Baixe o app para aproveitar ainda mais
Prévia do material em texto
POS0982 SGSI - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO PG1578211DP - 202112.ead-16490.01 Curso POS0982 SGSI - SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO PG1578211DP - 202112.ead-16490.01 Teste Atividade Iniciado 15/03/21 19:05 Enviado 15/03/21 20:49 Status Completada Resultado da tentativa 8 em 10 pontos Tempo decorrido 1 hora, 44 minutos Resultados exibidos Respostas enviadas, Respostas corretas, Comentários · Pergunta 1 1 em 1 pontos O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gestão corporativo que gerencia a segurança da informação de uma empresa com base na confiabilidade, integridade e disponibilidade das informações e nos riscos de negócio, sendo de responsabilidade da empresa definir quais informações serão protegidas. Em relação às informações sobre o SGSI, analise as afirmações a seguir. I - O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. II - A empresa deve estabelecer quais informações serão protegidas e, uma vez feito isso, o SGSI irá qualificar e tratar tais informações. III - As informações a serem protegidas, definidas pela empresa, compreendem os processos de negócio que as geram tais informações. IV - O SGSI garante a preservação das informações geradas, mas não consegue manter 100% da segurança delas na empresa. Agora, assinale a alternativa que apresenta a resposta correta. Resposta Selecionada: Apenas as afirmativas I, II e III estão corretas. Resposta Correta: Apenas as afirmativas I, II e III estão corretas. Comentário da resposta: Resposta correta. Apenas as afirmativas I, II e III estão corretas. O SGSI atua na melhoria contínua com base nos resultados obtidos durante a análise crítica dos gestores da empresa. Esta deve estabelecer quais informações serão protegidas e uma vez feito isso, o SGSI irá qualificar e tratá-las. As informações a serem protegidas compreendem os processos de negócio que as geram. O SGSI garante a preservação das informações geradas e mantidas em uma empresa. · Pergunta 2 1 em 1 pontos A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, integridade e disponibilidade das informações de pessoas ou organizações. Nesse sentido, assinale a alternativa que apresenta, de forma correta, o que a confiabilidade, integridade e disponibilidade das informações. Resposta Selecionada: a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e s oftware não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Resposta Correta: a confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. Comentário da resposta: Resposta correta. A segurança da informação abrange um conjunto de ações que garantem a confiabilidade, a integridade e a disponibilidade das informações de pessoas ou organizações. A confiabilidade garante que somente pessoas autorizadas tenham acesso aos dados e às informações. A integridade garante que os dados de hardware e software não sejam modificados por pessoas não autorizadas e que as informações sejam consistentes. Já a disponibilidade deve garantir que os dados e as informações estejam disponíveis para serem acessadas quando solicitadas. · Pergunta 3 1 em 1 pontos Para que a implantação do Sistema de Gestão de Segurança da Informação (SGSI) tenha êxito em uma empresa, é preciso seguir as etapas de implantação de acordo com a norma NBR ISO/IEC 27001. Além disso, os gestores da empresa devem estar engajados e dar o suporte necessário ao processo de implantação. Considerando o contexto apresentado, avalie as seguintes asserções sobre a implantação do SGSI. I. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. PORQUE II. As atividades de melhoria contínua executam somente as ações corretivas identificadas ao longo da utilização do SGSI e garantem que algumas melhorias estejam de acordo com os objetivos definidos pela empresa. A respeito dessas asserções, assinale a alternativa correta. Resposta Selecionada: A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Resposta Correta: A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Comentário da resposta: Resposta correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Para que a implantação do SGSI seja eficiente, é preciso medir periodicamente a ocorrência de incidentes de segurança da informação, avaliar se eles são aceitáveis de acordo com a política definida pela empresa, apresentar as oportunidades de melhorias identificadas aos gestores e registrar as ações que podem impactar no desempenho do SGSI. · Pergunta 4 1 em 1 pontos A norma NBR ISO/IEC 27001 segue o modelo Plan-Do-Check-Act (PDCA), que estrutura os processos do Sistema de Gestão de Segurança da Informação (SGSI), conforme apresentado na figura a seguir. Figura 1 - Modelo PDCA aplicado aos processos do SGSI Fonte: ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação aos processos do SGSI e suas características, analise as afirmações a seguir. I - A performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI é medida e avaliada na etapa de monitoramento e análise crítica. II - A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas com base nos resultados da auditoria interna do SGSI. III - A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. IV - A segurança da informação está diretamente relacionada aos objetivos da empresa na etapa de estabelecimento do SGSI. V - Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. Assinale a alternativa que apresenta a resposta correta. Resposta Selecionada: As afirmativas I, II, III, IV e V estão corretas. Resposta Correta: As afirmativas I, II, III, IV e V estão corretas. Comentário da resposta: Resposta correta. As afirmativas I, II, III, IV e V estão corretas. Na etapa de monitoramento e análise crítica, é medida e avaliada a performance do processo de acordo com a política, os objetivos e a experiência prática do SGSI. A etapa de manutenção e melhoria do SGSI atua nas ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI. A etapa de implantação e operação do SGSI atua sobre a política, os controles, processos e procedimentos. Na etapa de estabelecimento do SGSI, a segurança da informação está diretamente relacionada aos objetivos da empresa. Os resultados para a análise crítica de acordo com a performance do processo avaliado são apresentados na etapa de monitoramento e análise crítica. · Pergunta 5 0 em 1 pontos A etapa de implementação do Sistema de Gestão de Segurança da Informação (SGSI) consiste em implantar a política, os procedimentos e os controlesde segurança, conforme a norma NBR ISO/IEC 27001. Os requisitos dessa etapa são: a elaboração e implementação de um plano de tratamento de riscos, a implementação dos controles selecionados, o gerenciamento das operações do SGSI, entre outros. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação às informações sobre a etapa de implementação do SGSI, assinale a alternativa correta. Resposta Selecionada: As considerações sobre financiamentos que alcancem os objetivos de controle identificados estão descritos na etapa de elaboração do plano de tratamento de riscos. Resposta Correta: Quem executará, qual será o tempo gasto na execução e quando será executado são requisitos encontrados na elaboração de um plano de tratamento de riscos. Comentário da resposta: Resposta incorreta. A definição dos responsáveis pelo acompanhamento das atividades do sistema está na etapa de gerenciamento das operações do SGSI. A decisão de como medir a eficácia dos controles ou grupos de controles selecionados mede a eficácia dos controles e aponta como serão as medidas, com o objetivo de gerar resultados comparáveis e reproduzíveis. A identificação de eventos e respostas a incidentes de segurança da informação faz parte da etapa de gerenciamento dos recursos para o SGSI. As considerações sobre financiamentos que alcancem os objetivos de controle identificados estão descritos na etapa de implementação do plano de tratamento de riscos. · Pergunta 6 1 em 1 pontos A gestão de riscos inclui ações coordenadas que direcionam e controlam uma empresa em relação aos riscos (ABNT, 2006). Suas atividades componentes são: definição dos objetivos; identificação dos riscos; análise dos riscos; planejamento e tratamento do risco; implantação do controle do risco; e avaliação e revisão dos riscos. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Rio de Janeiro: ABNT, 2011. Em relação à gestão de riscos, analise as afirmações a seguir. I - Os riscos, na etapa de definição dos objetivos, são mapeados para que as falhas sejam identificadas e não ocorram novamente em determinado período. II - As potenciais ameaças da empresa e o nível de impacto de cada risco são avaliados na etapa de avaliação e revisão dos riscos. III - A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa, e todos os envolvidos devem estar empenhados para o sucesso da atividade. IV - O planejamento do tratamento de risco elimina, reduz, imobiliza e transfere o risco para ser gerenciado por uma empresa terceirizada. Agora, assinale a alternativa que apresenta a resposta correta. Resposta Selecionada: Apenas as afirmativas III e IV estão corretas. Resposta Correta: Apenas as afirmativas III e IV estão corretas. Comentário da resposta: Resposta correta. Apenas as afirmativas III e IV estão corretas. A implantação do controle de risco aplica o que foi planejado para evitar os riscos em uma empresa e todos os envolvidos devem estar empenhados para o sucesso da atividade. · Pergunta 7 1 em 1 pontos “Gestão de riscos é o processo de organizar e planejar recursos humanos e materiais de uma empresa de forma a reduzir ao mínimo possível os impactos dos riscos na organização, utilizando um conjunto de técnicas que visa minimizar os efeitos dos danos acidentais direcionando o tratamento aos riscos que possam causar danos ao projeto, às pessoas, ao meio ambiente e à imagem da empresa. O principal objetivo da Gestão de Riscos é avaliar as incertezas de forma a tomar a melhor decisão possível”. PINTAN, J. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 29 nov. 2011. Disponível em: https://www.tiespecialistas.com.br/o-principal-objetivo-da-gestao-de-riscos-e-avaliar-as-incertezas-do-projeto/. Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre a gestão de riscos. I. Os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela. PORQUE II. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível. A respeito dessas asserções, assinale a alternativa CORRETA. Resposta Selecionada: As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Resposta Correta: As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Comentário da resposta: Resposta correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. De fato, os riscos podem e devem ser identificados, analisados e tratados da melhor forma. Não é aceitável que um risco pegue a equipe do projeto de surpresa, provocando ações reativas por parte dela. Para todos os riscos, é necessário que haja um plano de ação desenhado. A equipe deve estar pronta e alinhada quanto a ele sempre que um risco ocorrer no projeto, proporcionando uma entrega o mais exata possível. A gestão de riscos deve estar baseada em ações coordenadas, previamente planejadas. · Pergunta 8 1 em 1 pontos A companhia Prov Service NET é uma prestadora de serviços de banda larga que atua como provedor de internet para pequenas empresas de cidades do interior. Sua missão é prestar um serviço de internet com qualidade, alinhado aos objetivos estratégicos de negócios de seus clientes. A empresa ainda não possui um Sistema de Gestão de Segurança da Informação (SGSI) e deseja realizar a implementação para garantir a segurança, confiabilidade, integridade e disponibilidade das informações nas transações on-line de seus consumidores. Em relação às etapas necessárias para implantar o SGSI na empresa Prov Service NET, assinale a alternativa correta. Resposta Selecionada: As etapas que compõe a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI. Resposta Correta: As etapas que compõe a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI. Comentário da resposta: Resposta correta. As etapas que compõem a implantação do SGSI são: a definição do escopo, a elaboração da política do SGSI, a abordagem de gestão, os objetivos de controle e a monitoração do SGSI. · Pergunta 9 1 em 1 pontos Uma ameaça é um agente ou uma condição que gera um incidente de segurança da informação, como programas maliciosos (vírus), por exemplo. Já a vulnerabilidade inclui as falhas que podem acontecer nas informações, no hardware ou no software e nas pessoas que utilizam esses sistemas, gerando fragilidades nestes, como um sistema de antivírus desatualizado. Para evitar essas incertezas, as empresas devem: Resposta Selecionada: gerenciar os riscos para evitar prejuízos aos negócios. Resposta Correta: gerenciar os riscos para evitar prejuízos aos negócios. Comentário da resposta: Resposta correta. De fato, para evitar incertezas e prejuízos aos negócios, é necessário gerenciar os riscos. · Pergunta 10 0 em 1 pontos “Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados,tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI”. ALMEIDA, E. Sistema de Gestão de Segurança da Informação (SGSI) – Parte I. TI Especialistas , [ s. l. ], 16 out. 2013. Disponível em: https://www.tiespecialistas.com.br/sistema-gestao-seguranca-informacao-sgsi-i/ . Acesso em: 01 out. 2020. Considerando o contexto apresentado, avalie as seguintes asserções sobre a segurança da informação e a política de segurança da informação. I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. PORQUE II. É necessário implantar a política de segurança da informação, considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia. A respeito dessas asserções, assinale a alternativa CORRETA. Resposta Selecionada: A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Resposta Correta: As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Comentário da resposta: Resposta incorreta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Os softwares e as soluções informatizadas utilizadas isoladamente são apenas paliativos que disfarçam o ambiente e fornecem a falsa sensação de segurança. É necessário implantar a política de segurança da informação considerando as boas práticas desta de acordo com os objetivos de cada empresa, sendo base para a criação de procedimentos e processos, juntamente com as demais políticas dos âmbitos de negócio e tecnologia.
Compartilhar