Buscar

SEG_E_AUDIT_SIST_EAD_EXERCÍCIOS_4_UNIDADE_4_E_GABARITO

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 10 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 10 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 10 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

1 
 
 
UNIVERSIDADE SALGADO DE OLIVEIRA 
 
 
 
 
 
Professor Celso Cardoso Neto 
celsocn17@gmail.com 
1-1 
mailto:celsocn@oi.com.br
 
 2 
UNIDADE 4 – POLÍTICA DE SEGURANÇA 
I - MARQUE COM UM X A RESPOSTA CORRETA 
1. A figura abaixo ilustra o ciclo PDCA, relacionado à implementação de política de 
segurança nas organizações. 
 
 
Os identificadores I, II, III e IV são denominados: 
( ) , , e 
( ) , , e 
( ) , , e 
( ) , , e 
( ) , , e 
 
2. No que diz respeito às recomendações do Comitê de Padrões da Associação de 
Controle e Auditoria de Tecnologia de Informação dos Estados Unidos, no que tange 
aos trabalhos do auditor de TI, assinale V para a afirmativa verdadeira e F para a falsa. 
( ) A responsabilidade, a autoridade e a prestação de contas sobre a função de 
auditor de tecnologia de informação devem ser apropriadamente 
documentadas numa carta proposta ou de aderência ao escopo. 
( ) Em todas as questões relativas a auditoria, o auditor de TI deve ser 
independente, seja em atitude ou aparência. No relacionamento 
organizacional a função de auditor de tecnologia de informação deve ser 
suficientemente independente da área sob auditoria para permitir uma 
conclusão objetiva da auditoria. 
( ) Para o desenvolvimento de suas atividades, não há necessidade do auditor 
de TI aderir ao código de ética profissional da Associação de Controle e 
Auditoria de Tecnologia de Informação. 
( ) O planejamento das atividades para direcionar os objetivos da auditoria e 
seguir os padrões profissionais de auditoria é dispensável entre as 
atribuições do auditor de TI. 
 
As afirmativas são, respectivamente, 
( ) V, V, F e F ( ) V, F, F e F ( ) F, V, V e V 
( ) V, F, V e F ( ) V, F, F e V 
 
 3 
3. No contexto da Política de Segurança, em particular aos Planos de Segurança, 
relacione a coluna TIPO com a coluna FOCO. 
a) TIPO: 
(I) Plano de Contingência 
(II) Plano de Continuidade de Negócios 
(III) Plano de Recuperação de Desastres 
 
b) FOCO: 
( ) Em ativos de TI e sinistros com efeitos de longo prazo. 
( ) Em interrupções nos sistemas de TI com efeitos de curto prazo. 
( ) Em processos de negócio: questões relacionadas aos ativos de TI 
somente abordadas no que se refere à sua importância para os processos 
críticos do negócio. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, III e II ( ) II, I e III ( ) II, III e I 
( ) III, I e II ( ) III, II e I 
 
4. De acordo com o Modelo de Planejamento e Desenvolvimento do Plano de 
Continuidade de Negócios (PCN), uma etapa trata das atividades relacionadas à 
avaliação e controle de riscos, que definem os possíveis e prováveis cenários que 
fazem parte do ambiente corporativo e que podem afetar a organização tanto com 
interrupções quanto com desastres. Nesta etapa serão determinados quais os 
possíveis danos relacionados a cada evento e quais as medidas necessárias para 
prevenir e reduzir os efeitos de uma potencial perda. É possível incluir nesta etapa 
uma análise de ROI - Return of lnvestment - para facilitar a justificativa dos custos 
no controle de redução de riscos. Essa etapa é denominada 
( ) AVALIAÇAO E CONTROLE DOS RISCOS 
( ) INÍCIO E ADMINISTRAÇÃO DO PROJETO 
( ) DESENVOLVIMENTO E IMPLEMENTAÇÃO DO PCN 
( ) IMPLEMENTAÇÃO DOS PROGRAMAS DE TREINAMENTO 
( ) DESENVOLVIMENTO DE ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS 
 
 
 
 4 
5. Planos de Contingência são desenvolvidos para cada ameaça considerada em 
cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes 
os procedimentos a serem executados em estado de contingência. Nesse contexto, 
relacione a coluna ESTRATÉGIA DE CONTINGÊNCIA com a coluna DESCRIÇÃO. 
a) ESTRATÉGICA DE CONTINGÊNCIA: 
(I) HOT-SITE 
(II) COLD-SITE 
(III) WARM-SITE 
(IV) BUREAU DE SERVIÇOS 
(V) ACORDO DE RECIPROCIDADE 
(VI) REALOCAÇÃO DE OPERAÇÃO 
 
b) DESCRIÇÃO: 
 
( ) Estratégia conveniente para atividades que demandariam investimentos 
de contingência inviáveis ou incompatíveis com a importância da 
mesma, esta estratégia propõe a aproximação e um acordo formal com 
empresas que mantêm características físicas, tecnológicas ou humanas 
semelhantes à sua, e que estejam igualmente dispostas a possuir uma 
alternativa de continuidade operacional. 
( ) Estratégia considera a possibilidade de transferir operacionalização da 
atividade atingida para um ambiente terceirizado, fora dos domínios da 
empresa. 
( ) Estratégia "quente" ou pronta para entrar em operação assim que uma 
situação de risco ocorrer. O tempo de operacionalização desta 
estratégia está diretamente ligado ao tempo de tolerância a falhas do 
objeto. 
( ) Estratégia que se aplica a objetos com maior tolerância à paralisação, 
podendo se sujeitar à indisponibilidade por mais tempo, até o retorno 
operacional da atividade. Por exemplo, o serviço de e-mail dependente 
de uma conexão de comunicação. 
( ) Estratégia objetiva desviar a atividade atingida pelo evento que provocou 
a quebra de segurança, para outro ambiente físico, equipamento ou link, 
pertencentes à mesma empresa. Só é possível com a existência de 
"folgas" de recursos que podem ser alotados em situações de crise. 
( ) Estratégia propõe uma alternativa de contingência a partir de um 
ambiente com os recursos mínimos de infraestrutura e 
telecomunicações, desprovido de recursos de processamento de dados. 
É aplicável a situações com tolerância de indisponibilidade ainda maior. 
 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, III, VI, II, V e IV ( ) III, VI, II, V, IV e I 
( ) IV, I, III, VI, II e V ( ) V, IV, I, III, VI e II 
( ) VI, II, V, IV, I e III 
 
 
 
 5 
6. Entre as Normas da ISO/IEC 27000, uma define os requisitos para um Sistema de 
Gestão da Segurança da Informação (SGSI), sendo a principal norma que uma 
organização deve utilizar como base para obter a certificação empresarial em 
gestão da segurança da informação. Por isso, é conhecida como a única norma 
internacional que pode ser auditada e que define os requisitos para um Sistema de 
Gestão de Segurança da Informação (SGSI). 
 
Essa Norma é conhecida por 
( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 
( ) ISO/IEC 27004 ( ) ISO/IEC 27005 
 
7. Entre as Normas da ISO/IEC 27000, uma representa um código de boas práticas 
com um conjunto completo de controles que auxiliam na aplicação do Sistema de 
Gestão da Segurança da Informação. Essa Norma é conhecida por 
 ( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 
( ) ISO/IEC 27004 ( ) ISO/IEC 27005 
 
8. Na atualidade a segurança dos ativos de uma empresa é uma das atividades que 
mais chamam a atenção e que preocupam os administradores de rede. No que diz 
respeito aos sistemas operacionais uma palavra é assim definida: 
• uma técnica de blindagem de sistemas que envolve um processo de 
mapeamento das ameaças, mitigação dos riscos e execução das atividades 
corretivas com foco na infraestrutura. Seu objetivo principal é tornar o sistema 
preparado para enfrentar tentativas de ataque. 
• É traduzida como endurecimento. Alguns autores utilizam blindagem e se refere 
a ajustes finos efetuados no sistema após uma instalação. 
• O conceito caracteriza-se por medidas e ações que visam proteger um 
determinado sistema de invasores. 
• Representa um processo de proteger um sistema contra ameaças 
desconhecidas. Os administradores de sistema devem endurecer uma 
instalação contra o que eles acham que poderia ser uma ameaça. 
Essa palavra é conhecida por 
( ) Hardening ( ) Deepening ( ) Shapening 
( ) Weakening ( ) Awakening 
 
9. Na atualidade a segurança dos ativos de uma empresaé uma das atividades que 
mais chamam a atenção e que preocupam os administradores de rede. No que diz 
respeito aos sistemas operacionais uma palavra é assim definida: No contexto da 
segurança da informação, um tipo de gestão possui as características listadas a 
seguir. 
• Constitui uma abordagem proativa com a finalidade de gerenciar uma rede 
buscando levantar e analisar os riscos de falhas que possam comprometer a 
segurança. 
• Fundamenta-se em práticas e processos, que tem por objetivos a diminuição e 
eliminação de falhas. 
• Permite que o gerente de TI possa tomar decisões mais conscientes de posse 
de informações e dados efetivos e assim encontrar a melhor estratégia para se 
manter protegido de invasões, ataques e falhas. 
Esse tipo é conhecido por Gestão de 
( ) Riscos ( ) Sinistros ( ) Acidentes 
( ) Incidentes ( ) Vulnerabilidades 
 
http://www.vert.com.br/blog-vert/o-que-aprender-com-famosos-casos-de-falhas-na-seguranca-da-informacao-empresarial/
 
 6 
10. A norma ISO 27002 estabelece que o objetivo da classificação das informações 
(atribuição de grau de confidencialidade) é a garantia de que os ativos de 
informação receberão um nível de proteção adequado. Ainda segundo a norma, as 
informações devem ser classificadas para indicar a necessidade, as prioridades e 
o grau de proteção. 
 
Com base nesse objetivo, a norma estabelece diretrizes para essa classificação, entre 
as quais se inclui a de 
( ) atribuir o processo de revisão do nível de confidencialidade de um documento à 
alta gerência. 
( ) manter a responsabilidade pela atribuição do nível de confidencialidade de um 
documento com o setor de TI. 
( ) manter os rótulos de classificação originais nos documentos oriundos de outras 
organizações. 
( ) manter o princípio de equidade que garante aos funcionários com funções 
similares o mesmo direito de acesso às informações classificadas. 
( ) rotular as informações e as saídas geradas pelos sistemas que tratam dados 
confidenciais, segundo seu valor e sensibilidade para a organização. 
 
11. Um profissional de segurança da informação deve compreender 
detalhadamente a norma NBR ISO/IEC 27002 para aplicá-la corretamente na sua 
organização. Sobre o tema, analise as afirmativas a seguir. 
(I) A norma foi originalmente publicada como NBR ISO/IEC 27001, sendo atualizada 
com o objetivo de fornecer recomendações básicas e mínimas para a gestão de 
segurança da informação nas organizações. 
(II) Para que o processo de segurança da informação de uma organização tenho 
sucesso, é necessário que os regulamentos estejam alinhados com os objetivos do 
negócio e a forma de implementação seja coerente com a cultura organizacional. 
(III) Para proteger adequadamente a informação, é necessário que se tenha a 
identificação dos ativos de informação, seus responsáveis, sua forma de uso e 
classificação em termos de sigilo. 
 
Está correto somente o que se afirma em: 
( ) I ( ) II ( ) III ( ) I e II ( ) II e III 
 
12. Em relação a normativas de segurança da informação, analise as afirmativas 
abaixo: 
(I) A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002. 
(II) Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001. 
(III) A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, 
absorvendo os conceitos usados na norma ISO/IEC 27001. 
 
Está correto somente o que se afirma em: 
( ) I ( ) II ( ) III ( ) I e II ( ) II e III 
 
II – QUESTÕES DISCURSIVAS 
13. No que diz respeito à Norma ISO/IEC 27002, responda: 
a) O que é a ISO 27002? 
b) Quais os objetivos da ISO 27002? 
c) Quais os benefícios da ISO 27002 para as empresas? 
Resposta: 
 
 
 7 
14. Indique os principais itens que compõem a ISO 27002, detalhando cada seção. 
Resposta: 
 
 
 
 8 
GABARITO 
 
1. , , e 
2. V, V, F e F 
3. III, I e II 
4. AVALIAÇAO E CONTROLE DOS RISCOS 
5. V, IV, I, III, VI e II 
6. ISO/IEC 27001 
7. ISO/IEC 27002 
8. Hardening 
9. Vulnerabilidades 
10. rotular as informações e as saídas geradas pelos sistemas que tratam dados 
confidenciais, segundo seu valor e sensibilidade para a organização. 
11. II e III 
12. I e II 
 
II – QUESTÕES DISCURSIVAS 
13. No que diz respeito à Norma ISO/IEC 27002, responda: 
a) O que é a ISO 27002? 
b) Quais os objetivos da ISO 27002? 
c) Quais os benefícios da ISO 27002 para as empresas? 
Resposta: 
a) O que é a ISO 27002? 
Em 1995, as organizações internacionais ISO (The International Organization for 
Standardization) e IEC (International Electrotechnical Commission) deram origem a um 
grupo de normas que consolidam as diretrizes relacionadas ao escopo de Segurança 
da Informação, sendo representada pela série 27000. Neste grupo, encontra-se a 
ISO/IEC 27002 (antigo padrão 17799:2005), norma internacional que estabelece código 
de melhores práticas para apoiar a implantação do Sistema de Gestão de Segurança 
da Informação (SGSI) nas organizações. 
Por meio do fornecimento de um guia completo de implementação, essa Norma 
descreve como os controles podem ser estabelecidos. Estes controles, por sua vez, 
devem ser escolhidos com base em uma avaliação de riscos dos ativos mais 
importantes da empresa. Ao contrário do que muitos gestores pensam, a ISO 27002 
pode ser utilizada para apoiar a implantação do SGSI em qualquer tipo de organização, 
pública ou privada, de pequeno ou grande porte, com ou sem fins lucrativos; e não 
apenas em empresas de tecnologia. 
 
b) Quais os objetivos da ISO 27002? 
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma 
organização. Isso também inclui a seleção, a implementação e o gerenciamento de 
controles, levando em conta os ambientes de risco encontrados na empresa. 
 
c) Quais os benefícios da ISO 27002 para as empresas? 
As vantagens proporcionadas pela certificação ISO 27002 são representativas para 
as empresas, principalmente pelo fato de serem reconhecidas mundialmente. 
São alguns benefícios associados a aplicação da norma: 
▪ Melhor conscientização sobre a segurança da informação; 
▪ Maior controle de ativos e informações sensíveis; 
▪ Oferece uma abordagem para implantação de políticas de controles; 
▪ Oportunidade de identificar e corrigir pontos fracos; 
 
 9 
▪ Redução do risco de responsabilidade pela não implementação de um SGSI 
ou determinação de políticas e procedimentos; 
▪ Torna-se um diferencial competitivo para a conquista de clientes que 
valorizam a certificação; 
▪ Melhor organização com processos e mecanismos bem desenhados e 
geridos; 
▪ Promove redução de custos com a prevenção de incidentes de segurança 
da informação; 
▪ Conformidade com a legislação e outras regulamentações. 
 
14. Indique os principais itens que compõem a ISO 27002, detalhando cada seção. 
Resposta: 
A parte principal da norma se encontra distribuída em seções, que correspondem a 
controles de segurança da informação, cabendo destacar que há outros aspectos 
descritos nas seções anteriores, mas nos concentraremos apenas na parte mais 
significativa da norma, a partir da Seção 5. Vale lembrar que a organização pode utilizar 
essas diretrizes como base para o desenvolvimento do SGSI. 
❖ Seção 5 – Política de Segurança da Informação 
✓ Deve ser criado um documento sobre a política de segurança da 
informação da empresa, que deve conter os conceitos de segurança da 
informação, uma estrutura para estabelecer os objetivos e as formas de 
controle, o comprometimento da direção com a política, entre tantos 
outros fatores. 
❖ Seção 6 – Organização da Segurança da Informação 
✓ Para implementar a Segurança da Informação em uma empresa, é 
necessário estabelecer uma estrutura para gerenciá-la da maneira 
adequada. Para isso, as atividades de segurança da informação devem 
ser coordenadaspor representantes da organização, que devem ter 
responsabilidades bem definidas e proteger as informações de caráter 
sigiloso. 
❖ Seção 7 – Gestão de ativos 
✓ Ativo, segundo a norma, é qualquer coisa que tenha valor para a 
organização e que precisa ser protegido. Mas para isso, os ativos devem 
ser identificados e classificados, de tal forma que um inventário possa ser 
estruturado e posteriormente mantido. Além disso, eles devem seguir 
regras documentadas, que definem qual o tipo de uso é permitido fazer 
com esses ativos. 
❖ Seção 8 – Segurança em recursos humanos 
✓ Antes de realizar a contratação de um funcionário – ou mesmo de 
fornecedores – é importante que ele seja devidamente analisado, 
principalmente se for lidar com informações de caráter sigiloso. A 
intenção desta seção é mitigar o risco de roubo, fraude ou mau uso dos 
recursos. E quando o funcionário estiver trabalhando na empresa, ele 
deverá estar ciente das ameaças relativas à segurança da informação, 
bem como de suas responsabilidades e obrigações. 
❖ Seção 9 – Segurança física e do ambiente 
✓ Os equipamentos e instalações de processamento de informação críticas 
ou sensíveis devem ser mantidas em áreas seguras, com níveis e 
controles de acesso apropriados, incluindo proteção contra ameaças 
físicas e ambientais. 
❖ Seção 10 – Segurança das operações e comunicações 
✓ É importante que estejam definidos os procedimentos e 
responsabilidades pela gestão e operação de todos os recursos de 
processamento das informações. Isso inclui o gerenciamento de serviços 
terceirizados, o planejamento dos recursos dos sistemas para minimizar 
 
 10 
o risco de falhas, a criação de procedimentos para a geração de cópias 
de segurança e sua recuperação e a administração segura de redes de 
comunicações. 
❖ Seção 11 – Controle de acesso 
✓ O acesso à informação, assim como aos recursos de processamento das 
informações e aos processos de negócios, deve ser controlado com base 
nos requisitos de negócio e na segurança da informação. Deve ser 
assegurado o acesso de usuário autorizado e prevenido o acesso não 
autorizado a sistemas de informação, a fim de evitar danos a documentos 
e recursos de processamento da informação que estejam ao alcance de 
qualquer um. 
❖ Seção 12 – Aquisição, desenvolvimento e manutenção de sistemas 
✓ Os requisitos de segurança de sistemas de informação devem ser 
identificados e acordados antes do seu desenvolvimento e/ou de sua 
implementação, para que assim possam ser protegidos visando a 
manutenção de sua confidencialidade, autenticidade ou integridade por 
meios criptográficos. 
❖ Seção 13 – Gestão de incidentes de segurança da informação 
✓ Procedimentos formais de registro e escalonamento devem ser 
estabelecidos, e os funcionários, fornecedores e terceiros devem estar 
conscientes sobre os procedimentos para notificação dos eventos de 
segurança da informação, para assegurar que eles sejam comunicados 
o mais rápido possível e corrigidos em tempo hábil. 
❖ Seção 14 – Gestão da continuidade do negócio 
✓ Planos de continuidade do negócio devem ser desenvolvidos e 
implementados, visando impedir a interrupção das atividades do negócio 
e assegurar que as operações essenciais sejam rapidamente 
recuperadas. 
❖ Seção 15 – Conformidade 
✓ É importante evitar a violação de qualquer lei criminal ou civil, garantindo 
estatutos, regulamentações ou obrigações contratuais e de quaisquer 
requisitos de segurança da informação. Caso necessário, a empresa 
pode contratar uma consultoria especializada, para que verifique sua 
conformidade e aderência a requisitos legais e regulamentares.

Outros materiais