradores que serão treinados e conscientizados em segurança da informação deve ser feita com critério, evitando conscientizar funcionários desnecessariamente.
(  ) O risco varia de acordo com o treinamento e a conscientização dos colaboradores da empresa em segurança da informação. 
(  ) A carta que o presidente encaminha para cada funcionário formalizando a Política Corporativa de Segurança da Informação torna desnecessária a assinatura do Termo de responsabilidade e Confidencialidade.
(  ) Quando se trata de classificação da informação, cada empresa deve estabelecer a quantidade de níveis que considera adequada. Assim sendo: informação confidencial; restrita; uso interno; e pública, é apenas um exemplo.
Agora marque a opção correta:
	
	
	
	
	
	V, F, V, V
	
	
	V, V, F, V
	
	
	F, V, F, V
	
	
	V, F, V, F
	
	
	V, V, V, V
	
	
		6.
		Considere os seguintes itens das Barreiras de Segurança da Informação:
1. Desencorajar
2. Dificultar
3. Discriminar
4. Detectar
5. Deter
6. Diagnosticar
Agora, correlacione cada um destes itens respectivamente, de acordo com cada uma das descrições a seguir:
(    ) Utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança, como por exemplo, uma câmera de vídeo, ainda que falsa.
(    ) Baseada em análise de riscos físicos, tecnológicos e humanos e orientada aos processos de negócio da empresa, representa a continuidade do processo de gestão de segurança da informação.
(    ) Impedir que a ameaça atinja os ativos que suportam o negócio, como por exemplo, bloqueio de acessos físicos e lógicos.
(    ) Recursos para alertar os gestores de segurança na detecção de situações de risco, como por exemplo, uma tentativa de invasão.
(    ) Recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões, como por exemplo, os acessos aos módulos de um ERP.
(    )  Controles para dificultar o acesso indevido, como por exemplo, roletas de acesso, senhas e biometria.
A opção correta é:
	
	
	
	
	
	1,6,5,4,3,2
	
	
	1,2,3,4,5,6
	
	
	6,1,5,4,3,2
	
	
	6,5,4,3,2,1
	
	
	1,6,5,4,2,3
	
	
		7.
		Acompanhando o dia a dia das empresas ainda se verifica que os colaboradores se comportam de forma ingênua ou até displicente, quando o assunto é segurança da informação. Essa falta de cuidado acaba gerando uma quantidade significativa de incidentes de segurança, muitas vezes associada com a carência de disseminação da cultura em segurança da informação.
Analise as seguintes proposições relacionadas com a cultura em segurança da informação:
I) Quando admitido, o funcionário deve ser apresentado ao Código de Conduta e a Política de Segurança da Informação (PSI) da empresa.
II) Uma vez escrita e publicada, a PSI não necessita ser revista para eventuais atualizações.
III) A conscientização em segurança da informação não é pré-requisito para a implantação de uma Governança de Segurança da Informação bem sucedida.
IV) Um dos recursos para disseminação da cultura em segurança da informação na empresa é a Carta do Presidente, encaminhadaa cada um dos funcionários para dar um caráter formal a PSI.
De acordo com as proposições acima, podemos afirmar que:
	
	
	
	
	
	Apenas as proposições I, III e IV estão corretas.
	
	
	Apenas as proposições I e II estão corretas.
	
	
	Apenas as proposições II e III estão corretas.
	
	
	Apenas as proposições I e IV estão corretas.
	
	
	As proposições I, II, III e IV estão corretas.
	
	
		1.
		A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo.
Esta tendência recebeu o nome de:
	
	
	
	
	
	Movimento de miniaturização
	
	
	Traga seu próprio dispositivo - Bring Your Own Device (BYOD)
	
	
	Movimento de convergência
	
	
	Mobilidade
	
	
	Movimento de regressão
	
	
		2.
		De acordo com Siewert citado por Fernandes; Abreu (2014), __________ é:
"Definido genericamente como a captura, gerenciamento e a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados.".
A opção que melhor preenche a lacuna é:
	
	
	
	
	
	Banco de Dados orientado a objetos
	
	
	Big data
	
	
	Banco de Dados relacional
	
	
	FirebirdSQL
	
	
	Conceito de arquitetura ANSI/SPARC
	
	
		3.
		O mapeamento de riscos relacionados com a utilização corporativa de __________ aponta principalmente para: perda de controle de hardware, software e de suas atualizações; vazamento de informações confidenciais; aumento da possibilidade de perda, furto ou roubo do equipamento contendo informações confidenciais; falha no controle de acesso à rede da empresa; dificuldade para recuperação de informações quando o funcionário se desliga da empresa e o equipamento é próprio; infecção por vírus; e aplicativos maliciosos.
A opção que melhor preenche a lacuna é:
	
	
	
	
	
	sistemas de controle de acesso à rede - Network Access Control (NAC)
	
	
	dispositivos móveis
	
	
	gerenciamento de dispositivos móveis - Mobile Device Management (MDM)
	
	
	rede metropolitana sem fio - Wireless Metropolitan Area Network (WMAN)
	
	
	dispositivos de armazenamento
	
Questão 2
O conceito aqui descrito se relaciona com o modo como as empresas são dirigidas e controladas. Nesse contexto, é criada uma expectativa que nem sempre atingida, relacionando o esforço dos administradores para aumentar o valor da empresa visando aos acionistas. Existe ainda uma preocupação com a transparência, a equidade, a prestação de contas e a responsabilidade corporativa.
A opção que melhor define o conceito descrito acima é:
a) Acordo de Basileia b) Governança Corporativa c) Governança de valor d) Governança Contábil e) Resolução 3380 do Banco Central do Brasil
Questão 3
Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para reduzir seus custos. A teoria sustenta que as relações humanas levam, inevitavelmente, a conflitos de interesse. Nas relações hierárquicas, não se pode afirmar que o subordinado sempre agirá no melhor interesse do principal. A opção que melhor define o conceito descrito acima é:
a) Teoria de interesses b) Teoria hierárquica c) Teoria do agente-principal d) Teoria maximizadora de utilidade e) Teoria vanguardista
Questão 4
Esse acordo fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. A opção que melhor define o conceito descrito acima é:
a) Acordo de globalização b) Acordo bancário c) Acordo internacional d) Acordo de Basileia II e) Acordo entre os países mais ricos
Questão 1
Segundo Weill & Ross (2006), o lado comportamental da governança de TI define os relacionamentos formais e informais, e confere direitos decisórios a indivíduos ou grupo de indivíduos específicos. O lado normativo define mecanismos, formalizando os relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam atingidos. Neste contexto, a Governança de TI eficaz deve tratar de três questões:
I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? II) Quem deve tomar essas decisões? III) Como essas decisões serão tomadas e monitoradas? 
Destas três questões, quais aparecem diretamente na Matriz de Arranjos de Governança de TI?
a) Apenas a questão I b) Apenas a questão II c) Apenas a questão III d) As questões I, II e III e) Apenas as questões I e II
Questão 2
Segundo Weill & Ross (2006), na Matriz de Arranjos de Governança de TI os princípios de TI motivam a arquitetura de TI, que leva à infraestrutura de TI. Já a infraestrutura habilita o desenvolvimento das aplicações com base nas necessidades de negócio. Por fim, os investimentos devem ser motivados pelas necessidades de aplicações. A questão de Weill & Ross (2006) relacionada com este contexto é:
a) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? b) Quem deve tomar essas decisões? c) Como essas decisões serão tomadas e monitoradas? d) Quais estereótipos estão envolvidos na tomada dessas decisões? e) Quais unidades de negócio devem tomar essas decisões?
Questão 3
Analise as seguintes afirmações:
I) Trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas. II) Envolve os conceitos básicos de confidencialidade, integridade e disponibilidade. III) Cada modelo de governança se junta a outros modelos para configurar os modelos que a compõe. Estas afirmações estão associadas respectivamente a:
a) Governança Ambiental, Governança de Segurança da Informação e Governança Corporativa. b) Governança Administrativa, Governança de Segurança da Informação e Governança Corporativa. c) Governança de TI, Governança de Segurança da Informação e Governança Corporativa. d) Governança de TI, Governança de Seguros e Governança Administrativa. e) Governança Ambiental, Governança de Seguros e Governança Administrativa.
Questão 4
A Segurança da Informação se propõe a proteger a informação e a preservar o seu valor. Um dos elementos que a compõe é a __________, responsável pela fidedignidade e totalidade da informação, mantendo as características originais e sua validade de acordo com os valores e expectativas do negócio.
a) Confidencialidade b) Disponibilidade c) Auditabilidade d) Integridade e) Elasticidade
Questão 1
Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na visão de muitos executivos quando o assunto é segurança da informação. “A porção de gelo que vemos fora da linha d’água é comumente correspondente a apenas 1/7 de todo o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos”. A probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, chama-se:
a) Impacto b) Incidente c) Desvio padrão d) Risco e) Ataque
Questão 2
Muitos executivos ainda associam a Segurança da Informação exclusivamente à área de Tecnologia. Este entendimento parcial acaba fazendo com que algumas ações sejam tomadas de forma equivocada.Qual das opções abaixo representa uma decisão equivocada:
a) Definir os investimentos em segurança sem subestimá-los. b) Elaborar planos de ação de Segurança da Informação orientados à proatividade. c) Tratar as atividades de segurança como investimento. d) Tratar a segurança como processo e não como projeto. e) Pensar que a segurança não possui interferência no negócio.
Questão 3
Em todo momento, as empresas são vítimas de __________ que buscam __________ que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada.
a) Ameaças / fragilidades b) Impactos / riscos c) Fragilidades / riscos d) Ameaças / impactos e) Riscos / impactos
Questão 4
Para implementar a Segurança da Informação, na empresa, deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa.Associe a coluna da direita de acordo com o modelo de Sêmola na coluna da esquerda:
	Algumas etapas de Sêmola (2014)
	Descrição
	1. Mapeamento de segurança
	(   ) Elaborar uma política de Segurança da Informação
	2. Estratégia de segurança
	(   ) Criar sinergia entre os cenários atual e desejado. 
	3. Planejamento de segurança
	(   ) Divulgar corporativamente a política de segurança.
	4. Implementação da segurança
	(   ) Inventariar os ativos físicos, tecnológicos, humanos e ambientais.
a) 1, 2, 3, 4 b) 3, 2, 4, 1 c) 1, 3, 4, 2 d) 4, 3, 1, 2 e) 2, 3, 1, 4
Questão 1
A área, o processo de negócio e o ativo de informação compõem os itens organizacionais. Esses componentes devem ser identificados e mapeados durante a realização do projeto de Segurança da Informação Corporativa. Com relação aos componentes organizacionais podemos afirmar que:
a) São utilizados para definir a abrangência da Segurança da Informação na empresa. b) Devem ser identificados após a conclusão do projeto de Segurança da Informação. c) Os processos nunca devem ser priorizados porque se equivalem. d) As entrevistas devem ficar restritas à alta direção da empresa. e) Os processos devem ser detalhados em subprocessos.
Questão 2
Após a realização do mapeamento das áreas da empresa é feito o mapeamento dos processos de negócio. Para cada processo de negócio é identificada a sua área, o seu responsável e a sua relevância para a organização, bem como os resultados do estudo de impacto e prioridade dos processos. Com relação ao estudo de impacto podemos afirmar que:
a) Não possui relação com a confidencialidade, a integridade e a disponibilidade. b) Auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação. c) Trata da probabilidade de ameaças explorarem vulnerabilidades. d) São exclusivamente decorrentes de fenômenos da natureza, como incêndios e enchentes. e) São decorrentes de ameaças involuntárias causadas por agentes humanos como invasores e espiões.
MP3MP3 Videoaula 02
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 3
Trata-se de um recurso utilizado para auxiliar na priorização de resolução de problemas. Ele classifica cada problema utilizando três variáveis. A prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada uma das três dimensões, esses valores de classificação são multiplicados, gerando o resultado final. O recurso descrito acima se chama:
a) Matriz BSC b) Matriz ABC c) Matriz GUT d) Matriz SWOT e) Matriz BCG
Questão 4
Após o mapeamento dos componentes organizacionais é hora de planejar as ações a partir da consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um mapa de relacionamento e dependência entre os processos de negócio, as aplicações e a infraestrutura física, tecnológica e humana. Em outras palavras, devem ser estudados todos os ativos que sustentam os processos de negócio. Serão entrevistados os gestores capacitados para ajudar a levantar números e informações topológicas, físicas e tecnológicas, ligadas aos processos de negócio. Com tudo inventariado, é hora de elaborar o:
a) Plano Diretor Corporativo. b) Plano Diretor de TI. c) Plano Estratégico de Tecnologia da Informação. d) Plano Diretor de Segurança da Informação. e) Plano Estratégico Corporativo.
Questão 1
A adoção de um modelo de Governança de Segurança da Informação exige que o foco desse trabalho seja estudado tanto nos aspectos que se relacionam ao seu segmento de negócio da empresa quanto nos aspectos que se referem à segurança da informação propriamente dita. A modelagem da Segurança da Informação e o consequente estabelecimento da governança influenciarão na credibilidade do ambiente de TI, possibilitando um maior e melhor controle sobre os ativos de informação, assim como sobre os serviços disponibilizados pela empresa e que são sustentados pela área de TI. Considerando o contexto apresentado, segundo a ABNT NBR ISO/IEC 27014:2013, um dos itens para que o projeto de Governança de Segurança da Informação seja bem sucedido é:
a) Desenvolver a estratégia de Segurança da Informação em função da estratégia estabelecida para se alcançar os objetivos do negócio. b) Desenvolver a estratégia do negócio em função da estratégia estabelecida para se alcançar os objetivos da Segurança da Informação. c) Desenvolver a Governança de Segurança da Informação desconsiderando as informações sobre a estratégia do negócio. d) Ter como premissa que os objetivos e a estratégia do negócio não influenciarão na implementação da Governança de Segurança da Informação. e) Não utilizar o mapeamento das ameaças relacionadas com a Segurança da Informação na implementação da Governança da Segurança da Informação.
Questão 2
A norma ABNT NBR ISO/IEC 27014:2013, define seis princípios orientadores da Governança de Segurança da Informação. São declarações de alto nível que definem como a Segurança da Informação será utilizada no negócio da organização. NÃO é um dos princípios orientadores da Governança de Segurança da Informação:
a) Estabelecer a segurança da informação em toda a organização. b) Adotar uma abordagem baseada em riscos. c) Estabelecer a direção de decisões de investimento. d) Assegurar a não conformidade com os requisitos internos e externos. e) Analisar criticamente o desempenho em relação aos resultados de negócios.
Questão 3
A norma ABNT NBR ISO/IEC 27014:2013 possui um modelo baseado em processos. Um desses processos considera que as trocas de informação com as partes interessadas são realizadas, considerando os objetivos da Segurança da Informação e também as ações pertinentes que foram implantadas. O nome desse processo é:
a) Processo de comunicação b) Processo de direção c) Processo de garantia d) Processo de avaliação e) Processo de monitoração
Questão 4
A criação da estratégia da Governança de Segurança da Informação necessita de alguma ferramenta de gestão estratégica que possa ajudar a materializá-la. Tal ferramenta deve apoiar a modelagem, a mensuração e o gerenciamento dos processos de formulação, e a gestão dessa estratégia. Deve ainda proporcionar uma visão sistêmica das principais decisões e ações que direcionarão a evolução da Governança de Segurança da Informação, traduzidas em objetivos, indicadores e metas, além de projetos e planos de ação. Para atender a essas necessidades, a ferramenta indicada é:
a) SWOT b) TOGAF c) GUT d) Balanced Scorecard (BSC) e) Val IT
Questão 1
Associe a coluna da direita de acordo com as definições de Sêmola (2014), aplicadas no Sistema de Gestão de Segurança da Informação (SGSI): A sequência que mostra a associação correta é:
	Descriçãoda atividade (Sêmola, 2014)
	Atividade
	Aponta o caminho e tudo o que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado.
	(   ) Implementação de controles de segurança.
	Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário.
	(   ) Equipe para resposta a incidentes.
	Aplica mecanismos de controle de segurança para atingir o nível de risco adequado.
	(   ) Plano de Continuidade de Negócios (PCN).
	Cuida para que as fragilidades e os eventos relacionados à Segurança da Informação possam ser tratados em tempo hábil.
	(   ) Plano Diretor de Segurança (PDS).
a) IV, II, I e III 	b) I, III, II e IV 	c) III, I, II e IV 	d) III, IV, II e I 	e) II, IV, III e I
Questão 2
A norma ABNT NBR ISO/IEC 27001:2013 propõe um Sistema de Gestão de Segurança da Informação (SGSI) com base no PDCA. Associe a coluna da direita de acordo com as descrições das fases do PDCA: A sequência que mostra a associação correta é:
	Descrição da fase
	Fase
	Manter e melhorar o SGSI.
	(   ) Planejar
	“Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização”. (ABNT NBR ISO/IEC 27001:2013)
	(   ) Agir
	“Implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013)
	(   ) Checar
	Monitorar e analisar criticamente o SGSI.
	(   ) Fazer
a) II, I, IV e III	b) I, II, IV e III	c) III, II, I e IV	d) IV, II, I e III	e) II, I, III e IV
Questão 3
Considere a seguinte afirmação: “Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013) Esta afirmação está relacionada mais especificamente com:
a) Confidencialidade b) Auditabilidade c) Integridade d) Disponibilidade	 e) Conformidade
Questão 4
As informações existentes, em cada empresa, possuem importâncias e valores que transpassam os vários ambientes para sustentar os processos de negócio. Informações distintas necessitam de proteções distintas e, nesse sentido, há necessidade de se estabelecer um modelo de Gestão de Segurança da Informação (GSI) que possa se adequar aos atuais e futuros desafios de cada empresa. Analise as seguintes proposições:
I) O modelo do Sistema de Gestão de Segurança da Informação (SGSI) proposto pela norma ABNT NBR ISO/IEC 27001:2013 utiliza o PDCA.
II) A fase Check - Checar (C) do PDCA está relacionada com “avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC 27001:2013)
III) A fase Do - Fazer (D) do PDCA está relacionada com “implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013)
IV) Com relação à segurança da informação, a análise de risco realiza um diagnóstico da situação atual da empresa.
De acordo com as proposições, estão corretas:
a) Apenas a proposição I.	b) Apenas a proposição II.	c) Apenas as proposições II e III.
d) Apenas as proposições I, II e III.	e) As proposições I, II, III e IV.
Questão 1
Avalie as proposições a seguir e identifique com (V) as proposições Verdadeiras e com (F) as proposições Falsas:
( ) Em geral, a classificação da informação determina como essa informação será tratada e protegida. ( ) As pessoas devem ser treinadas e conscientizadas porque é nas pessoas que começa e termina a segurança. ( ) Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. ( ) A conscientização, em segurança da informação, é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem-sucedida. A sequência correta da avaliação das proposições é:
a) V, V, V, V 	b) V, F, V, F	c) F, F, F, F	d) V, V, F, V	e) F, V, V, F
Questão 2
O ciclo de vida da informação existe para todo e qualquer tipo de informação. No estabelecimento da cultura de Segurança da Informação, todos devem ter esse conhecimento e saber que esse ciclo de vida é composto por quatro momentos. A sequência que melhor representa, respectivamente, os momentos do ciclo de vida da informação, é:
a) Manuseio; armazenamento; transporte; e descarte. b) Armazenamento; manuseio; transporte; e descarte. c) Armazenamento; transporte; manuseio; e descarte. d) Preparo; armazenamento; transporte; e descarte. e) Preparo; manuseio; armazenamento; e descarte.
Questão 3
Na cultura em Segurança da Informação, é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Considere as quatro primeiras camadas apresentadas por Sêmola (2014): 1. Detectar 2. Desencorajar 3. Dificultar 4. Discriminar
A opção que representa a sequência correta dessas barreiras é:
a) 2, 3, 4, 1.	b) 1, 2, 4, 3.	c) 4, 3, 1, 2.	d) 3, 4, 2, 1.	e) 3, 2, 4, 1.
Questão 4
Todos, na empresa, devem ter conhecimento e consciência sobre o valor da informação que dispõem e manipulam independente dela ser pessoal ou institucional. O treinamento e a conscientização em Segurança da Informação devem ter o objetivo de influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de informações da empresa. Existem vários recursos de apoio para disseminação da cultura em Segurança da Informação, na empresa, conforme exemplos citados por Sêmola (2014), exceto:
a) Seminários abertos para toda empresa. b) Campanha de divulgação para toda empresa. c) Carta do presidente para área de Informática.	d) Termo de responsabilidade para toda a empresa.	e) Termo de confidencialidade para toda empresa.
Questão 1
A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de:
a) Bring Your Own Device (BYOD) b) Geração X c) Geração Y d) Geração Z e) Geração baby bommer
Questão 2
Considere a seguinte definição do National Institute of Standard and Technology — NIST —, em 2011: “um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. Trata-se de uma definição de:
a) Computação em nuvem (cloud computing) b) Big data c) TOGAF d) Business Process Outsourcing (BPO) e) DAMA DMBOK
Questão 3
As empresas costumam terceirizar sempre que, por algum motivo, não compensar para elas desenvolver determinada atividade internamente. Apesar da impulsividade de alguns empresários, terceirizar pode ser um grande desastre se não for respaldado por um planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, fixando objetivos e definindo as melhores condições para atingi-los. Analise as seguintes proposições:
I) A terceirização da área de TI não influencia na Governança de Segurança da Informação. II) Uma das justificativas da terceirização da área de TI é a empresa querer se concentrar na sua atividade principal — core business. III) A empresa que estiver em processo de terceirização deve escolher o provedor de serviços baseada no menor custo, uma vez que todos eles oferecem um ambiente seguro e com os riscos mitigados. IV) A terceirização de TI pode ser total ou parcial. De acordo com as proposições, estão corretas:
a)Apenas as proposições II e IV. b) Apenas a proposição I. c) Apenas a proposição II. d) Apenas as proposições I e III. e) As proposições I, II, III e IV.
Questão 4
Considere a seguinte definição de Siewert citado por Fernandes; Abreu (2014): “Definido genericamente como a captura, gerenciamento é a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. Trata-se de uma definição de:
a) Computação em nuvem (cloud computing) b) Big data c) TOGAF d) Business Process Outsourcing (BPO) e) DAMA DMBOK