Conscientização em Segurança da Informação final

Prévia do material em texto

Conscientização em Segurança da Informação (20216)
	Avaliação:
	Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.: ( peso.:3,00)
	Prova:
	
	Nota da Prova:
	6,00
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira de Normas Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a alternativa CORRETA:
	 a)
	A ABNT NBR ISO/IEC 2700 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI) e a família ABNT NBR ISO/IEC 27000 abrangem a gestão da segurança da informação.
	 b)
	A ABNT NBR ISO/IEC 2700 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI) e a família ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento.
	 c)
	A ABNT NBR ISO/IEC 2700 é um framework conceitual referente ao treinamento em segurança e a família ABNT NBR ISO/IEC 27000 abrange a gestão da segurança da informação.
	 d)
	A ABNT NBR ISO/IEC 2700 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento e a família ABNT NBR ISO/IEC 27000 traz um framework conceitual referente ao treinamento em segurança.
	2.
	Segundo DocuSign (2018), a política de segurança da informação é definida como as regras que indicam o acesso, controle e transmissão da informação em uma organização. Lembre-se de que uma política de segurança não é um documento estático. Pelo contrário, requer não só a atualização e participação contínua do conselho de administração da empresa, mas também a atualização e a participação contínua dos colaboradores e equipas de TI. A respeito da documentação da política de segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas:  
(    ) Este documento além da política contém procedimentos, orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas.
(    ) Este documento contém diretrizes a respeito à segurança física e lógica dos ambientes tecnológicos da organização.
(    ) Este documento contém as normas, regras, diretrizes e orientações para garantir a segurança da informação em todos os setores da organização.  
(    ) Este documento define os procedimentos, orientações e métricas da segurança de informação nas organizações em conformidade as legislações da organização.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: DOCUSIGN. Política de segurança da informação: saiba como e por que desenvolvê-la. 2018. Disponível em: https://www.docusign.com.br/blog/politica-de-seguranca-da-informacao-saiba-como-e-por-que-desenvolve-la#:~:text=o%20nosso%20blog-,Pol%C3%ADtica%20de%20seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%3A%20saiba%20como%20e%20por%20que,elemento%2Dchave%20para%20qualquer%20neg%C3%B3cio.&text=Esse%20%C3%A9%20um%20dos%20motivos,seguran%C3%A7a%20da%20informa%C3%A7%C3%A3o%20nas%20empresas. Acesso em: 3 fev. 2021.
	 a)
	F - V - V - F.
	 b)
	F - V - F - V.
	 c)
	V - F - V - F.
	 d)
	V - V - F - V.
	3.
	A conscientização de segurança da informação deve ser disseminada via processo institucional, que demande melhoria continuada nas organizações onde possa disseminar seu conhecimento e possa oferecer um programa de treinamento para obter alto nível de conscientização de segurança para todos os funcionários. No que diz respeito ao programa de treinamento de conscientização de segurança, assinale a alternativa CORRETA:
	 a)
	Um programa sólido de treinamento de conscientização possibilitará que a organização possa reconhecer ameaças e permitir que poucas pessoas possam se sentir confiantes em relatar possíveis problemas de segurança.
	 b)
	Um programa de melhoria contínua sobre conscientização de segurança da informação tem como benefício certificar a organização e seguir as estratégias impostas por órgãos internacionais.
	 c)
	A organização deve definir uma lista de verificação para se desenvolver, monitorar e/ou manter um programa de treinamento de conscientização de segurança de forma eficaz.
	 d)
	A organização precisa definir junto a entidades externas um programa pronto para auxiliar na definição de diretrizes sobre segurança de informação para ser seguida.
	4.
	Segundo Athena Security (2020) há alguns anos, os vírus eram uma das principais preocupações da TI nas empresas. Na atualidade, com a adesão de novas tecnologias no ambiente corporativo, como as ferramentas IoT, também surgiram novas ameaças para os negócios. Diante desse cenário, é preciso criar um plano de conscientização em segurança da informação, que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos. A respeito das quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas:  
(    ) O objetivo da etapa de Projeto de conscientização e treinamento é elaborar projetos voltados à área de segurança da informação e treinar os colaborados na sua utilização.
(    ) O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis, escopo, conteúdo e desenvolvimento de material de treinamento.  
(    ) O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento, bem como nas opções para a entrega de material.
(    ) O objetivo da etapa de Pós-implementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ATHENA SECURITY. Plano de Conscientização em Segurança da Informação: Entenda sem Complicações. Disponível em: https://blog.athenasecurity.com.br/plano-de-conscientizacao-em-seguranca-da-informacao/. Acesso em: 28 jan. 2021.
	 a)
	F - V - V - V.
	 b)
	F - F - V - V.
	 c)
	V - F - V - F.
	 d)
	V - F - F - V.
	5.
	As políticas e os regulamentos de segurança da informação são os principais documentos da maior parte das organizações, eles contêm todas as orientações voltadas para o Sistema de Gerenciamento da Segurança da Informação (SGSI), também conhecido como Information Security Management System (ISMS) de forma que é definida a estrutura para controlar o seu SGSI. A respeito dos itens (1) regulamento, (2) procedimentos, (3) diretrizes e (4) normas que podem ser escritos baseados na política de segurança, classifique V para as sentenças verdadeiras e F para as falsas:  
(    ) Um regulamento é tanto igual quanto a um documento de política.
(    ) Um procedimento detalha como medidas particulares devem ser conduzidas e pode incluir instruções de trabalho.
(    ) Uma diretriz deve fornecer orientações, descreve quais aspectos de segurança têm de ser examinados.
(    ) As normas descrevem regras e políticas para a segurança física e lógica.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F.
	 b)
	F - V - V - F.
	 c)
	V - F - V - V.
	 d)
	V - V - F - V.
	6.
	De acordo com Assis (2013), a infraestrutura tecnológica cada vez mais vem fornecendo, com a estratégia organizacional, com seu processo de negócios, com o modelo de gestão corporativo de segurança da informação e a competência dos colaboradores, uma estrutura adequada para viabilizar as ações em gestão, mantendo, com isso, a organização cada vez mais competitiva. Com relação às seis etapas do modelo de gestão corporativo de segurança da informação, analise as sentenças a seguir:  
I- (1) mapeamento de segurança; (2) estratégia de segurança; (3) planejamento de segurança.
II- (4) planejamento de segurança; (5) gestão de ativosde segurança; (6) segurança dos ativos tangíveis produtivo.
III- (1) modelagem de processos de segurança; (2) pesquisa de segurança; (3) planejamento de segurança.
IV- (4) implementação de segurança; (5) administração de segurança; (6) segurança na cadeia produtiva.
Assinale a alternativa CORRETA:
FONTE: ASSIS, Érlei Geraldo. Tecnologia da informação como ferramenta de apoio à gestão do conhecimento. 2013. 41 f. Monografia (Especialização em Gestão da Tecnologia da Informação e Comunicação) - Programa de Pós-Graduação em Tecnologia, Universidade Tecnológica Federal do Paraná. Curitiba, 2013. Disponível em: http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/2429/1/CT_GETIC_I_2013_03.pdf. Acesso em: 2 fev. 2021.
	 a)
	As sentenças II e IV estão corretas.
	 b)
	As sentenças I e IV estão corretas.
	 c)
	As sentenças I e II estão corretas.
	 d)
	As sentenças II e III estão corretas.
	7.
	É crucial para o sucesso do programa de treinamento de conscientização que as pessoas reconheçam que receberam e compreendam de forma completa o conteúdo entregue sobre as atividades e os papéis necessários para assegurar a segurança da informação. É importante obter seu feedback constante para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização. Com relação à forma de conteúdo de treinamento geral de conscientização referente à segurança, analise as sentenças a seguir:
I- Utilização da Política de conscientização de segurança da organização, comércio eletrônico, práticas de e-mail seguro, mensagem instantâneas, o uso seguro de mídias sociais etc.
II- Utilização de ambientes automatizados que oferecem práticas e orientações para trabalhar de forma presencial, a fim de evitar acesso às informações disponíveis em suas áreas.
III- Utilização de segurança física, correios, fax, telefone, ambiente sem cartão, agente de segurança, acesso físico etc.
Assinale a alternativa CORRETA:
	 a)
	Somente a sentença III está correta.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças II e III estão corretas.
	 d)
	As sentenças I e III estão corretas.
	8.
	Segundo Borges (2008, p. 5), "[...] a sociedade da informação e do conhecimento é reconhecida pelo uso intenso da informação e das tecnologias de informação e da comunicação (TIC), na vida do indivíduo, da organização e da sociedade, em suas diversas atividades". Portanto, a informação é o sangue que corre nas veias da organização, distribuída por todos os processos de negócio, alimentando-os e circulando por vários ativos, ambientes e tecnologias. Com relação à importância da informação em toda esfera organizacional, assinale a alternativa CORRETA que descreve os fatores da onipresença da informação nos principais processos de negócios:  
FONTE: BORGES, Maria Alice Guimarães. A informação e o conhecimento como insumo ao processo de desenvolvimento. 2008. Disponível em: http://eprints.rclis.org/23214/1/A%20informa%C3%A7%C3%A3o%20e%20o%20conhcimento%20como%20insumo%20ao%20
processo%20de%20desenvolvimento.pdf. Acesso em: 2 fev. 2021.
	 a)
	Infraestrutura física, tecnológica e humana; Aplicações; Apoio à gestão; Gestão do conhecimento; Execução de Serviços Fabricação; Desenvolvimento de Soluções; Desenvolvimento de Negócios; e Visão empresarial.
	 b)
	Arquitetura orientada a Serviços; Infraestrutura física, tecnológica e humana; Software, apoio à gestão do conhecimento; Execução e compartilhamento de serviços; Desenvolvimento de soluções tecnológicas; Desenvolvimento de negócios; e Visão empresarial.
	 c)
	Infraestrutura coorporativa física e tecnológica; Softwares; Apoio ao planejamento estratégico; Gestão do conhecimento; Execução de projetos e serviços; Desenvolvimento de pesquisas e inovação; Desenvolvimento de modelos de negócio; e Visão coorporativa.
	 d)
	Infraestrutura física, tecnológica e social; Aplicações; Compartilhamento da informação e do conhecimento; Apoio à gestão organizacional; Execução de serviços fabricação; Desenvolvimento de Soluções tecnológicas, Desenvolvimento de modelos de processos de negócio; e Visão empresarial.
	9.
	No contexto da segurança da informação, a engenharia social refere-se à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais. É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador. Com relação à Engenharia Social, analise as sentenças a seguir:  
I- Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta.  
II- Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de violar a segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações.
III- Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas e extrair suas informações sigilosas de forma anônima.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e III estão corretas.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças II e III estão corretas.
	 d)
	Somente a sentença I está correta.
	10.
	As mudanças tecnológicas fazem parte do dia a dia das organizações e aliado a essas mudanças estão os riscos e as vulnerabilidades no cotidiano das organizações. Coelho, Araújo e Bezerra (2014, p. 7) nos apresentam que na visão geral da Segurança da Informação, a Análise de Riscos no âmbito das Mudanças Tecnológicas envolve a legislação, a ISO 21001/2013, Políticas de Segurança às Normas e Procedimentos. Com relação às três fontes principais a serem consideradas no momento de estabelecer os requisitos de segurança da informação de uma organização, assinale a alternativa CORRETA:  
FONTE: COELHO, F. E. S.; ARAÚJO, L. G. S. de; BEZERRA, E. K. Gestão da segurança da informação: NBR 27001 e NBR 27002. Rio de Janeiro: Rede Nacional de Ensino e Pesquisa - RNP/ESR, 2014.
	 a)
	Análise e avaliação de riscos, a Legislação vigente e Conjunto de princípios.
	 b)
	Conjunto de princípios, Políticas de Segurança da Informação e Estudo de Viabilidade de riscos.
	 c)
	Análise de avaliação de riscos, Políticas de Segurança da Informação e Conjunto de princípios.
	 d)
	Estudo de Viabilidade de riscos, a Legislação vigente e Diretrizes da Segurança da Informação.
Prova finalizada com 6 acertos e 4 que
Parte inferior do formulário