Conscientização em Segurança da Informação II

Prévia do material em texto

18/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=MDY1M1NHSQ==&action2=MjAyMTY=&action3=Njc1Nz… 1/5
Acadêmico:
A valiação: Avaliação II - Individual Semipresenci
Prova:
Nota da Prova: 7,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as
normas de Segurança da Informação são a International Organization for Standardization
(ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas
Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de
Informação, assinale a alternativa CORRETA:
 a) A ABNT NBR ISO/IEC 2700 é um framework conceitual referente ao treinamento em
segurança e a família ABNT NBR ISO/IEC 27000 abrange a gestão da segurança da
informação.
 b) A ABNT NBR ISO/IEC 2700 fornece a visão geral dos Sistemas de Gerenciamento de
Segurança da Informação (SGSI) e a família ABNT NBR ISO/IEC 27000 fornece
orientações quanto à construção e manutenção de um plano de conscientização e
treinamento.
 c) A ABNT NBR ISO/IEC 2700 fornece orientações quanto à construção e manutenção de
um plano de conscientização e treinamento e a família ABNT NBR ISO/IEC 27000 traz um
framework conceitual referente ao treinamento em segurança.
 d) A ABNT NBR ISO/IEC 2700 fornece a visão geral dos Sistemas de Gerenciamento de
Segurança da Informação (SGSI) e a família ABNT NBR ISO/IEC 27000 abrangem a
gestão da segurança da informação.
2. Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em
conscientização e treinamento em segurança da informação são: (1) Projeto de
conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais de
treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à
descrição da etapa de Projeto de conscientização e treinamento, assinale a alternativa
CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and
training program. NIST Special publication, v. 800, n. 50, p. 1-70, 2003. Disponível em:
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em: 30 mar. 2020.
 a) Define as políticas de segurança da informação voltadas para o programa de
conscientização e treinamento.
 b) Documenta as diretrizes de treinamentos para o programa de conscientização e
treinamento de Segurança de Informação.
 c) Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma
estratégia de treinamento.
 d) Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.

18/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=MDY1M1NHSQ==&action2=MjAyMTY=&action3=Njc1Nz… 2/5
3. A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias
que buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a
todas as organizações independente do seu tipo, tamanho ou natureza. Com relação a estas
10 seções da estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças
verdadeiras e F para as falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e
definições, (4) Contexto da organização, (5) Liderança, (6) Planejamento, (7) Suporte, (8)
Operação, (9) Avaliação de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os
requisitos genéricos e específicos do SGSI adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os
riscos à informação e como a seção (5) está relacionada à alta gerência demonstrar
liderança e compromisso com o SGSI, determinando políticas e atribuindo funções,
responsabilidades e autoridades responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os
riscos às informações devem ser tratados e esclarece os objetivos de segurança das
informações e a seção (10) aborda as conclusões de auditorias e revisões, não
conformidades e ações corretivas buscando de forma contínua a melhoria.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V - V.
 b) V - V - V - F.
 c) F - F - V - V.
 d) V - F - F - V.
4. A estrutura do programa de conscientização e treinamento de segurança é composta por três
modelos diferentes que são adotados e estabelecidos para supervisionar as atividades
definindo como deve ser projetado, desenvolvido e implementado. A respeito do que se trata
cada um dos três modelos comumente aceitos na estrutura do programa de conscientização
e treinamento, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e
estratégia centralizada, implementação distribuída. (3) Modelo 3: Política centralizada,
estratégia distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2:
Norma, Plano de Segurança, implementação centralizada. (3) Modelo 3: Política centralizada,
Plano de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes
e políticas centralizada, implementação e distribuída. (3) Modelo 3: Política centralizada,
plano de segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V.
 b) F - V - F.
 c) V - F - F.
 d) F - V - V.
18/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=MDY1M1NHSQ==&action2=MjAyMTY=&action3=Njc1Nz… 3/5
5. As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas
mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho,
Araújo e Bezerra (2014, p. 7) nos apresentam que na visão geral da Segurança da
Informação, a Análise de Riscos no âmbito das Mudanças Tecnológicas envolve a legislação,
a ISO 21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três
fontes principais a serem consideradas no momento de estabelecer os requisitos de
segurança da informação de uma organização, assinale a alternativa CORRETA: 
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da
informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa -
RNP/ESR, 2014.
 a) Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de
princípios.
 b) Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da
Informação.
 c) Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de
riscos.
 d) Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
6. A quarta etapa do ciclo de vida do plano do programa de conscientização e treinamento em
segurança da informação da organização trata sobre "implantação do programa", onde é
compreendida a etapa responsável pela realização da comunicação e implementação do
plano de conscientização e treinamento, com o objetivo de realizar a entrega de material para
todos os colaboradores da organização. Com relação ao formato de realização desta etapa
de Implementação do Programa, analise as sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web,
ensino a distância, vídeo, localmente entre outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização
podem ser via kits de primeirossocorros, boletins, lista de verificação, cartazes informando o
que fazer o não fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização
somente de forma presencial através de workshop e seminários com palestrantes
especializados em programa de conscientização e treinamento em segurança da informação
da própria organização. 
Assinale a alternativa CORRETA:
 a) Somente a sentença II está correta.
 b) As sentenças II e III estão corretas.
 c) As sentenças I e II estão corretas.
 d) As sentenças I e III estão corretas.
7. O Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria
e Controle de Sistemas de Informação internacional viabilizava as boas práticas de
conscientização pelos habilitadores no Cobit 5, fornecendo orientação sobre as
exigências relativas ao comportamento humano, tendo como princípio básico guias que
detalham os habilitadores de governança e gestão. Com relação às boas práticas de
conscientização pelos habilitadores no Cobit 5, classifique V para as sentenças verdadeiras e
F para as falsas: 
( ) Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como
cultura, ética e comportamento. 
( ) Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da
capacidade de inovação organizacional. 
( ) Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento. 
Assinale a alternativa que apresenta a sequência CORRETA:
18/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=MDY1M1NHSQ==&action2=MjAyMTY=&action3=Njc1Nz… 4/5
 a) V - F - V.
 b) V - F - F.
 c) F - F - V.
 d) V - V - F.
8. O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um
método que tem a função de garantir que a empresa organize seus processos. A norma ISO
27001 faz referência ao modelo PDCA aplicado para estruturar todos os processos do 
Sistema de Gerenciamento de Segurança da Informação (SGSI), que é composto por um
conjunto de ações de forma sequencial para atender à área de Segurança da Informação.
Com relação a estas etapas do modelo PDCA (Plan, Do, Check, Action ) para o SGSI,
analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a
melhoria do SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os
resultados e implementa melhorias no SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do
SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do
serve para fazer a implementação e a operação do SGSI. 
Assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças I e III estão corretas.
 d) As sentenças II e IV estão corretas.
9. Os seis principais princípios para um Sistema de Governança (Governance System) e três
princípios do Framework de Governança servem como referência à segurança, ao risco, ao
desenvolvimento e operação das organizações. Com relação a estes princípios de Sistema e
Framework de Governança, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2)
visão Analítica, (3) Sistema de Governança holístico, (4) Diferença Governança de
Processos, (5) Adaptados às necessidades das pessoas e (6) Sistema de Gestão do
Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes
interessadas, (2) visão holística, (3) Sistema de Governança Dinâmico, (4) Diferença
Governança de Gestão, (5) Adaptados às necessidades das empresas e (6) Sistema de
Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual,
(2) Aberto e flexível e (3) Alinhado com a melhoria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis
princípios do sistema de governança, pois tratam da segurança de forma mais completa. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) F - V - V - V.
 c) V - F - V - F.
 d) F - V - F - V.
18/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=MDY1M1NHSQ==&action2=MjAyMTY=&action3=Njc1Nz… 5/5
10.Segundo Athena Security (2020) há alguns anos, os vírus eram uma das principais
preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no
ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os
negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança
da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e
ataques cibernéticos. A respeito das quatro etapas de críticas no ciclo de vida do plano em
conscientização e treinamento em segurança da informação, classifique V para as sentenças
verdadeiras e F para as falsas: 
( ) O objetivo da etapa de Projeto de conscientização e treinamento é elaborar projetos
voltados à área de segurança da informação e treinar os colaborados na sua utilização. 
( ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento
é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de
material de treinamento. 
( ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto
à implementação do plano de conscientização e treinamento, bem como nas opções para a
entrega de material. 
( ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano
atualizado e métodos de feedback eficazes. 
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação:
Entenda sem Complicações. Disponível em: https://blog.athenasecurity.com.br/plano-de-
conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021.
 a) F - F - V - V.
 b) V - F - V - F.
 c) V - F - F - V.
 d) F - V - V - V.
Prova finalizada com 7 acertos e 3 questões erradas.