Teste de Conhecimento 8

Prévia do material em texto

1a Questão 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da 
Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de 
avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo 
utilizada ? 
 
 
Reação 
 
Desencorajamento 
 
Correção 
 
Limitação 
 
Preventiva 
Respondido em 16/11/2019 10:01:37 
 
 
 
 
 2a Questão 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um 
meio de garantir que a organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo 
fundamentado nos desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo 
com os padrões nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo 
com os padrões de segurança de empresas de maior porte reconhecidas no 
mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo 
com os padrões e melhores práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo 
com os desejos de segurança dos funcionários e padrões comerciais. 
Respondido em 16/11/2019 10:01:44 
 
 
 
 
 3a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. 
Estas ações ocorrem através: do uso da política de segurança, dos objetivos de 
segurança, resultados de auditorias, da análise dos eventos monitorados e através de 
ações: 
 
 
Corretivas e Corrigidas. 
 
Prevenção e Preventivas. 
 
Corretivas e Preventivas. 
 
Corrigidas e Preventivas. 
 
Corretivas e Correção. 
Respondido em 16/11/2019 10:02:11 
 
 
 
 
 4a Questão 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para 
assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria 
ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada 
como um elemento para a realização desta análise: 
 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas 
análise/avaliações de risco anteriores 
 
A avaliação dos riscos e incidentes desejados 
 
A realimentação por parte dos envolvidos no SGSI 
 
A avaliação das ações preventivas e corretivas 
 
Os resultados das auditorias anteriores e análises críticas 
Respondido em 16/11/2019 10:02:40 
 
 
Gabarito 
Coment. 
 
 
 
 
 5a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de 
acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da 
organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende 
a atividade de: 
 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Aplicar as lições aprendidas de experiências de segurança da informação de 
outras organizações. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de 
ameaças e vulnerabilidades prevalecentes 
 
Especificar os requisitos necessários para o estabelecimento, implementação, 
operação, monitoração, análise crítica, manutenção e melhoria de um Sistema 
de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos 
de negócio da organização. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir 
resultados comparáveis. 
Respondido em 16/11/2019 10:03:08 
 
 
 
 
 6a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, 
educacionais, industriais, governamentais e qualquer outro que tenha por objetivo 
resguardar ambientes que criam, manipulam ou destroem informações relevantes. O 
sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada 
negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e 
ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer 
que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar procedimentos de monitoração e análise 
crítica para detectar erros nos resultados de processamento e identificar os 
incidentes de segurança da informação. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
O escopo do SGSI alinhado com as características de negócio, da 
organização, sua localização, ativos e tecnologia. 
 
A organização deve implementar e operar a política, controles, processos e 
procedimentos do SGSI, buscando não burocratizar o funcionamento das 
áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve 
ainda executar as ações preventivas e corretivas necessárias para o bom 
funcionamento do SGSI. 
Respondido em 16/11/2019 10:03:54 
 
 
Gabarito 
Coment. 
 
 
 
 
 7a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de 
controle que define o que deve ser alcançado e um (ou mais) controle que pode ser 
aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos 
riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam 
aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. 
Qualquer exclusão de controles considerados necessários para satisfazer aos critérios 
de aceitação de riscos precisa ser justificada e as evidências de que os riscos 
associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um 
escopo claramente definido para ser eficaz e inclua os relacionamentos com as 
análises/avaliações de riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
II e III. 
 
I e III. 
 
I e II. 
 
II. 
 
III e IV. 
Respondido em 16/11/2019 10:03:59 
 
 
Gabarito 
Coment. 
 
 
 
 
 8a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está 
fundamentalmente associado a que tipo de proteção ? 
 
 
Preventiva. 
 
Limitação. 
 
Recuperação . 
 
Correção. 
 
Reação.