Avaliação Conscientização em Segurança da Informação - Princípios e Framework de Governança

06072022 1821 14 Avaliação II Individual Cod739501 Código da prova 43027725 Disciplina Conscientização em Segurança da Informação 20216 Período para responder 07032022 19072022 Peso 150 1 Os seis principais princípios para um Sistema de Governança Governance System e três princípios do Framework de Governança servem como referência à segurança ao risco ao desenvolvimento e operação das organizações Com relação a esses princípios de Sistema e Framework de Governança classifique V para as sentenças verdadeiras e F para as falsas Os seis princípios do sistema de governança são 1 Prover valor para os gestores 2 visão Analítica 3 Sistema de Governança holístico 4 Diferença Governança de Processos 5 Adaptados às necessidades das pessoas e 6 Sistema de Gestão do Conhecimento Os seis princípios do sistema de governança são 1 Prover valor para as partes interessadas 2 visão holística 3 Sistema de Governança Dinâmico 4 Diferencia Governança de Gestão 5 Adaptados às necessidades das empresas e 6 Sistema de Governança fimafim Os três princípios do framework de governança são 1 Baseado em modelo conceitual 2 Aberto e flexível e 3 Alinhado com a maioria dos padrões Os três princípios do framework de governança são mais importantes que os seis princípios do sistema de governança pois tratam da segurança de forma mais completa Assinale a alternativa que apresenta a sequência CORRETA A F V V V B F V F V C F V V F D V F V F 2 Segundo Athena Security 2020 há alguns anos os vírus eram uma das principais preocupações da TI nas empresas Na atualidade com a adesão de novas tecnologias no ambiente corporativo como as ferramentas IoT também surgiram novas ameaças para os negócios Diante desse cenário é preciso criar um plano de conscientização em segurança da informação que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação classifique V para as sentenças verdadeiras e F para as falsas O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis escopo conteúdo e desenvolvimento de material de treinamento O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento bem como nas opções para a entrega de material O objetivo da etapa de Pósimplementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes Assinale a alternativa que apresenta a sequência CORRETA FONTE ATHENA SECURITY Plano de Conscientização em Segurança da Informação Entenda sem Complicações 2020 Disponível em httpsblogathenasecuritycombrplanodeconscientizacaoemsegurancadainformacao Acesso em 28 jan 2021 A V V V V B V V V F C F V F V D V F V V 3 O Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5 fornecendo orientação sobre as exigências relativas ao comportamento humano tendo como princípio básico guias que detalham os habilitadores de governança e gestão Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5 classifique V para as sentenças verdadeiras e F para as falsas Os habilitadores do Cobit 5 incluem pessoas habilidades e competências bem como cultura ética e comportamento Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos 06072022 1821 24 e da capacidade de inovação organizacional Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento Assinale a alternativa que apresenta a sequência CORRETA A V F V B V V F C V F F D F F V 4 A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado desenvolvido e implementado A respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento classifique V para as sentenças verdadeiras e F para as falsas 1 Modelo 1 Política estratégia e implementação centralizada 2 Modelo 2 Política e estratégia centralizada implementação distribuída 3 Modelo 3 Política centralizada estratégia distribuída e implementação 1 Modelo 1 Norma Plano de Segurança e implementação da Segurança 2 Modelo 2 Norma Plano de Segurança implementação centralizada 3 Modelo 3 Política centralizada Plano de Segurança distribuída 1 Modelo 1 Processo e Normas de implementação distribuída 2 Modelo 2 Diretrizes e políticas centralizada implementação e distribuída 3 Modelo 3 Política centralizada plano de segurança distribuída e implementação Assinale a alternativa que apresenta a sequência CORRETA A F V F B F V V C F F V D V F F 5 O Ciclo PDCA significa Plan Do Check Action Planejar Fazer Verificar e Agir e é um método que tem a função de garantir que a empresa organize seus processos A norma ISO 27001 faz referência ao modelo PDCA aplicado para estruturar todos os processos do Sistema de Gerenciamento de Segurança da Informação SGSI que é composto por um conjunto de ações de forma sequencial para atender à área de Segurança da Informação Com relação a estas etapas do modelo PDCA Plan Do Check Action para o SGSI analise as sentenças a seguir I Durante o Plan fazse o estabelecimento do SGSI e o Act realiza a manutenção e a melhoria do SGSI II Na fase do Check são realizadas auditorias e avaliações do SGSI e no Do analisase os resultados e implementa melhorias no SGSI III A etapa Plan faz a identificação do SGSI e na etapa do Act realizamse as mudanças do SGSI IV Na etapa Check realizase o monitoramento e a análise crítica do SGSI e a etapa do Do serve para fazer a implementação e a operação do SGSI Assinale a alternativa CORRETA A As sentenças I e IV estão corretas B As sentenças III e IV estão corretas C As sentenças I e III estão corretas D As sentenças II e IV estão corretas 6 Destacamos que as principais entidades e órgãos do mundo e no Brasil voltados para as normas de Segurança da Informação são a International Organization for Standardization ISO a International Electrotechnical Commission IEC Associação Brasileira de Normas Técnicas ABNT e as Normas Brasileiras BNR Com relação às normas de Segurança de Informação assinale a alternativa CORRETA A A ABNT NBR ISOIEC 27000 é um framework conceitual referente ao treinamento em segurança B A ABNT NBR ISOIEC 27000 é um framework conceitual referente ao treinamento de conscientização C A ABNT NBR ISOIEC 27000 fornece a visão geral dos Sistemas de Gerenciamento de Segurança da Informação SGSI D A ABNT NBR ISOIEC 27000 fornece orientações quanto à construção e manutenção de um plano de conscientização e treinamento 06072022 1821 34 7 Wilson e Hash 2003 identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são 1 Projeto de conscientização e treinamento 2 Conscientização e desenvolvimento de materiais de treinamento e 3 Implementação do programa e 4 Pósimplementação Com relação à descrição da etapa de Projeto de conscientização e treinamento assinale a alternativa CORRETA FONTE WILSON M HASH J Building an information technology security awareness and training program NIST Special publication v 800 n 50 p 170 2003 Disponível em httpstsappsnistgovpublicationgetpdfcfmpubid151287 Acesso em 30 mar 2020 A Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação B Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento D Realiza avaliação das necessidades da organização bem como desenvolve e aprova uma estratégia de treinamento 8 A sigla COBIT significa em inglês objetivos de controle para a informação e tecnologia Control Objetives for Information and related Technology e tem como objetivo promover um modelo para Governança de TI confiável adotado por empresas sendo atualizado diariamente por gerentes de negócio profissionais de TI e auditores Com relação às etapas da estrutura do Cobit2019 analise as sentenças a seguir I É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento II É composta pela etapa de Desenhar seu Sistema de Governança de Informação Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação Tecnologia III É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação Tecnologia Assinale a alternativa CORRETA A As sentenças I e III estão corretas B As sentenças II e III estão corretas C Somente a sentença I está correta D As sentenças I e II estão corretas 9 A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre implementação do programa na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento com o objetivo de realizar a entrega de material para todos os colaboradores da organização Com relação ao formato de realização desta etapa de Implementação do Programa analise as sentenças a seguir I Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web ensino a distância vídeo no local entre outros II As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros boletins lista de verificação cartazes informando o que fazer o não fazer sessões de teleconferência seminários entre outros III As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização Assinale a alternativa CORRETA A As sentenças II e III estão corretas B As sentenças I e II estão corretas C Somente a sentença II está correta D As sentenças I e III estão corretas 10 A ABNT NBR ISOIEC 27001 tem na sua estrutura de 0 a 10 seções anexos e bibliografias que buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do seu tipo tamanho ou natureza Com relação a estas 10 seções da estrutura da ABNT NBR ISOIEC 27001 classifique V para as sentenças verdadeiras e F para as falsas As seções são 0 introdução 1 escopo 2 referências normativas 3 Termos e definições 4 Contexto da organização 5 Liderança 6 Planejamento 7 Suporte 8 Operação 9 Avaliação de desempenho e 10 Melhorias As seções 2 referências normativas e 4 Contexto da organização especifica os requisitos genéricos e 06072022 1821 44 específicos do SGSI adaptado à cultura da organização Na seção 0 introdução descreve um processo para gerenciar sistematicamente os riscos à informação e como a seção 5 está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI determinando políticas e atribuindo funções responsabilidades e autoridades responsáveis pela segurança da informação A seção 6 descreve o processo de identificação análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção 10 aborda as conclusões de auditorias e revisões não conformidades e ações corretivas buscando de forma contínua a melhoria Assinale a alternativa que apresenta a sequência CORRETA A V V V F B F F V V C V F F V D V F V V GABARITO 1 C 2 A 3 A 4 D 5 A 6 C 7 D 8 D 9 B 10 D