PROVA GESTÃO SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

• Pergunta 1 
 
Na gestão da segurança dos ativos, a classificação da informação desempenha o importante 
papel de assegurar que toda informação receba um nível adequado de proteção. Essa 
classificação vai garantir que a informação associada a cada ativo esteja mais bem 
formalizada e, consequentemente, a sua natureza será mais bem compreendida pelos 
envolvidos com a segurança dela. Nesse sentido, assinale a alternativa que caracteriza 
corretamente uma diretriz para a implementação da classificação das informações dos ativos. 
 
Convém que a classificação da informação e seus respectivos controles 
de proteção levem em consideração as necessidades de 
compartilhamento e os impactos no negócio, pois é recomendável que 
cada classificação esteja sob responsabilidade do respectivo proprietário do 
ativo. E deve ser feita de acordo com uma lista previamente acordada. Alguns 
critérios devem ser usados na etapa de classificação da informação, como 
aspectos legais, e o quão crítica determinada informação é para a organização 
e a sensibilidade do acesso a ela. As classificações podem ser alteradas em 
diferentes momentos do processo de gestão. 
• Pergunta 2 
 
Tão importante quanto a elaboração do inventário de ativos é a definição dos proprietários 
ou responsáveis por cada um deles para a gestão da segurança dos ativos. Essas 
definições garantem que cada ativo tenha alguém designado para responder pelo seu uso e 
estado. Indique a alternativa que aponta corretamente uma atividade vinculada à definição 
dos proprietários dos ativos. 
 
Identificar, documentar e implementar regras para que seja permitido o 
uso de informações e dos ativos associados, pois a correspondência 
entre proprietário e ativo(s) é dinâmica e pode ser alterada a qualquer 
momento. As regras de uso devem contemplar a utilização dos ativos fora 
das instalações da organização. Como o objetivo é estabelecer regras para 
o uso seguro de cada ativo, as diretrizes devem ser de amplo conhecimento. 
Além disso, como os ativos variam de custo, tamanho e relevância para a 
organização, não há uma restrição de mapeamento de ativo para um 
número específico de responsáveis. 
 
• Pergunta 3 
 
A gestão de riscos é uma atividade com caráter cíclico. Isso quer dizer que todas as suas 
etapas devem ser continuamente executadas de forma a promover um gerenciamento 
efetivo e eficaz. Nesse sentido, a revisão dos riscos constitui o último passo que antecede 
uma nova iteração de todo o ciclo de gestão de riscos. Com a execução dessa etapa de 
gestão, espera-se como resultado que: 
 
Riscos sejam atualizados e o tratamento a ser dado a eles modificado 
conformemente, pois, nessa última etapa do processo cíclico de gestão de 
riscos, estes devem estar alinhados com a realidade da organização. Além 
disso, espera-se que as ações planejadas para o tratamento de cada um 
deles esteja em harmonia com as necessidades vigentes na organização. 
 
• Pergunta 4 
 
A segurança da informação tem se mostrado um tópico cada vez mais relevante para 
organizações de diferentes tipos de tamanho e modelos de negócio. Não raro há um 
crescente investimento voltado para a promoção de ambientes cada vez mais seguros. 
Nesse contexto, assinale a alternativa correta a respeito da gestão da segurança da 
informação. 
 
 
Os custos relativos às ações corretivas de violações de segurança têm 
levado várias organizações a investir mais em ações preventivas, pois 
segurança da informação é um tópico reconhecidamente estratégico cujo 
sucesso depende do amplo envolvimento da direção da organização. A 
adoção gradativa e segmentada das diretrizes disponíveis em normas e 
padrões de segurança potencializa um maior sucesso na implantação de 
políticas e procedimentos de segurança próprios para cada organização. 
• Pergunta 5 
 
O controle de acesso constitui uma área da análise de vulnerabilidades de uma 
organização focada na avaliação do acesso à informação conforme requisitos de negócio e 
de segurança da informação. Em geral, essa atividade permeia múltiplos setores de uma 
organização. Indique a alternativa que descreva uma vulnerabilidade fora do escopo desse 
tipo de análise de vulnerabilidade. 
 
Indefinição de regras de segurança para o uso de equipamentos fora 
da organização, pois toda a análise de vulnerabilidades envolvendo perfis e 
direito de acesso a qualquer ativo ou a formalização de normas ou políticas 
referentes a essas atividades está relacionada ao controle de acesso da 
organização. Apenas as regras de uso de equipamentos fora da 
organização fogem ao escopo desse tipo de análise de vulnerabilidades. 
 
• Pergunta 6 
 
É recomendável a implantação de medidas de proteção, a fim de garantir a segurança 
durante as atividades de controle de acesso. Em geral, essas atividades apresentam alto 
nível de vulnerabilidade e, por isso, geralmente recebem grande atenção por parte da 
gestão da segurança da informação. Assinale a alternativa que indica uma medida de 
proteção relevante no âmbito do controle de acesso. 
 
Implementar um gerenciamento de acesso fragmentado e baseado no 
agrupamento de funções, pois o uso de identificadores e de senhas deve 
ser único e jamais compartilhado entre os usuários. Uma maneira de 
garantir isso é por meio de auditorias na forma como os usuários têm 
utilizado suas credenciais, já que a simples publicação de recomendações 
não tem se mostrado efetiva. E executar uma auditoria em cada ativo 
computacional, independentemente da sua relevância para a organização, 
não tem efetividade, além de ser pouco factível. 
 
• Pergunta 7 
 
Riscos podem ser aceitos ou não por uma organização. Um risco pode ser aceito, por 
exemplo, se for avaliado que a sua probabilidade de ocorrência é baixa. Essa definição é 
feita na etapa de planejamento do tratamento dos riscos. Para aqueles riscos que não 
serão aceitos, um tratamento precisa ser apontado. Indique a alternativa que apresenta um 
tratamento adequado para algum risco identificado e analisado. 
 
Redirecionar o risco para parceiros ou fornecedores de serviços, pois 
um dos tratamentos recomendados para serem dados a um risco é o de 
fazer sua transferência para seguradoras ou fornecedores. Naturalmente, 
não são todos os riscos que podem receber esse tratamento. Por isso, a 
etapa de planejamento é essencial para que a ação correta seja 
considerada. 
 
• Pergunta 8 
 
A implantação e a operacionalização de um software de gestão da segurança da 
informação demandam que diversas implementações sejam feitas referentes ao 
alinhamento do funcionamento do software com os requisitos de segurança da 
organização. A respeito dessas atividades e seu pertencimento à etapa de implementação 
de um SGSI, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para 
a(s) Falsa(s). 
 
I. ( ) Elaborar um planejamento para o tratamento de cada risco no qual as ações 
correspondentes devem ser definidas e priorizadas. 
II. ( ) Implementar o plano de tratamento de riscos para alcançar os objetivos identificados, 
incluindo questões sobre financiamento e atribuição de papéis e responsabilidades. 
III. ( ) Selecionar os objetivos de controle e controles para o tratamento dos riscos, a fim de 
atender aos requisitos identificados pela análise e avaliação de riscos. 
IV. ( ) Aplicar critérios de aceitação previamente definidos, a fim de selecionar quais riscos 
serão aceitáveis e quais deverão receber algum tratamento. 
 
Assinale a alternativa que apresenta a sequência correta: 
 
V, V, F, F, pois tanto a formulação do plano de tratamento de riscos como 
sua implementação estão diretamente relacionadas à configuração do 
software de gestão da segurança para que esteja alinhado com os requisitos 
de segurança da organização. Quaisquer definições referentes aos riscos 
devem ser efetuadas na etapa anterior de planejamento ou estabelecimento 
do software. Esse é caso da seleção dos controles e seus objetivos, assim 
como a escolha de quais riscosserão aceitos e de quais irão demandar 
alguma ação. 
 
• Pergunta 9 
 
As ações voltadas para a implementação dos tratamentos a serem dados aos riscos 
identificados são organizadas na etapa de planejamento dos controles de riscos. Essa é a 
etapa em que tudo o que foi planejado a respeito dos riscos é executado. Assinale a 
alternativa que define corretamente o conceito de controle no contexto da gestão de riscos. 
 
Modo de gerir o risco, abrangendo os processos e as normas de 
trabalho, pois o controle constitui uma maneira de gerenciar o risco, 
incluindo políticas, procedimentos, diretrizes, práticas ou estruturas 
organizacionais, que podem ser de natureza administrativa, técnica, de 
gestão ou legal. Convém que os controles assegurem que os riscos sejam 
reduzidos a um nível aceitável. 
 
• Pergunta 10 
 
O monitoramento e a análise crítica de um software para gestão da segurança da 
informação (SGSI) é crucial para garantir que ele se mantenha aderente à realidade da 
organização e atendendo aos requisitos de segurança de forma eficaz. Considerando as 
atividades envolvidas nessa etapa do processo PDCA de implantação de um SGSI, analise 
as afirmativas a seguir. 
 
I. Identificar ataques que resultaram em alguma violação de segurança e quaisquer outros 
incidentes associados à segurança da informação. 
 
II. Apoiar a detecção de eventos associados à segurança da informação e dar suporte à 
prevenção de incidentes de segurança por meio de indicadores. 
 
III. Analisar as probabilidades vinculadas à ocorrência de falhas, considerando ameaças e 
vulnerabilidades mais recorrentes. 
 
IV. Definir como medir a eficácia dos controles selecionados e especificar como elas devem 
 
ser usadas para avaliar a eficácia dos controles. 
 
Está correto o que se afirma em: 
 
I e II, apenas, pois a quantidade de violações de segurança efetivamente 
ocorridas e o número de incidentes e eventos de segurança da informação 
detectados são usados como subsídio para uma avaliação objetiva de como 
o SGSI está atendendo aos requisitos de segurança da informação. A 
avaliação de probabilidades de ocorrência de falhas de segurança e a 
definição de medidas de controle são executadas nas etapas anteriores ao 
monitoramento do sistema.