prova a6 gestao de risco

Prévia do material em texto

· Pergunta 1
1 em 1 pontos
	
	
	
	A ISO 27001, norma para implementação de um SGSI - Sistema de Gestão de Segurança da Informação, propõem um método voltado à segurança da informação em ciclos, chamado PDCA: Plan - planejamento, Do - implementação, Check - análise, Act - Monitoramento.
 
ABNT- ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001 : Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Rio de Janeiro, 2005.
 
Em relação a estes quatro ciclos, assinale a alternativa correta em relação ao ciclo de implementação (Do).
	
	
	
	
		Resposta Selecionada:
	 
Esta é a fase de aplicação dos mecanismos de controle (medidas de segurança) sugeridas após a análise de riscos
	Resposta Correta:
	 
Esta é a fase de aplicação dos mecanismos de controle (medidas de segurança) sugeridas após a análise de riscos
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois é no ciclo de implementação (Do) que são aplicados os mecanismos de controle, ou medidas de segurança, que são sugeridos após a realização da análise de riscos. Em geral, estas medidas visam diminuir o grau de vulnerabilidade dos ativos de informação, impactando positivamente no risco avaliado.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Uma série de sugestões de controles de segurança da informação são listadas superficialmente na ISO 27001, em seu Anexo A, como um conjunto de boas práticas. A ISO 27002, além de algumas outras normas de segurança, aborda de uma maneira mais abrangente todos os controles sugeridos neste Anexo A. De acordo com um destes controles, a empresa deve implementar uma Política de Segurança da Informação (PSI) que deve ser constantemente analisada e revisada.
 
Nesse sentido, assinale a alternativa que indica de quanto em quanto tempo uma PSI deve ser revista pela organização, segundo a ISO 27002.
	
	
	
	
		Resposta Selecionada:
	 
Em intervalos planejados pela própria empresa.
	Resposta Correta:
	 
Em intervalos planejados pela própria empresa.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a PSI deve ser revista sempre que mudanças significativas ocorrerem na empresa, nas leis, nos ativos e suas ameaças. Ou seja, a ISO não especifica uma frequência  para  a revisão. O objetivo é assegurar a contínua pertinência e eficácia de tais mudanças, além de verificar a adequação destas aos processos e normas internas e externas das empresas.
	
	
	
· Pergunta 3
0 em 1 pontos
	
	
	
	Para diminuir custos com contingenciamento de recursos a aumentar a disponibilidade das suas atividades, empresas podem agir em parceria. Desta maneira, ambas têm infraestruturas próprias, porém podem usufruir da infraestrutura de seus parceiros em caso de desastres que gerem indisponibilidade. Neste sentido, assinale a alternativa que indique, de qual estratégia de contingenciamento se trata.
	
	
	
	
		Resposta Selecionada:
	 
Plataforma Web
	Resposta Correta:
	 
Acordo de Reciprocidade
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois um hotsite garante uma estrutura física completa, interna e duplicada, não compartilhada com outras empresas, disponível para ser utilizada imediatamente em caso de desastres. Já o Bureau de Serviços é uma estratégia de contingência que envolve um ambiente terceirizado, e não compartilhado. Além disso, Plataforma web e Website Security não são estratégias de contingenciamento, mas sim um ambiente de desenvolvimento e publicação segura de um website, respectivamente.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	A Segurança da Informação passou a fazer parte do cotidiano das empresas, sendo um fator crítico e necessário. Sendo assim, a área de TI, ciente da situação, monitora e busca medidas e estratégias para garantir a segurança das informações corporativas. Para isso, é fundamental analisarem os riscos que a empresa está sujeita. Nesse contexto, sobre “risco”, assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
Risco é a probabilidade de que ameaças explorem vulnerabilidades presentes nos ativos de informação, causando quebra de confidencialidade, integridade ou disponibilidade, e consequentemente, impacto no negócio.
	Resposta Correta:
	 
Risco é a probabilidade de que ameaças explorem vulnerabilidades presentes nos ativos de informação, causando quebra de confidencialidade, integridade ou disponibilidade, e consequentemente, impacto no negócio.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois risco é a probabilidade de ameaças explorarem vulnerabilidades existentes nos ativos de informação, provocando perdas de confidencialidade, integridade e disponibilidade, causando um impacto, independente da sua abrangência, aos negócios da empresa..
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	A Política de Segurança da Informação (PSI) de uma Organização está incluída dentro do Sistema de Gestão de Segurança da Informação (SGSI) e deve ser apoiada por sua alta direção para que tenha poder de lei.  A PSI é necessária para sustentar um não, quando é preciso. dizer não, independente da pessoa ou cargo que exerce dentro da empresa.
 
Em relação à disponibilidade da PSI, segundo a ISO 27001:2013, Analise as afirmativas a seguir e assinale V para a(s) verdadeiras e F para a(s) falsas:
 
I. ( ) a PSi deve estar disponível como informação documentada
II. ( ) a PSI deve ser comunicada dentro da Organização
III. ( ) a PSI deve estar disponível para as partes interessadas conforme apropriado
IV. ( ) a PSI não deve ser divulgada para parceiros/terceiros da Organização
V. ( ) a PSI deve ser escrita em um documento único
 
Assinale a alternativa que apresenta a sequência correta:
	
	
	
	
		Resposta Selecionada:
	 
V,V,V,F,V
	Resposta Correta:
	 
V,V,V,F,F
 
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois as alternativas I, II e III são verdadeiras. Segundo a ISO 27001:2013, além de ser documentada, uma PSI deve ser amplamente comunicada para todos dentro de uma Organização, inclusive estagiários e terceiros. A PSI deve estar disponível de forma documentada, em um ou mais documentos, contudo, seu conteúdo pode ser comunicado através do uso de outros recursos, como sites, e-mail, murais, treinamentos, etc
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Assim como na análise de riscos, podemos utilizar uma escala subjetiva para a classificação das prioridades dos processos do negócio. Por exemplo, pode-se analisar os processos internos de uma empresa e classificá-los de acordo com a gravidade causada caso fique inoperante: 1 - sem gravidade; 2 - baixa gravidade; 3 - média gravidade; 4 - alta gravidade; 5 - altíssima gravidade. Neste sentido, utilizando este exemplo, assinale a alternativa que indique como você classificaria a urgência para reativação do sistema de telefonia em uma empresa de call center após uma falha que tornou todos os telefones inoperantes. 
	
	
	
	
		Resposta Selecionada:
	 
imediatamente
 
 
	Resposta Correta:
	 
imediatamente
 
 
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois para uma empresa de call center, o sistema de telefonia é com certeza um de seus ativos mais importantes. Quanto maior a relevância do ativo, maior a gravidade causada ao negócio em caso de falhas e maior a urgência para o reparo e reativação dos serviços.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Além de Infraestrutura como Serviço (IaaS), há também o modelo chamado Software como Serviço (SaaS) e Plataforma como Serviço (PaaS). Neste tipo de modelo, o PaaS, o cliente não controla os recursos de infraestrutura da nuvem, mas controla suas próprias aplicações.
 
Nesse sentido, assinale a alternativa que exemplifica o uso do modelo SaaS.
	
	
	
	
		Resposta Selecionada:
	 
O cliente utiliza uma aplicação proprietária (na nuvem).
	Resposta Correta:
	 
O cliente utiliza uma aplicação proprietária (na nuvem).
	Comentárioda resposta:
	Resposta correta. A alternativa está correta, pois, no modelo de nuvem software como serviço, o cliente utiliza uma aplicação proprietária na infraestrutura da nuvem e tem a possibilidade limitada de parametrização. São exemplos: Wordpress, aplicações de contabilidade on-line, Office 365 on-line, Ferramentas do Google on-line etc. 
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	O Modelo de Gestão Corporativo de Segurança agrega valor às atividades executadas pelo corpo de segurança da informação. Várias ações agregam valor ao negócio da empresa, como a consolidação de sua imagem no mercado, a satisfação dos clientes, redução de custos, entre outros.
Assinale a alternativa que cita corretamente estas ações.
	
	
	
	
		Resposta Selecionada:
	 
Valorizar, Consolidar, Aumentar, Reduzir e Preparar.
	Resposta Correta:
	 
Valorizar, Consolidar, Aumentar, Reduzir e Preparar.
	Comentário da resposta:
	Resposta correta:  A  alternativa está correta, pois há várias ações que agregam valor ao negócio utilizando os verbos: Valorizar (ações da empresa), Consolidar (a imagem da empresa), Aumentar (a satisfação dos clientes), Reduzir (custos provocados por ameaças internas e externas) e Preparar (a empresa para desafios futuros).
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	A informação é hoje o ativo de maior valor de uma empresa. A ISO 27001 contém em seu anexo A, como primeiro item da lista de controles sugeridos, a implantação de uma Política de Segurança da Informação interna. Uma PSI contém normas e procedimentos que devem ser seguidos por todos na organização.
 
Assinale a alternativa que indica para qual tipo de ativo esse controle é implementado.
	
	
	
	
		Resposta Selecionada:
	 
Humanos.
	Resposta Correta:
	 
Humanos.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois uma Política de Segurança da Informação contém normas e procedimentos internos que devem ser seguidos pelas pessoas, seja em ambientes públicos ou internos, ou quando estão processando uma informação.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A Lei Geral de Proteção de Dados (LGPD) criou duas definições para as empresas que processam dados pessoais, o controlador e o operador:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
 
Quando houver um vazamento de dados no Operador e o Controlador tiver parcela de responsabilidade neste incidente de segurança, assinale a alternativa correta que apresenta quem deverá ser responsabilizado para reparar os danos causados aos titulares dos dados:
	
	
	
	
		Resposta Selecionada:
	 
Operador e Controlador
	Resposta Correta:
	 
Operador e Controlador
	Comentário da resposta:
	Resposta está correta. A alternativa está correta, pois ambos, Controlador e Operador, serão responsáveis por reparar os danos causados aos titulares do dados. Conforme menciona o artigo 42 da LGPD, os controladores que estiverem envolvidos em tratamentos em que ocorreram danos ao titular dos dados irão responder solidariamente.