Baixe o app para aproveitar ainda mais
Prévia do material em texto
PROVA 2 – Governança de Segurança da Informação 1) As empresas estão integrando seus processos cada vez mais, utilizando diversas soluções, incluindo a "Enterprise Resource Planning (ERP)”, facilitadas pela utilização de redes de comunicação que suportam a internet, a intranet e a extranet. A informação circula dentro e fora das organizações, tendo em seus processos de negócio ameaças constantes, alimentadas mais ainda por conta das transações que o correm no mundo virtual. Assinale a opção correta: a) Tratando-se especificamente de projetos de governança de segurança da informação, as ameaças se prendem apenas aos aspectos tecnológicos. b) As empresas são vítimas de ameaças que buscam fragilidades que possam ajudar a concretizar uma ata que. c) A estratégia da segurança da informação não necessita estar alinhada com a estratégia do negócio. d) Partindo-se da premissa que a segurança da informação deve abranger o âmbito de toda a empresa, a boa prática determina que para sua implementação a área operacional deve ser consultada antes para ver se aprova o início do projeto. e) A ocorrência de uma mudança significa a alteração de uma situação anterior. Porém, as mudanças não influenciam os riscos operacionais da empresa. 2) O modelo de Governança de Segurança da Informação deve contribuir com o objetivo estratégico da empresa, garantindo que os riscos da informação estão sendo endereçados adequadamente para as pessoas responsáveis e agregando valor para os altos executivos e para as partes interessadas. O modelo de Governança de Segurança da Informação deve contribuir com o objetivo estratégico da empresa, garantindo que os riscos da informação estão sendo endereçados adequadamente para as pessoas responsáveis e agregando valor para os altos executivos e para as partes interessadas. Considere a seguinte descrição de um dos processos do modelo de implantação de Governança de Segurança da Informação, descrito na norma ABNT-NBR ISO/IEC 27014: 2013: "Validação da eficiência, eficácia e evolução dos objetivos da segurança da informação, considerando o seu desempenho e a agregação de valor ao negócio.". Trata-se do processo: a) Monitoração c) Avaliação e) Garantia b) Comunicação d) Direção 3) De uma maneira geral, a boa prática sugere que todo problema deve ser analisado em detalhes para que se possa identificar o motivo que está gerando tal problema. Especificamente quando o assunto está relacionado com a segurança da informação na empresa, o desafio se torna muito maior em função da variação de fatores pertencentes ao tema. Considere os desafios a serem enfrentados com a segurança da informação para analisar se as proposições a seguir são verdadeiras (V) ou falsas (F): ( ) O desafio na empresa é o de realizar ações que possam permitir mapear a situação atual, visível e invisível, inventariando as ameaças, vulnerabilidades, riscos e possíveis impactos, para que posteriormente possa se fazer a modelagem da solução que será proposta. ( ) Para melhor proteção da informação, a boa prática sugere que as informações públicas que se encontram em papel sejam trituradas antes do descarte. ( ) Os altos executivos devem enxergar e propagar por toda a empresa que a segurança da informação é de responsabilidade exclusiva da área de informática. ( ) A segurança da informação sempre deve ser tratada como projeto e nunca com o um processo. ( ) Para implementar a segurança da informação na empresa deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa. Agora escolha a opção correta: a) F, F, F, F, V c) V, V, V, F, V e) V, F, F, F, V b) V, V, F, F, V d) V, V, V, V, V 4) A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a __________ (G) do problema; a _________ (U) de resolução do problema; e a __________ (T) do problema piorar com maior rapidez ou de forma mais lenta. Considerando o texto acima, o conteúdo que melhor preenche as lacunas são: a) Gênese / Urgência / Tensão. d) Gravidade / Urgência / Tendência. b) Geração / Urgência / Tensão. e) Gravidade / Utilidade / Tendência. c) Gênese / Urgência / Tendência. 5) Os altos executivos das empresas vêm percebendo que cada vez se faz mais necessário tratar a segurança da informação como uma questão de risco para o negócio e não se limitar a um problema operacional de tecnologia da informação. Tais percepções estão fundamentadas não apenas nos requisitos regulamentares que se tornam cada vez maiores, mas principalmente por impacto direto, derivado de fragilidades que acabam influenciando na reputação da organização e que têm como consequência o prejuízo financeiro. Analise as seguintes proposições relacionadas com a Governança de Segurança da Informação: I) É recomendável que os altos executivos incluam a Governança de Segurança da Informação como parte de suas responsabilidades. II) Uma Governança de Segurança da Informação bem implementada permitirá que os altos executivos recebam informações relevantes sobre as atividades relacionadas com a segurança de informação dentro do contexto de negócio. III) A Governança de Segurança da Informação envolve os conceitos básicos de confidencialidade e integridade sem disponibilidade. IV) Enquanto o modelo de Governança de Tecnologia da Informação necessita ser submetido ao ciclo avaliar-dirigir-monitorar, isto não se faz necessário no modelo de Governança de Segurança da Informação. De acordo com as proposições acima, podemos afirmar que: a) As proposições I e II estão corretas. b) Apenas a proposição II está correta. c) As proposições I, II, III e IV estão corretas. d) Apenas a proposição I está correta. e) As proposições I, I, III e IV estão corretas. 6) Acompanhando o dia a dia das empresas ainda se verifica que os colaboradores se comportam de forma ingênua ou até displicente, quando o assunto é segurança da informação. Essa falta de cuidado acaba gerando uma quantidade significativa de incidentes de segurança, muitas vezes associada com a carência de disseminação da cultura em segurança da informação. Analise as seguintes proposições relacionadas com a cultura em segurança da informação: I) Quando admitido, o funcionário deve ser apresentado ao Código de Conduta e a Política de Segurança da Informação (PSI) da empresa. II) Uma vez escrita e publicada, a PSI não necessita ser revista para eventuais atualizações. III) A conscientização em segurança da informação não é pré-requisito para a implantação de uma Governança de Segurança da Informação bem sucedida. IV) Um dos recursos para disseminação da cultura em segurança da informação na empresa é a Carta do Presidente, encaminhada a cada um dos funcionários para dar um caráter formal a PSI. De acordo com as proposições acima, podemos afirmar que: a) Apenas as proposições I, III e IV estão corretas. b) Apenas as proposições I e II estão corretas c) As proposições I, II, III e IV estão corretas. d) Apenas as proposições II e III estão corretas. e) Apenas as proposições I e IV estão corretas. 7) Considere as seguintes afirmativas relacionadas com a governança corporativa: I) Entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros através da ética, efetividade dos controles internos e governança corporativa. II) Resposta legislativa aos escândalos financeiros que aconteceram por volta de 2001-2002 em companhias abertas nos Esta dos Unidos, como a Enron, Worldcom, Tyco e outras. III) Sob o patrocínio do "Bank International Settlements" ou BIS, foi desenvolvido para buscar o máximo de ajuste entre os requisitos de capital das instituições financeiras e os riscos a que estão expostas. IV) Determina que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil criem e implantem sua própria estruturade gerenciamento de riscos. Agora marque a opção que melhor identifica, respectivamente, cada uma destas afirmações: a) COSO, Lei SO X, Basileia II e Resolução 3380. b) Basileia II, Lei SOX, COSO e Resolução 3380. c) COSO, Resolução 3380, Basileia II e Lei SOX. d) COSO, Basileia II e Resolução 3380 e L ei SOX. e) Resolução 3380, Lei SOX, COSO e B asile ia II. 8) Considere os seguintes itens do PDCA: 1. Planejar (P); 2. Fazer (D); 3. Checar (C); 4. Agir (A). Agora, analise a sequência de atividades mostradas a seguir e correlacione cada uma delas, respectivamente, de acordo com os itens do PDCA: ( ) Realiza um diagnóstico da situação atual de segurança da empresa, considerando o negócio, o mapeamento d os processos d e negócio e o relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de segurança. ( ) Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário. ( ) Aponta o caminho e tudo que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado. ( ) Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. ( ) Cuida para que as fragilidades e eventos relacionados à segurança da informação possam ser tratadas em tempo hábil. A opção correta é: a) 3,1,1,2,4 c) 4,1,1,2,3 e) 3,1,2,4,1 b) 3,1,1,4,2 d) 3,1,2,1,4 9) Conscientizar os altos executivos para aprovarem um projeto de segurança da informação não é simples. Eles estão acostuma dos com situações nas quais o dinheiro que é investido irá retornar num determinado espaço de tempo e, em seguida, alguma vantagem financeira direta ou indireta poderá ser observada. Considere a seguinte classificação: 1. Verdadeiro e 2. Falso. Agora associe 1 ou 2, de acordo com as afirmativas abaixo: ( ) O "return on investment" (ROI) é a relação que existe entre a quantidade de dinheiro ganho (ou perdido) através de um investimento e o montante de dinheiro que foi investido ; ( ) As mudanças influenciam nos riscos operacionais da organização e pressupõem uma análise detalhada sobre o surgimento de novos riscos ou do aumento dos que existem; ( ) O negócio sempre deve ser o foco principal da segurança da informação; ( ) A estratégia da segurança da informação não necessita estar alinhada com a estratégia da empresa, sendo necessária apenas uma visão corporativa que possa contribuir com o retorno sobre o investimento; ( ) Tratando-se da estrutura organizacional, uma boa prática é posicionar a área de segurança da informação hierarquicamente abaixo da diretoria de TI. Agora assinale a opção correta: a) 1,1,2,2,2 c) 1,1,1,2,1 e) 1,1,1,2,2 b) 2,1,1,2,2 d) 1,1,1,1,1 10) Para planejar T.I. devemos estar cientes das ligações e entre o planejamento para o negócio como um todo, os sistemas de aplicação e a infraestrutura. Analise a seguinte figura: Com base na figura acima e na lógica de um ambiente de TI, escolha a opção correta: a) Processos de negócio são sustentados pelos Aplicativos de TI que são sustentados pela Infraestrutura de TI. b) Infraestrutura de TI é sustentada pelos Processos de negócio que são sustentados pelos Aplicativos de TI. c) Processos de negócio são sustentados pela Infraestrutura de TI que é sustentada pelos Aplicativos de TI. d) Aplicativos de TI são sustentados pelos Processos de negócio que são sustentados pela Infraestrutura de TI. e) Infraestrutura de TI é sustentada pelos Aplicativos de TI que são sustentados pelos Processos de negócio.
Compartilhar