You are on page 1of 20

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.

com 1
Constelação
Gestão da
Segurança da Informação

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 2
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] A respeito de segurança da informação, julgue os itens
seguintes de acordo com a norma NBR ISO/IEC 17799.
● [71] Deve haver um proprietário responsável tanto pela aplicação
inventariada quanto pelos ativos a ela associados.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 3
Comentários
● 8. Gestão de ativos (27002:2013)
● 8.1. Responsabilidade pelos ativos
– Objetivo:
● Identificar os ativos da organização
● Definir as responsabilidades apropriadas para a proteção dos ativos
– 8.1.2. Proprietário dos ativos
● Controle
– Convém que os ativos mantidos no inventário tenham um proprietário
● Informações adicionais
– Em sistemas de informação complexos, pode ser útil definir grupos de
ativos que atuem juntos para fornecer um serviço particular
● Neste caso, o proprietário deste serviço é responsável pela entrega

do serviço, incluindo a operação dos ativos envolvidos

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 4
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] A respeito de segurança da informação, julgue os itens
seguintes de acordo com a norma NBR ISO/IEC 17799.
● [71] Deve haver um proprietário responsável tanto pela aplicação
inventariada quanto pelos ativos a ela associados.
● Gabarito preliminar: CERTO.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 5
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] A respeito de segurança da informação, julgue os itens
seguintes de acordo com a norma NBR ISO/IEC 17799.
● [72] Independentemente de eventuais custos para sua mitigação, todos
os riscos relativos à segurança da informação devem ser tratados e
aceitos, devendo o custo disso fazer parte da avaliação econômica de
qualquer projeto.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 6
Comentários
● 3 Termos e definições (27001:2006)
● 3.9 risco residual
– Risco remanescente após o tratamento de riscos
● 3.10 aceitação do risco
– Decisão de aceitar um risco
● 3.11 análise de riscos
– Uso sistemático de informações para identificar fontes e estimar o risco
● 3.12 análise/avaliação de riscos
– Processo completo de análise e avaliação de riscos
● 3.13 avaliação de riscos
– Processo de comparar o risco estimado com critérios de risco predefinidos
para determinar a importância do risco

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 7
Comentários
● 3 Termos e definições (27001:2006)
● 3.14 gestão de riscos
– Atividades coordenadas para direcionar e controlar uma organização no que
se refere a riscos
– A gestão de riscos geralmente inclui:
● A análise/avaliação de riscos
● O tratamento de riscos
● A aceitação de riscos
● A comunicação de riscos
● 3.15 tratamento do risco
– Processo de seleção e implementação de medidas para modificar um risco

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 8
Comentários
● 4 Sistema de gestão de segurança da informação (27001:2006)
● 4.2 Estabelecendo e gerenciando o SGSI
– 4.2.1 Estabelecer o SGSI
● A organização deve analisar e avaliar os riscos:
– 1) Avaliar os impactos para o negócio da organização que podem resultar de
falhas de segurança
● Levando em consideração as consequências de uma perda de

confidencialidade, integridade ou disponibilidade dos ativos
– 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de
ameaças e vulnerabilidades prevalecentes, e impactos associados a estes
ativos e os controles atualmente implementados
– 3) Estimar os níveis de riscos
– 4) Determinar se os riscos são aceitáveis ou se requerem tratamento
utilizando os critérios para aceitação de riscos estabelecidos

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 9
Comentários
● 4 Sistema de gestão de segurança da informação (27001:2006)
● 4.2 Estabelecendo e gerenciando o SGSI
– 4.2.1 Estabelecer o SGSI
● A organização deve identificar e avaliar as opções para o tratamento de riscos
● Possíveis ações incluem:
– Aplicar os controles apropriados
– Aceitar os riscos consciente e objetivamente
● Desde que satisfaçam claramente:

● Às políticas da organização

● Aos critérios de aceitação de riscos

– Evitar riscos
– Transferir os riscos associados ao negócio a outras partes
● Por exemplo, seguradoras e fornecedores

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 10
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] A respeito de segurança da informação, julgue os itens
seguintes de acordo com a norma NBR ISO/IEC 17799.
● [72] Independentemente de eventuais custos para sua mitigação, todos
os riscos relativos à segurança da informação devem ser tratados e
aceitos, devendo o custo disso fazer parte da avaliação econômica de
qualquer projeto.
● Gabarito preliminar: ERRADO.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 11
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] À luz da norma NBR ISO/IEC 27001:2006, julgue os itens
subsecutivos, referentes à gestão de sistemas de informação.
● [73] Todo documento requerido pelo sistema de gestão de segurança
da informação (SGSI) precisa ter identificação e controle de versão de
alteração, de modo que as diversas versões fiquem disponíveis nos
locais de uso, sem que nada seja descartado.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 12
Comentários
● 4 Sistema de gestão de segurança da informação (27001:2006)
● 4.3 Requisitos de documentação
– 4.3.2 Controle de documentos
● Os documentos requeridos pelo SGSI devem ser:
– Protegidos
– Controlados
● Um procedimento documentado deve ser estabelecido para definir as ações de
gestão necessárias para:
– Assegurar que as versões pertinentes de documentos aplicáveis estejam
disponíveis nos locais de uso
– Assegurar que os documentos permaneçam:
● Legíveis

● Prontamente identificáveis

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 13
Comentários
● 4 Sistema de gestão de segurança da informação (27001:2006)
● 4.3 Requisitos de documentação
– 4.3.2 Controle de documentos
● Um procedimento documentado deve ser estabelecido para definir as ações de
gestão necessárias para:
– Assegurar que os documentos:
● Estejam disponíveis àqueles que deles precisam

● Sejam:

● Transferidos

● Armazenados

● Descartados conforme os procedimentos aplicáveis à sua

classificação

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 14
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] À luz da norma NBR ISO/IEC 27001:2006, julgue os itens
subsecutivos, referentes à gestão de sistemas de informação.
● [73] Todo documento requerido pelo sistema de gestão de segurança
da informação (SGSI) precisa ter identificação e controle de versão de
alteração, de modo que as diversas versões fiquem disponíveis nos
locais de uso, sem que nada seja descartado.
● Gabarito: ERRADO.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 15
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] À luz da norma NBR ISO/IEC 27001:2006, julgue os itens
subsecutivos, referentes à gestão de sistemas de informação.
● [74] Ao implantar um sistema de gestão de segurança da informação
(SGSI), a empresa deve identificar falhas e incidentes de segurança da
informação de forma mais rápida e precisa, a fim de agilizar o tempo de
resposta e prevenir incidentes futuros.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 16
Comentários
● 4 Sistema de gestão de segurança da informação (27001:2006)
● 4.2 Estabelecendo e gerenciando o SGSI
– 4.2.2 Implementar e operar o SGSI
● A organização deve implementar procedimentos e outros controles capazes de
permitir:
– A pronta detecção de eventos de segurança da informação
– Resposta a incidentes de segurança da informação

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 17
Questões de concursos
[CESPE 2017 SEE/DF – Analista de Gestão Educacional – Tecnologia da
Informação] À luz da norma NBR ISO/IEC 27001:2006, julgue os itens
subsecutivos, referentes à gestão de sistemas de informação.
● [74] Ao implantar um sistema de gestão de segurança da informação
(SGSI), a empresa deve identificar falhas e incidentes de segurança da
informação de forma mais rápida e precisa, a fim de agilizar o tempo de
resposta e prevenir incidentes futuros.
● Gabarito: CERTO.

rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 18
'

www.itnerante.com.br/profile/RogerioAraujo
www.facebook.com/professorRogerioAraujo
rogerioaraujo.wordpress.com • twitter: @rgildoaraujo
rgildoaraujo@gmail.com • profrogeraoaraujo@gmail.com
www.youtube.com/rgildoaraujo
rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 19
rogerioaraujo.wordpress.com • twitter: @rgildoaraujo • rgildoaraujo@gmail.com 20