N2_II SGSI

Prévia do material em texto

PERGUNTA 1
1. De acordo com a norma NBR ISO/IEC 27001, a direção deve analisar criticamente o SGSI da organização em intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Nesse sentido, a análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política e os objetivos de segurança da informação.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Os resultados dessas análises críticas devem:
	
	
	ser registrados por e-mail e os registros devem ser mantidos por dois meses.
	
	
	ser registrados por e-mail e os registros devem ser alterados.
	
	
	ser claramente documentados e os registros devem ser alterados.
	
	
	ser claramente documentados e os registros devem ser mantidos.
	
	
	ser apresentados para os donos da empresa com os resultados encontrados.
1 pontos   
PERGUNTA 2
1. Na definição do escopo, uma das atividades que compõe a etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) é a definição de quem serão as pessoas e quais serão os setores e os processos da empresa beneficiados com a implantação do SGSI.
Em relação às informações sobre a definição do escopo do SGSI, analise as afirmações a seguir.
I - A definição do escopo garante uma melhor compreensão do contexto geral de uma empresa, além de priorizar os setores que serão atendidos com a implantação do SGSI.
II - Para reduzir custos, muitas empresas reduzem o escopo e com isso podem acontecer problemas, como diferentes setores na empresa não seguirem um padrão de segurança.
III - A norma ISO 27001 define a elaboração de um documento para registrar todos os processos do escopo do SGSI.
IV - A definição do escopo nos termos das características do negócio garante à organização sua localização, os ativos e a tecnologia, além das justificativas para quaisquer exclusões do escopo.
	
	
	Apenas as afirmativas III e IV estão corretas.
	
	
	Apenas as afirmativas I, II e III estão corretas.
	
	
	Todas as alternativas estão corretas.
	
	
	Apenas as afirmativas I e II estão corretas.
	
	
	Apenas as afirmativas II e III estão corretas.
1 pontos   
PERGUNTA 3
1. “Gestão de riscos é o processo de organizar e planejar recursos humanos e materiais de uma empresa de forma a reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos acidentais direcionando o tratamento aos riscos que possam causar danos ao projeto, às pessoas, ao meio ambiente e à imagem da empresa. O principal objetivo da Gestão de Riscos é avaliar as incertezas de forma a tomar a melhor decisão possível”.
PINTAN, J. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 29 nov. 2011. Disponível em: https://www.tiespecialistas.com.br/o-principal-objetivo-da-gestao-de-riscos-e-avaliar-as-incertezas-do-projeto/. Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a gestão de riscos.
I. Os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela.
PORQUE
II. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições verdadeiras.
1 pontos   
PERGUNTA 4
1. A companhia Prov Service NET é uma prestadora de serviços de banda larga que atua como provedor de internet para pequenas empresas de cidades do interior. Sua missão é prestar um serviço de internet com qualidade, alinhado aos objetivos estratégicos de negócios de seus clientes. A empresa ainda não possui um Sistema de Gestão de Segurança da Informação (SGSI) e deseja realizar a implementação para garantir a segurança, confiabilidade, integridade e disponibilidade das informações nas transações on-line de seus consumidores.
Em relação às etapas necessárias para implantar o SGSI na empresa Prov Service NET, assinale a alternativa correta.
	
	
	A empresa deve estabelecer as medidas utilizadas para assegurar a segurança da informação na atividade de abordagem de gestão.
	
	
	Uma vez listadas as atividades do escopo, é necessário estabelecer as medidas que serão utilizadas para assegurar a segurança da informação
	
	
	As etapas que compõe a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI.
	
	
	A última atividade a ser realizada é implantar o SGSI, além de apresentar os resultados para uma apreciação pelos dirigentes da empresa.
	
	
	A primeira atividade a ser realizada para implementar o SGSI é a definição das políticas, dos objetivos, das diretrizes e dos critérios de avaliação de riscos.
1 pontos   
PERGUNTA 5
1. A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act
(PDCA) e estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), com o objetivo de estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI.
Em relação à estrutura dos processos do SGSI, analise as afirmações a seguir.
I - Na etapa de planejamento, a segurança da informação está diretamente associada com os interesses pessoais dos acionistas da empresa.
II - A etapa de manutenção e melhoria do SGSI age apenas nas ações corretivas, com base nos erros encontrados durante a análise crítica com o objetivo de corrigir os erros do SGSI.
III - A etapa de implementação e operação do SGSI, além de implementar, atua sobre a política, os controles, processos e procedimentos.
IV - A etapa de monitoramento e análise crítica do SGSI mede e avalia o desempenho do processo baseado na política, nos objetivos e na experiência prática do SGSI.
Agora, assinale a alternativa que apresenta a resposta correta.
	
	
	Apenas as afirmativas II e III estão corretas.
	
	
	Apenas as afirmativas II, III e IV estão corretas.
	
	
	Apenas as afirmativas III e IV estão corretas.
	
	
	Apenas as afirmativas I e II estão corretas.
	
	
	Apenas as afirmativas I e IV estão corretas.
1 pontos   
PERGUNTA 6
1. Uma ameaça é um agente ou uma condição que gera um incidente de segurança da informação, como programas maliciosos (vírus), por exemplo. Já a vulnerabilidade inclui as falhas que podem acontecer nas informações, no hardware ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades nestes, como um sistema de antivírus desatualizado.
Para evitar essas incertezas, as empresas devem:
	
	
	apenas observar o risco e aguardar para ver se ocorrem novas ameaças.
	
	
	gerenciar os riscos para evitar prejuízos aos negócios.
	
	
	evitar realizar transações on-line
para não gerar novamente o risco.
	
	
	direcionar o risco para um software que corrija as vulnerabilidades.
	
	
	identificar o risco e aguardar para ver se novas ameaças ocorrem.
1 pontos   
PERGUNTA 7
1. A etapa de implementação do Sistema de Gestão de Segurança da Informação (SGSI) consiste em implantar a política, os procedimentos e os controles de segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa são: a elaboração e implementação de um plano de tratamento de riscos, a implementação dos controles selecionados, o gerenciamento das operações doSGSI, entre outros.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011.
 
Em relação às informações sobre a etapa de implementação do SGSI, assinale a alternativa correta.
	
	
	Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos.
	
	
	A definição dos responsáveis pelo acompanhamento das atividades do sistema faz parte da etapa de implementação dos procedimentos e outros controles.
	
	
	A identificação de eventos e respostas a incidentes de segurança da informação faz parte da etapa de gerenciamento dos recursos para o SGSI.
	
	
	As ações de implementação dos programas de conscientização e treinamento dos funcionários medem a eficácia dos controles e apontam como serão tais medidas, a fim de gerar resultados comparáveis e reproduzíveis.
	
	
	As considerações sobre financiamentos que alcancem os objetivos de controle identificados estão descritos na etapa de elaboração do plano de tratamento de riscos.
1 pontos   
PERGUNTA 8
1. A etapa de estabelecimento do Sistema de Gestão de Segurança da Informação (SGSI) consiste em definir as estratégias que a empresa usará de acordo com a sua política e seus objetivos, conforme a norma NBR ISO/IEC 27001. Os requisitos da etapa são: a definição do escopo e os limites do SGSI; a definição da política do SGSI; a definição da abordagem da análise/avaliação de riscos; a seleção dos objetivos de controle e dos controles para o tratamento de riscos; e a declaração de aplicabilidade.
Em relação às informações sobre a etapa de estabelecimento do SGSI, assinale a alternativa correta.
	
	
	A definição de quem serão as pessoas, os setores e os processos da empresa beneficiados com a implantação do SGSI é feita na etapa de definição do escopo e dos limites do SGSI.
	
	
	A definição dos acessos ao sites
permitidos pela empresa, a preservação dos equipamentos utilizados e o treinamento dos funcionários são exemplos de seleção dos objetivos de controle e dos controles para o tratamento de riscos.
	
	
	As medidas de segurança definidas para a empresa são descritas na etapa de definição do escopo e dos limites do SGSI.
	
	
	A metodologia de análise/avaliação de riscos que será aplicada de acordo com o negócio da empresa é definida na declaração de aplicabilidade.
	
	
	Ao selecionar objetivos de controle e controles para o tratamento de riscos, a empresa registra, em um documento, a orientação, os direcionamentos em relação aos ativos de informação de uma empresa e o planejamento de acordo com as particularidades do seu negócio.
1 pontos   
PERGUNTA 9
1. O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que gerencia a segurança da informação de uma empresa com base na confiabilidade, integridade e disponibilidade das informações e nos riscos de negócio, sendo de responsabilidade da empresa definir quais informações serão protegidas.
Em relação às informações sobre o SGSI, analise as afirmações a seguir.
I -  O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa.
II - A empresa deve estabelecer quais informações serão protegidas e, uma vez feito isso, o SGSI irá qualificar e tratar tais informações. 
III - As informações a serem protegidas, definidas pela empresa, compreendem os processos de negócio que as geram tais informações.
IV - O SGSI garante a preservação das informações geradas, mas não consegue manter 100% da segurança delas na empresa.
Agora, assinale a alternativa que apresenta a resposta correta.
	
	
	Apenas as afirmativas II e III estão corretas.
	
	
	Apenas as afirmativas III e IV estão corretas.
	
	
	Apenas as afirmativas I e II estão corretas.
	
	
	Apenas as afirmativas I e IV estão corretas.
	
	
	Apenas as afirmativas I, II e III estão corretas.
1 pontos   
PERGUNTA 10
1. “Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI”.
ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020.
 
Considerando o contexto apresentado, avalie as seguintes asserções sobre a segurança da informação e a política de segurança da informação.
 
I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança.
PORQUE
II. É necessário implantar a política de segurança da informação, considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
A respeito dessas asserções, assinale a alternativa CORRETA.
	
	
	As asserções I e II são proposições verdadeiras.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.