Avaliação Sistemas de Informação em Segurança - Fator Humano e Proteção de Informações

23082022 1329 14 Avaliação I Individual Cod770714 Código da prova 52036175 Disciplina Sistemas de Informação em Segurança 19382 Período para responder 16082022 31082022 Peso 150 1 Os ataques estão presentes no cotidiano sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da informação conforme sua cultura e das organizações Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade disponibilidade confidencialidade e integridade assinale a alternativa CORRETA A Quando uma organização incorpora a cultura da segurança da informação toda a organização fica comprometida B O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação C Por mais que haja mecanismos automatizados a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das informações D A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a confidencialidade e a integridade da informação 2 A segurança da informação está diretamente relacionada à proteção de um conjunto de informações a fim de preservar seu valor para os usuários ou organizações A segurança da informação é como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados alterações indevidas ou sua indisponibilidade A respeito da definição conceitual da segurança da informação classifique V para as sentenças verdadeiras e F para as falsas A segurança da informação é caracterizada pelo uso de recursos de proteção sobre o ativo ou conjunto de ativos com o objetivo de preservar seu valor para o usuário ou organização O Armazenamento a Avaliação e a Proteção de Riscos dos ativos de valor para o usuário ou organização fazem parte dos três princípios básicos da segurança da informação A segurança de informação se aplica em todas as áreas de conhecimento e busca controlar e proteger os indivíduos responsáveis dos ativos de valores da organização A Confidencialidade a Integridade e a Disponibilidade fazem parte dos três princípios básicos da segurança da informação Assinale a alternativa que apresenta a sequência CORRETA A V F F V B F F V F C V V F V D V F V F 3 Conforme Machado Júnior 2018 p 61 ao longo dos anos os pilares Confidencialidade Integridade e Disponibilidade CID da segurança da informação foram se consolidando e evoluindo de forma a sustentar e expandir as práticas de proteção da informação Com base nessa evolução das características de Segurança para se chegar à tríade CID classifique V para as sentenças verdadeiras e F para as falsas As duas primeiras características da evolução de segurança foram sobre as vulnerabilidades identificadas que tratavam da divulgação acidental infiltração ativa subversão passiva e ataque físico e os princípios de combate tratavam da responsabilidade individual e proteção contra divulgação não autorizada acesso à informação classificada somente às pessoas autorizadas e meios para atingir objetivos de segurança são uma combinação de hardware software e medidas processuais A partir das características de vulnerabilidades identificadas e princípios para combate à evolução da segurança foram voltados diretamente aos requisitos fundamentais de segurança computacional definindo definitivamente a tríade confidencialidade integridade e disponibilidade CID A terceira etapa da evolução das características de segurança da tríade CID sobre os potenciais riscos tratava sobre a liberação de informação não autorizada modificação de informação não autorizada e negação não autorizada de uso A quarta etapa da evolução das características de segurança da tríada CID sobre os requisitos fundamentais de segurança computacional tratava sobre política de segurança marcação identificação prestação de contasresponsabilidade garantia dos itens anteriores e proteção contínua Assinale a alternativa que apresenta a sequência CORRETA FONTE MACHADO JÚNIOR D M Segurança da informação uma abordagem sobre proteção da privacidade em Internet das 23082022 1329 24 coisas 2018 159f Tese Doutorado em Tecnologia da Inteligência e Design Digital Pontifícia Universidade Católica de São Paulo São Paulo 2018 Disponível em httpstede2pucspbrhandlehandle21366 Acesso em 30 mar 2020 A F V V F B V F F V C V F V F D V F V V 4 Existem diversos métodos de comunicar a conscientização de segurança em toda a organização no qual é recomendado que o conteúdo do treinamento seja determinado com base na função e na cultura da organização Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação a organização garante que o pessoal seja exposto a mesma informação várias vezes de diferentes maneiras Dessa forma as pessoas se lembram das informações a elas apresentadas e estarão preparadas para lidar de forma segura com a manipulação de seus ativos Com relação aos métodos de comunicação da conscientização da segurança da informação analise as sentenças a seguir I Os métodos de comunicação eletrônicos podem ser notificações por email elearning mídia social interna pôsteres eventos de treinamentos seminários internos etc II O método de comunicação deve oferecer notificações direcionadas ao perfil do seu usuário de forma clara para que a mesma seja facilmente lida e entendida e todos estejam melhor preparados para lidar com diferentes situações a fim de garantir a proteção de seus dados e informações III Eventos sociais que envolvem palestras vídeos educacionais e sessões de perguntas e respostas são poucos recomendados aos colaboradores de uma organização pois oferecem momentos de pouco aprendizado dos colaboradores interessados Assinale a alternativa CORRETA A As sentenças II e III estão corretas B As sentenças I e II estão corretas C As sentenças I e III estão corretas D Somente a sentença II está correta 5 Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização com responsabilidades diferentes e representantes dos setores envolvidos da organização Com base nas funções para conscientização de segurança classifique V para as sentenças verdadeiras e F para as falsas A organização deverá prover a realização de treinamentos baseandose nas funções de trabalho dos colaboradores conforme o nível de responsabilidade e os papéis definidos na organização A organização deve criar um catálogo de referência de vários tipos e profundidades de treinamento auxiliando as organizações a prover treinamento certo para as pessoas certas na hora certa A organização deve definir um processo de segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de conscientização de segurança A organização deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções ou seja conforme os três tipos de funções todo o pessoal funções especializadas e funções de gerenciamento dos colaboradores Assinale a alternativa que apresenta a sequência CORRETA A V V F V B V V V F C F V F F D V F F V 6 É crucial para o sucesso do programa de treinamento de conscientização que as pessoas reconheçam que receberam e compreendam de forma completa o conteúdo entregue sobre as atividades e os papéis necessários para assegurar a segurança da informação É importante obter seu feedback constante para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização Com relação à forma de conteúdo de treinamento geral de conscientização referente à segurança analise as sentenças a seguir I Utilização da Política de conscientização de segurança da organização comércio eletrônico práticas de email seguro mensagem instantâneas o uso seguro de mídias sociais etc II Utilização de 23082022 1329 34 ambientes automatizados que oferecem práticas e orientações para trabalhar de forma presencial a fim de evitar acesso às informações disponíveis em suas áreas III Utilização de segurança física correios fax telefone ambiente sem cartão agente de segurança acesso físico etc Assinale a alternativa CORRETA A As sentenças I e III estão corretas B Somente a sentença III está correta C As sentenças II e III estão corretas D As sentenças I e II estão corretas 7 A conscientização de segurança da informação deve ser disseminada via processo institucional que demande melhoria continuada nas organizações onde possa disseminar seu conhecimento e possa oferecer um programa de treinamento para obter alto nível de conscientização de segurança para todos os funcionários No que diz respeito ao programa de treinamento de conscientização de segurança assinale a alternativa CORRETA A A organização precisa definir junto a entidades externas um programa pronto para auxiliar na definição de diretrizes sobre segurança de informação para ser seguida B A organização deve definir uma lista de verificação para se desenvolver monitorar eou manter um programa de treinamento de conscientização de segurança de forma eficaz C Um programa de melhoria contínua sobre conscientização de segurança da informação tem como benefício certificar a organização e seguir as estratégias impostas por órgãos internacionais D Um programa sólido de treinamento de conscientização possibilitará que a organização possa reconhecer ameaças e permitir que poucas pessoas possam se sentir confiantes em relatar possíveis problemas de segurança 8 No contexto da segurança da informação a engenharia social referese à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador Com relação à Engenharia Social analise as sentenças a seguir I Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta II Envolve aspectos das interações humanas habilidades para enganar pessoas a fim de violar a segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações III Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas e extrair suas informações sigilosas de forma anônima Assinale a alternativa CORRETA A As sentenças II e III estão corretas B Somente a sentença I está correta C As sentenças I e II estão corretas D As sentenças I e III estão corretas 9 Partindo do princípio de que a tecnologia sozinha não pode solucionar a segurança da informação onde o fator humano também deve ser considerado autores e pesquisadores enfatizam que a solução efetiva da segurança da informação requer a integração de pessoas de forma gradativa e constantes de forma que possa criar e fortalecer a cultura de segurança da informação Com base nos conceitos sobre a Cultura de Segurança da Informação classifique V para as sentenças verdadeiras e F para as falsas Quando os indivíduos e as organizações incorporam a Cultura de Segurança da Informação significa que os cuidados com a proteção das informações são vivenciados diariamente de forma que as ameaças e emergências de hoje podem mudar e no futuro não terem tanta importância pois a vivência da segurança requer de forma natural um planejamento constante A Segurança de Informação deve fazer parte da cultura no dia a dia das pessoas e das organizações pois vivemos em constante mudanças devido às inovações de maneira que podemos mudar a forma como se proteger diante das situações de risco A falta de consciência com relação à segurança tem grande relação com a falta de se ter incorporada em nossas vidas uma Cultura de Segurança da Informação para que saibamos agir diante dos riscos e vulnerabilidades A Cultura de Segurança da Informação é fundamentada por características que definem os direitos e os deveres que os indivíduos devem ter na realização das suas atividades impostas pela liderança das organizações Assinale a alternativa que apresenta a sequência CORRETA 23082022 1329 44 A V F F V B V F V F C F V V F D V V V F 10 É fundamental que exista a inclusão de conscientização sobre os ataques e sejam identificados como situações de risco ataques sobre o ativo mais valioso e a informação e encontrar formas eficazes e seguras de nos protegermos Enfim essa conscientização permitirá que se tenha ciência dos métodos usados por fraudadores hackers ou outras pessoas malintencionadas Com base na Disseminação da Conscientização 3 classifique V para as sentenças verdadeiras e F para as falsas A organização deve criar uma cultura corporativa forte com priorização na conscientização e treinamento de seus colaboradores A organização precisa treinar e educar somente sua liderança referente aos ativos da informação e como elas devem ser protegidas A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas para que os ataques de engenharia social sejam identificados como situações de risco A organização deve criar e divulgar suas políticas normas e procedimentos de segurança da informação por meio de programas de treinamento e conscientização constantes Assinale a alternativa que apresenta a sequência CORRETA A V F V V B V F F V C V V F F D F F F V 23082022 1330 14 Avaliação II Individual Cod770711 Código da prova 52607797 Disciplina Sistemas de Informação em Segurança 19382 Período para responder 23082022 07092022 Peso 150 1 O Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5 fornecendo orientação sobre as exigências relativas ao comportamento humano tendo como princípio básico guias que detalham os habilitadores de governança e gestão Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5 classifique V para as sentenças verdadeiras e F para as falsas Os habilitadores do Cobit 5 incluem pessoas habilidades e competências bem como cultura ética e comportamento Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de inovação organizacional Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento Assinale a alternativa que apresenta a sequência CORRETA A V F F B F F V C V F V D V V F 2 Segundo Athena Security 2020 há alguns anos os vírus eram uma das principais preocupações da TI nas empresas Na atualidade com a adesão de novas tecnologias no ambiente corporativo como as ferramentas IoT também surgiram novas ameaças para os negócios Diante desse cenário é preciso criar um plano de conscientização em segurança da informação que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação classifique V para as sentenças verdadeiras e F para as falsas O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis escopo conteúdo e desenvolvimento de material de treinamento O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento bem como nas opções para a entrega de material O objetivo da etapa de Pósimplementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes Assinale a alternativa que apresenta a sequência CORRETA FONTE ATHENA SECURITY Plano de Conscientização em Segurança da Informação Entenda sem Complicações 2020 Disponível em httpsblogathenasecuritycombrplanodeconscientizacaoemsegurancadainformacao Acesso em 28 jan 2021 A V F V V B V V V V C F V F V D V V V F 3 Segundo Fernandes e Abreu 2008 o modelo COBIT é um assunto relevante porque é uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle questões técnicas e riscos de negócios comunicando esse nível de controle às partes interessadas O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa Com relação ao que o framework Cobit2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização analise as sentenças a seguir I O framework Cobit2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação II O framework Cobit2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço III O framework Cobit2019 foi fundamentado nas melhores práticas acadêmicas além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz Assinale a alternativa CORRETA FONTE FERNANDES Agnaldo Aragon ABREU Vladimir 23082022 1330 24 Ferraz de Implantando a governança de TI da estratégia à gestão dos processos e serviços 2 ed Rio de Janeiro Brasport 2008 A Somente a sentença III está correta B As sentenças II e III estão corretas C As sentenças I e II estão corretas D As sentenças I e III estão corretas 4 A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre implementação do programa na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento com o objetivo de realizar a entrega de material para todos os colaboradores da organização Com relação ao formato de realização desta etapa de Implementação do Programa analise as sentenças a seguir I Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web ensino a distância vídeo no local entre outros II As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros boletins lista de verificação cartazes informando o que fazer o não fazer sessões de teleconferência seminários entre outros III As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização Assinale a alternativa CORRETA A As sentenças I e II estão corretas B As sentenças II e III estão corretas C As sentenças I e III estão corretas D Somente a sentença II está correta 5 Os seis principais princípios para um Sistema de Governança Governance System e três princípios do Framework de Governança servem como referência à segurança ao risco ao desenvolvimento e operação das organizações Com relação a esses princípios de Sistema e Framework de Governança classifique V para as sentenças verdadeiras e F para as falsas Os seis princípios do sistema de governança são 1 Prover valor para os gestores 2 visão Analítica 3 Sistema de Governança holístico 4 Diferença Governança de Processos 5 Adaptados às necessidades das pessoas e 6 Sistema de Gestão do Conhecimento Os seis princípios do sistema de governança são 1 Prover valor para as partes interessadas 2 visão holística 3 Sistema de Governança Dinâmico 4 Diferencia Governança de Gestão 5 Adaptados às necessidades das empresas e 6 Sistema de Governança fimafim Os três princípios do framework de governança são 1 Baseado em modelo conceitual 2 Aberto e flexível e 3 Alinhado com a maioria dos padrões Os três princípios do framework de governança são mais importantes que os seis princípios do sistema de governança pois tratam da segurança de forma mais completa Assinale a alternativa que apresenta a sequência CORRETA A F V V F B F V F V C F V V V D V F V F 6 A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado desenvolvido e implementado A respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento classifique V para as sentenças verdadeiras e F para as falsas 1 Modelo 1 Política estratégia e implementação centralizada 2 Modelo 2 Política e estratégia centralizada implementação distribuída 3 Modelo 3 Política centralizada estratégia distribuída e implementação 1 Modelo 1 Norma Plano de Segurança e implementação da Segurança 2 Modelo 2 Norma Plano de Segurança implementação centralizada 3 Modelo 3 Política centralizada Plano de Segurança distribuída 1 Modelo 1 Processo e Normas de implementação distribuída 2 Modelo 2 Diretrizes e políticas centralizada implementação e distribuída 3 Modelo 3 23082022 1330 34 Política centralizada plano de segurança distribuída e implementação Assinale a alternativa que apresenta a sequência CORRETA A F F V B V F F C F V V D F V F 7 Wilson e Hash 2003 identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são 1 Projeto de conscientização e treinamento 2 Conscientização e desenvolvimento de materiais de treinamento e 3 Implementação do programa e 4 Pósimplementação Com relação à descrição da etapa de Projeto de conscientização e treinamento assinale a alternativa CORRETA FONTE WILSON M HASH J Building an information technology security awareness and training program NIST Special publication v 800 n 50 p 170 2003 Disponível em httpstsappsnistgovpublicationgetpdfcfmpubid151287 Acesso em 30 mar 2020 A Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização B Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento D Realiza avaliação das necessidades da organização bem como desenvolve e aprova uma estratégia de treinamento 8 A sigla COBIT significa em inglês objetivos de controle para a informação e tecnologia Control Objetives for Information and related Technology e tem como objetivo promover um modelo para Governança de TI confiável adotado por empresas sendo atualizado diariamente por gerentes de negócio profissionais de TI e auditores Com relação às etapas da estrutura do Cobit2019 analise as sentenças a seguir I É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento II É composta pela etapa de Desenhar seu Sistema de Governança de Informação Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação Tecnologia III É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação Tecnologia Assinale a alternativa CORRETA A As sentenças I e II estão corretas B As sentenças I e III estão corretas C As sentenças II e III estão corretas D Somente a sentença I está correta 9 Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações Portanto é importante contar com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI No que se refere ao que deve ser descrito na ETAPA 1 PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO classifique V para as sentenças verdadeiras e F para as falsas Realizar a descrição de como estruturar a atividade de conscientização e treinamento como e por que realizar uma avaliação de necessidades Realizar a descrição de como desenvolver um plano de conscientização e treinamento como estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente Realizar a descrição de como financiar o programa de conscientização Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e treinamento bem como realizar a verificação de qual área deve ser realizada a conscientização Assinale a alternativa que apresenta a sequência CORRETA A F V V F B V V V F C V V F V 23082022 1330 44 D V F V F 10 A ABNT NBR ISOIEC 27001 tem na sua estrutura de 0 a 10 seções anexos e bibliografias que buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do seu tipo tamanho ou natureza Com relação a estas 10 seções da estrutura da ABNT NBR ISOIEC 27001 classifique V para as sentenças verdadeiras e F para as falsas As seções são 0 introdução 1 escopo 2 referências normativas 3 Termos e definições 4 Contexto da organização 5 Liderança 6 Planejamento 7 Suporte 8 Operação 9 Avaliação de desempenho e 10 Melhorias As seções 2 referências normativas e 4 Contexto da organização especifica os requisitos genéricos e específicos do SGSI adaptado à cultura da organização Na seção 0 introdução descreve um processo para gerenciar sistematicamente os riscos à informação e como a seção 5 está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI determinando políticas e atribuindo funções responsabilidades e autoridades responsáveis pela segurança da informação A seção 6 descreve o processo de identificação análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção 10 aborda as conclusões de auditorias e revisões não conformidades e ações corretivas buscando de forma contínua a melhoria Assinale a alternativa que apresenta a sequência CORRETA A V F V V B V F F V C F F V V D V V V F 23082022 1331 11 Avaliação Final Discursiva Individual Cod770712 Código da prova 52607798 Disciplina Sistemas de Informação em Segurança 19382 Período para responder 23082022 07092022 Peso 400 1 Cabe ao alto escalão administrativo como diretores e executivos responsabilizarse pela Governança de TI no qual o framework Control Objectives for Information and related Technology é um conjunto de melhores práticas para o gerenciamento de TI voltado à governança de TI focado na documentação e gestão de TI para o gerenciamento de processos baseados em seus negócios É composto por indicadores de desempenho e performance podendo monitorar quanto a TI está atendendo ao negócio da organização a fim de atingir os objetivos corporativos Disserte sobre o que fornece o framework Cobit2019 aos profissionais de segurança da informação e para as partes interessadas da organização 2 As Tecnologias da Informação e Comunicação TIC são grandes aliadas à prática da Segurança da Informação Houve um momento histórico em que manter a segurança das informações era uma tarefa relativamente simples já que estas eram armazenadas apenas em papel bastando guardálas em algum lugar com restrição de acesso físico Com o advento tecnológico surgem num primeiro momento os controles lógicos ainda centralizados Entretanto a partir do momento em que há a possibilidade de conectar o computador pessoal ao mundo inteiro as questões de segurança atingem uma complexidade maior havendo a necessidade de desenvolvimento de equipes e de métodos de segurança cada vez mais sofisticados Diante disso disserte sobre quais são os cenários da segurança da informação vividos na visão corporativa das organizações 23082022 1329 14 Avaliação I Individual Cod770714 Código da prova 52036175 Disciplina Sistemas de Informação em Segurança 19382 Período para responder 16082022 31082022 Peso 150 1 Os ataques estão presentes no cotidiano sendo fundamental que as pessoas cooperem de forma consciente para garantir a eficácia da segurança da informação conforme sua cultura e das organizações Considerando que o fator humano é quem mais exerce impacto referente aos princípios da segurança da informação da tríade disponibilidade confidencialidade e integridade assinale a alternativa CORRETA A Quando uma organização incorpora a cultura da segurança da informação toda a organização fica comprometida B O elemento humano é o único fator que deve ser aperfeiçoado em uma organização para reduzir o risco e o impacto da segurança da informação C Por mais que haja mecanismos automatizados a segurança da informação estará comprometida se seus usuários não tiverem consciência do seu papel de manter a confidencialidade das informações D A cultura da segurança da informação bem disseminada em uma organização não impacta na maneira como as pessoas se comportam para manter a confidencialidade e a integridade da informação 2 A segurança da informação está diretamente relacionada à proteção de um conjunto de informações a fim de preservar seu valor para os usuários ou organizações A segurança da informação é como uma área do conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados alterações indevidas ou sua indisponibilidade A respeito da definição conceitual da segurança da informação classifique V para as sentenças verdadeiras e F para as falsas A segurança da informação é caracterizada pelo uso de recursos de proteção sobre o ativo ou conjunto de ativos com o objetivo de preservar seu valor para o usuário ou organização O Armazenamento a Avaliação e a Proteção de Riscos dos ativos de valor para o usuário ou organização fazem parte dos três princípios básicos da segurança da informação A segurança de informação se aplica em todas as áreas de conhecimento e busca controlar e proteger os indivíduos responsáveis dos ativos de valores da organização A Confidencialidade a Integridade e a Disponibilidade fazem parte dos três princípios básicos da segurança da informação Assinale a alternativa que apresenta a sequência CORRETA A V F F V B F F V F C V V F V D V F V F 3 Conforme Machado Júnior 2018 p 61 ao longo dos anos os pilares Confidencialidade Integridade e Disponibilidade CID da segurança da informação foram se consolidando e evoluindo de forma a sustentar e expandir as práticas de proteção da informação Com base nessa evolução das características de Segurança para se chegar à tríade CID classifique V para as sentenças verdadeiras e F para as falsas As duas primeiras características da evolução de segurança foram sobre as vulnerabilidades identificadas que tratavam da divulgação acidental infiltração ativa subversão passiva e ataque físico e os princípios de combate tratavam da responsabilidade individual e proteção contra divulgação não autorizada acesso à informação classificada somente às pessoas autorizadas e meios para atingir objetivos de segurança são uma combinação de hardware software e medidas processuais A partir das características de vulnerabilidades identificadas e princípios para combate à evolução da segurança foram voltados diretamente aos requisitos fundamentais de segurança computacional definindo definitivamente a tríade confidencialidade integridade e disponibilidade CID A terceira etapa da evolução das características de segurança da tríade CID sobre os potenciais riscos tratava sobre a liberação de informação não autorizada modificação de informação não autorizada e negação não autorizada de uso A quarta etapa da evolução das características de segurança da tríada CID sobre os requisitos fundamentais de segurança computacional tratava sobre política de segurança marcação identificação prestação de contasresponsabilidade garantia dos itens anteriores e proteção contínua Assinale a alternativa que apresenta a sequência CORRETA FONTE MACHADO JÚNIOR D M Segurança da informação uma abordagem sobre proteção da privacidade em Internet das 23082022 1329 24 coisas 2018 159f Tese Doutorado em Tecnologia da Inteligência e Design Digital Pontifícia Universidade Católica de São Paulo São Paulo 2018 Disponível em httpstede2pucspbrhandlehandle21366 Acesso em 30 mar 2020 A F V V F B V F F V C V F V F D V F V V 4 Existem diversos métodos de comunicar a conscientização de segurança em toda a organização no qual é recomendado que o conteúdo do treinamento seja determinado com base na função e na cultura da organização Ao disseminar o treinamento de conscientização sobre segurança por meio de vários canais de comunicação a organização garante que o pessoal seja exposto a mesma informação várias vezes de diferentes maneiras Dessa forma as pessoas se lembram das informações a elas apresentadas e estarão preparadas para lidar de forma segura com a manipulação de seus ativos Com relação aos métodos de comunicação da conscientização da segurança da informação analise as sentenças a seguir I Os métodos de comunicação eletrônicos podem ser notificações por email elearning mídia social interna pôsteres eventos de treinamentos seminários internos etc II O método de comunicação deve oferecer notificações direcionadas ao perfil do seu usuário de forma clara para que a mesma seja facilmente lida e entendida e todos estejam melhor preparados para lidar com diferentes situações a fim de garantir a proteção de seus dados e informações III Eventos sociais que envolvem palestras vídeos educacionais e sessões de perguntas e respostas são poucos recomendados aos colaboradores de uma organização pois oferecem momentos de pouco aprendizado dos colaboradores interessados Assinale a alternativa CORRETA A As sentenças II e III estão corretas B As sentenças I e II estão corretas C As sentenças I e III estão corretas D Somente a sentença II está correta 5 Para montar uma equipe de conscientização de segurança é necessário avaliar o perfil das pessoas responsáveis pelo desenvolvimento da manutenção do programa de conscientização de segurança onde o recomendado é que seja composta por pessoas de diferentes áreas da organização com responsabilidades diferentes e representantes dos setores envolvidos da organização Com base nas funções para conscientização de segurança classifique V para as sentenças verdadeiras e F para as falsas A organização deverá prover a realização de treinamentos baseandose nas funções de trabalho dos colaboradores conforme o nível de responsabilidade e os papéis definidos na organização A organização deve criar um catálogo de referência de vários tipos e profundidades de treinamento auxiliando as organizações a prover treinamento certo para as pessoas certas na hora certa A organização deve definir um processo de segurança definindo todos os papéis e as responsabilidades das funções gerenciais envolvidas nas políticas de conscientização de segurança A organização deve definir um programa de conscientização de segurança baseado em funções e agrupar os indivíduos de acordo com suas funções ou seja conforme os três tipos de funções todo o pessoal funções especializadas e funções de gerenciamento dos colaboradores Assinale a alternativa que apresenta a sequência CORRETA A V V F V B V V V F C F V F F D V F F V 6 É crucial para o sucesso do programa de treinamento de conscientização que as pessoas reconheçam que receberam e compreendam de forma completa o conteúdo entregue sobre as atividades e os papéis necessários para assegurar a segurança da informação É importante obter seu feedback constante para garantir que a equipe compreenda o conteúdo e as políticas de segurança da organização Com relação à forma de conteúdo de treinamento geral de conscientização referente à segurança analise as sentenças a seguir I Utilização da Política de conscientização de segurança da organização comércio eletrônico práticas de email seguro mensagem instantâneas o uso seguro de mídias sociais etc II Utilização de 23082022 1329 34 ambientes automatizados que oferecem práticas e orientações para trabalhar de forma presencial a fim de evitar acesso às informações disponíveis em suas áreas III Utilização de segurança física correios fax telefone ambiente sem cartão agente de segurança acesso físico etc Assinale a alternativa CORRETA A As sentenças I e III estão corretas B Somente a sentença III está correta C As sentenças II e III estão corretas D As sentenças I e II estão corretas 7 A conscientização de segurança da informação deve ser disseminada via processo institucional que demande melhoria continuada nas organizações onde possa disseminar seu conhecimento e possa oferecer um programa de treinamento para obter alto nível de conscientização de segurança para todos os funcionários No que diz respeito ao programa de treinamento de conscientização de segurança assinale a alternativa CORRETA A A organização precisa definir junto a entidades externas um programa pronto para auxiliar na definição de diretrizes sobre segurança de informação para ser seguida B A organização deve definir uma lista de verificação para se desenvolver monitorar eou manter um programa de treinamento de conscientização de segurança de forma eficaz C Um programa de melhoria contínua sobre conscientização de segurança da informação tem como benefício certificar a organização e seguir as estratégias impostas por órgãos internacionais D Um programa sólido de treinamento de conscientização possibilitará que a organização possa reconhecer ameaças e permitir que poucas pessoas possam se sentir confiantes em relatar possíveis problemas de segurança 8 No contexto da segurança da informação a engenharia social referese à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador Com relação à Engenharia Social analise as sentenças a seguir I Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta II Envolve aspectos das interações humanas habilidades para enganar pessoas a fim de violar a segurança da informação utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações III Envolve práticas e técnicas inteligentes para capturar informações do comportamento das pessoas e extrair suas informações sigilosas de forma anônima Assinale a alternativa CORRETA A As sentenças II e III estão corretas B Somente a sentença I está correta C As sentenças I e II estão corretas D As sentenças I e III estão corretas 9 Partindo do princípio de que a tecnologia sozinha não pode solucionar a segurança da informação onde o fator humano também deve ser considerado autores e pesquisadores enfatizam que a solução efetiva da segurança da informação requer a integração de pessoas de forma gradativa e constantes de forma que possa criar e fortalecer a cultura de segurança da informação Com base nos conceitos sobre a Cultura de Segurança da Informação classifique V para as sentenças verdadeiras e F para as falsas Quando os indivíduos e as organizações incorporam a Cultura de Segurança da Informação significa que os cuidados com a proteção das informações são vivenciados diariamente de forma que as ameaças e emergências de hoje podem mudar e no futuro não terem tanta importância pois a vivência da segurança requer de forma natural um planejamento constante A Segurança de Informação deve fazer parte da cultura no dia a dia das pessoas e das organizações pois vivemos em constante mudanças devido às inovações de maneira que podemos mudar a forma como se proteger diante das situações de risco A falta de consciência com relação à segurança tem grande relação com a falta de se ter incorporada em nossas vidas uma Cultura de Segurança da Informação para que saibamos agir diante dos riscos e vulnerabilidades A Cultura de Segurança da Informação é fundamentada por características que definem os direitos e os deveres que os indivíduos devem ter na realização das suas atividades impostas pela liderança das organizações Assinale a alternativa que apresenta a sequência CORRETA 23082022 1329 44 A V F F V B V F V F C F V V F D V V V F 10 É fundamental que exista a inclusão de conscientização sobre os ataques e sejam identificados como situações de risco ataques sobre o ativo mais valioso e a informação e encontrar formas eficazes e seguras de nos protegermos Enfim essa conscientização permitirá que se tenha ciência dos métodos usados por fraudadores hackers ou outras pessoas malintencionadas Com base na Disseminação da Conscientização 3 classifique V para as sentenças verdadeiras e F para as falsas A organização deve criar uma cultura corporativa forte com priorização na conscientização e treinamento de seus colaboradores A organização precisa treinar e educar somente sua liderança referente aos ativos da informação e como elas devem ser protegidas A organização precisa treinar e educar seus colaboradores referente aos ativos da informação e como elas devem ser protegidas para que os ataques de engenharia social sejam identificados como situações de risco A organização deve criar e divulgar suas políticas normas e procedimentos de segurança da informação por meio de programas de treinamento e conscientização constantes Assinale a alternativa que apresenta a sequência CORRETA A V F V V B V F F V C V V F F D F F F V 23082022 1330 14 Avaliação II Individual Cod770711 Código da prova 52607797 Disciplina Sistemas de Informação em Segurança 19382 Período para responder 23082022 07092022 Peso 150 1 O Information Systems Audit and Control Association ISACA uma Associação de Auditoria e Controle de Sistemas de Informação internacional viabilizava as boas práticas de conscientização pelos habilitadores no Cobit 5 fornecendo orientação sobre as exigências relativas ao comportamento humano tendo como princípio básico guias que detalham os habilitadores de governança e gestão Com relação às boas práticas de conscientização pelos habilitadores no Cobit 5 classifique V para as sentenças verdadeiras e F para as falsas Os habilitadores do Cobit 5 incluem pessoas habilidades e competências bem como cultura ética e comportamento Os habilitadores do Cobit 5 incluem gerenciamento de recursos humanos e da capacidade de inovação organizacional Os habilitadores do Cobit 5 incluem governança e gestão do conhecimento Assinale a alternativa que apresenta a sequência CORRETA A V F F B F F V C V F V D V V F 2 Segundo Athena Security 2020 há alguns anos os vírus eram uma das principais preocupações da TI nas empresas Na atualidade com a adesão de novas tecnologias no ambiente corporativo como as ferramentas IoT também surgiram novas ameaças para os negócios Diante desse cenário é preciso criar um plano de conscientização em segurança da informação que orienta os usuários sobre as melhores práticas para evitar invasões e ataques cibernéticos Com base nas quatro etapas de críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação classifique V para as sentenças verdadeiras e F para as falsas O objetivo da etapa de Projeto de conscientização e treinamento é realizar uma avaliação das necessidades da organização e uma estratégia de treinamento é desenvolvida e aprovada O objetivo da etapa de Conscientização e desenvolvimento de materiais de treinamento é focar nas fontes de treinamento disponíveis escopo conteúdo e desenvolvimento de material de treinamento O objetivo da etapa de Implementação do programa foca na comunicação eficaz quanto à implementação do plano de conscientização e treinamento bem como nas opções para a entrega de material O objetivo da etapa de Pósimplementação fornece orientação para manter o plano atualizado e métodos de feedback eficazes Assinale a alternativa que apresenta a sequência CORRETA FONTE ATHENA SECURITY Plano de Conscientização em Segurança da Informação Entenda sem Complicações 2020 Disponível em httpsblogathenasecuritycombrplanodeconscientizacaoemsegurancadainformacao Acesso em 28 jan 2021 A V F V V B V V V V C F V F V D V V V F 3 Segundo Fernandes e Abreu 2008 o modelo COBIT é um assunto relevante porque é uma ferramenta de suporte que permite aos gerentes suprir as deficiências com respeito aos requisitos de controle questões técnicas e riscos de negócios comunicando esse nível de controle às partes interessadas O COBIT habilita o desenvolvimento de políticas claras e boas práticas para controles de TI em toda a empresa Com relação ao que o framework Cobit2019 fornece aos profissionais de segurança de informação e para as partes interessadas da organização analise as sentenças a seguir I O framework Cobit2019 fornece orientações e práticas detalhadas a serem aplicadas na segurança da informação II O framework Cobit2019 foca nas melhores práticas para desenvolvimento de produtos de software e nas questões de entrega e suporte de serviço III O framework Cobit2019 foi fundamentado nas melhores práticas acadêmicas além de ser reconhecido mundialmente ao apoiar a governança corporativa de informações e tecnologia de maneira eficaz Assinale a alternativa CORRETA FONTE FERNANDES Agnaldo Aragon ABREU Vladimir 23082022 1330 24 Ferraz de Implantando a governança de TI da estratégia à gestão dos processos e serviços 2 ed Rio de Janeiro Brasport 2008 A Somente a sentença III está correta B As sentenças II e III estão corretas C As sentenças I e II estão corretas D As sentenças I e III estão corretas 4 A terceira etapa do ciclo de vida do plano do programa de conscientização e treinamento em segurança da informação da organização trata sobre implementação do programa na qual é compreendida a etapa responsável pela realização da comunicação e implementação do plano de conscientização e treinamento com o objetivo de realizar a entrega de material para todos os colaboradores da organização Com relação ao formato de realização desta etapa de Implementação do Programa analise as sentenças a seguir I Fazer entrega de material de apoio sobre conscientização e treinamento baseado na web ensino a distância vídeo no local entre outros II As técnicas utilizadas para criar material e transmitir a mensagem de conscientização podem ser via kits de primeiros socorros boletins lista de verificação cartazes informando o que fazer o não fazer sessões de teleconferência seminários entre outros III As técnicas utilizadas para criar material de treinamento recomenda sua realização somente de forma presencial por meio de workshop e seminários com palestrantes especializados em programa de conscientização e treinamento em segurança da informação da própria organização Assinale a alternativa CORRETA A As sentenças I e II estão corretas B As sentenças II e III estão corretas C As sentenças I e III estão corretas D Somente a sentença II está correta 5 Os seis principais princípios para um Sistema de Governança Governance System e três princípios do Framework de Governança servem como referência à segurança ao risco ao desenvolvimento e operação das organizações Com relação a esses princípios de Sistema e Framework de Governança classifique V para as sentenças verdadeiras e F para as falsas Os seis princípios do sistema de governança são 1 Prover valor para os gestores 2 visão Analítica 3 Sistema de Governança holístico 4 Diferença Governança de Processos 5 Adaptados às necessidades das pessoas e 6 Sistema de Gestão do Conhecimento Os seis princípios do sistema de governança são 1 Prover valor para as partes interessadas 2 visão holística 3 Sistema de Governança Dinâmico 4 Diferencia Governança de Gestão 5 Adaptados às necessidades das empresas e 6 Sistema de Governança fimafim Os três princípios do framework de governança são 1 Baseado em modelo conceitual 2 Aberto e flexível e 3 Alinhado com a maioria dos padrões Os três princípios do framework de governança são mais importantes que os seis princípios do sistema de governança pois tratam da segurança de forma mais completa Assinale a alternativa que apresenta a sequência CORRETA A F V V F B F V F V C F V V V D V F V F 6 A estrutura do programa de conscientização e treinamento de segurança é composta por três modelos diferentes que são adotados e estabelecidos para supervisionar as atividades definindo como deve ser projetado desenvolvido e implementado A respeito do que se trata cada um dos três modelos comumente aceitos na estrutura do programa de conscientização e treinamento classifique V para as sentenças verdadeiras e F para as falsas 1 Modelo 1 Política estratégia e implementação centralizada 2 Modelo 2 Política e estratégia centralizada implementação distribuída 3 Modelo 3 Política centralizada estratégia distribuída e implementação 1 Modelo 1 Norma Plano de Segurança e implementação da Segurança 2 Modelo 2 Norma Plano de Segurança implementação centralizada 3 Modelo 3 Política centralizada Plano de Segurança distribuída 1 Modelo 1 Processo e Normas de implementação distribuída 2 Modelo 2 Diretrizes e políticas centralizada implementação e distribuída 3 Modelo 3 23082022 1330 34 Política centralizada plano de segurança distribuída e implementação Assinale a alternativa que apresenta a sequência CORRETA A F F V B V F F C F V V D F V F 7 Wilson e Hash 2003 identificaram que as quatro etapas críticas no ciclo de vida do plano em conscientização e treinamento em segurança da informação são 1 Projeto de conscientização e treinamento 2 Conscientização e desenvolvimento de materiais de treinamento e 3 Implementação do programa e 4 Pósimplementação Com relação à descrição da etapa de Projeto de conscientização e treinamento assinale a alternativa CORRETA FONTE WILSON M HASH J Building an information technology security awareness and training program NIST Special publication v 800 n 50 p 170 2003 Disponível em httpstsappsnistgovpublicationgetpdfcfmpubid151287 Acesso em 30 mar 2020 A Desenvolve material de treinamento e desenvolve e aprova sua estratégia de realização B Documenta as diretrizes de treinamentos para o programa de conscientização e treinamento de Segurança de Informação C Define as políticas de segurança da informação voltadas para o programa de conscientização e treinamento D Realiza avaliação das necessidades da organização bem como desenvolve e aprova uma estratégia de treinamento 8 A sigla COBIT significa em inglês objetivos de controle para a informação e tecnologia Control Objetives for Information and related Technology e tem como objetivo promover um modelo para Governança de TI confiável adotado por empresas sendo atualizado diariamente por gerentes de negócio profissionais de TI e auditores Com relação às etapas da estrutura do Cobit2019 analise as sentenças a seguir I É composta pela Introdução e Metodologia e pelos Objetivos de Governança e Gerenciamento II É composta pela etapa de Desenhar seu Sistema de Governança de Informação Tecnologia e de Implementar e Otimizar seu Sistema de Governança de Informação Tecnologia III É composta pelo Documentação dos processos de Conscientização da Segurança da Informação e pelos Objetivos de Informação Tecnologia Assinale a alternativa CORRETA A As sentenças I e II estão corretas B As sentenças I e III estão corretas C As sentenças II e III estão corretas D Somente a sentença I está correta 9 Proteger informações dos clientes e dados sigilosos da organização é o desafio para a área de tecnologia das organizações Portanto é importante contar com um plano de conscientização em segurança da informação para garantir a segurança de estratégias e projetos internos das organizações A postura de segurança de TI e a vigilância dentro de uma organização melhora consideravelmente quando existe algum tipo de conscientização e treinamento em segurança de TI No que se refere ao que deve ser descrito na ETAPA 1 PROJETO DE CONSCIENTIZAÇÃO E TREINAMENTO classifique V para as sentenças verdadeiras e F para as falsas Realizar a descrição de como estruturar a atividade de conscientização e treinamento como e por que realizar uma avaliação de necessidades Realizar a descrição de como desenvolver um plano de conscientização e treinamento como estabelecer prioridades e como definir o nível de complexidade do objeto adequadamente Realizar a descrição de como financiar o programa de conscientização Realizar a descrição de como deverão ser auditadas as áreas da organização e como tratar as não conformidades nos planos de conscientização e treinamento bem como realizar a verificação de qual área deve ser realizada a conscientização Assinale a alternativa que apresenta a sequência CORRETA A F V V F B V V V F C V V F V 23082022 1330 44 D V F V F 10 A ABNT NBR ISOIEC 27001 tem na sua estrutura de 0 a 10 seções anexos e bibliografias que buscam de maneira objetiva e de forma genérica apresentar os requisitos aplicáveis a todas as organizações independente do seu tipo tamanho ou natureza Com relação a estas 10 seções da estrutura da ABNT NBR ISOIEC 27001 classifique V para as sentenças verdadeiras e F para as falsas As seções são 0 introdução 1 escopo 2 referências normativas 3 Termos e definições 4 Contexto da organização 5 Liderança 6 Planejamento 7 Suporte 8 Operação 9 Avaliação de desempenho e 10 Melhorias As seções 2 referências normativas e 4 Contexto da organização especifica os requisitos genéricos e específicos do SGSI adaptado à cultura da organização Na seção 0 introdução descreve um processo para gerenciar sistematicamente os riscos à informação e como a seção 5 está relacionada à alta gerência demonstrar liderança e compromisso com o SGSI determinando políticas e atribuindo funções responsabilidades e autoridades responsáveis pela segurança da informação A seção 6 descreve o processo de identificação análise e planejamento de como os riscos às informações devem ser tratados e esclarece os objetivos de segurança das informações e a seção 10 aborda as conclusões de auditorias e revisões não conformidades e ações corretivas buscando de forma contínua a melhoria Assinale a alternativa que apresenta a sequência CORRETA A V F V V B V F F V C F F V V D V V V F 1 Todos os modelos de maturidade fornecidos possuem um peso benéfico e com o uso do COBIT as organizações têm a capacidade de construir um nível de colocação mais detalhado haja vista que é possível determinar os níveis atuais de desempenho de seus processos de TI e identificar os níveis de destino A característica do COBIT é fazer uma avaliação concisa acerca da organização que lhe é submetida com o escopo de analisar todo o planejamento entrega suporte aquisição medição e avaliação Com essas medidas feitas é alinhado junto a elas melhorias que vão que suportar adequadamente a estratégia de negócios já que ele fornece boa governança gerenciando riscos gerenciando desempenho e gerenciando recursos garantindo que a TI possa estar em conformidade com os regulamentos e conformidade do setor Por fim o COBIT oferece às organizações um melhor controle e direção estratégica 2 Com o passar dos anos todas as funcionalidades ganharam aspectos virtuais desde lâmpadas geladeiras carros entre tantos outros aparelhos que agora estão vinculados com a chamada Internet das coisas já que a maioria dos utensílios possui conexão com o mundo todo e é nesse momento que as vulnerabilidades e ameaças são grandes sendo necessário conhecêlas e ter o apoio do alto escalão da organização Alguns dos motivos que levaram o cenário da segurança da informação numa visão corporativa das organizações e por conseguinte estarem sujeitos a sofrerem uso indevido é por conta é o aumento da digitalização de informações o aumento da integração tecnológica entre as organizações o aumento da conectividade da organização aumento do compartilhamento fácil das informações aquisição quase que generalizada de computadores e acesso a Internet uso de dispositivos móveis gratuidade de acesso a rede pode ser ditos como alguns dos motivos