Aula 8 - Teste - Gestão de Segurança da Informação segundo a NBR ISO-IEC 27001

Prévia do material em texto

1a Questão
	
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	A politica de gestão de continuidade de negócio.
	 
	Identificar, Analisar e avaliar os riscos.
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	A política do BIA.
	Respondido em 29/05/2020 21:43:06
	
	
	 
	
	 2a Questão
	
	
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas I
	
	Apenas III
	
	Apenas II
	 
	I, II e III
	
	Apenas I e III
	Respondido em 29/05/2020 21:41:33
	
Explicação:
Todas são verdadeiras
	
	
	 
	
	 3a Questão
	
	
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corretivas e Correção
	
	Prevenção e Preventivas
	
	Corrigidas e Preventivas
	 
	Corretivas e Preventivas
	
	Corretivas e Corrigidas
	Respondido em 29/05/2020 21:38:11
	
	
	 
	
	 4a Questão
	
	
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas III
	
	Apenas I 
	
	I, II e III
	 
	Apenas I e III
	
	Apenas II e III
	Respondido em 29/05/2020 21:39:39
	
Explicação:
A afirmativa II é falsa
	
	
	 
	
	 5a Questão
	
	
	
	
	Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos?
I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos.
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos;
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas III
	
	Apenas II e III
	
	Apenas I e III
	
	Apenas I
	 
	I, II e III
	Respondido em 29/05/2020 21:37:49
	
Explicação:
Todas estão corretas
	
	
	 
	
	 6a Questão
	
	
	
	
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	Respondido em 29/05/2020 21:37:02
	
	
	Gabarito
Coment.
	
	 
	
	 7a Questão
	
	
	
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	
	III e IV.
	
	I e II.
	 
	II e III.
	
	I e III.
	
	II.
	Respondido em 29/05/2020 21:43:11
	
	
	Gabarito
Coment.
	
	 
	
	 8a Questão
	
	
	
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
		
	
	A avaliação das ações preventivas e corretivas
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	 
	A avaliação dos riscos e incidentes desejados
	
	Os resultados das auditorias anteriores e análises críticas
	
	A realimentação por parte dos envolvidos no SGSI
	9ª Questão
	
	
	
	Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementaçãoda norma ISO/IEC 27001 em qualquer organização:
		
	
	Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
	 
	Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
	
	Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
	
	Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
	
	Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
	Respondido em 29/05/2020 21:49:31
	
	
	Gabarito
Coment.
	
	 
	
	 10a Questão
	
	
	
	
	A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa:
		
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	 
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	Nenhuma das opções anteriores.
	
	Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	Respondido em 29/05/2020 21:49:27
	
Explicação:
Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos.
	
	
	 
	
	 11a Questão
	
	
	
	
	A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	Respondido em 29/05/2020 21:45:55
	
	
	 
	
	 12a Questão
	
	
	
	
	A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
		
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	Nenhuma das opções anteriores.
	 
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	Respondido em 29/05/2020 21:55:06
	
Explicação:
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	 13a Questão
	
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
		
	
	Apenas II e III
	 
	I, II e III
	
	Apenas II
	
	Apenas I e II
	
	Apenas I
	Respondido em 29/05/2020 21:53:15
	
Explicação:
Todas estão corretas
	 14a Questão
	
	
	
	A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
		
	
	Reação
	 
	Desencorajamento
	
	Correção
	
	Limitação
	
	Preventiva
	15a Questão
	
	
	
	Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
		
	
	Administrativa, Contábil e Física.
	
	Lógica, Física e Programada.
	
	Lógica, Administrativa e Contábil.
	
	Administrativa, Física e Programada.
	 
	Administrativa, Física e Lógica.
	Respondido em 30/05/2020 17:58:41
	
	
	Gabarito
Coment.
	
	 
	
	 16a Questão
	
	
	
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	17ª Questão
	
	
	
	A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	
	Recuperação .
	
	Correção.
	 
	Preventiva.
	
	Limitação.
	
	Reação.