AVA II - Sistemas de Informação em Segurança

Prévia do material em texto

25/08/2021 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjkwNTQyIiwiZGVzY3JpcHRpb24iOiJBdmF… 1/4
O Information Systems Audit and Control Association (ISACA), uma Associação de Auditoria e Controle de Sistemas de
Informação internacional viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5, fornecendo orientação sobre
as exigências relativas ao comportamento humano, tendo como princípio básico guias que detalham os habilitadores de governança
e gestão. Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5, classifique V para as sentenças verdadeiras
e F para as falsas: 
( ) Os habilitadores do Cobit 5 incluem pessoas, habilidades e competências, bem como cultura, ética e comportamento. 
( ) Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de inovação organizacional. 
( ) Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - F.
B V - F - F.
C F - F - V.
D V - F - V.
A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são
adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado, desenvolvido e implementado. A
respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento,
classifique V para as sentenças verdadeiras e F para as falsas: 
( ) (1) Modelo 1: Política, estratégia e implementação centralizada. (2) Modelo 2: Política e estratégia centralizada, implementação
distribuída. (3) Modelo 3: Política centralizada, estratégia distribuída e implementação. 
( ) (1) Modelo 1: Norma, Plano de Segurança e implementação da Segurança. (2) Modelo 2: Norma, Plano de Segurança,
implementação centralizada. (3) Modelo 3: Política centralizada, Plano de Segurança distribuída. 
( ) (1) Modelo 1: Processo e Normas de implementação distribuída. (2) Modelo 2: Diretrizes e políticas centralizada,
implementação e distribuída. (3) Modelo 3: Política centralizada, plano de segurança distribuída e implementação. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V.
B F - V - F.
C V - F - F.
D F - F - V.
Os seis principais princípios para um Sistema de Governança (Governance System) e três princípios do Framework de
Governança servem como referência à segurança, ao risco, ao desenvolvimento e operação das organizações. Com relação a esses
princípios de Sistema e Framework de Governança, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os seis princípios do sistema de governança são (1) Prover valor para os gestores, (2) visão Analítica, (3) Sistema de
Governança holístico, (4) Diferença Governança de Processos, (5) Adaptados às necessidades das pessoas e (6) Sistema de Gestão do
Conhecimento. 
( ) Os seis princípios do sistema de governança são (1) Prover valor para as partes interessadas, (2) visão holística, (3) Sistema de
Governança Dinâmico, (4) Diferencia Governança de Gestão, (5) Adaptados às necessidades das empresas e (6) Sistema de
Governança fim-a-fim. 
( ) Os três princípios do framework de governança são (1) Baseado em modelo conceitual, (2) Aberto e flexível e (3) Alinhado com
a maioria dos padrões. 
( ) Os três princípios do framework de governança são mais importantes que os seis princípios do sistema de governança, pois
tratam da segurança de forma mais completa. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - V.
B F - V - V - V.
C F - V - V - F.
1
2
3
25/08/2021 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjkwNTQyIiwiZGVzY3JpcHRpb24iOiJBdmF… 2/4
D V - F - V - F.
Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações.
Portanto, é importante contar com um plano de conscientização em segurança da informação para garantir a segurança de estratégias
e projetos internos das organizações. A postura de segurança de TI e a vigilância dentro de uma organização melhora
consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI. No que se refere ao que deve ser
descrito na ETAPA 1: PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO, classifique V para as sentenças verdadeiras e F
para as falsas: 
( ) Realizar a descrição de como estruturar a atividade de conscientização e treinamento, como e por que realizar uma avaliação de
necessidades. 
( ) Realizar a descrição de como desenvolver um plano de conscientização e treinamento, como estabelecer prioridades e como
definir o nível de complexidade do objeto adequadamente. 
( ) Realizar a descrição de como financiar o programa de conscientização.
( ) Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de
conscientização e treinamento, bem como realizar a verificação de qual área deve ser realizada a conscientização.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B V - V - V - F.
C V - V - F - V.
D V - F - V - F.
A sigla COBIT significa, em inglês, objetivos de controle para a informação e tecnologia (Control Objetives for Information
and related Technology) e tem como objetivo promover um modelo para Governança de TI confiável, adotado por empresas, sendo
atualizado diariamente por gerentes de negócio, profissionais de TI e auditores. Com relação às etapas da estrutura do Cobit®2019,
analise as sentenças a seguir: 
I- É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento. 
II- É composta pela etapa de Desenhar seu Sistema de Governança de Informação & Tecnologia e de Implementar e Otimizar seu
Sistema de Governança de Informação & Tecnologia. 
III- É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação
& Tecnologia. 
Assinale a alternativa CORRETA:
A As sentenças II e III estão corretas.
B As sentenças I e II estão corretas.
C As sentenças I e III estão corretas.
D Somente a sentença I está correta.
O Ciclo PDCA significa Plan, Do, Check, Action (Planejar, Fazer, Verificar e Agir), e é um método que tem a função de
garantir que a empresa organize seus processos. A norma ISO 27001 faz referência ao modelo PDCA aplicado para estruturar todos
os processos do Sistema de Gerenciamento de Segurança da Informação (SGSI), que é composto por um conjunto de ações de
forma sequencial para atender à área de Segurança da Informação. Com relação a estas etapas do modelo PDCA (Plan, Do, Check,
Action ) para o SGSI, analise as sentenças a seguir: 
I- Durante o Plan faz-se o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do SGSI. 
II- Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisa-se os resultados e implementa melhorias no
SGSI. 
III- A etapa Plan faz a identificação do SGSI e na etapa do Act realizam-se as mudanças do SGSI. 
IV- Na etapa Check realiza-se o monitoramento e a análise crítica do SGSI e a etapa do Do serve para fazer a implementação e a
operação do SGSI. 
Assinale a alternativa CORRETA:
4
5
6
25/08/2021 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjkwNTQyIiwiZGVzY3JpcHRpb24iOiJBdmF… 3/4
A As sentenças II e IV estão corretas.
B As sentenças I e IV estão corretas.
C As sentenças III e IV estão corretas.
D As sentenças I e III estão corretas.
A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da
organização trata sobre "implementação do programa", na qual é compreendida a etapa responsável pela realização da comunicação e
implementação do plano de conscientização e treinamento, com o objetivo de realizar a entregade material para todos os
colaboradores da organização. Com relação ao formato de realização desta etapa de Implementação do Programa, analise as
sentenças a seguir: 
I- Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web, ensino a distância, vídeo, no local entre
outros. 
II- As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros,
boletins, lista de verificação, cartazes informando o que fazer o não fazer, sessões de teleconferência, seminários, entre outros. 
III- As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de
workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação
da própria organização. 
Assinale a alternativa CORRETA:
A As sentenças I e II estão corretas.
B As sentenças II e III estão corretas.
C As sentenças I e III estão corretas.
D Somente a sentença II está correta.
A ABNT NBR ISO/IEC 27001 tem na sua estrutura de 0 a 10 seções, anexos e bibliografias que buscam de maneira objetiva e
de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do seu tipo, tamanho ou natureza. Com
relação a estas 10 seções da estrutura da ABNT NBR ISO/IEC 27001, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) As seções são (0) introdução, (1) escopo, (2) referências normativas, (3) Termos e definições, (4) Contexto da organização, (5)
Liderança, (6) Planejamento, (7) Suporte, (8) Operação, (9) Avaliação de desempenho e (10) Melhorias. 
( ) As seções (2) referências normativas e (4) Contexto da organização especifica os requisitos genéricos e específicos do SGSI
adaptado à cultura da organização. 
( ) Na seção (0) introdução descreve um processo para gerenciar sistematicamente os riscos à informação e como a seção (5)
está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI, determinando políticas e atribuindo funções,
responsabilidades e autoridades responsáveis pela segurança da informação. 
( ) A seção (6) descreve o processo de identificação, análise e planejamento de como os riscos às informações devem ser tratados e
esclarece os objetivos de segurança das informações e a seção (10) aborda as conclusões de auditorias e revisões, não conformidades
e ações corretivas buscando de forma contínua a melhoria.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V - V.
B V - V - V - F.
C V - F - V - V.
D V - F - F - V.
Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação
são a International Organization for Standardization (ISO), a International Electrotechnical Commission (IEC), Associação Brasileira
de Normas Técnicas (ABNT) e as Normas Brasileiras (BNR). Com relação às normas de Segurança de Informação, assinale a
alternativa CORRETA:
A A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento de conscientização.
7
8
9
25/08/2021 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjkwNTQyIiwiZGVzY3JpcHRpb24iOiJBdmF… 4/4
B A ABNT NBR ISO/IEC 27000 é um framework conceitual referente ao treinamento em segurança.
C A ABNT NBR ISO/IEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação (SGSI).
D A ABNT NBR ISO/IEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e
treinamento.
Wilson e Hash (2003) identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento
em segurança da informação são: (1) Projeto de conscientização e treinamento, (2) Conscientização e desenvolvimento de materiais
de treinamento e (3) Implementação do programa e (4) Pós-implementação. Com relação à descrição da etapa de Projeto de
conscientização e treinamento, assinale a alternativa CORRETA: 
FONTE: WILSON, M.; HASH, J. Building an information technology security awareness and training program. NIST Special
publication, v. 800, n. 50, p. 1-70, 2003. Disponível em: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151287. Acesso em:
30 mar. 2020.
A Realiza avaliação das necessidades da organização, bem como desenvolve e aprova uma estratégia de treinamento.
B Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização.
C Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação.
D Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento.
10