Exercícios - GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO (NPG1540)

Prévia do material em texto

Lista de Exercício – Governança de
Segurança da Informação
1) A Dra. Ana Carolina possui um escritório especializado em Direito Internacional. Um 
dos seus clientes, a empresa brasileira XPTO, representada pelo seu CEO Henrique 
Brandão, procurou o escritório para informar que sua empresa passaria a negociar ações 
ADR (American Depositary Receipt) nas bolsas norte-americanas e se, por conta disso, a 
organização estaria submetida a alguma lei específica. A Dra. Ana Carolina explicou ao 
Sr. Henrique Brandão que existe uma lei americana, de julho de 2002, que afeta a 
divulgação financeira de empresas que têm ações negociadas nas bolsas dos Estados 
Unidos. Disse também que o não cumprimento dessa lei pode ocasionar a prisão do CEO 
e do CFO, além de sanções pecuniárias.
Que lei é essa?
a) Lei Sarbanes-Oxley c) Lei Rockefeller e) Lei Protection
b) Lei Protecionista d) Lei Firewall
R: a) A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo 
presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei afeta a 
divulgação financeira de empresas que têm ações negociadas em bolsas dos 
Estados Unidos da América.
2) O conceito aqui descrito se relaciona com o modo como as empresas são dirigidas e 
controladas. Nesse contexto, é criada uma expectativa que nem sempre atingida, 
relacionando o esforço dos administradores para aumentar o valor da empresa visando 
aos acionistas. Existe ainda uma preocupação com a transparência, a equidade, a 
prestação de contas e a responsabilidade corporativa. A opção que melhor define o 
conceito descrito acima é:
a) Acordo de Basileia c) Governança de valor
b) Governança Corporativa d) Governança Contábil
e) Resolução 3380 do Banco Central do Brasil
R: b) Podemos entender a Governança Corporativa como um sistema baseado em 
um conjunto de mecanismos pelo qual os negócios e as corporações possam ser 
dirigidos e controlados, fazendo com que as decisões corporativas sejam sempre 
tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo 
prazo para o negócio. 
3) Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de 
interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para 
reduzir seus custos. A teoria sustenta que as relações humanas levam, inevitavelmente, a 
conflitos de interesse. Nas relações hierárquicas, não se pode afirmar que o subordinado 
sempre agirá no melhor interesse do principal. A opção que melhor define o conceito 
descrito acima é:
a) Teoria de interesses c) Teoria do agente-principal e) Teoria vanguardista
b) Teoria hierárquica d) Teoria maximizadora de utilidade
R: c) Essa teoria é fundamentada no agente-principal e na compreensão entre 
agente (tomadores de decisão) e principal (pessoas que confiam as decisões para 
terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá no 
melhor interesse do principal. Isto implicará num problema entre ambos, conhecido
como problema do agente-principal ou problema de agência.
4) Esse acordo fez com que as principais autoridades bancárias de vários países 
criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou 
a Resolução 3380, determinando que as instituições financeiras e demais instituições 
autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria 
estrutura de gerenciamento de riscos. A opção que melhor define o conceito descrito 
acima é:
a) Acordo de globalização c) Acordo internacional
b) Acordo bancário d) Acordo de Basileia II
e) Acordo entre os países mais ricos
R: d) O Acordo da Basileia II fez com que as principais autoridades bancárias de 
vários países criassem seus modelos derivados. Em junho de 2006, o Banco 
Central do Brasil publicou a Resolução 3380, determinando que as instituições 
financeiras e demais instituições autorizadas a funcionar pelo Banco Central 
criassem e implantassem sua própria estrutura de gerenciamento de riscos.
5) Segundo Weill & Ross (2006), o lado comportamental da governança de TI define os 
relacionamentos formais e informais, e confere direitos decisórios a indivíduos ou grupo 
de indivíduos específicos. O lado normativo define mecanismos, formalizando os 
relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar 
que os objetivos sejam atingidos. Neste contexto, a Governança de TI eficaz deve tratar 
de três questões:
I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?
II) Quem deve tomar essas decisões?
III) Como essas decisões serão tomadas e monitoradas?
Destas três questões, quais aparecem diretamente na Matriz de Arranjos de Governança 
de TI?
a) Apenas a questão I c) Apenas a questão III e) Apenas as questões I e II
b) Apenas a questão II d) As questões I, II e III
R: e) Os títulos das colunas da Matriz de Arranjos listam as decisões que devem ser
tomadas e as linhas quem deve tomá-las.
6) Segundo Weill & Ross (2006), na Matriz de Arranjos de Governança de TI os princípios 
de TI motivam a arquitetura de TI, que leva à infraestrutura de TI. Já a infraestrutura 
habilita o desenvolvimento das aplicações com base nas necessidades de negócio. Por 
fim, os investimentos devem ser motivados pelas necessidades de aplicações. A questão 
de Weill & Ross (2006) relacionada com este contexto é:
a) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI?
b) Quem deve tomar essas decisões?
c) Como essas decisões serão tomadas e monitoradas?
d) Quais estereótipos estão envolvidos na tomada dessas decisões?
e) Quais unidades de negócio devem tomar essas decisões?
R: a) Os títulos das colunas da Matriz de Arranjos de Governança de TI listam as 
cinco decisões de TI inter-relacionadas. 
7) Analise as seguintes afirmações: I) Trata das questões relacionadas às decisões que 
devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas
decisões e como essas decisões serão tomadas e monitoradas. II) Envolve os conceitos 
básicos de confidencialidade, integridade e disponibilidade. III) Cada modelo de 
governança se junta a outros modelos para configurar os modelos que a compõe.
Estas afirmações estão associadas respectivamente a:
a) Governança Ambiental, Governança de Segurança da Informação e Governança 
Corporativa.
b) Governança Administrativa, Governança de Segurança da Informação e Governança 
Corporativa.
c) Governança de TI, Governança de Segurança da Informação e Governança 
Corporativa.
d) Governança de TI, Governança de Seguros e Governança Administrativa.
e) Governança Ambiental, Governança de Seguros e Governança Administrativa.
R: c) O item I está relacionado com as questões de Weill & Ross (2006) para 
Governança de TI; o item II trata do CID (Confidencialidade, Integridade e 
Disponibilidade), se relacionando com a Governança de Segurança da Informação; 
e o item III sugere que cada modelo de governança se junta a outros modelos para 
configurar os modelos que compõem a Governança Corporativa.
8) A Segurança da Informação se propõe a proteger a informação e a preservar o seu 
valor. Um dos elementos que a compõe é a __________, responsável pela fidedignidade 
e totalidade da informação, mantendo as características originais e sua validade de 
acordo com os valores e expectativas do negócio.
a) Confidencialidade c) Auditabilidade e) Elasticidade
b) Disponibilidade d) Integridade
R: d) A integridade mantém as características originais da informação, 
estabelecidas pelo dono da informação.
9) Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na 
visão de muitos executivos quando o assunto é segurança da informação. “A porção de 
gelo que vemos fora da linha d’água é comumente correspondente a apenas 1/7 de todo 
o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos”. A 
probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de 
confidencialidade, integridade e disponibilidade, chama-se:
a)Impacto c) Desvio padrão e) Ataque
b) Incidente d) Risco
R: d) Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando 
perdas de confidencialidade, integridade e disponibilidade, causando, 
possivelmente impacto no negócio.
10) Muitos executivos ainda associam a Segurança da Informação exclusivamente à área 
de Tecnologia. Este entendimento parcial acaba fazendo com que algumas ações sejam 
tomadas de forma equivocada. Qual das opções abaixo representa uma decisão 
equivocada:
a) Definir os investimentos em segurança sem subestimá-los.
b) Elaborar planos de ação de Segurança da Informação orientados à proatividade.
c) Tratar as atividades de segurança como investimento.
d) Tratar a segurança como processo e não como projeto.
e) Pensar que a segurança não possui interferência no negócio.
R: e) A Segurança da Informação é definitivamente um importante componente do 
negócio.
11) Em todo momento, as empresas são vítimas de __________ que buscam 
__________ que possam ajudar a concretizar um ataque. E, quando essa possibilidade 
aparece, e o ataque é realizado, a segurança é quebrada. 
a) Ameaças / fragilidades c) Fragilidades / riscos e) Riscos / 
impactos
b) Impactos / riscos d) Ameaças / impactos
R: a) Em todo momento, as empresas são vítimas de ameaças buscando 
fragilidades que possam ajudar a concretizar um ataque. E, quando essa 
possibilidade aparece, e o ataque é realizado, a segurança é quebrada.
12) Para implementar a Segurança da Informação, na empresa, deve-se estabelecer um 
escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão 
de forma corporativa. Associe a coluna da direita de acordo com o modelo de Sêmola na 
coluna da esquerda:
Algumas etapas de Sêmola 
(2014)
Descrição
1. Mapeamento de segurança ( ) Elaborar uma política de Segurança da Informação
2. Estratégia de segurança ( ) Criar sinergia entre os cenários atual e desejado. 
3. Planejamento de segurança ( ) Divulgar corporativamente a política de segurança.
4. Implementação da 
segurança
( ) Inventariar os ativos físicos, tecnológicos, humanos e 
ambientais.
a) 1, 2, 3, 4 c) 1, 3, 4, 2 e) 2, 3, 1, 4
b) 3, 2, 4, 1 d) 4, 3, 1, 2
R: b) O modelo de Sêmola (2014) é composto de sete etapas: (1) comitê corporativo 
de segurança da informação, (2) mapeamento de segurança, (3) estratégia de 
segurança, (4) planejamento de segurança, (5) implementação de segurança, (6) 
administração de segurança e (7) segurança na cadeia produtiva.
13) A área, o processo de negócio e o ativo de informação compõem os itens 
organizacionais. Esses componentes devem ser identificados e mapeados durante a 
realização do projeto de Segurança da Informação Corporativa. Com relação aos 
componentes organizacionais podemos afirmar que:
a) São utilizados para definir a abrangência da Segurança da Informação na 
empresa.
b) Devem ser identificados após a conclusão do projeto de Segurança da Informação.
c) Os processos nunca devem ser priorizados porque se equivalem.
d) As entrevistas devem ficar restritas à alta direção da empresa.
e) Os processos devem ser detalhados em subprocessos.
R: a) Os componentes organizacionais são utilizados para definir a abrangência da 
Segurança da Informação na empresa. O resultado desse trabalho permitirá que se 
faça uma análise servindo de base para diagnosticar a situação atual da Segurança 
da Informação na empresa, e também para endereçar o escopo da gestão de riscos.
14) Após a realização do mapeamento das áreas da empresa é feito o mapeamento dos 
processos de negócio. Para cada processo de negócio é identificada a sua área, o seu 
responsável e a sua relevância para a organização, bem como os resultados do estudo de
impacto e prioridade dos processos. Com relação ao estudo de impacto podemos afirmar 
que:
a) Não possui relação com a confidencialidade, a integridade e a disponibilidade.
b) Auxilia na identificação da sensibilidade de cada processo na eventualidade de 
uma possível quebra dos princípios básicos de Segurança da Informação.
c) Trata de a probabilidade de ameaças explorarem vulnerabilidades.
d) São exclusivamente decorrentes de fenômenos da natureza, como incêndios e 
enchentes.
e) São decorrentes de ameaças involuntárias causadas por agentes humanos como 
invasores e espiões.
R: b) O estudo de impacto auxilia na identificação da sensibilidade de cada 
processo na eventualidade de uma possível quebra dos princípios básicos de 
Segurança da Informação.
15) Trata-se de um recurso utilizado para auxiliar na priorização de resolução de 
problemas. Ele classifica cada problema utilizando três variáveis. A prioridade é obtida 
aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a 
pontuação se aproxima de 5. Uma vez obtidos os valores de cada uma das três 
dimensões, esses valores de classificação são multiplicados, gerando o resultado final. O 
recurso descrito acima se chama:
a) Matriz BSC c) Matriz GUT e) Matriz BCG
b) Matriz ABC d) Matriz SWOT
R: c) A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução 
de problemas. Ela classifica cada problema utilizando três variáveis: a gravidade 
(G) do problema; a urgência (U) de resolução do problema; e a tendência (T) do 
problema piorar com mais rapidez ou de forma mais lenta. A prioridade é obtida 
aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que 
a pontuação se aproxima de 5. Uma vez obtidos os valores de cada dimensão (G, U,
T), esses valores de classificação são multiplicados (G x U x T), gerando o GUT 
final.
16) Após o mapeamento dos componentes organizacionais é hora de planejar as ações a 
partir da consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um 
mapa de relacionamento e dependência entre os processos de negócio, as aplicações e a
infraestrutura física, tecnológica e humana. Em outras palavras, devem ser estudados 
todos os ativos que sustentam os processos de negócio. Serão entrevistados os gestores 
capacitados para ajudar a levantar números e informações topológicas, físicas e 
tecnológicas, ligadas aos processos de negócio. Com tudo inventariado, é hora de 
elaborar o:
a) Plano Diretor Corporativo.
b) Plano Diretor de TI.
c) Plano Estratégico de Tecnologia da Informação.
d) Plano Diretor de Segurança da Informação.
e) Plano Estratégico Corporativo.
R: d) Plano Diretor de Segurança da Informação, estabelecendo as diretrizes 
básicas que nortearão as atividades e os projetos necessários que serão 
distribuídos ao longo do tempo e de acordo com a prioridade relacionada com a 
relevância de cada processo de negócio.
17) A adoção de um modelo de Governança de Segurança da Informação exige que o 
foco desse trabalho seja estudado tanto nos aspectos que se relacionam ao seu 
segmento de negócio da empresa quanto nos aspectos que se referem à segurança da 
informação propriamente dita. A modelagem da Segurança da Informação e o 
consequente estabelecimento da governança influenciarão na credibilidade do ambiente 
de TI, possibilitando um maior e melhor controle sobre os ativos de informação, assim 
como sobre os serviços disponibilizados pela empresa e que são sustentados pela área 
de TI. Considerando o contexto apresentado, segundo a ABNT NBR ISO/IEC 27014:2013,
um dos itens para que o projeto de Governança de Segurança da Informação seja bem-
sucedido é:
a) Desenvolver a estratégia de Segurança da Informação em função da estratégia 
estabelecida para se alcançar os objetivos do negócio.
b) Desenvolver a estratégia do negócio em função da estratégia estabelecida para se 
alcançar os objetivos da Segurança da Informação.
c) Desenvolver a Governança de Segurança da Informação desconsiderando as 
informações sobre a estratégia do negócio.
d) Ter como premissa que os objetivos e a estratégia do negócio não influenciarão na 
implementação da Governança de Segurança da Informação.
e) Não utilizar o mapeamento das ameaças relacionadas com a Segurança da Informaçãona implementação da Governança da Segurança da Informação. 
R: a) A estratégia da área de TI deve se alinhar com a estratégia da área de negócio 
para poder ajudar a empresa a agregar valor nas suas atividades diárias.
18) A norma ABNT NBR ISO/IEC 27014:2013, define seis princípios orientadores da 
Governança de Segurança da Informação. São declarações de alto nível que definem 
como a Segurança da Informação será utilizada no negócio da organização. NÃO é um 
dos princípios orientadores da Governança de Segurança da Informação:
a) Estabelecer a segurança da informação em toda a organização.
b) Adotar uma abordagem baseada em riscos.
c) Estabelecer a direção de decisões de investimento.
d) Assegurar a não conformidade com os requisitos internos e externos.
e) Analisar criticamente o desempenho em relação aos resultados de negócios.
R: d) Assegurar a conformidade com os requisitos internos e externos.
19) A norma ABNT NBR ISO/IEC 27014:2013 possui um modelo baseado em processos. 
Um desses processos considera que as trocas de informação com as partes interessadas 
são realizadas, considerando os objetivos da Segurança da Informação e também as 
ações pertinentes que foram implantadas. O nome desse processo é:
a) Processo de comunicação c) Processo de garantia e) Processo de monitoração
b) Processo de direção d) Processo de avaliação
R: a) Trocas de informação com as partes interessadas.
20) A criação da estratégia da Governança de Segurança da Informação necessita de 
alguma ferramenta de gestão estratégica que possa ajudar a materializá-la. Tal 
ferramenta deve apoiar a modelagem, a mensuração e o gerenciamento dos processos 
de formulação, e a gestão dessa estratégia. Deve ainda proporcionar uma visão sistêmica
das principais decisões e ações que direcionarão a evolução da Governança de 
Segurança da Informação, traduzidas em objetivos, indicadores e metas, além de projetos
e planos de ação. Para atender a essas necessidades, a ferramenta indicada é:
a) SWOT c) GUT e) Val IT
b) TOGAF d) Balanced Scorecard (BSC)
R: d) O Balanced Scorecard (BSC) é muito utilizado para materializar a estratégia da
empresa.
21) Associe a coluna da direita de acordo com as definições de Sêmola (2014), aplicadas 
no Sistema de Gestão de Segurança da Informação (SGSI): A sequência que mostra a 
associação correta é:
Descrição da atividade (Sêmola, 2014) Atividade
I. Aponta o caminho e tudo o que é necessário para suprir as 
necessidades de segurança do negócio, conduzindo-o a 
operar com risco controlado.
( ) Implementação de 
controles de 
segurança.
II. Planeja a continuidade das atividades de negócio, caso 
ocorra alguma falha ou desastre significativos. Permite a 
retomada das atividades em tempo hábil, sempre que 
necessário.
( ) Equipe para 
resposta a incidentes.
III.Aplica mecanismos de controle de segurança para atingir o 
nível de risco adequado.
( ) Plano de 
Continuidade de 
Negócios (PCN).
IV.Cuida para que as fragilidades e os eventos relacionados à 
Segurança da Informação possam ser tratados em tempo 
hábil.
( ) Plano Diretor de 
Segurança (PDS).
a) IV, II, I e III c) III, I, II e IV e) II, IV, III e I
b) I, III, II e IV d) III, IV, II e I
R: d) Os conceitos são estabelecidos de acordo com cada definição.
22) A norma ABNT NBR ISO/IEC 27001:2013 propõe um Sistema de Gestão de 
Segurança da Informação (SGSI) com base no PDCA. Associe a coluna da direita de 
acordo com as descrições das fases do PDCA: A sequência que mostra a associação 
correta é:
Descrição da fase Fase
I. Manter e melhorar o SGSI. ( ) Planejar
II. “Estabelecer a política, os objetivos, os processos e os 
procedimentos do SGSI, relevantes para a gestão de riscos e
a melhoria da segurança da informação para produzir 
resultados de acordo com as políticas e objetivos globais de 
uma organização”. (ABNT NBR ISO/IEC 27001:2013)
( ) Agir
III. “Implementar e operar a política, controles, processos e 
procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013)
( ) Checar
IV.Monitorar e analisar criticamente o SGSI. ( ) Fazer
a) II, I, IV e III c) III, II, I e IV e) II, I, III e IV
b) I, II, IV e III d) IV, II, I e III
R: a) Utilização das fases do PDCA associadas ao SGSI, de acordo com a norma 
ABNT NBR ISO/IEC 27001:2013.
23) Considere a seguinte afirmação: “Evitar violações de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da 
informação”. (ABNT NBR ISO/IEC 27002:2013). Esta afirmação está relacionada mais 
especificamente com:
a) Confidencialidade c) Integridade e) Conformidade
b) Auditabilidade d) Disponibilidade
R: e) Conformidade, significando o cumprimento das obrigações, das políticas e 
das regras estabelecidas interna e externamente.
24) As informações existentes, em cada empresa, possuem importâncias e valores que 
transpassam os vários ambientes para sustentar os processos de negócio. Informações 
distintas necessitam de proteções distintas e, nesse sentido, há necessidade de se 
estabelecer um modelo de Gestão de Segurança da Informação (GSI) que possa se 
adequar aos atuais e futuros desafios de cada empresa.
Analise as seguintes proposições:
I) O modelo do Sistema de Gestão de Segurança da Informação (SGSI) proposto pela 
norma ABNT NBR ISO/IEC 27001:2013 utiliza o PDCA.
II) A fase Check - Checar (C) do PDCA está relacionada com “avaliar e, quando aplicável, 
medir o desempenho de um processo frente à política, objetivos e experiência prática do 
SGSI e apresentar os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC
27001:2013)
III) A fase Do - Fazer (D) do PDCA está relacionada com “implementar e operar a política, 
controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013)
IV) Com relação à segurança da informação, a análise de risco realiza um diagnóstico da 
situação atual da empresa.
De acordo com as proposições, estão corretas:
a) Apenas a proposição I.
b) Apenas a proposição II.
c) Apenas as proposições II e III.
d) Apenas as proposições I, II e III.
e) As proposições I, II, III e IV.
R: e) Todas as proposições estão corretas e alinhadas com a norma ABNT NBR 
ISO/IEC 27001:2013.
25) Avalie as proposições a seguir e identifique com (V) as proposições Verdadeiras e 
com (F) as proposições Falsas:
( ) Em geral, a classificação da informação determina como essa informação será tratada 
e protegida.
( ) As pessoas devem ser treinadas e conscientizadas porque é nas pessoas que começa 
e termina a segurança.
( ) Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da 
informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma 
solução completa.
( ) A conscientização, em segurança da informação, é um pré-requisito para a implantação
de uma Governança de Segurança da Informação bem-sucedida.
A sequência correta da avaliação das proposições é:
a) V, V, V, V c) F, F, F, F e) F, V, V, F
b) V, F, V, F d) V, V, F, V
R: a) Todas as proposições estão corretas. 
26) O ciclo de vida da informação existe para todo e qualquer tipo de informação. No 
estabelecimento da cultura de Segurança da Informação, todos devem ter esse 
conhecimento e saber que esse ciclo de vida é composto por quatro momentos. A 
sequência que melhor representa, respectivamente, os momentos do ciclo de vida da 
informação, é:
a) Manuseio; armazenamento; transporte; e descarte.
b) Armazenamento; manuseio; transporte; e descarte.
c) Armazenamento; transporte; manuseio; e descarte.
d) Preparo; armazenamento; transporte; e descarte.
e) Preparo; manuseio; armazenamento; e descarte.
R: a) Toda informação possui um ciclo de vida que vai desde o manuseio, onde a 
informação é criada e manipulada; até o descarte, onde a informação é descartada.
27) Na cultura em Segurança da Informação, é importante mostrar as camadas que 
estabelecem barreiras para as ameaças aos ativos da organização. Considere as quatro 
primeiras camadas apresentadas por Sêmola (2014):
1. Detectar
2. Desencorajar3. Dificultar
4. Discriminar
A opção que representa a sequência correta dessas barreiras é: 
a) 2, 3, 4, 1. c) 4, 3, 1, 2. e) 3, 2, 4, 1.
b) 1, 2, 4, 3. d) 3, 4, 2, 1.
R: a) Sequência correta: desencorajar; dificultar; discriminar; e detectar. 
28) Todos, na empresa, devem ter conhecimento e consciência sobre o valor da 
informação que dispõem e manipulam independente dela ser pessoal ou institucional. O 
treinamento e a conscientização em Segurança da Informação devem ter o objetivo de 
influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com 
a proteção dos ativos de informações da empresa. Existem vários recursos de apoio para 
disseminação da cultura em Segurança da Informação, na empresa, conforme exemplos 
citados por Sêmola (2014), exceto:
a) Seminários abertos para toda empresa.
b) Campanha de divulgação para toda empresa.
c) Carta do presidente para área de Informática.
d) Termo de responsabilidade para toda a empresa.
e) Termo de confidencialidade para toda empresa.
R: c) Carta do presidente para toda a empresa. 
29) A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez 
mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no 
trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa 
no próprio dispositivo. Esta tendência recebeu o nome de:
a) Bring Your Own Device (BYOD) d) Geração Z
b) Geração X e) Geração baby bommer
c) Geração Y
R: a) Bring Your Own Device (BYOD). 
30) Considere a seguinte definição do National Institute of Standard and Technology — 
NIST —, em 2011: “um modelo para permitir o acesso conveniente, sob demanda, a uma 
rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: 
redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente 
provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor 
de serviço”. Trata-se de uma definição de:
a) Computação em nuvem (cloud computing) c) TOGAF
b) Big data e) DAMA DMBOK
d) Business Process Outsourcing (BPO)
R: a) Computação em nuvem permite acesso sob demanda.
31) As empresas costumam terceirizar sempre que, por algum motivo, não compensar 
para elas desenvolver determinada atividade internamente. Apesar da impulsividade de 
alguns empresários, terceirizar pode ser um grande desastre se não for respaldado por 
um planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, 
fixando objetivos e definindo as melhores condições para atingi-los.
Analise as seguintes proposições:
I) A terceirização da área de TI não influencia na Governança de Segurança da 
Informação.
II) Uma das justificativas da terceirização da área de TI é a empresa querer se concentrar 
na sua atividade principal — core business.
III) A empresa que estiver em processo de terceirização deve escolher o provedor de 
serviços baseada no menor custo, uma vez que todos eles oferecem um ambiente seguro
e com os riscos mitigados.
IV) A terceirização de TI pode ser total ou parcial.
De acordo com as proposições, estão corretas:
a) Apenas as proposições II e IV.
b) Apenas a proposição I.
c) Apenas a proposição II.
d) Apenas as proposições I e III.
e) As proposições I, II, III e IV.
R: a) A terceirização influencia a área de TI. O custo é apenas um dos itens a serem 
avaliados.
32) Considere a seguinte definição de Siewert citado por Fernandes; Abreu (2014): 
“Definido genericamente como a captura, gerenciamento é a análise de dados que vão 
além dos dados tipicamente estruturados, que podem ser consultados e pesquisados 
através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos 
não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de 
qualquer tipo de dados não contidos em registros típicos com campos que podem ser 
pesquisados”. Trata-se de uma definição de:
a) Computação em nuvem (cloud computing)
b) Big data
c) TOGAF
d) Business Process Outsourcing (BPO)
e) DAMA DMBOK
R: b) Definição de big data.