QUESTIONÁRIO UNIDADE II - Gestão da segurança da informação

Prévia do material em texto

PERGUNTA 1
1. Analise as proposições sobre as definições de riscos:
 
I – Sobre os objetivos do estudo, pode ser ressaltada a identificação de forma antecipada dos perigos nas instalações, processos, produtos e serviços.
 
II – O gerenciamento dos riscos faz parte exclusivamente das atividades da segurança da informação e por ela deve ser suprido e definido.
 
III – É importante considerar a origem dos riscos e a necessidade de seguir as melhores práticas nas análises de riscos, onde é essencial levar em conta alguns aspectos, como a cultura da empresa e sua predisposição ao risco.
 
IV – A gerência de riscos faz parte da governança e liderança, e é parte crucial na maneira como a organização é gerenciada em todas as esferas administrativas, levando à melhora do processo de gestão.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	I, III e IV, apenas.
0,25 pontos 
PERGUNTA 2
1. Analise as proposições sobre o tratamento dos riscos à segurança da informação.
 
I – Ao contrário do que se possa pensar, de que qualquer tipo de risco teria que ser evitado ou controlado, analisando cada caso, é possível entender que existem outras opções que podem ser bastante razoáveis.
 
II – Após o processo de identificação e categorização, é necessário dar uma Resposta ao risco, e isso pode ocorrer basicamente de quatro formas: Evitando, Controlando, Transferindo ou Aceitando.
 
III – A decisão de controlar o risco ocorre quando a maior parte dos riscos não pode ser evitada e faz parte do negócio. Sendo assim, nesse caso, uma das opções é tomar ações que diminuam as vulnerabilidades dos ativos que suportam os processos.
 
IV – Existem casos em que o custo do impacto relacionado à concretização do risco é extremamente alto, onde a organização simplesmente não conseguiria absorver, nesse momento, a melhor saída é controlar o risco.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	I, III e IV, apenas.
0,25 pontos 
PERGUNTA 3
1. Analise as proposições sobre o sistema de gestão de risco.
 
I – É razoável que cada negócio, independentemente de seu segmento de mercado e ramo de atuação, apresente dezenas ou centenas de variáveis que se relacionam direta e indiretamente com a definição de seu nível de risco.
 
II – As medidas corretivas de segurança devem ser analisadas, pois sempre haverá a possibilidade de um incidente ocorrer, por mais que todas as medidas preventivas estejam devidamente implantadas e testadas.
 
III – Há de se compreender que existem duas linhas metodológicas para orientar as análises de riscos, a quantitativa e a qualitativa.
 
IV – Uma análise de riscos deve sempre se apoiar em recursos humanos com competências variadas, ferramentas automatizadas de apoio à gestão do levantamento, principalmente de uma base de conhecimento em segurança incessantemente atualizada.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	I, II, III e IV.
0,25 pontos 
PERGUNTA 4
1. Segundo Campos (2006), a definição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança eficaz e isso exige necessariamente a compreensão dos riscos da organização. Sobre as etapas do planejamento do sistema de segurança, é correto afirmar que:
 
I – As etapas do sistema de planejamento do sistema de segurança são: definição do escopo, análise do risco e planejamento do tratamento do risco.
 
II – A gestão e análise de risco tem como objetivo definir os resultados almejados e, por conseguinte, o que deverá ser feito.
 
III – A definição dos critérios para identificação e aceitação retratam a realidade e, de forma secundária, ajuda a estabelecer a governança dos riscos à segurança da informação.
 
IV – Na definição dos critérios de análise e níveis de aceitação de risco, é necessário que as ameaças sejam graduadas quanto ao grau de exposição que apresentam para o ativo em avaliação.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	I, II e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	II, III e IV, apenas.
0,25 pontos 
PERGUNTA 5
1. Analise as proposições sobre a implantação do sistema de gestão de riscos à segurança da informação.
 
I – A Capacidade de Governança é responsável pela gestão geral da gestão do risco e, nessa capacidade, devem ser analisados os seguintes itens: Políticas, Normas, Controles e Elementos de Conformidade.
 
II – A Capacidade de Processo é responsável pela gestão das pessoas envolvidas no Sistema de Gestão da Segurança da Informação, seguindo nosso exemplo, as pessoas envolvidas no processo de gestão dos riscos à segurança da informação, devendo ser analisados os seguintes itens: Papéis, Responsabilidades, Habilidades e Competências.
 
III – A Capacidade de Tecnologia fornece as especificações em alto nível e tipos de tecnologias, de maneira a suportar tecnicamente o tema gestão e análise de riscos à segurança da informação, devendo analisar os seguintes itens: Ferramentas, Aplicações e Infraestrutura.
 
IV – A Capacidade de Métrica fornece os indicadores que medem a capacidade da gestão e análise de risco em atender aos seus destinos estratégicos e ao tema estratégico.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I, III e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	II, III e IV, apenas.
0,25 pontos 
PERGUNTA 6
1. Analise as proposições sobre a Política de Segurança da Informação.
 
I – A Política de Segurança da Informação tem como objetivo principal direcionar um programa efetivo de proteção dos ativos de informação, tais como base de dados, documentos, arquivos e outros.
 
II – A Política de Segurança é o conjunto de diretrizes da empresa que visa à proteção das informações da empresa e de seus clientes com base nos princípios de segurança da informação (confidencialidade, integridade e disponibilidade), nas melhores práticas de mercado, bem como nos padrões nacionais e internacionais. 
 
III – A Política irá proporcionar ao ambiente da empresa regras e procedimentos que devem ser seguidos para a garantia da segurança das informações, sendo muito importante que ela seja divulgada para todos os colaboradores da empresa, do nível executivo ao operacional, para que todos estejam conscientes da importância do seu seguimento.
 
IV – Política de Segurança deve conter detalhes técnicos de mecanismos a serem utilizados ou procedimentos que devam ser utilizados, ela deve conter regras gerais que se apliquem a toda empresa e na esfera operacional.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	II, III e IV, apenas.
0,25 pontos 
PERGUNTA 7
1. Analise as proposições sobre os requisitos fundamentais para as políticas e normas de SI.
 
I – Deve haver patrocínio explícito da direção, onde a direção, por meio dos executivos, necessita querer, acreditar e apoiar de forma incisiva o processo de segurança da informação.
 
II – As políticas e normas devem seguir exclusivamente as melhores práticas sobre o assunto, não necessitando levar em consideração os aspectos relacionados à cultura organizacional.
 
III – As políticas e normas não precisam ser factíveis de serem desenvolvidas e implantadas, devendo seguir as melhores práticas a qualquer custo para garantir a segurança das informações.
 
IV – A Política e as normas de segurança da informação precisam necessariamente de uma estrutura lógica, assim como qualquer tipo de escrita racional.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e III, apenas.
	
	e.
	I, II, III e IV.
0,25 pontos 
PERGUNTA 8
1. Analise as proposições sobre as recomendações para elaboração de Políticas e Normas de Segurançada Informação:
 
I – Os textos devem ser em linguagem culta ou técnica, destinada exclusivamente a grupos específicos de pessoas.
 
II – Atenção especial à cultura organizacional, existem controles que não são seguidos simplesmente porque não fazem parte da cultura da empresa.
 
III – Cuidado com a má interpretação do texto, isso não pode ocorrer, sendo assim, seja preciso e revise o texto várias vezes, uma boa atitude seria deixar uma pessoa que não está inserida no contexto ler o texto e explicar o que ela pode compreender. 
 
IV – Existem termos no idioma inglês que são de conhecimento de todos e não requerem tradução. Exemplo: e-mail, mouse, em caso de documentos técnicos:backup, firewall, IDS.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	III e IV, apenas.
	
	d.
	I, II e IV, apenas.
	
	e.
	II, III e IV, apenas.
0,25 pontos 
PERGUNTA 9
1. Analise as proposições sobre as normas de segurança da informação.
 
I – As Normas de Segurança da Informação estão um nível abaixo da Política de Segurança, que serve de base para sua criação.
 
II – As Normas de Segurança irão tratar assuntos específicos dentro da empresa e serão elaboradas com base na própria Política de Segurança.
 
III – As normas devem seguir exclusivamente as melhores práticas de mercado e não devem estar alinhadas à cultura da empresa.
 
IV – Convém que as Normas de Segurança e a Política sejam acompanhadas dos Termos e Definições específicos utilizados, que são usados na composição da referida Norma.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	I, III e IV, apenas.
	
	d.
	I, II e IV, apenas.
	
	e.
	II, III e IV, apenas.
0,25 pontos 
PERGUNTA 10
1. Analise as proposições sobre os procedimentos de segurança da informação.
 
I – Os Procedimentos de Segurança da Informação são documentos da empresa que detalham como determinadas diretrizes da Política ou das Normas podem ser atendidas pelos usuários. São também chamados de documentos operacionais.
 
II – Em alguns casos, as empresas adotam documentos específicos para subsidiar o usuário a cumprir corretamente a Política e as Normas, podendo ser uma Cartilha, um Manual ou até mesmo um Termo de Uso.
 
III – Procedimentos têm função importantíssima no programa de segurança da informação, pois irão orientar o usuário em relação ao “como fazer” para cumprir o determinado em uma Norma de Segurança.
 
IV – Em alguns casos, o Procedimento pode considerar o manual técnico de uso do ativo de informação ao qual a Norma venha a fazer referência.
 
É correto o que se afirma em:
	
	a.
	I e II, apenas.
	
	b.
	I e IV, apenas.
	
	c.
	I, II, III e IV.
	
	d.
	I, II e IV, apenas.
	
	e.
	II, III e IV, apenas.