Prévia do material em texto

Exercício de ficaçao1(2)
Iniciado em
terça, 13 Ago 2019, 10:41
Estado
Finalizada
Concluída em
terça, 13 Ago 2019, 10:46
Avaliar
3,00 de um máximo de 10,00(30%)
Questão 1
Incorreto
Marcar questão
Texto da questão
Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
(__) Ativo de informação: É a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. 
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades. 
(__) Vulnerabilidade: É o ponto fraco de um ativo. 
(__) Ameaça: É a exploração de uma falha por um agente. 
(__) Controle: São os meios utilizados para resolução das vulnerabilidades.
Escolha uma:
a. F,F,V,F,V
b. V,V,V,V,V
c. F,F,V,F,V
d. V,F,V,V,F
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6
e. V,F,V,F,V
Feedback
A resposta correta é: V,F,V,F,V.
Questão 2
Incorreto
Marcar questão
Texto da questão
Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível:
Escolha uma:
a. Dados, informação, conhecimento.
b. Dados, conhecimento, informação.
c. Informação, dados, conhecimento.
d. Informação, conhecimento, dados.
e. Conhecimento, informação, dados.
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2
Feedback
A resposta correta é: Dados, informação, conhecimento..
Questão 3
Correto
Marcar questão
Texto da questão
A implantação de uma política de segurança da informação em uma organização apresenta benefícios a curto, médio e longo prazo. Assinale a alternativa que corresponde ao benefício de longo prazo:
Escolha uma:
a. Maior segurança nos processos, através da implementação de novos procedimentos e prevenção de acessos não autorizados.
b. Retorno do investimento por meio de redução de problemas e incidentes.
Divulgação, características e benefícios da política de segurança da informação Gabarito comentado: opção (D), O retorno do investimento por meio de redução de problemas e incidentes de segurança só pode ser obtido após um longo período de implementação e uso da política de segurança da informação em uma organização. Fonte: Cap 1, pag. 12
c. Padronização dos procedimentos e conformidade com padrões de segurança (normas ISO/IEC).
d. Implantação de controles para resolução de vulnerabilidades
e. Redução imediata de probabilidade de ataques a ativos de informação.
Feedback
A resposta correta é: Retorno do investimento por meio de redução de problemas e incidentes..
Questão 4
Incorreto
Marcar questão
Texto da questão
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito:
Escolha uma:
a. É a capacidade de provar que um usuário foi responsável por determinada ação.
b. É a propriedade que garante que a informação está de acordo com a legislação pertinente.
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4
c. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela.
d. É a garantia de que a informação armazenada é verdadeira e não está corrompida.
e. É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las.
Feedback
A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las..
Questão 5
Correto
Marcar questão
Texto da questão
De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As duas principais normas desta família, e mais amplamente utilizadas, são as normas:
Escolha uma:
a. ISO 27009 e ISO 27017
b. ISO 27009 e ISO 27013
c. ISO 27007 e ISO 27009
d. ISO 27001 e ISO 27002
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação sendo a única norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2
e. ISO 27001 e ISO 27009
Feedback
A resposta correta é: ISO 27001 e ISO 27002.
Questão 6
Incorreto
Marcar questão
Texto da questão
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
O objetivo desta norma é prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 27002. 
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). 
A certificação é feita para pessoa física.
Escolha uma:
a. F,F,V,F
b. F,V,V,F
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 2, pag. 8,9,10
c. F,V,V,V
d. V,F,V,V
e. F,V,F,V
Feedback
A resposta correta é: F,V,F,V.
Questão 7
Incorreto
Marcar questão
Texto da questão
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta:
Escolha uma:
a. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança da Informação (SGSI).
b. Trata-se de um guia para obter a certificação da norma ISO 27001.
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9
c. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA).
d. Trata-se de um glossário completo com termos técnicos fundamentais para o entendimento da norma.
e. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002.
Feedback
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002..
Questão 8
Correto
Marcar questão
Texto da questão
Um dos tópicos da norma NBR ISO/IEC 27001:2013 é o tópico de Avaliação de Desempenho. Assinale a alternativa que descreve corretamente este tópico:
Escolha uma:
a. Incentiva a melhoria contínua através de constantes ações corretivas.
b. Glossário completo com termos técnicos fundamentais.
c. Descreve os objetivos gerais e a aplicação da norma.
d. Referências indispensável para a aplicação da norma.
e. Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração.
Tema: Norma NBR ISO/IEC 27001:2013, opção (C). A avaliação de desempenho, também conhecida como avaliação de performance é uma das últimas etapas na aplicação da norma ISO 27001,importante pelo seu caráter crítico da aplicabilidade da norma. Fonte: Cap 2, pag. 8
Feedback
A resposta correta é: Etapas de monitoramento, medição e análise bem como auditoria interna e análise crítica por parte da alta administração..
Questão 9
Incorreto
Marcar questão
Texto da questão
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de melhorar os seus serviços de TI. 
É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de vida de serviços. 
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias de gestão e governança de TI.
Escolha uma:
a. F,V,V,F
b. V,V,F,F
c. V,F,V,F
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias complementares.Fonte: Cap 2, pag. 16
d. V,V,V,F
e. F,V,F,V
Feedback
A resposta correta é: F,V,V,F.
Questão 10
Incorreto
Marcar questão
Texto da questão
Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta:
Escolha uma:
a. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação.
b. É de fundamental importância que a organização possua uma política de utilização dos recursos de TI bem definida.
c. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus trabalhos.
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1
d. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização.
e. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das organizações.
Feedback
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação..
Terminar revisão