Baixe o app para aproveitar ainda mais
Prévia do material em texto
• Pergunta 1 Na gestão da segurança dos ativos, a classificação da informação desempenha o importante papel de assegurar que toda informação receba um nível adequado de proteção. Essa classificação vai garantir que a informação associada a cada ativo esteja mais bem formalizada e, consequentemente, a sua natureza será mais bem compreendida pelos envolvidos com a segurança dela. Nesse sentido, assinale a alternativa que caracteriza corretamente uma diretriz para a implementação da classificação das informações dos ativos. Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento e os impactos no negócio, pois é recomendável que cada classificação esteja sob responsabilidade do respectivo proprietário do ativo. E deve ser feita de acordo com uma lista previamente acordada. Alguns critérios devem ser usados na etapa de classificação da informação, como aspectos legais, e o quão crítica determinada informação é para a organização e a sensibilidade do acesso a ela. As classificações podem ser alteradas em diferentes momentos do processo de gestão. • Pergunta 2 Tão importante quanto a elaboração do inventário de ativos é a definição dos proprietários ou responsáveis por cada um deles para a gestão da segurança dos ativos. Essas definições garantem que cada ativo tenha alguém designado para responder pelo seu uso e estado. Indique a alternativa que aponta corretamente uma atividade vinculada à definição dos proprietários dos ativos. Identificar, documentar e implementar regras para que seja permitido o uso de informações e dos ativos associados, pois a correspondência entre proprietário e ativo(s) é dinâmica e pode ser alterada a qualquer momento. As regras de uso devem contemplar a utilização dos ativos fora das instalações da organização. Como o objetivo é estabelecer regras para o uso seguro de cada ativo, as diretrizes devem ser de amplo conhecimento. Além disso, como os ativos variam de custo, tamanho e relevância para a organização, não há uma restrição de mapeamento de ativo para um número específico de responsáveis. • Pergunta 3 A gestão de riscos é uma atividade com caráter cíclico. Isso quer dizer que todas as suas etapas devem ser continuamente executadas de forma a promover um gerenciamento efetivo e eficaz. Nesse sentido, a revisão dos riscos constitui o último passo que antecede uma nova iteração de todo o ciclo de gestão de riscos. Com a execução dessa etapa de gestão, espera-se como resultado que: Riscos sejam atualizados e o tratamento a ser dado a eles modificado conformemente, pois, nessa última etapa do processo cíclico de gestão de riscos, estes devem estar alinhados com a realidade da organização. Além disso, espera-se que as ações planejadas para o tratamento de cada um deles esteja em harmonia com as necessidades vigentes na organização. • Pergunta 4 A segurança da informação tem se mostrado um tópico cada vez mais relevante para organizações de diferentes tipos de tamanho e modelos de negócio. Não raro há um crescente investimento voltado para a promoção de ambientes cada vez mais seguros. Nesse contexto, assinale a alternativa correta a respeito da gestão da segurança da informação. Os custos relativos às ações corretivas de violações de segurança têm levado várias organizações a investir mais em ações preventivas, pois segurança da informação é um tópico reconhecidamente estratégico cujo sucesso depende do amplo envolvimento da direção da organização. A adoção gradativa e segmentada das diretrizes disponíveis em normas e padrões de segurança potencializa um maior sucesso na implantação de políticas e procedimentos de segurança próprios para cada organização. • Pergunta 5 O controle de acesso constitui uma área da análise de vulnerabilidades de uma organização focada na avaliação do acesso à informação conforme requisitos de negócio e de segurança da informação. Em geral, essa atividade permeia múltiplos setores de uma organização. Indique a alternativa que descreva uma vulnerabilidade fora do escopo desse tipo de análise de vulnerabilidade. Indefinição de regras de segurança para o uso de equipamentos fora da organização, pois toda a análise de vulnerabilidades envolvendo perfis e direito de acesso a qualquer ativo ou a formalização de normas ou políticas referentes a essas atividades está relacionada ao controle de acesso da organização. Apenas as regras de uso de equipamentos fora da organização fogem ao escopo desse tipo de análise de vulnerabilidades. • Pergunta 6 É recomendável a implantação de medidas de proteção, a fim de garantir a segurança durante as atividades de controle de acesso. Em geral, essas atividades apresentam alto nível de vulnerabilidade e, por isso, geralmente recebem grande atenção por parte da gestão da segurança da informação. Assinale a alternativa que indica uma medida de proteção relevante no âmbito do controle de acesso. Implementar um gerenciamento de acesso fragmentado e baseado no agrupamento de funções, pois o uso de identificadores e de senhas deve ser único e jamais compartilhado entre os usuários. Uma maneira de garantir isso é por meio de auditorias na forma como os usuários têm utilizado suas credenciais, já que a simples publicação de recomendações não tem se mostrado efetiva. E executar uma auditoria em cada ativo computacional, independentemente da sua relevância para a organização, não tem efetividade, além de ser pouco factível. • Pergunta 7 Riscos podem ser aceitos ou não por uma organização. Um risco pode ser aceito, por exemplo, se for avaliado que a sua probabilidade de ocorrência é baixa. Essa definição é feita na etapa de planejamento do tratamento dos riscos. Para aqueles riscos que não serão aceitos, um tratamento precisa ser apontado. Indique a alternativa que apresenta um tratamento adequado para algum risco identificado e analisado. Redirecionar o risco para parceiros ou fornecedores de serviços, pois um dos tratamentos recomendados para serem dados a um risco é o de fazer sua transferência para seguradoras ou fornecedores. Naturalmente, não são todos os riscos que podem receber esse tratamento. Por isso, a etapa de planejamento é essencial para que a ação correta seja considerada. • Pergunta 8 A implantação e a operacionalização de um software de gestão da segurança da informação demandam que diversas implementações sejam feitas referentes ao alinhamento do funcionamento do software com os requisitos de segurança da organização. A respeito dessas atividades e seu pertencimento à etapa de implementação de um SGSI, analise as afirmativas a seguir e assinale V para a(s) Verdadeira(s) e F para a(s) Falsa(s). I. ( ) Elaborar um planejamento para o tratamento de cada risco no qual as ações correspondentes devem ser definidas e priorizadas. II. ( ) Implementar o plano de tratamento de riscos para alcançar os objetivos identificados, incluindo questões sobre financiamento e atribuição de papéis e responsabilidades. III. ( ) Selecionar os objetivos de controle e controles para o tratamento dos riscos, a fim de atender aos requisitos identificados pela análise e avaliação de riscos. IV. ( ) Aplicar critérios de aceitação previamente definidos, a fim de selecionar quais riscos serão aceitáveis e quais deverão receber algum tratamento. Assinale a alternativa que apresenta a sequência correta: V, V, F, F, pois tanto a formulação do plano de tratamento de riscos como sua implementação estão diretamente relacionadas à configuração do software de gestão da segurança para que esteja alinhado com os requisitos de segurança da organização. Quaisquer definições referentes aos riscos devem ser efetuadas na etapa anterior de planejamento ou estabelecimento do software. Esse é caso da seleção dos controles e seus objetivos, assim como a escolha de quais riscosserão aceitos e de quais irão demandar alguma ação. • Pergunta 9 As ações voltadas para a implementação dos tratamentos a serem dados aos riscos identificados são organizadas na etapa de planejamento dos controles de riscos. Essa é a etapa em que tudo o que foi planejado a respeito dos riscos é executado. Assinale a alternativa que define corretamente o conceito de controle no contexto da gestão de riscos. Modo de gerir o risco, abrangendo os processos e as normas de trabalho, pois o controle constitui uma maneira de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável. • Pergunta 10 O monitoramento e a análise crítica de um software para gestão da segurança da informação (SGSI) é crucial para garantir que ele se mantenha aderente à realidade da organização e atendendo aos requisitos de segurança de forma eficaz. Considerando as atividades envolvidas nessa etapa do processo PDCA de implantação de um SGSI, analise as afirmativas a seguir. I. Identificar ataques que resultaram em alguma violação de segurança e quaisquer outros incidentes associados à segurança da informação. II. Apoiar a detecção de eventos associados à segurança da informação e dar suporte à prevenção de incidentes de segurança por meio de indicadores. III. Analisar as probabilidades vinculadas à ocorrência de falhas, considerando ameaças e vulnerabilidades mais recorrentes. IV. Definir como medir a eficácia dos controles selecionados e especificar como elas devem ser usadas para avaliar a eficácia dos controles. Está correto o que se afirma em: I e II, apenas, pois a quantidade de violações de segurança efetivamente ocorridas e o número de incidentes e eventos de segurança da informação detectados são usados como subsídio para uma avaliação objetiva de como o SGSI está atendendo aos requisitos de segurança da informação. A avaliação de probabilidades de ocorrência de falhas de segurança e a definição de medidas de controle são executadas nas etapas anteriores ao monitoramento do sistema.
Compartilhar