Baixe o app para aproveitar ainda mais
Prévia do material em texto
Pergunta 1 • 1 em 1 pontos Tão importante quanto a elaboração do inventário de ativos é a definição dos proprietários ou responsáveis por cada um deles para a gestão da segurança dos ativos. Essas definições garantem que cada ativo tenha alguém designado para responder pelo seu uso e estado. Indique a alternativa que aponta corretamente uma atividade vinculada à definição dos proprietários dos ativos. Resposta Selecionada: Identificar, documentar e implementar regras para que seja permitido o uso de informações e dos ativos associados. Resposta Correta: Identificar, documentar e implementar regras para que seja permitido o uso de informações e dos ativos associados. Comentário da resposta: Resposta correta. A alternativa está correta, pois, associada à definição dos responsáveis por cada ativo, é recomendável que uma formalização do que representa o uso aceitável de cada um deles seja feita. Isso vai garantir objetividade na avaliação de qualquer incidente de segurança relacionado ao uso indevido do ativo. 1. Pergunta 2 • 1 em 1 pontos O monitoramento e a análise crítica de um software para gestão da segurança da informação (SGSI) é crucial para garantir que ele se mantenha aderente à realidade da organização e atendendo aos requisitos de segurança de forma eficaz. Considerando as atividades envolvidas nessa etapa do processo PDCA de implantação de um SGSI, analise as afirmativas a seguir. I. Identificar ataques que resultaram em alguma violação de segurança e quaisquer outros incidentes associados à segurança da informação. II. Apoiar a detecção de eventos associados à segurança da informação e dar suporte à prevenção de incidentes de segurança por meio de indicadores. III. Analisar as probabilidades vinculadas à ocorrência de falhas, considerando ameaças e vulnerabilidades mais recorrentes. IV. Definir como medir a eficácia dos controles selecionados e especificar como elas devem ser usadas para avaliar a eficácia dos controles. Está correto o que se afirma em: Resposta Selecionada: I e II, apenas. Resposta Correta: I e II, apenas. Comentário da resposta: Resposta correta. A alternativa está correta, pois a quantidade de violações de segurança efetivamente ocorridas e o número de incidentes e eventos de segurança da informação detectados são usados como subsídio para uma avaliação objetiva de como o SGSI está atendendo aos requisitos de segurança da informação. A avaliação de probabilidades de ocorrência de falhas de segurança e a definição de medidas de controle são executadas nas etapas anteriores ao monitoramento do sistema. 1. Pergunta 3 • 1 em 1 pontos Um dos setores que apresentam maior suscetibilidade a vulnerabilidades de segurança são as áreas físicas de uma organização. Quando essa é a realidade de uma organização, medidas de proteção devem ser prioritariamente implementadas nessas áreas. A respeito dessas implementações, analise as atividades a seguir e assinale V para medidas de proteção referente às áreas físicas e ao ambiente e F para as não pertencentes. I. ( ) Instalação de delimitadores físicos a fim de permitir apenas acessos autorizados. II. ( ) Supervisão registrada do fluxo de entrada e saída de pessoas. III. ( ) Exigência de identificação formal restrita ao momento de acesso às instalações. IV. ( ) Definição de área controlada para carga/descarga sem exigência de identificação. Assinale a alternativa que apresenta a sequência correta: Resposta Selecionada: V, V, F, F. Resposta Correta: V, V, F, F. Comentário da resposta: Resposta correta. A sequência está correta, pois a construção de barreiras físicas para a contenção de acessos não autorizados é recomendada como medida de proteção, assim como o controle de entradas físicas e os registros da data e hora de entrada e saída. Outra recomendação é que as identificações pessoais sejam mantidas visíveis durante toda a estadia na organização, o que não exclui áreas de carga e descarga acessadas por fornecedores. 1. Pergunta 4 • 1 em 1 pontos Riscos podem ser aceitos ou não por uma organização. Um risco pode ser aceito, por exemplo, se for avaliado que a sua probabilidade de ocorrência é baixa. Essa definição é feita na etapa de planejamento do tratamento dos riscos. Para aqueles riscos que não serão aceitos, um tratamento precisa ser apontado. Indique a alternativa que apresenta um tratamento adequado para algum risco identificado e analisado. Resposta Selecionada: Redirecionar o risco para parceiros ou fornecedores de serviços. Resposta Correta: Redirecionar o risco para parceiros ou fornecedores de serviços. Comentário da resposta: Resposta correta. A alternativa está correta, pois um dos tratamentos recomendados para serem dados a um risco é o de fazer sua transferência para seguradoras ou fornecedores. Naturalmente, não são todos os riscos que podem receber esse tratamento. Por isso, a etapa de planejamento é essencial para que a ação correta seja considerada. 1. Pergunta 5 • 1 em 1 pontos O sucesso de implantação de um software de gestão da segurança da informação (SGSI) tem forte relação com o grau de comprometimento da direção com todo o processo. Isso deve ficar evidente por meio de ações em apoio à introdução do sistema na organização. Assinale a alternativa que indica uma consequência gerada por um envolvimento falho da direção nesse processo. Resposta Selecionada: Auditorias internas do SGSI falhas ou não executadas. Resposta Correta: Auditorias internas do SGSI falhas ou não executadas. Comentário da resposta: Resposta correta. A resposta está correta, pois, sem o envolvimento direto da direção, atividades de verificação de consistência do sistema, como auditorias internas, são facilmente ignoradas ou executadas de forma falha. Cabe à direção garantir que esse tipo de atividade, crucial para a qualidade do sistema, seja executada a contento. 1. Pergunta 6 • 0 em 1 pontos A identificação dos riscos de uma organização, por si só, não é suficiente para viabilizar a execução do processo de gestão como um todo. Outra atividade que se faz necessária é a análise e a avaliação de cada risco levantado. Assinale a alternativa que descreve adequadamente os resultados que podem ser esperados com a execução dessa etapa da gestão de riscos. Resposta Selecionada: Plano de ação a ser adotado considerando riscos de diferentes graus de urgência. Resposta Correta: Diretrizes para orientar ações e priorizações na gestão dos riscos de segurança. Comentário da resposta: Sua resposta está incorreta. A alternativa está incorreta, pois não há nenhuma obrigatoriedade de se construir uma ferramenta para a sistematização do processo de análise e avaliação dos riscos. Por isso, o uso das três variáveis da matriz GUT (Gravidade, Urgência e Tendência) é opcional. Mas nenhum plano de ação ou definição de prazo deve ser tratado nessa etapa da gestão de riscos. 1. Pergunta 7 • 1 em 1 pontos O correto e eficaz gerenciamento dos riscos associados à segurança da informação requer que os envolvidos tenham um entendimento adequado do funcionamento da organização e de como a informação é usada dentro do modelo de negócio. Nesse sentido, assinale a alternativa que descreve uma ação necessária para a correta identificação dos riscos de uma organização. Resposta Selecionada: Realizar um estudo das políticas e das normas implementadas. Resposta Correta: Realizar um estudo das políticas e das normas implementadas. Comentário da resposta: Resposta correta. A alternativa está correta, pois as normas e políticas vigentes na organização podem fornecer informações sobre como os requisitos de segurança estão sendo tratados. Caso falhas sejam identificadas no atendimento desses requisitos, elas podem ser catalogadas como riscos. 1. Pergunta 8 • 1 em 1 pontos O controle de acesso constitui uma área da análise de vulnerabilidades de umaorganização focada na avaliação do acesso à informação conforme requisitos de negócio e de segurança da informação. Em geral, essa atividade permeia múltiplos setores de uma organização. Indique a alternativa que descreva uma vulnerabilidade fora do escopo desse tipo de análise de vulnerabilidade. Resposta Selecionada: Indefinição de regras de segurança para o uso de equipamentos fora da organização. Resposta Correta: Indefinição de regras de segurança para o uso de equipamentos fora da organização. Comentário da resposta: Resposta correta. A alternativa está correta, pois regras discriminando a política de uso de equipamentos fora da organização compõem a análise de vulnerabilidades no âmbito de segurança física e do ambiente. Embora devam fazer parte da gestão da segurança da informação, estão fora do escopo da atividade de análise do controle de acesso. 1. Pergunta 9 • 1 em 1 pontos A gestão de riscos é uma atividade com caráter cíclico. Isso quer dizer que todas as suas etapas devem ser continuamente executadas de forma a promover um gerenciamento efetivo e eficaz. Nesse sentido, a revisão dos riscos constitui o último passo que antecede uma nova iteração de todo o ciclo de gestão de riscos. Com a execução dessa etapa de gestão, espera-se como resultado que: Resposta Selecionada: riscos sejam atualizados e o tratamento a ser dado a eles seja modificado conformemente. Resposta Correta: riscos sejam atualizados e o tratamento a ser dado a eles seja modificado conformemente. Comentário da resposta: Resposta correta. A alternativa está correta, pois, nessa última etapa do processo cíclico de gestão de riscos, estes devem estar alinhados com a realidade da organização. Além disso, espera-se que as ações planejadas para o tratamento de cada um deles estejam em harmonia com as necessidades vigentes na organização. 1. Pergunta 10 • 1 em 1 pontos Uma etapa que deve preceder a implantação de um SGSI (Sistema de Gestão da Segurança da Informação) é o planejamento ou estabelecimento da aquisição desse software . Uma das atividades que compõem essa etapa é a identificação dos riscos vinculados ao sistema. Assinale a alternativa que indique uma ação pertencente à identificação dos riscos. Resposta Selecionada: Identificar impactos que incidentes de violação de segurança podem causar aos ativos. Resposta Correta: Identificar impactos que incidentes de violação de segurança podem causar aos ativos. Comentário da resposta: Resposta correta. A resposta está correta, pois a identificação dos riscos associados à implantação de um SGSI deve contemplar uma atividade de levantamento dos impactos que as perdas de confidencialidade, de integridade e de disponibilidade podem causar aos ativos da organização. Esse levantamento vai servir de subsídio para a proposição das ações de tratamento de cada risco.
Compartilhar