Gestão de Segurança da Informação

É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo Não representa um destes propósitos?. Preparação de um plano de respostas a incidentes. Preparação de um plano de continuidade de negócios. Descrição dos requisitos de segurança da informação para um produto. Conformidade Legal e a evidência da realização dos procedimentos corretos. Preparação de um plano para aceitar todos os Riscos.

Qual o nome do código malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?. Spyware. Bot/Botnet. Phishing. Rootkit. Spammer.

Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Exploratório. Método Qualitativo. Método Quantitativo. Método Numérico. Método Classificatório.

Qual o nome do ataque que é muito utilizado em espionagem, onde esse é utilizado para obter informações confidenciais em lixos ?. Dumpster diving. Defacement. Adware. Backdoor. DoS.

Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: Melhorar a eficácia no controle de riscos. Manter a reputação e imagem da organização. Entender os riscos associados ao negócio e a gestão da informação. Eliminar os riscos completamente e não precisar mais tratá-los. Melhorar a efetividade das decisões para controlar os riscos.

Qual o nome da técnica/ataque ou maneira de identificar trafego de dados que "passam" em uma rede de computadores ?. Sniffer. Keylogger. Monitor. Spyware. DoS.

A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?. Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco. Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco. Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco. Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto. Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto.

Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.

Qual das opções abaixo descreve melhor o conceito de "Risco" quando relacionado com a Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de uma ameaça explorar uma vulnerabilidade. Probabilidade de um ativo explorar uma ameaça. Probabilidade de uma ameaça explorar um incidente. Probabilidade de um ativo explorar uma vulnerabilidade.

Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Aceita o risco. Trata o risco a qualquer custo. Rejeita o risco. Ignora o risco. Comunica o risco.

Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ?. Backdoor. Adware. Rootkit. 0day. Spam.

Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.

Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.

Vamos analisar cada item. E marque a alternativa correta. O FTP (file transfer protocol) é o protocolo para transferência de arquivos do conjunto TCP/IP. Não é o único capaz de transferir arquivos, mas este é especializado e possui vários comandos para navegação e transferência de arquivos;. RSS (Really Simple Syndication) é uma forma de Feed que possibilita ao usuário receber dados de diversas fontes, reunindo-os em único local;. O antivírus é uma ferramenta que auxilia no combate às pragas eletrônicas. O driver do HD possibilita a comunicação entre o HD e o computador/sistema operacional;. O HTTP (hipertexto transfer protocol)? a ? é o protocolo utilizado pela WEB;.

Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da Informação: Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos. Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos. Tudo aquilo que tem origem para causar algum tipo de erro nos ativos. Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes.

Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando?. Desencorajar. Detectar. Discriminar. Deter. Dificultar.

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.

A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações. especulações, ameaças. oportunidades, vulnerabilidades. determinações, ações. estratégias, ameaças.

A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: I e III, somente. I, II e IV, somente. I e II, somente. I, II e III, somente. II e IV, somente.

Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Aceitação de risco. Prevenção de risco. Limitação de risco. Suposição de risco. Transferência de risco.

Dada as assertivas, marque a opção correta: I- O risco tem duas dimensões: (i) probabilidade de ocorrência e (ii) impacto sobre o projeto. II- Dificilmente as chances de um risco ser totalmente eliminado é real. III- A gestão de riscos só visa o monitoramento para detecção de ameaças. Apenas I e II corretas. Apenas II correta. Apenas I correta. Apenas III correta. Apenas II e III corretas.

Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?. Manuais; Normas e Procedimentos. Diretrizes; Manuais e Procedimentos. Diretrizes; Normas e Procedimentos. Manuais; Normas e Relatórios. Diretrizes; Normas e Relatórios.

Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.

Um Firewall pode ser definido como uma coleção de componentes, colocada entre duas redes, que coletivamente possua propriedades que: garantem que todo o tráfego de dentro para fora da rede, e vice-versa, passe por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que todo o tráfego de dentro para fora da rede e vice-versa deve ser bloqueado, independentemente da política de segurança adotada. Todo firewall deve ser à prova de violação. garantem que apenas o tráfego de dentro para fora da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. garantem que apenas o tráfego de fora para dentro da rede deve passar por ele. Somente o tráfego autorizado pela política de segurança pode atravessar o firewall e, finalmente, ele deve ser à prova de violação. independentemente da política de segurança adotada, tem como objetivo principal impedir a entrada de vírus em um computador, via arquivos anexados a e-mails.

A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.

Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?. ISO/IEC 27005. ISO/IEC 27001. ISO/IEC 27003. ISO/IEC 27002. ISO/IEC 27004.

Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Prevenção, proteção e reação. Integridade, prevenção e proteção. Flexibilidade, agilidade e conformidade. Autenticidade, originalidade e abrangência. Integridade, confidencialidade e disponibilidade.

Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. Análise de vulnerabilidades, requisitos legais e classificação da informação. Classificação da informação, requisitos de negócio e análise de risco. Análise de risco, análise do impacto de negócio (BIA), classificação da informação. Requisitos de negócio, Análise de risco, Requisitos legais.

De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: revelar informações sensíveis da organização. conter o registro dos incidentes de segurança da organização. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.

A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.

Para a implementação de uma regulamentação de monitoramento eletrônico, necessitamos atentar a alguns pontos, EXCETO: Caso ocorra a divulgação de quaisquer informações confidenciais da empresa, estarão sujeitos às sanções cabíveis. Os colaboradores poderão utilizar a internet corporativa para atividades lícitas em seu horário de descanso. Ciência por parte dos colaboradores acerca dos sistemas de monitoramento implantados. Os colaboradores estão cientes que podem copiar ferramentas disponibilizados pela empresa para uso externo. Colaboradores deverão estar cientes de que a empresa poderá a vir inspecionar todo o e qualquer arquivo trafegado na rede.

A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas. Corretivas e Correção. Prevenção e Preventivas. Corretivas e Corrigidas. Corrigidas e Preventivas.

Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Definir e medir a eficácia dos controles ou grupos de controle selecionados.

Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A politica de gestão de continuidade de negócio. A política do BIA. Identificar, Analisar e avaliar os riscos. A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar e avaliar as opções para o tratamento das vulnerabilidades.

A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores. Os resultados das auditorias anteriores e análises críticas. A avaliação das ações preventivas e corretivas. A realimentação por parte dos envolvidos no SGSI. A avaliação dos riscos e incidentes desejados.

A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.

No contexto da Segurança da Informação , qual das opções abaixo não pode ser considerada como um Problema de Segurança: Restrição Financeira. Uma tempestade. Uma Operação Incorreta ou Erro do usuário. A perda de qualquer aspecto de segurança importante para a organização. Uma inundação.

A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?. Recuperação. Preventiva. Limitação. Correção. Reação.

Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI.

Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para: Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. Desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. Transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.

Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?. Conscientização dos usuários. Suporte técnico. Procedimentos elaborados. Auditoria. Segregação de funções.

Sobre a afirmação: ¿irá definir que a informação é originária de quem diz originar, de forma a impedir que alterações na mensagem original confundam as partes envolvidas na comunicação. E, mesmo que haja alguma alteração na mensagem original, que seja passível de ser detectada¿. Podemos afirmar que estamos conceituando: Confiança. Auditoria. Integridade. Legalidade. Não-repúdio.

A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.

Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?. Lógica, Administrativa e Contábil. Administrativa, Contábil e Física. Administrativa, Física e Programada. Administrativa, Física e Lógica. Lógica, Física e Programada.

A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?. Correção. Limitação. Preventiva. Reação. Desencorajamento.

O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Selecionar objetivos de controle e controles para o tratamento de riscos.

Qual a ação no contexto da gestão da continuidade de negócio e baseado na norma NBR ISO/IEC 15999, que as organizações devem implementar para a identificação das atividades críticas e que serão utilizadas para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade ?. Auditoria interna. Análise de vulnerabilidade. Classificação da informação. Análise de risco. Análise de impacto dos negócios (BIA).

Maria trabalha na filial de São Paulo da empresa ABC e necessita transmitir um arquivo para Pedro que trabalha na filial de Belém. Após receber o arquivo transmitido por Maria, Pedro verificou que o arquivo possuia um tamanho maior do que quando Maria iniciou a transmissão. Neste estava houve uma falha na segurança da informação relacionada à: A organização deve liberar todas as medidas apropriadas para impedir a ocorrência de incidentes e seus efeitos. A organização deve liberar medidas urgentes para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. A organização deve implementar medidas apropriadas diminuir o impacto da ocorrência de incidentes e seus efeitos. A organização deve somente considerar as medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos.

O Plano de Continuidade do Negócio... prioriza e estabelece as ações de implantação como resultado de uma ampla análise de risco. precisa ser contínuo, evoluir com a organização, mas não precisa ser gerido sob a responsabilidade de alguém como os processos organizacionais. não precisa ser testado antes que se torne realmente necessário, pois testes por si só implicam em riscos aos ativos de informação. define uma ação de continuidade imediata e temporária. deve ser elaborado com base em premissas departamentais particulares do que é considerado importante ou não.

Por que as melhores práticas orientam sobre a importância de que a Gestão de Continuidade de Negócio (GCN) esteja no nível mais alto da organização?. Para garantir que as metas e objetivos da TI não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos definidos não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos da política de segurança não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos usuários não sejam comprometidos por interrupções inesperadas. Para garantir que as metas e objetivos dos clientes não sejam comprometidos por interrupções inesperadas.

A gestão de continuidade de negócio envolve prioritariamente os seguintes processos: Análise de impacto no negócio; avaliação de risco; plano de contingência. Investigação e diagnóstico; resolução de problemas; recuperação. Plano de redundância; análise de risco; planejamento de capacidade. Tratamento de incidentes; solução de problemas; acordo de nível de operação. Gestão de configuração; planejamento de capacidade; gestão de mudança.

Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?. Confidencialidade;. Não-Repúdio;. Integridade;. Autenticidade;. Auditoria;.

Ocorreu um incidente na sua organização e a mesma possui a norma NBR ISO/IEC 15999 implementada. Qual das opções abaixo não está em conformidade com as orientações da norma citada?. Confirmar a natureza e extensão do incidente. Controlar o incidente. Afastar o incidente do cliente. Comunicar-se com as partes interessadas. Tomar controle da situação.

Você está trabalhando em um projeto de implantação da continuidade de negócios em sua organização. Você está na fase do projeto que é a análise de impacto nos negócios. Analise a opção que melhor retrata as ações que você deve realizar: Levantar o grau de dificuldade dos processos ou atividades da área de TI que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos processos ou atividades que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos processos ou hardware que compõe a entrega de produtos e serviços fundamentais para a organização. Levantar o grau de relevância dos usuários ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização. Levantar o grau de dificuldade dos processos ou atividades que compõe a entrega de produtos e serviços desnecessários para a organização.

De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN). GCN é a fase inicial da implantação da gestão de continuidade em uma organização. A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização. A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização. GCN é uma abordagem alternativa à gestão de riscos de segurança da informação. A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação.

Qual a principal diferença entre um Plano de Continuidade de Negócios (PCN) e um Plano de Recuperação de Desastres (PRD)?. O PCN é direcionado para a recuperação de todos os ativos da empresa enquanto que o PRD cobre somente os ativos de informação. O PRD é responsável pela continuidade dos processos de Tecnologia da Informação enquanto que o PCN foca-se na continuidade para todos os processos. O PCN só pode ser implementado se o PRD já tiver em uso. O PRD é mais abrangente que o PCN. O PCN foca-se no funcionamento contínuo dos processos enquanto que o PRD é destinado à reparação dos danos causados.

Dentro do âmbito da continuidade de negócios, tecnicamente, qual a definição para desastre?. Eventos de ordem natural ou acidental, como terremotos e incêndios. Um evento súbito, que ocorre de maneira inesperada. Uma catástrofe de grandes impactos. Um evento que causa uma parada nos processos da organização por um período de tempo maior do que ela considera aceitável. Um ataque massivo pela internet.

BIA, Business Impact Analysis é o nome em inglês de um relatório executivo chamado Análise de Impactos no Negócio que tem por finalidade apresentar todos os prováveis impactos de forma ............................e........................... dos principais processos de negócios mapeados e entendidos na organização, no caso de interrupção dos mesmos. É o coração do Programa de Continuidade de Negócios pois, norteia todos os esforços e a tomada de decisões para a implementação da Continuidade de Negócios. Clara e Intelegível. Simples e Objetiva. Estatística e Ordenada. Qualitativa e Quantitativa. Natural e Desordenada.

Um plano de contingência se situa no contexto dos resultados da criação de uma estrutura de gestão e numa estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação de negócios que detalhem os passos a serem tomados durante e após um incidente para manter ou restaurar as operações. No ciclo de vida da Gestão de Continuidade de Negócio, tal afirmação está associada ao elemento: Incluindo a GCN na cultura da organização. Entendendo a organização. Determinando a estratégia de continuidade de negócios. Testando, mantendo e analisando criticamente os preparativos de GCN. Desenvolvendo e implementando uma resposta de GCN.

O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto. Como podemos definir o elemento "Entendendo a Organização"?. O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. A organização precisa verificar se suas estratégicas e planos estão completos, atualizados e precisos. O GCN deverá ser testado, mantido, analisado criticamente, auditado e ainda identificada as oportunidades de melhorias possíveis. Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecê-los. A determinação da estratégia de continuidade de negócio permite que uma resposta apropriada seja escolhida para cada produto ou serviço, de modo que a organização possa continuar fornecendo seus produtos e serviços em um nível operacional e quantidade de tempo aceitável durante e logo após uma interrupção. Para que às partes interessadas tenham confiança quanto à capacidade da organização de sobreviver a interrupções, a Gestão de continuidade de negócio deverá torna-se parte dos valores da organização, através da sua inclusão na cultura da empresa.

Qual das opções abaixo apresenta as fases da implementação da continuidade de negócio nas organizações ?. Manutenção, desenvolvimento e implementação do programa. Planejamento, desenvolvimento e implementação do programa. Manutenção, implementação do programa e maturação. Planejamento, maturação e desenvolvimento. Planejamento, estudo e implementação do programa.