Gestão de Segurança da Informação - Aula 08 - Exercícios Resolvidos 02

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 8a aula
 Lupa 
Vídeo
 
PPT
 
MP3
 
 
 
 
 1a Questão
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um
(ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI
documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações,
independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos
critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas
responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e
inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
III e IV.
II.
I e II.
 II e III.
 I e III.
Respondido em 28/04/2020 22:59:10
Gabarito
 Coment.
 
 
 2a Questão
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os
processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta
de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os
problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
Esta etapa implementa através de programas de conscientização e treinamento para os funcionários
em relação as operações e recursos do SGSI.
Nenhuma das opções anteriores.
 Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação.
http://simulado.estacio.br/alunos/inicio.asp
javascript:voltar();
javascript:diminui();
javascript:aumenta();
javascript:abre_frame('1','8','','','314424816');
javascript:abre_frame('2','8','','','314424816');
javascript:abre_frame('3','8','','','314424816');
Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e
políticas de segurança estabelecidos.
Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas
etapas anteriores.
Respondido em 28/04/2020 22:59:53
 
 
Explicação:
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
 
 
 3a Questão
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das
organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na
estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas
abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim
implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de
gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de
monitoramento e controles, que envolvam recursos tecnológicos e humanos.
 
Assinale a opção que contenha apenas afirmações corretas:
Apenas III
Apenas I 
 Apenas I e III
Apenas II e III
I, II e III
Respondido em 28/04/2020 23:00:25
 
 
Explicação:
A afirmativa II é falsa
 
 
 4a Questão
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação,
eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um
elemento para a realização desta análise:
 A realimentação por parte dos envolvidos no SGSI
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
 A avaliação dos riscos e incidentes desejados
Os resultados das auditorias anteriores e análises críticas
A avaliação das ações preventivas e corretivas
Respondido em 28/04/2020 23:00:52
Gabarito
 Coment.
 
 
 5a Questão
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do
beneficios abaixo são promovidos?
I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio
estejam sendo atendidos.
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos;
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os
riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos
processos de segurança da informação sejam formalizados.
 
Assinale a opção que contenha apenas afirmações corretas:
Apenas III
 I, II e III
Apenas II e III
Apenas I e III
Apenas I
Respondido em 28/04/2020 23:01:26
 
 
Explicação:
Todas estão corretas
 
 
 6a Questão
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da
política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de
ações:
 Corretivas e Preventivas
Corretivas e Correção
Corretivas e Corrigidas
Corrigidas e Preventivas
Prevenção e Preventivas
Respondido em 28/04/2020 23:01:33
 
 
 7a Questão
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a
equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a
atividade de:
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica,
manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de
negócio da organização.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
Respondido em 28/04/2020 23:01:57
 
 
 8a Questão
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo,
sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada
?
Limitação
 Preventiva
Correção
 Desencorajamento
Reação
Respondido em 28/04/2020 23:02:06
 
 
 
javascript:abre_colabore('38403','189006927','3769357959');