APOL 01 SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

NOTA 80
Questão 1/5 - Segurança em Sistemas de Informação
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem comportamento incompatível.
Analise as afirmativas a seguir, relativas a este aspecto da informação:
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação.
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi comprovada, seja por haver interesses escusos devido ao alto valor.
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação.
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em recursos financeiros para a proteção dos ativos e redução das ameaças.
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x Impacto.
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula:
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações IV e V são incorretas.
	
	E
	Todas as afirmações são corretas.
Questão 2/5 - Segurança em Sistemas de Informação
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso necessita de proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e modificar a informação.
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação:
(  ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e imagens.
(  ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação.
(  ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio da organização, necessitando, portanto, de proteção.
(  ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de todas essas informações.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-V-F-V
	
	D
	F-V-V-V
	
	E
	V-V-V-F
Questão 3/5 - Segurança em Sistemas de Informação
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas.
Com relação a esses referenciais, podemos considerar que:
	
	A
	O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de vulnerabilidades.
	
	B
	O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é importante para classificar os riscos.
	
	C
	O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação.
	
	D
	As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em organizações globais.
	
	E
	Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações.
Questão 4/5 - Segurança em Sistemas de Informação
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir).
Com relação ao processo de gestão de riscos é correto afirmar que:
	
	A
	Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização.
	
	B
	A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, e auxilia no cálculo do ROI – return of investiment.
	
	C
	Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela eliminação de vulnerabilidades ou tratamento contra as ameaças.
	
	D
	Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do risco.
	
	E
	Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo aplicando um tratamento aos riscos é improvável que se consiga eliminá-los totalmente.
Questão 5/5 - Segurança em Sistemas de Informação
A legislação brasileira aplicada à área de segurança da informação tem como base a constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet. Nesse aspecto, a maior repercussão e abrangência foi estabelecida com a recente promulgação da:
	
	A
	MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos.
	
	B
	MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico.
	
	C
	Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua comercialização no país, etc.
	
	D
	Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet.
	
	E
	Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil
.RESPOOSTA CORRETA
Atenção. Este gabarito é para uso exclusivo do aluno e não deve ser publicado ou compartilhado em redes sociais ou grupo de mensagens.
O seu compartilhamento infringe as políticas do Centro Universitário UNINTER e poderá implicar sanções disciplinares, com possibilidade de desligamento do quadro de alunos do Centro Universitário, bem como responder ações judiciais no âmbito cível e criminal.
Questão 1/5 - Segurança em Sistemas de Informação
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem comportamento incompatível.
Analise as afirmativas a seguir, relativas a este aspecto da informação:
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou apresentar falhas, gerando incidentes de segurança da informação.
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja
pelo seu uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi comprovada, seja por haver interesses escusos devido ao alto valor.
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação.
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em recursos financeiros para a proteção dos ativos e redução das ameaças.
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são elaboradas à partir de uma matriz PxI – Probabilidade x Impacto.
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula:
Nota: 20.0
	
	A
	Somente as afirmações I e III são corretas.
	
	B
	Somente as afirmações II e IV são corretas.
	
	C
	Somente as afirmações III e IV são corretas.
	
	D
	Somente as afirmações IV e V são incorretas.
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 9 a 
13 da Rota de Aprendizagem (versão impressa).
	
	E
	Todas as afirmações são corretas.
Questão 2/5 - Segurança em Sistemas de Informação
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso necessita de proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e modificar a informação.
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação:
(  ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e imagens.
(  ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação.
(  ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio da organização, necessitando, portanto, de proteção.
(  ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de todas essas informações.
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina:
Nota: 20.0
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-V-F-V
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, página 4 da 
Rota de Aprendizagem (versão impressa).
	
	D
	F-V-V-V
	
	E
	V-V-V-F
Questão 3/5 - Segurança em Sistemas de Informação
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas.
Com relação a esses referenciais, podemos considerar que:
Nota: 20.0
	
	A
	O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de vulnerabilidades.
Você acertou!
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem
 (versão impressa).
	
	B
	O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é importante para classificar os riscos.
	
	C
	O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem 
qualquer influência na segurança da informação.
	
	D
	As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em organizações globais.
	
	E
	Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes 
organizações.
Questão 4/5 - Segurança em Sistemas de Informação
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir).
Com relação ao processo de gestão de riscos é correto afirmar que:
Nota: 20.0
	
	A
	Impacto é a medida do resultado que um incidente pode produzir nos negócios da organiza
ção.
Você acertou!
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 12 a 
14 da Rota de Aprendizagem (versão impressa).
	
	B
	A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos,
 e auxilia no cálculo do ROI – return of investiment.
	
	C
	Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela 
eliminação de vulnerabilidades ou tratamento contra as ameaças.
	
	D
	Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do 
risco.
	
	E
	Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo
 aplicando um tratamento aos riscos é improvável que se consiga eliminá-los totalmente.
Questão 5/5 - Segurança em Sistemas de Informação
A legislação brasileira aplicada à área de segurança da informação tem como base a constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet. Nesse aspecto, a maior repercussão e abrangência foi estabelecida com a recente promulgação da:
Nota: 0.0
	
	A
	MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação 
digital e assinatura eletrônica de documentos.
	
	B
	MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico.
	
	C
	Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua
 comercialização no país, etc.
	
	D
	Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet.
	
	E
	Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem
 (versão impressa).