GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO - PROVA 2

Prévia do material em texto

PROVA 2 – Governança de Segurança da Informação
1) As empresas estão integrando seus processos cada vez mais, utilizando 
diversas soluções, incluindo a "Enterprise Resource Planning (ERP)”, 
facilitadas pela utilização de redes de comunicação que suportam a internet, a 
intranet e a extranet. A informação circula dentro e fora das 
organizações, tendo em seus processos de negócio ameaças constantes, 
alimentadas mais ainda por conta das transações que o correm no mundo 
virtual. 
Assinale a opção correta:
a) Tratando-se especificamente de projetos de governança de segurança da 
informação, as ameaças se prendem apenas aos aspectos tecnológicos.
b) As empresas são vítimas de ameaças que buscam fragilidades que 
possam ajudar a concretizar uma ata que.
c) A estratégia da segurança da informação não necessita estar alinhada com a
estratégia do negócio.
d) Partindo-se da premissa que a segurança da informação deve abranger o 
âmbito de toda a empresa, a boa prática determina que para sua 
implementação a área operacional deve ser consultada antes para ver se 
aprova o início do projeto.
e) A ocorrência de uma mudança significa a alteração de uma situação 
anterior. Porém, as mudanças não influenciam os riscos operacionais da 
empresa. 
2) O modelo de Governança de Segurança da Informação deve contribuir com 
o objetivo estratégico da empresa, garantindo que os riscos da informação 
estão sendo endereçados adequadamente para as pessoas responsáveis e 
agregando valor para os altos executivos e para as partes interessadas. O 
modelo de Governança de Segurança da Informação deve contribuir com o 
objetivo estratégico da empresa, garantindo que os riscos da informação 
estão sendo endereçados adequadamente para as pessoas responsáveis e 
agregando valor para os altos executivos e para as partes interessadas. 
Considere a seguinte descrição de um dos processos do modelo de 
implantação de Governança de Segurança da Informação, descrito na norma 
ABNT-NBR ISO/IEC 27014: 2013: "Validação da eficiência, eficácia e evolução 
dos objetivos da segurança da informação, considerando o seu desempenho e 
a agregação de valor ao negócio.". Trata-se do processo:
a) Monitoração c) Avaliação e) Garantia
b) Comunicação d) Direção
3) De uma maneira geral, a boa prática sugere que todo problema deve ser 
analisado em detalhes para que se possa identificar o motivo que está 
gerando tal problema. Especificamente quando o assunto está relacionado com
a segurança da informação na empresa, o desafio se torna muito maior em 
função da variação de fatores pertencentes ao tema. Considere os desafios a 
serem enfrentados com a segurança da informação para analisar se as 
proposições a seguir são verdadeiras (V) ou falsas (F):
( ) O desafio na empresa é o de realizar ações que possam permitir mapear a 
situação atual, visível e invisível, inventariando as ameaças, vulnerabilidades, 
riscos e possíveis impactos, para que posteriormente possa se fazer a 
modelagem da solução que será proposta.
( ) Para melhor proteção da informação, a boa prática sugere que as 
informações públicas que se encontram em papel sejam trituradas antes do 
descarte.
( ) Os altos executivos devem enxergar e propagar por toda a empresa que a 
segurança da informação é de responsabilidade exclusiva da área de 
informática. 
( ) A segurança da informação sempre deve ser tratada como projeto e nunca 
com o um processo.
( ) Para implementar a segurança da informação na empresa deve-se 
estabelecer um escopo com conteúdo que contemple todas as etapas 
necessárias para fazer sua gestão de forma corporativa.
Agora escolha a opção correta:
a) F, F, F, F, V c) V, V, V, F, V e) V, F, F, F, V
b) V, V, F, F, V d) V, V, V, V, V
4) A matriz GUT é um recurso utilizado para auxiliar na priorização de 
resolução de problemas. Ela classifica cada problema utilizando três 
variáveis: a __________ (G) do problema; a _________ (U) de resolução do 
problema; e a __________ (T) do problema piorar com maior rapidez ou de 
forma mais lenta. 
Considerando o texto acima, o conteúdo que melhor preenche as lacunas são:
a) Gênese / Urgência / Tensão. d) Gravidade / Urgência / Tendência.
b) Geração / Urgência / Tensão. e) Gravidade / Utilidade / Tendência.
c) Gênese / Urgência / Tendência.
5) Os altos executivos das empresas vêm percebendo que cada vez se faz 
mais necessário tratar a segurança da informação como uma questão de risco 
para o negócio e não se limitar a um problema operacional de tecnologia da 
informação. Tais percepções estão fundamentadas não apenas nos requisitos 
regulamentares que se tornam cada vez maiores, mas principalmente por 
impacto direto, derivado de fragilidades que acabam influenciando na 
reputação da organização e que têm como consequência o prejuízo financeiro. 
Analise as seguintes proposições relacionadas com a Governança de 
Segurança da Informação:
I) É recomendável que os altos executivos incluam a Governança de 
Segurança da Informação como parte de suas responsabilidades.
II) Uma Governança de Segurança da Informação bem implementada permitirá 
que os altos executivos recebam informações relevantes sobre as atividades 
relacionadas com a segurança de informação dentro do contexto de negócio.
III) A Governança de Segurança da Informação envolve os conceitos básicos 
de confidencialidade e integridade sem disponibilidade.
IV) Enquanto o modelo de Governança de Tecnologia da Informação necessita 
ser submetido ao ciclo avaliar-dirigir-monitorar, isto não se faz necessário no 
modelo de Governança de Segurança da Informação.
De acordo com as proposições acima, podemos afirmar que:
a) As proposições I e II estão corretas.
b) Apenas a proposição II está correta.
c) As proposições I, II, III e IV estão corretas.
d) Apenas a proposição I está correta.
e) As proposições I, I, III e IV estão corretas.
6) Acompanhando o dia a dia das empresas ainda se verifica que os 
colaboradores se comportam de forma ingênua ou até displicente, quando o 
assunto é segurança da informação. Essa falta de cuidado acaba gerando uma
quantidade significativa de incidentes de segurança, muitas vezes associada 
com a carência de disseminação da cultura em segurança da informação. 
Analise as seguintes proposições relacionadas com a cultura em segurança da 
informação:
I) Quando admitido, o funcionário deve ser apresentado ao Código de Conduta 
e a Política de Segurança da Informação (PSI) da empresa.
II) Uma vez escrita e publicada, a PSI não necessita ser revista para eventuais 
atualizações.
III) A conscientização em segurança da informação não é pré-requisito para a 
implantação de uma Governança de Segurança da Informação bem sucedida.
IV) Um dos recursos para disseminação da cultura em segurança da 
informação na empresa é a Carta do Presidente, encaminhada a cada um dos 
funcionários para dar um caráter formal a PSI. 
De acordo com as proposições acima, podemos afirmar que:
a) Apenas as proposições I, III e IV estão corretas.
b) Apenas as proposições I e II estão corretas
c) As proposições I, II, III e IV estão corretas.
d) Apenas as proposições II e III estão corretas.
e) Apenas as proposições I e IV estão corretas.
7) Considere as seguintes afirmativas relacionadas com a governança 
corporativa:
I) Entidade sem fins lucrativos, dedicada à melhoria dos relatórios financeiros 
através da ética, efetividade dos controles internos e governança corporativa.
II) Resposta legislativa aos escândalos financeiros que aconteceram por volta 
de 2001-2002 em companhias abertas nos Esta dos Unidos, como a Enron, 
Worldcom, Tyco e outras.
III) Sob o patrocínio do "Bank International Settlements" ou BIS, foi 
desenvolvido para buscar o máximo de ajuste entre os requisitos de capital das
instituições financeiras e os riscos a que estão expostas.
IV) Determina que as instituições financeiras e demais instituições autorizadas 
a funcionar pelo Banco Central do Brasil criem e implantem sua própria 
estruturade gerenciamento de riscos.
Agora marque a opção que melhor identifica, respectivamente, cada uma 
destas afirmações:
a) COSO, Lei SO X, Basileia II e Resolução 3380.
b) Basileia II, Lei SOX, COSO e Resolução 3380.
c) COSO, Resolução 3380, Basileia II e Lei SOX.
d) COSO, Basileia II e Resolução 3380 e L ei SOX.
e) Resolução 3380, Lei SOX, COSO e B asile ia II.
8) Considere os seguintes itens do PDCA: 1. Planejar (P); 2. Fazer (D); 3. 
Checar (C); 4. Agir (A).
Agora, analise a sequência de atividades mostradas a seguir e correlacione 
cada uma delas, respectivamente, de acordo com os itens do PDCA:
( ) Realiza um diagnóstico da situação atual de segurança da empresa, 
considerando o negócio, o mapeamento d os processos d e negócio e o 
relacionamento os ativos físicos, tecnológicos e humanos, sensíveis a falhas de
segurança.
( ) Planeja a continuidade das atividades de negócio, caso ocorra alguma falha 
ou desastre significativos. Permite a retomada das atividades em tempo hábil, 
sempre que necessário.
( ) Aponta o caminho e tudo que é necessário para suprir as necessidades de 
segurança do negócio, conduzindo-o a operar com risco controlado.
( ) Aplica mecanismos de controle de segurança para atingir o nível de risco 
adequado. 
( ) Cuida para que as fragilidades e eventos relacionados à segurança da 
informação possam ser tratadas em tempo hábil.
A opção correta é:
a) 3,1,1,2,4 c) 4,1,1,2,3 e) 3,1,2,4,1
b) 3,1,1,4,2 d) 3,1,2,1,4
9) Conscientizar os altos executivos para aprovarem um projeto de segurança 
da informação não é simples. Eles estão acostuma dos com situações nas 
quais o dinheiro que é investido irá retornar num determinado espaço de tempo
e, em seguida, alguma vantagem financeira direta ou indireta poderá ser 
observada. Considere a seguinte classificação: 1. Verdadeiro e 2. Falso.
Agora associe 1 ou 2, de acordo com as afirmativas abaixo:
( ) O "return on investment" (ROI) é a relação que existe entre a quantidade de
dinheiro ganho (ou perdido) através de um investimento e o montante de 
dinheiro que foi investido ;
( ) As mudanças influenciam nos riscos operacionais da organização e 
pressupõem uma análise detalhada sobre o surgimento de novos riscos ou do 
aumento dos que existem;
( ) O negócio sempre deve ser o foco principal da segurança da informação;
( ) A estratégia da segurança da informação não necessita estar alinhada com 
a estratégia da empresa, sendo necessária apenas uma visão corporativa que 
possa contribuir com o retorno sobre o investimento;
( ) Tratando-se da estrutura organizacional, uma boa prática é posicionar a 
área de segurança da informação hierarquicamente abaixo da diretoria de TI.
Agora assinale a opção correta:
a) 1,1,2,2,2 c) 1,1,1,2,1 e) 1,1,1,2,2
b) 2,1,1,2,2 d) 1,1,1,1,1
10) Para planejar T.I. devemos estar cientes das ligações e entre o 
planejamento para o negócio como um todo, os sistemas de aplicação e a 
infraestrutura. Analise a seguinte figura:
Com base na figura acima e na lógica de um ambiente de TI, escolha a opção 
correta:
a) Processos de negócio são sustentados pelos Aplicativos de TI que são 
sustentados pela Infraestrutura de TI.
b) Infraestrutura de TI é sustentada pelos Processos de negócio que são 
sustentados pelos Aplicativos de TI.
c) Processos de negócio são sustentados pela Infraestrutura de TI que é 
sustentada pelos Aplicativos de TI. 
d) Aplicativos de TI são sustentados pelos Processos de negócio que são 
sustentados pela Infraestrutura de TI.
e) Infraestrutura de TI é sustentada pelos Aplicativos de TI que são 
sustentados pelos Processos de negócio.