POS GESTAO DA SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Pergunta 1 
• 1 em 1 pontos
Tão importante quanto a elaboração do inventário de ativos é a definição dos 
proprietários ou responsáveis por cada um deles para a gestão da segurança dos 
ativos. Essas definições garantem que cada ativo tenha alguém designado para 
responder pelo seu uso e estado. 
 
Indique a alternativa que aponta corretamente uma atividade vinculada à definição dos 
proprietários dos ativos. 
Resposta 
Selecionada: 
 
Identificar, documentar e implementar regras para que seja permitido o uso 
de informações e dos ativos associados. 
Resposta Correta: 
Identificar, documentar e implementar regras para que seja permitido o uso 
de informações e dos ativos associados. 
Comentário da
resposta: 
Resposta correta. A alternativa está correta, pois, associada à definição dos 
responsáveis por cada ativo, é recomendável que uma formalização do que 
representa o uso aceitável de cada um deles seja feita. Isso vai garantir 
objetividade na avaliação de qualquer incidente de segurança relacionado ao 
uso indevido do ativo. 
1. Pergunta 2 
• 1 em 1 pontos
O monitoramento e a análise crítica de um software para gestão da segurança da 
informação (SGSI) é crucial para garantir que ele se mantenha aderente à realidade da 
organização e atendendo aos requisitos de segurança de forma eficaz. 
 
Considerando as atividades envolvidas nessa etapa do processo PDCA de implantação 
de um SGSI, analise as afirmativas a seguir.
 
I. Identificar ataques que resultaram em alguma violação de segurança e quaisquer 
outros incidentes associados à segurança da informação.
 
II. Apoiar a detecção de eventos associados à segurança da informação e dar suporte à
prevenção de incidentes de segurança por meio de indicadores.
 
III. Analisar as probabilidades vinculadas à ocorrência de falhas, considerando ameaças
e vulnerabilidades mais recorrentes.
 
IV. Definir como medir a eficácia dos controles selecionados e especificar como elas 
devem ser usadas para avaliar a eficácia dos controles.
 
Está correto o que se afirma em: 
Resposta Selecionada: 
I e II, apenas. 
Resposta Correta: 
I e II, apenas. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois a quantidade de violações de 
segurança efetivamente ocorridas e o número de incidentes e eventos de 
segurança da informação detectados são usados como subsídio para uma 
avaliação objetiva de como o SGSI está atendendo aos requisitos de segurança 
da informação. A avaliação de probabilidades de ocorrência de falhas de 
segurança e a definição de medidas de controle são executadas nas etapas 
anteriores ao monitoramento do sistema. 
1. Pergunta 3 
• 1 em 1 pontos
Um dos setores que apresentam maior suscetibilidade a vulnerabilidades de segurança 
são as áreas físicas de uma organização. Quando essa é a realidade de uma 
organização, medidas de proteção devem ser prioritariamente implementadas nessas 
áreas. 
 
A respeito dessas implementações, analise as atividades a seguir e assinale V 
para medidas de proteção referente às áreas físicas e ao ambiente e F para as não 
pertencentes.
 
I. ( ) Instalação de delimitadores físicos a fim de permitir apenas acessos autorizados.
II. ( ) Supervisão registrada do fluxo de entrada e saída de pessoas.
III. ( ) Exigência de identificação formal restrita ao momento de acesso às instalações.
IV. ( ) Definição de área controlada para carga/descarga sem exigência de identificação.
 
Assinale a alternativa que apresenta a sequência correta: 
Resposta Selecionada: 
V, V, F, F. 
Resposta Correta: 
V, V, F, F. 
Comentário 
da resposta: 
Resposta correta. A sequência está correta, pois a construção de barreiras físicas 
para a contenção de acessos não autorizados é recomendada como medida de 
proteção, assim como o controle de entradas físicas e os registros da data e hora 
de entrada e saída. Outra recomendação é que as identificações pessoais sejam 
mantidas visíveis durante toda a estadia na organização, o que não exclui áreas 
de carga e descarga acessadas por fornecedores. 
1. Pergunta 4 
• 1 em 1 pontos
Riscos podem ser aceitos ou não por uma organização. Um risco pode ser aceito, por 
exemplo, se for avaliado que a sua probabilidade de ocorrência é baixa. Essa definição 
é feita na etapa de planejamento do tratamento dos riscos. Para aqueles riscos que não
serão aceitos, um tratamento precisa ser apontado. 
 
Indique a alternativa que apresenta um tratamento adequado para algum risco 
identificado e analisado. 
Resposta Selecionada: 
Redirecionar o risco para parceiros ou fornecedores de serviços. 
Resposta Correta: 
Redirecionar o risco para parceiros ou fornecedores de serviços. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois um dos tratamentos 
recomendados para serem dados a um risco é o de fazer sua transferência para 
seguradoras ou fornecedores. Naturalmente, não são todos os riscos que podem 
receber esse tratamento. Por isso, a etapa de planejamento é essencial para que 
a ação correta seja considerada. 
1. Pergunta 5 
• 1 em 1 pontos
O sucesso de implantação de um software de gestão da segurança da informação 
(SGSI) tem forte relação com o grau de comprometimento da direção com todo o 
processo. Isso deve ficar evidente por meio de ações em apoio à introdução do sistema 
na organização. 
 
Assinale a alternativa que indica uma consequência gerada por um envolvimento falho 
da direção nesse processo. 
Resposta Selecionada: 
Auditorias internas do SGSI falhas ou não executadas. 
Resposta Correta: 
Auditorias internas do SGSI falhas ou não executadas. 
Comentário da
resposta: 
Resposta correta. A resposta está correta, pois, sem o envolvimento direto da 
direção, atividades de verificação de consistência do sistema, como auditorias 
internas, são facilmente ignoradas ou executadas de forma falha. Cabe à direção
garantir que esse tipo de atividade, crucial para a qualidade do sistema, seja 
executada a contento. 
1. Pergunta 6 
• 0 em 1 pontos
A identificação dos riscos de uma organização, por si só, não é suficiente para viabilizar 
a execução do processo de gestão como um todo. Outra atividade que se faz 
necessária é a análise e a avaliação de cada risco levantado. 
 
Assinale a alternativa que descreve adequadamente os resultados que podem ser 
esperados com a execução dessa etapa da gestão de riscos. 
Resposta 
Selecionada: 
 
Plano de ação a ser adotado considerando riscos de diferentes graus de 
urgência. 
Resposta Correta: 
Diretrizes para orientar ações e priorizações na gestão dos riscos de 
segurança. 
Comentário 
da resposta: 
Sua resposta está incorreta. A alternativa está incorreta, pois não há nenhuma 
obrigatoriedade de se construir uma ferramenta para a sistematização do 
processo de análise e avaliação dos riscos. Por isso, o uso das três variáveis da 
matriz GUT (Gravidade, Urgência e Tendência) é opcional. Mas nenhum plano 
de ação ou definição de prazo deve ser tratado nessa etapa da gestão de riscos. 
1. Pergunta 7 
• 1 em 1 pontos
O correto e eficaz gerenciamento dos riscos associados à segurança da informação 
requer que os envolvidos tenham um entendimento adequado do funcionamento da 
organização e de como a informação é usada dentro do modelo de negócio. 
 
Nesse sentido, assinale a alternativa que descreve uma ação necessária para a correta 
identificação dos riscos de uma organização. 
Resposta Selecionada: 
Realizar um estudo das políticas e das normas implementadas. 
Resposta Correta: 
Realizar um estudo das políticas e das normas implementadas. 
Comentário da
resposta: 
Resposta correta. A alternativa está correta, pois as normas e políticas vigentes 
na organização podem fornecer informações sobre como os requisitos de 
segurança estão sendo tratados. Caso falhas sejam identificadas no atendimento
desses requisitos, elas podem ser catalogadas como riscos. 
1. Pergunta 8 
• 1 em 1 pontos
O controle de acesso constitui uma área da análise de vulnerabilidades de umaorganização focada na avaliação do acesso à informação conforme requisitos de 
negócio e de segurança da informação. Em geral, essa atividade permeia múltiplos 
setores de uma organização. 
 
Indique a alternativa que descreva uma vulnerabilidade fora do escopo desse tipo de 
análise de vulnerabilidade. 
Resposta 
Selecionada: 
 
Indefinição de regras de segurança para o uso de equipamentos fora da 
organização. 
Resposta Correta: 
Indefinição de regras de segurança para o uso de equipamentos fora da 
organização. 
Comentário 
da resposta: 
Resposta correta. A alternativa está correta, pois regras discriminando a política 
de uso de equipamentos fora da organização compõem a análise de 
vulnerabilidades no âmbito de segurança física e do ambiente. Embora devam 
fazer parte da gestão da segurança da informação, estão fora do escopo da 
atividade de análise do controle de acesso. 
1. Pergunta 9 
• 1 em 1 pontos
A gestão de riscos é uma atividade com caráter cíclico. Isso quer dizer que todas as 
suas etapas devem ser continuamente executadas de forma a promover um 
gerenciamento efetivo e eficaz. Nesse sentido, a revisão dos riscos constitui o último 
passo que antecede uma nova iteração de todo o ciclo de gestão de riscos. 
 
Com a execução dessa etapa de gestão, espera-se como resultado que: 
Resposta 
Selecionada: 
 
riscos sejam atualizados e o tratamento a ser dado a eles seja modificado 
conformemente. 
Resposta Correta: 
riscos sejam atualizados e o tratamento a ser dado a eles seja modificado 
conformemente. 
Comentário da
resposta: 
Resposta correta. A alternativa está correta, pois, nessa última etapa do 
processo cíclico de gestão de riscos, estes devem estar alinhados com a 
realidade da organização. Além disso, espera-se que as ações planejadas para o 
tratamento de cada um deles estejam em harmonia com as necessidades 
vigentes na organização. 
1. Pergunta 10 
• 1 em 1 pontos
Uma etapa que deve preceder a implantação de um SGSI (Sistema de Gestão da 
Segurança da Informação) é o planejamento ou estabelecimento da aquisição desse 
software . Uma das atividades que compõem essa etapa é a identificação dos riscos 
vinculados ao sistema. 
 
Assinale a alternativa que indique uma ação pertencente à identificação dos riscos. 
Resposta 
Selecionada: 
 
Identificar impactos que incidentes de violação de segurança podem 
causar aos ativos. 
Resposta Correta: 
Identificar impactos que incidentes de violação de segurança podem 
causar aos ativos. 
Comentário 
da resposta: 
Resposta correta. A resposta está correta, pois a identificação dos riscos 
associados à implantação de um SGSI deve contemplar uma atividade de 
levantamento dos impactos que as perdas de confidencialidade, de integridade e 
de disponibilidade podem causar aos ativos da organização. Esse levantamento 
vai servir de subsídio para a proposição das ações de tratamento de cada risco.