Aula 09Tecnologia da Informao (parte I) p/ Analista de TI do MPOG - Com videoaulasProfessor: Victor Dalton01624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 1 de 55 AULA 09: Segurana da Informao SUMRIOPGINA 1. Norma ISO 270022 2. Norma ISO 27001 12 3. Gesto de Continuidade de Negcios 19 Exerccios Comentados24 Consideraes Finais43 Exerccios44 Gabarito55 Ol pessoal, voltei! NessaaulavamosarremataroassuntoSeguranadaInformao abordando as normas ISO 27002 e 27001. Aqui nossa abordagem um pouco diferente. NaInternet,vocconseguebaixareestudarasnormas.Portanto,nosso trabalhotransmitiroespritodanorma,emostrarcomoessecontedo cobrado em provas, para que voc possa acertar questes. Observao Importante: Devido no especificao em edital da verso dasISO27001e27002(eaausnciadeexercciosdasversesmaisnovas dessas normas, vamos lanar parte, em aula extra, um PDF com as novidades das novas verses) Vamos l? Observaoimportante:estecursoprotegidopordireitos autorais(copyright),nostermosdaLei9.610/98,quealtera, atualizaeconsolidaalegislaosobredireitosautoraised outras providncias.

Gruposderateioepiratariasoclandestinos,violamaleie prejudicam os professores que elaboram os cursos. Valorize o trabalho denossaequipeadquirindoos cursos honestamente atravs do site Estratgia Concursos ;-) 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 2 de 55 SEGURANA DA INFORMAO 1.NORMA ISO 27002 1.1Consideraes iniciais OestudodeSeguranadainformaoenvolvevriasfrentes.Umadelas, quecorrespondegestodepolticadeseguranaaseradotadaporuma organizao,paraprotegerosseusativoserecuperar-sedeumdesastre, norteada pela NORMA ISO/IEC 27002, que um Cdigo de Prtica para a Gesto da Segurana da Informao. AISO/IEC27002recebeuaatualnumeraoemjulhode2007.uma normadeSeguranadaInformaorevisadaem2005pelaInternational StandardsOrganizationepelaInternationalElectrotechnicalCommission, chamadaanteriormentedeISO/IEC17799.Aversooriginalfoipublicadaem 2000, que por sua vez era uma cpia fiel do padro britnico BS 7799-1:1999. A ISO/IEC-17799 tem como objetivos a confidencialidade, integridade e disponibilidade das informaes, osquais so fatores muito importantespara a segurana da informao. Enfim, vamos passar por algumas ideias da norma, procurando destacar os procedimentosquemaisaparecememprova.Almdisso,estaanlise despertar o seu senso crtico em relao ao esprito da norma, fazendo que o seu bom senso possa colaborar para acertar questes sobre o assunto. Vamos l? 1.2Introduo AnormaISO27002ressaltaqueainformaoumativomuitovalioso para uma organizao. Diferentemente de outros ativos, ela pode ser impressa, escrita em papel, armazenada em via eletrnica, ou at mesmo conversada. Isto posto, ela deve ser protegida com adequao. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 3 de 55 Nessecontexto,aseguranadainformaoumconjuntode controles,nosquaisseincluempolticas,processos,funesdesoftwaree hardwareeestruturasorganizacionais,aplicadoscomointuitodeprotegera informaodosvriostiposdeameaas,paragarantiracontinuidadedo negcio em caso de desastre, maximizar o ROI e as oportunidades de negcio. Destaque para a trade da segurana da informao: Segundo a norma: Confidencialidade:Garantiadequeoacessoinformaosejaobtido somente por pessoas autorizadas. Integridade: Salvaguarda da exatidoecompleteza dainformao edos mtodos de processamento. Disponibilidade:Garantiadequeosusuriosautorizadosobtenham acesso informao e aos ativos correspondentes sempre que necessrio. ParaLaureanoeMoraes(SeguranaComoEstratgiadeGestoda Informao),asinformaesseclassificamcomopblica,interna,confidencial, secreta. Pblica/ostensiva:Informaoquepodevirapblicosemmaiores consequncias danosas ao funcionamento normal da empresa, e cuja integridade no vital. Interna/reservada:Oacessolivreaestetipodeinformaodeveser evitado, embora as consequncias do uso no autorizado no sejam por demais srias. Sua integridade importante, mesmo que no seja vital. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 4 de 55 Confidencial/sigilosa: Informao restrita aos limites da empresa, cuja divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, a perdas financeiras ou de confiabilidade perante o cliente externo. Secreta:Informaocrticaparaasatividadesdaempresa,cuja integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito a um nmero reduzido de pessoas. A segurana desse tipo de informao vital para a companhia. 1.3Glossrio Parauniformizaodalinguagem,interessanteteremmenteas definiesabaixo,umavezqueoscontrolesrecomendadosutilizamerepetem (e muito) os termos abaixo citados. J vi, inclusive, questes de prova em cima apenas desses entendimentos! Ativo qualquer elemento que possua valor para a organizao Controleformadegerenciarorisco,sejaeleumapoltica,diretriz, procedimento, prtica... Eventoocorrnciaemumsistema,servioourede,queindicauma probabilidade de violao da poltica de Seg Info, ou uma falha de controles, ou outra coisa, ainda desconhecida Incidenteumeventoousriedeeventosindesejadosouinesperados, comgrandeprobabilidadedeameaaraSegInfoecomprometeronegcio. Todoincidenteumevento,masnemtodoeventoumincidente.Ex:uma portaindevidamenteabertaumevento.Seaportaabertamostraumasala violada, com mesas e gavetas mexidas, temos um incidente. Poltica recomendaes formais da direo da organizao Recursodeprocessamentodainformaoqualquersistemaque processeinformaes,servioouinfraestrutura,incluindoaasinstalaes fsicas nas quais eles esto instalados Risco a probabilidade de um evento + consequncias Ameaa causa potencial de um incidente no desejado Vulnerabilidade fragilidade que pode ser explorada por ameaas 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 5 de 55 1.4Riscos Anorma,noquedizrespeitoariscos,norteadaporduasidias-chave. Primeiramente, a idia de que o risco deve ser analisado e avaliado, ou seja, a organizaodeveidentificar,quantificarepriorizarosriscoscombaseem critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. E,porfim,otratamentodorisco,pormeiodaaceitao,mitigao, transferncia ou preveno. Os modelos de Governana trazem 4 verbos clssicos para o tratamento de riscos.Querlidarcomosriscos?MATE.Mitigar,aceitar,evitar,etransferir. Vejamos estes verbos e o seu relacionamento com a norma: Mitigar: aplicar controles apropriados para reduzir os riscos. Aceitar:conhecereobjetivamenteaceitarosriscos,sabendoqueeles atendem claramente poltica da organizao e aos critrios para a aceitao de risco. Transferir:transferirosriscosassociadosparaoutraspartes,por exemplo, seguradoras ou fornecedores. Evitar:evitarriscos,nopermitindoaesquepoderiamcausara ocorrncia de riscos. Mitigar e Evitar talvez sejam aqueles verbos passveis de confuso entre si. Enquantomitigarprocuraminimizaroriscoaumnvelaceitvel(como,por exemplo,colocarfirewallsparadiminuiroriscodeinvasodaintranetda empresa via internet), evitar a eliminao do risco, como a cortar o acesso da empresa internet. Via de regra, condutas para evitar o risco so extremas. Apartirdeagora,veremosumresumodas11seesdecontrolesde segurana da informao que, juntas, totalizam 39 categorias principais desegurana.Cadaseocontmumnmerodecategoriasprincipaisde segurana da informao e cada categoria principal de segurana da informao contm: a) um objetivo de controle que define o que deve ser alcanado; e b)umoumaiscontrolesquepodemseraplicadosparasealcanaro objetivo do controle. As descries dos controles esto estruturadas da seguinte forma: 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 6 de 55 Controle Define qual o controle especfico para atender ao objetivo do controle. Diretrizes para a implementao Contminformaesmaisdetalhadasparaapoiaraimplementaodo controle e atender ao objetivo de controle. Algumas destas diretrizes podem no seradequadas emtodososcasoseassimoutrasformasdeimplementaodo controle podem ser mais apropriadas. 1.5Poltica e Organizao da Segurana da Informao A poltica de segurana da informao diz que: a direo da organizao deve criar um documento da poltica de seguranadainformao,quedeveserdivulgadoatodosda organizao,eaterceirosrelevantes(comofuncionrios terceirizados, por exemplo); o comprometimento com Seg Info deve vir desde o alto escalo da organizao; apolticadeseguranadeveestaralinhada,naturalmente,comos objetivos de negcio; apolticadeseguranadeveserrevisadaperiodicamente,sejaem intervalos planejados, seja diante de alguma mudana importante; responsabilidades devem ser definidas de maneira clara; acordosde confidencialidade podem ser criadospara a proteo de ativos confidenciais. 1.6Gesto de ativos Segundo a ISO 27002, existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentaodesistema,informaessobrepesquisa,manuaisdeusurio, materialdetreinamento,procedimentosdesuporteouoperao,planosde continuidadedonegcio,procedimentosderecuperao,trilhasdeauditoriae informaes armazenadas; b)ativosdesoftware:aplicativos,sistemas,ferramentasde desenvolvimento e utilitrios; 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 7 de 55 c)ativosfsicos:equipamentoscomputacionais,equipamentosde comunicao, mdias removveis e outros equipamentos; d)servios:serviosdecomputaoecomunicaes,utilidadesgerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao. Esta gestopreocupa-seem manter a proteo dosativosda organizao de maneira adequada. Nela, Todos os ativos devem ser identificados; Deve ser criado um inventrio de ativos; Todo ativo deve ter um proprietrio; Ainformaodeverreceberumaclassificao,parareceberum nvel adequado de proteo. Esta classificao dever levar em conta ovalor,requisitoslegais,sensibilidadeeacriticidadeequaisquer outros critrios relevantes; Oproprietriodoativooresponsvelpelamanutenodos controlessobreosseusativos.Aaplicaodoscontrolespodeser delegada,masoproprietriosempreseroresponsvelpela proteo. 1.7RH Aseguranaemrecursoshumanossepreocupacomfuncionrios, fornecedores e terceiros. Para tal, Todos devem ser conscientizados da importncia da Seg Info; Papis e responsabilidades devem ser atribudos; Candidatosaempregodevemseranalisados,emespecialquando tratarem com informaes sensveis; Termos e condies contratuais podem ser estabelecidos; Processodisciplinarformalpodeserestabelecidoparaosque violarem a Seg Info; Funcionriosquemudaremdelocaldetrabalhooudeixarema organizaodevemdevolverativossobsuaresponsabilidade,bem como terem seus direitos de acesso revistos ou revogados. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 8 de 55 1.8Segurana fsica e do ambiente Aseguranafsicapreocupa-seempreveniracessofsiconoautorizado, evitando danos e violao s informaes da organizao. Nesse contexto, Instalaes de processamento da informao crticas devem estar em reasseguras,combarreirasecontrolesdeacessoadequados (paredes,balcesderecepo,etc.).Devempossuirproteo fsica contra acesso no autorizado, interferncias externas e danos; Proteo compatvel com os riscos que foram identificados; Registros de entrada e sada de funcionrios; Terceirosprestandoservioemreassensveisspodementrar quando necessrio, somente com autorizao e sendo monitorados; Direitos de acesso a reas seguras devem ser revistos e atualizados periodicamente; Proteocontraincndios,enchentes,terremotos,exploses,etc, devem ser projetadas e aplicadas; Equipamentosdevemserprotegidoscontraameaasdomeio ambiente e fsicas;

1.9Comunicaes Apreocupaoaquigarantirquerecursosdeprocessamentoda informao sejam operados corretamente. Assim sendo, Documentosquedescrevemosprocedimentosdeoperaodesses recursos devem ser criados e mantidos atualizados; Modificaesnosrecursosdevemsercontroladas,considerando planejamentos, testes e procedimentos de recuperao; Funeseresponsabilidadesdevemsersegregadas,paraevitar modificaes ou uso indevido; Terceiros devem ser monitorados e analisados criticamente em seus servios; Controlesdedeteco,prevenoerecuperaoparamalwares devem ser implantados, bem como a conscientizao dos usurios; Cpiasdeseguranadasinformaesdevemsercriadasetestadas periodicamente, conforme a poltica definida pela organizao; Cpiasdeseguranadevemserarmazenadasremotamente, distantesobastanteparanoseremafetadasporumdesastreno local principal; Pode-seutilizarcriptografiaemcpiascujaconfidencialidadeseja importante; Redes de computadores devem ser gerenciadas e controladas; 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 9 de 55 Mecanismosderegistroemonitoraopodemseraplicadospara aes relevantes de segurana; Controles especiais devem ser aplicados em redes wireless; Mdiasremovveisdevemserregistradasedescartadasdeforma segura e formal, quando no mais necessrias; Comrcioeletrnicoemredespblicasdeveserprotegidode atividades fraudulentas; Dentre outros. 1.10Controle de acessos O acesso informao na organizao deve ser controlado. Isto posto, A poltica de controle de acesso deve ser baseada nos requisitos de acessos dos negcios e segurana da informao; Basear-sena regra tudo proibido, menoso permitido, eno no oposto; Deve existir procedimento formal para registrar e cancelar usurios, garantindo e revogando acessos em todos os servios e sistemas de informao; Onveldeacessodousuriodeveseradequadoaopropsitodo negcio; O ID de usurio deve ser capaz de assegurar a responsabilidade do usurio por suas aes. Grupos de Ids s devem existir onde existir a necessidade para o negcio; Concesso e uso de privilgios deve ser restrito e controlado; Concesso de senhas deve ser controlada por processos formais; Usuriodeveassinardeclaraoquandorecebersenha, responsabilizando-se pela confidencialidade da mesma; Usurios devem seguir boas prticas no uso e seleo de senhas; Senhas temporrias devem ser modificadas no primeiro acesso; Senhas devem ser modificadas periodicamente; Sistemadegerenciamentodesenhadeveobrigarousurioa escolher senhas de qualidade; Mesa limpa e tela limpa devem ser adotadas para evitar vazamento de informaes; Oacessoaosserviosderedeinternoseexternosdeveser controlado; Asredesdevempossuircontrolederoteamento,pormeiode gatewayseproxies,paraqueasconexesderedenoviolema poltica de controle de acesso da organizao. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 10 de 55 1.11Sistemas de informao Esteitemafirmaqueaseguranadeveserpartedossistemasde informao. Nele, Controlesapropriadosdevemserimplantados,validandodadosde entrada, processamento interno e sada; As informaes devem ser protegidas por meios criptogrficos; Acesso aos arquivos de sistema e programas de cdigo-fonte devem ser controlados; Cuidadosdevemsertomados,paraquedadossensveisnosejam expostos em ambientes de testes de sistemas; Gerentesresponsveisporaplicativostambmdevemser responsveis por ambientes de projeto ou suporte. 1) (CESPE ANATEL Analista Infraestrutura de TI 2014) A norma ISO27002recomendaqueaschavescriptogrficasusadasparaas assinaturasdigitaisde documentoseletrnicossejamidnticasquelas usadasparaacriptografiadessesdocumentos:apadronizaodas chaves garante maior segurana aos documentos. Errado!Issoviolainclusiveoconceitodecriptografiaassimtrica.Ocorreto utilizarachaveprivadaparacifraraassinaturadigital(demodoqueachave pblicapossadecifr-la)eutilizarachavepblicadodestinatrioparacifrar contedo, de modo que apenas a chave privada do destinatrio possa decifr-la. 1.12Incidentes Agestodeincidentespreocupa-secomosincidentesdeseguranada informao. Desta forma, Fragilidades e eventos relativos a sistemas de informao devem ser informadospelocanaladequado,demodoareceberemo tratamento adequado em tempo hbil; Responsabilidadeseprocedimentosdevemserdefinidosparao tratamento de eventos e fragilidades; Processo de melhoria contnua deve ser aplicado s respostas. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 11 de 55 1.13Gesto da continuidade do negcio Agestodonegcioafirmaqueasatividadesdenegcionopodem parar, diante de falhas ou desastres. Para tal, Umprocessodegestodeveserdesenvolvidoparaassegurara continuidade do negcio; Os eventosque podeminterromper osprocessos denegciodevem ser identificados e terem sua probabilidade e impacto estudadas; Planosdecontinuidadedonegciodevemserdesenvolvidos, com identificao de procedimentos para a recuperao do desastre, responsveis por essesprocedimentos, teste eatualizao peridica dos planos. Deve haver gestores especficos para cada plano. 1.14Conformidade Conformidade preocupa-se com requisitos legais. Assim sendo, Deve-seevitarviolaodeleiscriminais,civis,estatutos, regulamentaes, obrigaes contratuais e de requisitos de Seg Info; Direitosdepropriedadeintelectualdevemserrespeitados(no Pirataria!); Dadosdevemserprotegidosconformelegislaesrelevantese,se aplicvel, em clusulas contratuais; Controlescriptogrficosdevemserusadoemconformidadecom todas as leis, acordos e regulamentos; Atividadesdeauditoriadevemserplanejadas,demodoaserem eficazes sem interromperem processos de negcio. 1.15Anlise final Poisbem,acabamosdever,deformaresumida,asprincipais recomendaesdeseguranadaISO27002.Anormacompletapossui132 pginas, detalhando esses e outros procedimentos importantes. Entretanto,acreditoquevocconseguiucapturaroespritodanorma. Logo,aodeparar-secomosexerccios,vocsercapazdeenxergar,nas alternativas, sentenas que fazem (ou no fazem) sentido estar na norma, o que farquevocconsigaacertarquestessobreoassunto.Dequalquerforma, recomendoavisualizaodamesmapelomenosumavez,paramelhor entendimento. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 12 de 55 2.NORMA ISO 27001 2.1Introduo A norma ISO 27001 foi concebida com o intuito de prover um modelo para estabelecer,implementar,operar,monitorar,analisarcriticamente,mantere melhorar um Sistema de Gesto de Segurana da Informao (SGSI). Segundoareferidanorma,aadoodeumSGSIdeveserumadeciso estratgicaparaumaorganizao.AespecificaoeaimplementaodoSGSI deumaorganizaosoinfluenciadaspelassuasnecessidadeseobjetivos, requisitosdesegurana,processosempregadosetamanhoeestruturada organizao. Ainda,anormapreconizaumconjuntodeobjetivosdecontrolese controles,aseremaplicadospelaorganizao.essencialquevocbaixea norma(facilmenteencontradanainternet)eleiaoAnexocomtaiselementos, pelo menos uma vez. 2.2Ciclo PDCA (importantssimo!) AISO27001adotaomodeloconhecidocomo"Plan-Do-Check-Act (PDCA),queaplicadoparaestruturartodososprocessosdoSGSI.Nosei quantasvezesissojapareceuemprovas,enocansadecontinuar aparecendo. Memorize o modelo a seguir! 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 13 de 55 Modelo PDCA aplicado aos processos do SGSI. 2) (CESPE SUFRAMA Analista Tecnologia da Informao 2014) A fim de se alcanar a melhoria contnua na implementao e na operao do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas a partirdosresultadosdaauditoriainternadoSGSIedaanlisecrtica pela direo ou de outra informao pertinente. Errado!ODoimplementaeoperaapoltica,controles,processose procedimentos do SGSI. Quem executa aes corretivas e preventivas o Act. Vamos detalhar um pouco mais as etapas. 2.2.1 Estabelecer o SGSI Nesta etapa (plan), a organizao deve: a) Definir o escopo e os limites do SGSI nos termos das caractersticas donegcio,aorganizao,sualocalizao,ativosetecnologia,incluindo detalhes e justificativas para quaisquer excluses do escopo; b)DefinirumapolticadoSGSInostermosdascaractersticasdo negcio, a organizao, sua localizao, ativos e tecnologia que: 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 14 de 55 1)incluaumaestruturaparadefinirobjetivoseestabeleaum direcionamento global e princpios para aes relacionadas com a segurana da informao; 2)considererequisitosdenegcio,legaise/ouregulamentares,e obrigaes de segurana contratuais; 3)estejaalinhadacomocontextoestratgicodegestoderiscosda organizao no qual o estabelecimento e manuteno do SGSI iro ocorrer; 4) estabelea critrios em relao aos quais os riscos sero avaliados; e 5) tenha sido aprovada pela direo. c)Definiraabordagemdeanlise/avaliaoderiscosda organizao. 1)Identificar uma metodologia deanlise/avaliao de riscos que seja adequadaaoSGSIeaosrequisitoslegais,regulamentaresedeseguranada informao, identificados para o negcio. 2) Desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco. Ametodologiadeanlise/avaliaoderiscosselecionadadeve assegurarqueasanlises/avaliaesderiscosproduzamresultados comparveis e reproduzveis. d) Identificar os riscos. 1)IdentificarosativosdentrodoescopodoSGSIeosproprietrios destes ativos. 2) Identificar as ameaas a esses ativos. 3)Identificarasvulnerabilidadesquepodemserexploradaspelas ameaas. 4)Identificarosimpactosqueasperdasdeconfidencialidade, integridade e disponibilidade podem causar aos ativos. e) Analisar e avaliar os riscos. 1)Avaliarosimpactosparaonegciodaorganizaoquepodem resultar defalhas desegurana, levando em considerao as consequncias de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2)Avaliar a probabilidadereal da ocorrnciadefalhasdesegurana luz de ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os nveis de riscos. 4)Determinarseosriscossoaceitveisouserequeremtratamento utilizando os critrios para aceitao de riscos estabelecidos em. f) Identificar e avaliar as opes para o tratamento de riscos. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 15 de 55 Possveis aes incluem (MATE os riscos!): 1) aplicar os controles apropriados - mitigar 2)aceitarosriscosconscienteeobjetivamente,desdequesatisfaam claramente s polticas da organizao e aos critrios de aceitao de riscos;3) evitar riscos; e 4)transferirosriscosassociadosaonegcioaoutraspartes,por exemplo, seguradoras e fornecedores. g)Selecionarobjetivosdecontroleecontrolesparaotratamento de riscos. Objetivosdecontroleecontrolesdevemserselecionadose implementadosparaatenderaosrequisitosidentificadospelaanlise/avaliao de riscos e pelo processo de tratamento de riscos. Esses os objetivos de controle econtrolesencontram-senoanexoAdanormaenosoexaustivos,e objetivos de controles e controles adicionais podem tambm ser selecionados. h) Obter aprovao da direo dos riscos residuais propostos. i) Obter autorizao da direo para implementar e operar o SGSI. j) Preparar uma Declarao de Aplicabilidade importante!A Declarao de Aplicabilidade contm: 1) Os objetivos de controle e os controles selecionados e as razes para sua seleo; 2)Osobjetivosdecontroleeoscontrolesatualmente implementados; e 3)Aexclusodequaisquerobjetivosdecontroleecontrolesdo anexo A e a justificativa para sua excluso. 2.2.2 Implementar e operar o SGSI Nesta etapa (do), a organizao deve: a) Formular um plano de tratamento de riscos que identifique a ao degestoapropriada,recursos,responsabilidadeseprioridadesparaagesto dos riscos de segurana. b)Implementaroplanodetratamentoderiscosparaalcanaros objetivos de controle identificados, que inclua consideraes de financiamentos e atribuio de papis e responsabilidades. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 16 de 55 c) Implementar os controles selecionados para atender aos objetivos de controle. d) Definir como medir a eficcia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficciadoscontrolesdemodoaproduzirresultadoscomparveise reproduzveis. e) Implementar programas de conscientizao e treinamento. f) Gerenciar as operaes do SGSI. g) Gerenciar os recursos para o SGSI. h)Implementarprocedimentoseoutroscontrolescapazesde permitir a pronta deteco de eventos de segurana da informao e resposta a incidentes de segurana da informao. 2.2.3 Monitorar e analisar criticamente o SGSI Nesta etapa (check), a organizao deve: a)Executarprocedimentosdemonitoraoeanlisecrticae outros controles para: 1) prontamente detectar erros nos resultados de processamento; 2)prontamenteidentificartentativaseviolaesdeseguranabem-sucedidas, e incidentes de segurana da informao; 3)permitirdireodeterminarseasatividadesdeseguranada informaodelegadasapessoasouimplementadaspormeiodetecnologiasde informao so executadas conforme esperado; 4)ajudaradetectareventosdeseguranadainformaoeassim prevenir incidentes de segurana da informao pelo uso de indicadores; e 5)determinarseasaestomadasparasolucionarumaviolaode segurana da informao foram eficazes. b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles desegurana),levandoemconsideraoosresultadosdeauditoriasde segurana da informao, incidentes de segurana da informao, resultados da eficciadasmedies,sugesteserealimentaodetodasaspartes interessadas. c)Mediraeficciadoscontrolesparaverificarqueosrequisitosde segurana da informao foram atendidos. d)Analisarcriticamenteasanlises/avaliaesderiscosa intervalos planejados e analisar criticamente os riscos residuais e os nveis de riscos aceitveis identificados.0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 17 de 55 e) Conduzir auditorias internas do SGSI a intervalos planejados f)RealizarumaanlisecrticadoSGSIpeladireoembases regularesparaassegurarqueoescopopermaneceadequadoequeso identificadas melhorias nos processos do SGSI. g)Atualizarosplanosdeseguranadainformaoparalevarem considerao os resultados das atividades de monitoramento e anlise crtica. h) Registrar aes e eventos que possam ter um impacto na eficcia ou no desempenho do SGSI. 2.2.4 Manter e melhorar o SGSI Nesta etapa (act), a organizao deve, regularmente: a) Implementar as melhorias identificadas no SGSI. b)Executarasaespreventivasecorretivasapropriadas.Aplicaras liesaprendidasdeexperinciasdeseguranadainformaodeoutras organizaes e aquelas da prpria organizao. c) Comunicar as aes e melhorias a todas as partes interessadas com umnveldedetalheapropriadoscircunstnciase,serelevante,obtera concordncia sobre como proceder. d)Assegurar-sedequeasmelhoriasatinjamosobjetivos pretendidos. 2.3Requisitos de documentao importantesaberoqueanormaenfatizaquesejadocumentado,por ocasio da elaborao do SGSI. Afinal, a documentao deve incluir registros de decisesdadireo,assegurarqueasaessejamrastreveisspolticase decisesdadireo,eassegurarqueosresultadosregistradossejam reproduzveis. Tais documentos devem incluir: a) declaraes documentadas da poltica e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrio da metodologia de anlise/avaliao de riscos; e) o relatrio de anlise/avaliao de riscos; f) o plano de tratamento de riscos; 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 18 de 55 g)procedimentosdocumentadosrequeridospelaorganizaopara assegurar o planejamento efetivo, a operao e o controle de seus processos de segurana de informao e para descrever como medir a eficcia dos controles; h) registros requeridos pela Norma; e i) a Declarao de Aplicabilidade. Enfim,estaleituratemporobjetivofamiliariz-locomocontedoda norma.Sualeituracontinuasendonecessria,paramelhorcompreensoe realizao de questes de prova. No deixe de ler! 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 19 de 55 3.Gesto de Continuidade de Negcios 3.1 Consideraes Iniciais A ISO 15999 preconiza a adoo de um Plano de Continuidade de Negcios para a recuperao de desastres. A norma preconiza que: Convmquecadaplanodecontinuidadedonegciodescrevaoenfoque paracontinuidade,porexemplo,oenfoqueparaasseguraradisponibilidadee segurana do sistema de informao ou da informao. Convm que cada plano tambm especifique o plano de escalonamento e as condies para sua ativao, assimcomoasresponsabilidadesindividuaisparaexecuodecadaumadas atividades do plano. Quando novos requisitos so identificados, importante que osprocedimentosdeemergnciarelacionadossejamajustadosdeforma apropriada,porexemplo,oplanodeabandonoouoprocedimentode recuperao. Convm que os procedimentos do programa de gesto de mudana da organizao sejam includos para assegurar que os assuntos de continuidade de negcios estejam sempre direcionados adequadamente. Convmquecadaplanotenhaumgestorespecfico.Convmque procedimentosdeemergncia,derecuperao,manualdeplanejamentoe planosdereativaosejamderesponsabilidadedosgestoresdosrecursosde negciosoudosprocessosenvolvidos.Convmqueprocedimentosde recuperaoparaserviostcnicosalternativos,comoprocessamentode informaoemeiosdecomunicao,sejamnormalmentederesponsabilidade dos provedores de servios. Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de segurana da informao identificados e considere os seguintes itens: a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado; b)procedimentosdeemergnciaquedescrevamasaesaserem tomadas aps a ocorrncia de um incidente que coloque em risco as operaes do negcio; c)procedimentosderecuperaoquedescrevamasaes necessrias paraatransfernciadasatividadesessenciaisdonegcioouosserviosde infraestrutura para localidades alternativas temporrias e para a reativao dos processos do negcio no prazo necessrio;0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 20 de 55 d) procedimentos operacionais temporrios para seguir durante a concluso de recuperao e restaurao; e)procedimentosderecuperaoquedescrevamasaesaserem adotadas quando do restabelecimento das operaes; f)umaprogramaodemanutenoqueespecifiquequandoecomoo plano dever ser testado e a forma de se proceder manuteno deste plano; g) atividades de treinamento, conscientizao e educao com o propsito de criar o entendimento do processo de continuidade de negcios e de assegurar que os processos continuem a ser efetivo; h)designaodasresponsabilidadesindividuais,descrevendoquem responsvel pela execuo de que item do plano. Convm que suplentes sejam definidos quando necessrio; i)osativoserecursoscrticosprecisamestaraptosadesempenharos procedimentos de emergncia, recuperao e reativao. SegundooestudoPlanodeContinuidadedeNegcio:Planejamento, disponvelemhttp://www.lyfreitas.com.br/ant/artigos_mba/artpcn.pdf,umPCN umconjuntodetrsoutrosplanos:oPlanodeGerenciamentodeCrises (PGC),oPlanodeContinuidadeOperacional(PCO)eoPlanode Recuperao de Desastres (PRD). Cada um destes planos focado em uma determinada varivel de risco, numa situao de ameaa ao negcio da empresa (ouambiente):OPGC,nasatividadesqueenvolvemasrespostasaos eventos;OPCO,voltadoparaasatividadesquegarantamarealizao dosprocessoseoPRD,voltadoparaasubstituiooureposiode componentes que venham a ser danificados. PlanodeGerenciamentodeCrisesPGCEstedocumentotemo propsitodedefinirasresponsabilidadesdecadamembrodasequipes envolvidascomoacionamentodacontingnciaantes,duranteedepoisda ocorrncia doincidente. Alm disso, tem que definir osprocedimentosa serem executadospelamesmaequipenoperododeretornonormalidade.O comportamento da empresa na comunicao do fato imprensa um exemplo tpico de tratamento dado pelo plano. Plano de Continuidade Operacional PCO Tem o propsito de definir os procedimentosparacontingenciamentodosativosquesuportamcadaprocesso denegcio,objetivandoreduzirotempodeindisponibilidadee, consequentemente, os impactos potenciais ao negcio. Orientar as aes diante 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 21 de 55 da queda de uma conexo Internet exemplificam os desafios organizados pelo plano. Plano de Recuperao de DesastresPRD Tem opropsito dedefinir um plano de recuperao e restaurao das funcionalidades dos ativos afetados quesuportamosprocessosdenegcio,afimderestabeleceroambienteeas condies originais de operao, no menor tempo possvel. Paraobtenodesucessonasaesdosplanos,necessrioestabelecer adequadamenteosgatilhosdeacionamentoparacadaplanodecontinuidade. Estesgatilhossoparmetrosdetolernciausadosparasinalizaroincioda operacionalizaodacontingncia,evitandoacionamentosprematurosou tardios.CabedestacarqueoPCNdeveserplanejadoantesdaocorrnciade desastres, para diminuir ou mitigar o impacto causado pelos mesmos. Ao criar o PCN/BCP, deve-se manipular as variveis ETIPI, a saber: E Energia Operadoras fornecedoras de energia eltrica; TTelecomunicaesEmpresasquefornecemcomunicaousando dados e voz; IInfraestruturaLocalizao,para-raios,InstalaesEltricas, Segurana Fsica, etc; P Pessoas Contingncia das atividades e atendimento atravs de Sites Remotos; I Informtica Equipamentos, Sistemas, Conectividade, dentre outros. 3.2 Anlise de Impacto de Negcios (BIA) Quanto Anlise de Impacto no Negcio (BIA), a ISO 15999 preconiza aconveninciadeaorganizaodefiniredocumentaroimpactodeuma interrupo nas atividades que suportam seus produtos e servios fundamentais. A materializao deste processo a prpria BIA. Paracadaatividadequesuportaaentregadeprodutoseservios fundamentais para a organizao, dentro do escopo da Gesto de Continuidade de Negcios, convm que a organizao: 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 22 de 55 a)Verifique,conformeopassardotempo,oimpactoqueaconteceria caso a atividade fosse interrompida; b)Estabeleaoperodomximodeinterrupotolerveldecada atividade, identificando: O tempo mximo decorrido aps o incio de uma interrupo para que uma atividade precise ser reiniciada; Onvelmnimonoqualaatividadetemqueserdesempenhada aps seu reincio; Otempomximoataretomadadosnveisnormaisde operao. c)Identificarquaisqueratividadesinterdependentes,ativos, infraestruturadesuporteourecursosquetambmprecisemser mantidos continuamente ou recuperados ao longo do tempo. Porfim,aoavaliarosimpactos,convmqueaorganizaoconsidere aqueles que se relacionam a seus objetivos de negcio e s partes interessadas. Estes podem incluir: a)Impacto ao bem-estar das pessoas; b)Dano ou perda de instalaes, tecnologias ou informao; c)No cumprimento de deveres ou regulamentaes; d)Danos reputao; e)Danos viabilidade financeira; f)Deteriorao da qualidade de produtos ou servios; g)Danos ambientais. 3.3 Estratgias de Recuperao OPlanodeContinuidadetemsuasustentaobsicacompostapelos procedimentos de cpias de base de dados e a respectiva guarda destas cpias em local seguro. O armazenamento estas cpias est diretamente relacionado Estratgia de Recuperao (ou Contingncia) da organizao. Cada tipo de arquivo ir exigir um tipo de cpia. Entretanto, numa primeira abordagem, podemos distinguir entre dois tipos de arquivos: os arquivos de uso Corporativo e os arquivos de uso pessoal. Independente do tipo de arquivo, sua cpiaearespectivaarmazenagemdestacpiaumaexignciadoPlanode Continuidade, de acordo com a poltica de segurana estabelecida. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 23 de 55 Ascpias(backups)detodasasbasesdedadoscorporativasdevemser feitascomafrequnciaquesuasatualizaesdemandarempelareagestora dos Recursos de Tecnologia de Informao. Aguardadeveserfeitaemlocalseguro,comumadistnciageogrfica mnima que evite que problemas nas instalaes tenham repercusso no local de guarda das cpias (ou vice-versa). Baseadonaimportnciadosbackups,poisguardamumacpiafieldos dados minutos, ou at segundos, antes de um desastre, foram criadas diversas estratgias para o seu armazenamento, que so: Estratgia de Contingncia Hot-site Recebe este nome por ser uma estratgiaprontaparaentraremoperaoassimqueumasituaoderisco ocorrer. O tempo de operacionalizao desta estratgia est diretamente ligado aotempodetolernciaafalhasdoobjeto.Seaaplicssemosemum equipamentotecnolgico,umservidordebancodedados,porexemplo, estaramosfalandodemilissegundosdetolernciaparagarantira disponibilidade do servio mantido pelo equipamento. Estratgia de Contingncia Warm-site Esta se aplica a objetos com maior tolerncia paralisao, podendo se sujeitar indisponibilidade por mais tempo,atoretornooperacionaldaatividade,comoexemplo,oserviodee-maildependentedeumaconexo.Vemosqueoprocessodeenvioe recebimento de mensagens mais tolerante que o exemplo usado na estratgia anterior,poispoderiaficarindisponvelporminutos,sem,noentanto, comprometer o servio ou gerar impactos significativos. EstratgiadeContingnciaCold-siteDentrodaclassificaonas estratgiasanteriores,estapropeumaalternativadecontingnciaapartirde umambientecomosrecursosmnimosdeinfraestruturaetelecomunicaes, desprovidoderecursosdeprocessamentodedados.Portanto,aplicvel situaocomtolernciadeindisponibilidadeaindamaior,claroqueesta estratgia foi analisada e aprovada pelos gestores. EstratgiadeContingnciaDatacenterConsideraaprobabilidade detransferiraoperacionalizaodaatividadeatingidaparaumambiente terceirizado; portanto, fora dos domnios da empresa. Por sua prpria natureza, emquerequerumtempodeindisponibilidademenoremfunodotempode reativaooperacionaldaatividade,torna-serestritaapoucasorganizaes, devidoaoseualtocusto.Ofatodetersuasinformaesmanuseadaspor terceiros e em um ambiente fora de seu controle, requer ateno na adoo de procedimentos,critriosemecanismosdecontrolequegarantamcondiesde segurana adequadas relevncia e criticidade da atividade contingenciada. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 24 de 55 EXERCCIOS COMENTADOS (CESPEANATELAnalistaDesenvolvimentodeSistemasde Informao2014)AnormaNBRISO/IEC27001:2006foielaboradapara prover um modelo de estabelecimento, implementao, operao, monitorao, anlisecrtica,manutenoemelhoriadosistemadegestodesistemasde informao (SGSI). Com relao a esse assunto, julgue os itens que se seguem. 1 Devido a questes econmicas, a norma em questo no cobre empresas de pequeno porte. Errado!ANorma27001podeseraplicadaaqualquerorganizao,de qualquer natureza e porte. 2AreferidanormaadotaomodelodemelhoriacontnuaPDCA,que apresenta as seguintes etapas: PLAN estabelecer o SGSI; DO implementar e operar o SGSI; CHECK monitorar e analisar criticamente o SGSI; e ACT manter e melhorar o SGSI. Correto. Descrio correta do ciclo PDCA. (CESPE ANATEL Analista Infraestrutura de TI 2014) Julgue os itensaseguirarespeitodasnormasISO/IEC27001eISO/IEC27002edo sistema de gesto de segurana da informao (SGSI). 3 A norma ISO 27002 recomenda que as chaves criptogrficas usadas para asassinaturasdigitaisdedocumentoseletrnicossejamidnticasquelas usadasparaacriptografiadessesdocumentos:apadronizaodaschaves garante maior segurana aos documentos. Errado!Issoviolainclusiveoconceitodecriptografiaassimtrica.O correto utilizar a chave privada para cifrar a assinatura digital (de modo que a chavepblicapossadecifr-la)eutilizarachavepblicadodestinatriopara cifrarcontedo,demodoqueapenasachaveprivadadodestinatriopossa decifr-la. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 25 de 55 4NanormaISO27001,recomenda-seque,nocontextodaao preventiva,aorganizaoidentifiquetantoalteraesnosriscosquantoos consequentes requisitos de aes preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alteraes significativas. Correto.razovel,preventivamentefalando,aatualizaodosriscos, ainda mais aqueles que sofrem alteraes significativas. (CESPE SUFRAMA Analista Tecnologia da Informao 2014) Nessesentido,considerequeasiglaSGSI,semprequeutilizada,sereferea sistema de gesto de segurana da informao. 5Afimdesealcanaramelhoriacontnuanaimplementaoena operao do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas apartirdosresultadosdaauditoriainternadoSGSIedaanlisecrticapela direo ou de outra informao pertinente. Errado!oDoimplementaeoperaapoltica,controles,processose procedimentos do SGSI. Quem executa aes corretivas e preventivas o Act. Modelo PDCA aplicado aos processos do SGSI. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 26 de 55 6 A identificao do que no est de acordo e o registro dos resultados das aesexecutadassoprocedimentosquevisameliminarascausasdeno conformidade com os requisitos do SGSI. Correto.Aorganizaodeveexecutaraesparaeliminarascausasde no-conformidadescomosrequisitosdoSGSI,deformaaevitarasua repetio.Oprocedimentodocumentadoparaaocorretivadevedefinir requisitos para identificar no-conformidades e registrar os resultados das aes executadas. (CESPE TJ/SE Analista Anlise de Sistemas 2014) Com base nasnormasABNTNBRISO/IECn.27001:2006en.27002:2005,julgueos itens a seguir, relativos gesto de segurana da informao. 7Paraalcanarosobjetivosdecontroleidentificados,fazpartedaetapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as consideraes de financiamentos e a atribuio de papis e responsabilidades. Correto. Implementar o plano de tratamento de riscos faz parte do Do. 8 Para evitar o vazamento de informaes corporativas, que gera prejuzos enormessorganizaes,autilizaodeequipamentosforadasdependncias da organizao requer obrigatoriamente a autorizao prvia da administrao. Errado!Emboraamedidapareasensata,aISO27002noobriga,ela sugere. Da o equvoco da assertiva. 9DeacordocomanormaISO/IECn.27002:2005,permitidoqueo administrador de sistemas suprima ou desative o registro (log) de suas prprias atividades em caso de falta de espao em disco. Errado!Quandopossvel,convmqueadministradoresdesistemasno tenhampermissodeexclusooudesativaodosregistros(log)desuas prpriasatividades.OlogdeTIumelementoimportantedemaisparaser desativado diante da primeira adversidade.

0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 27 de 55 10NomodeloPDCA(Plan,Do,Check,Act)aplicadoaosprocessosdo SGSI,umaanlisederiscosdeveserrealizadasomentequandohouver mudananosrequisitosdeseguranaouquandoforemidentificadasameaas que coloquem em risco a segurana da organizao. Errado!Anlisesderiscosdevemserrealizadasperiodicamente,em especial quando houver mudana nos requisitos de segurana ou quando forem identificadas ameaas que coloquem em risco a segurana da organizao. (CESPESERPROAnalistaAdministraodeServiosde TecnologiadaInformao2013)NoqueconcernenormaABNTNBR ISO/IEC 27002, julgue o item seguinte. 11Odocumentodepolticadeseguranadainformaodeclarao comprometimentodaaltadireodaorganizaoedescreveosrequisitosde conscientizao e treinamento em segurana da informao. Correto. (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao2012)CombasenosaspectosgeraisdanormaABNTNBR ISO/IEC 27002, que estabelece o cdigo de prtica para a gesto da segurana da informao, julgue os itens que se seguem. 12Aconformidadenoumdoscontedosdareferidanorma,poisno visaobtenodecertificao,jqueessaincumbnciaficaacargode empresasprivadasresponsveispalaanlisedeconformidadedaprticade empresassprticasrecomendadastantopelaNBR27002quantopelaNBR 27001. Errado!AConformidadeumcaptulodanormaquesepreocupacom requisitos legais, proteo propriedade intelectual, alinhamento a leis e normas vigentes, dentre outros. 13Umaanlisederiscosdeveserrealizadaperiodicamenteemum ambientecomputacional,principalmentequandohouveramudananos requisitos de segurana ou quando surgirem novas ameaas ou vulnerabilidades que ponham em risco a segurana. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 28 de 55 Correto. 14Requisitosdeseguranadainformaopodemserobtidosapartirda anlise/avaliaodosriscosdaorganizaocombasenosseusobjetivos estratgicos; a partir da legislao vigente; e, finalmente, a partir dos requisitos donegciopara o processamentoda informao que a organizao desenvolve para realizar suas operaes. Correto. 15Aproteodedadoseprivacidadedeinformaespessoais,de registrosorganizacionaiseosdireitosdepropriedadeintelectualmuitasvezes so vistos erroneamente como controles essenciais para uma organizao. Errado!Naturalmentequeessescontrolessoessenciais,todosprevistos no captulo de Conformidade. 16 A norma em apreo estabelece diretrizes e princpios para a segurana da informao, no entanto a implementao de seus objetivos de controles e dos controles no garante o atendimento aos requisitos de segurana da informao, pois a implementao de responsabilidade do SGSI. Errado!objetivodanormaqueosobjetivosdecontroleeoscontroles garantam o atendimento aos requisitos de segurana da informao. (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao 2012) Com relao a contedo prtico, objetivos de controles e diretrizesparaimplementaorecomendadospelanormaABNTNBRISO/IEC 27002, julgue os itens. 17 Cabe exclusivamente aos gestores e administradores a coordenao da segurana da informao dentro de uma organizao. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 29 de 55 Errado! Convm que a coordenao da segurana da informao envolva acooperaoecolaboraodegerentes,usurios,administradores, desenvolvedores,auditores,pessoaldeseguranaeespecialistascom habilidades nas reas de seguro, questes legais, recursos humanos, TI e gesto de riscos. 18 A responsabilidade por um ativo de informao na organizao deve ser atribudasequipesdesuporteestabelecidasenomeadas.Deacordocoma norma vigente, veda-se, por exemplo, responsabilizar um usuriopor um ativo inventariado. Errado!Convmquetodososativossejaminventariadosetenhamum proprietrioresponsvel.Imaginaseosativosinventariadosnotivessem responsveis... 19Emgestodaseguranadainformao,sdevemserclassificadasas informaes que possuam algum valor para a organizao, ou seja, aquelas cuja divulgao traga algum malefcio financeiro ou de imagem a qualquer indivduo que nela trabalhe. Errado!Convmqueainformaosejaclassificadaemtermosdoseu valor,requisitoslegais,sensibilidadeecriticidadeparaaorganizao.Noh restries apenas para informaes valorosas. 20 Uma informao deve ser classificada de acordo com os seus requisitos deconfidencialidade,integridadeedisponibilidade,nohavendo,nessanorma, indicao de parmetros para outros tipos de requisitos a serem considerados. Errado!Convmqueainformaosejaclassificadaemtermosdoseu valor, requisitos legais, sensibilidade e criticidade para a organizao. 21 A ao de se evitar um risco, de modo a eliminar a ocorrncia de suas consequncias e, naturalmente, a realizao da atividade que o ocasionaria, no fazpartedotratamentodorisco,poisotratamentorefere-seaoriscoquese toma, no ao que se evita.0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 30 de 55 Errado! MATE os riscos! Mitigar, aceitar, transferir e evitar. 22Asconsequnciasdaviolaodapolticadeseguranadevemser includas em um plano de tratamento de riscos, mas no devem fazer parte do documento da poltica em si. Errado! O Documento da Poltica de Segurana da Informao deve conter, dentre outros: 1)conformidadecomalegislaoecomrequisitosregulamentarese contratuais; 2) requisitos de conscientizao, treinamento e educao em segurana da informao; 3) gesto da continuidade do negcio; 4)consequnciasdasviolaesnapolticadeseguranada informao. 23Segundoacitadanorma,convmqueapolticadeseguranaseja analisadacrticaeperiodicamente,luzdoresultadododesempenhodo processo e de acordo com a poltica de segurana da informao. Correto. 24Anormaemquestorecomendaquesejamincludas,napolticade seguranadainformao,declaraesqueesclareamtermosecondiesde trabalho de recursos humanos, incluindo at responsabilidades que se estendam paraforadasdependnciasdaorganizaoeforadoshorriosnormaisde trabalho. Correto. 25Recuperaodeerros,procedimentosdereinicializaoeplanosde contingncia,apesardeserembemespecficosaoprocessodeaceitaode 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 31 de 55 sistemas,devemserconsideradosparaminimizarosriscosdefalhasde sistemas,nogerenciamentodeoperaesecomunicaespreconizadopela norma 27002. Correto. 26 A norma referidarecomenda que serealizem treinamento,educaoe conscientizao de pessoas apenas antes da contratao, para assegurar que os novosrecursoshumanossaibamagircomseguranadiantedasatividadesa serem desenvolvidas por eles. Errado!Antesdecontrataradotam-secritriosparaselecionaros funcionrios.Treinamento,conscientizaoeeducaodepessoasocorre durante o perodo de contratao. (CESPE Banco Central do Brasil Analista rea 2 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n. 27.002 da ABNT. 27 As informaes operacionais includas no ambiente antes dos testes de intruso devem ser nele mantidas aps o teste. Errado!Ainformaooperacionaldeverserapagadadoaplicativoem teste IMEDIATAMENTE aps completar-se o teste. 28 A utilizao de VPN (virtual private network) entre o usurio e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao trfego da rede. Correto. VPN um recurso confivel, mesmo em redes sem fio. (CESPEMinistriodasComunicaesAtividadeTcnicade ComplexidadeGerencialEspecialidade252013)Arespeitodanorma NBR ISO/IEC 27.002:2005, julgue os itens a seguir. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 32 de 55 29Deacordocomareferidanorma,todosositensdecontrole,seese etapas so aplicveis apenas a organizaes de grande envergadura. Errado! Qualquer organizao, independentemente do porte, pode adotar a ISO 27002. 30AnormaNBRcitadaacimaprevonzeseessobreotratamentode riscos de segurana da informao. Errado!Quequestodeprovadesnecessria!Mas,enfim,so11sees decontrolesdeseguranadainformao,quejuntastotalizam39 categoriasprincipaisdeseguranaeumaseointrodutriaqueabordaa anlise/avaliao e o tratamento de riscos. (CESPEANTTAnalistaAdministrativoInfraestruturadeTI 2013) Julgue os itens subsequentes, a respeito da norma NBR ISO/IEC 27002. 31Naimplementaodeseguranafsicaeseguranadoambienteem umaorganizao,devemserdefinidasreassegurasparapreveniracessos fsicosnoautorizados,danoseinterfernciascomasinstalaesecomas informaes da organizao. Deve ainda ser implantada uma rea de recepo, demodoqueoacessoalocaisdefinidoscomoreasegurasfiquemrestritos somente ao pessoal da organizao. Errado! Quase tudo certo, mas olha a pegadinha! ...restritos somente ao pessoal da organizao. Nada disso! Restritos somente ao pessoal autorizado! Nem todo mundo que da organizao dever ter acesso a reas seguras! 32Nagestodosativos,cujoobjetivoprincipalmanteraproteo adequadadosativosdaorganizao,importantequeosprincipaisativosde informao sejam inventariados e atribudos a um proprietrio responsvel que, por questo de segurana, no pode delegar a implementao dos controles. Errado!Aimplementaodoscontrolesdeseguranapodeserdelegada, embora o proprietrio do ativo permanea responsvel pelo mesmo. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 33 de 55 33 De acordo com a norma em questo, as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser includas em processos automticos de acesso ao sistema, como os que utilizam macro e tokens. Errado!Assenhasdevemsermodificadasnoprimeiroacessoeno podemserincludasemnenhumprocessoautomticodeacessoao sistema, por exemplo, armazenadas em um macro ou funes-chave. 34Naaplicaodecontroledesegurana,funesereasde responsabilidadedevemserrealizadasdeformaconjunta,pelasmesmas pessoas para reduzir as oportunidades de modificao. Errado!Responsabilidadescomoassupracitadasdevemsersegregadas para evitar fraudes e erros. (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao2012)Noqueserefereaosobjetivosdecontrole,contidosno Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes. 35 Conforme prev a norma em apreo, em acordo com terceiros referente aquisiodeprodutosdeTI,dispensa-seocontroledoSGSInoquediz respeito a segurana da informao. Errado! A questo j soa errada, no mesmo? Mesmo para produtos de TIadquiridosdeterceiros,deve-segarantirqueseguranaparteintegrante de sistemas de informao A.12.1. 36 A violao da poltica de segurana da informao deve ser apurada por meio da aplicao de processo disciplinar formal: o que estabelece o controle deprocessodisciplinar contido no grupodecontroledesegurana em recursos humanos. Correto. Controle A.8.2.3. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 34 de 55 37Aintegridadedeinformaesdisponibilizadasemsistemasacessveis publicamentenoprecisaseralvodapolticadesegurana,vistoqueso,por natureza, informaes no confidenciais, ou seja, pblicas. Errado!Mesmoasinformaespblicasdevemserinfluenciadaspela polticadeseguranadainformao,paraquenosoframmodificaesno autorizadas. Controle A.10.9.3. 38Entreoscontrolesreferentesaogerenciamentodeacessodousurio, tendo-se em vista assegurar o acesso autorizado e prevenir o no autorizado, o anexoemquestoestabelecequeaanlisecrticadedireitosdeacessodos usuriosdeveserfeitapormeiodeumprocessoformaleconduzidaem intervalos regulares. Correto. Controle A.11.2.4. 39Areferidanormaexplcitaaoafirmarque,emrazodeseucarter privativo,aspolticaseprocedimentosdeseguranadeumaorganizaono podemserexpostosopiniodeoutros,oqueimpossibilitacontatoscom grupos de interesses especiais ou ainda a promoo de fruns especializados de segurana da informao e associaes profissionais. Errado!Contatosapropriadoscomgruposdeinteressesespeciaisou outrosfrunsespecializadosdeseguranadainformaoeassociaes profissionais devem ser mantidos. Controle A.6.1.7. (CESPEPolciaFederalPeritorea32013)Comrelao norma ISO/IEC 27001:2006, julgue os itens a seguir. 40DeacordocomanormaISO/IEC27001:2006,aformulaodeum plano de tratamento de riscos que identifique a ao apropriada, os recursos, as responsabilidadeseasprioridadesparaagestoderiscosestrelacionada etapa Do do ciclo PDCA. Correto. Faz parte da etapa Implementar e Operar o SGSI. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 35 de 55 41SegundoanormaISO/IEC27001:2006,aorganizaodeveelaborar umadeclaraodeaplicabilidade,detalhandoosativosdentrodoescopodo SGSIeosseusproprietrios,bemcomoaspossveisameaasaplicadasatais ativos e as vulnerabilidades por elas exploradas. Errado!ADeclaraodeAplicabilidadeserelacionaaosobjetivosde controles que: 1) foram selecionados, e as razes para sua seleo; 2) esto atualmente implementados; e 3) foram excludos justificativa para sua excluso. Portanto,noestdiretamenterelacionadoaosativoseaocontedo descrito no enunciado. O que o enunciado cita est relacionado Identificao dos Riscos, por ocasio do Estabelecimento do SGSI. 42 Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema de Gesto da Segurana da Informao (SGSI), devem-se identificar e avaliar as opesparaotratamentoderiscos,cujasaesenglobamaaceitao consciente dos riscos (desde que satisfaam s polticas estabelecidas dentro da organizao), bem como a possibilidade de transferncia dos riscos para outras partes, como seguradoras e fornecedores. Correto. Saber que a identificao dos riscos ocorre no estabelecimento do SGSI uma ideia forte para acertar esse tipo de questo. (CESPETCE/ESAuditordeControleExternoTecnologiada Informao 2012) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de gesto de segurana da informao. 43Ogerenciamentodeacessodousurioplenamenteimplementado pelosseguintescontroles:registrodeusurio,gerenciamentodeprivilgiose gerenciamento de senha do usurio. Errado!FaltouaAnlisecrticadosdireitosdeacessodousurio. Questo maldosa! Prestou ateno no plenamente? 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 36 de 55 44Umapolticadeseguranadainformaodevefornecerorientaoe apoioda direopara a segurana dainformao, deacordocom osrequisitos do negcio e com as leis e regulamentaes relevantes. O documento da poltica de segurana da informao necessita da aprovao da direo da organizao e deveserpublicadoecomunicadoparatodososfuncionriosepartesexternas relevantes, no devendo ser alterado a partir de ento. Errado!Tudocerto,menosapegadinhanofinal,umavezqueapoltica deseguranadainformaodeveseranalisadacriticamenteaintervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia. 45 Na NBR ISO/IEC 27001, so estabelecidos controles que regem o uso e a configurao de cdigos mveis claramente autorizados, em concordncia com a poltica de segurana da informao. Correto. Controle A.10.4.2: Onde o uso de cdigos mveis autorizado, aconfiguraodevegarantirqueocdigomvelautorizadooperedeacordo com uma poltica de segurana da informao claramente definida e que cdigos mveis no autorizados tenham sua execuo impedida. (CESPESERPROAnalistaAdministraodeServiosde Tecnologia da Informao 2013) A respeito da norma ABNT NBR ISO/IEC 27001,julgueositensaseguir.Nessesentido,considerequeasiglaSGSI, sempre que utilizada, refere-se a sistema gesto de segurana da informao. 46EntreosdocumentosquefazempartedadocumentaodeumSGSI, esto includas a declarao da poltica do SGSI, o escopo do SGSI e o plano de tratamento de risco. Correto. Tambm fazem parte procedimentos e controles que apoiam oSGSI,descriodametodologiadeanlise/avaliaoderiscos, relatriodeanlise/avaliaoderiscos,outrosprocedimentos documentadosrequeridospelaorganizaoeaDeclaraode Aplicabilidade. (item 4.3.1) 47NaetapademelhoriadoSGSI,ocorremasauditoriasinternasem intervalos planejados. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 37 de 55 Errado! Ocorre na fase de Monitorar e analisar criticamente o SGSI. 48ParaseestabelecerumSGSI,necessriodefiniraestratgiade avaliaodosriscos,queimportanteparaapreparaodadeclaraode aplicabilidade. Errado!Questomaldosa.ANormaISO27001nocitaotermo estratgiadeavaliaodosriscos,massimmetodologiaspara anlise/avaliao dos riscos. 49ParaassegurarqueoSGSIcontinuaconvenientecomarealidadeda organizao, a direo deve analis-lo em intervalos planejados. Correto. 50Aexecuodeprocedimentosecontrolesparaidentificartentativase falhas de segurana e incidentes que foram bem-sucedidos faz parte da etapa de implementao e operao do SGSI. Errado!Taisprocedimentossoexecutadosnaetapademonitoraoe avaliao do SGSI. (CESPESERPROAnalistaNegciosemTecnologiada Informao2013)Acercadaseguranadainformao,julgueositens subsequentes. 51Naelaboraodoplanodecontinuidadedonegciodeuma organizao,devemserconsideradosnoapenasosprocedimentosde recuperao das atividades, mas tambm os procedimentos de emergncia aps a ocorrncia de um incidente. Correto. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 38 de 55 52 Pode ser identificada uma equivalncia entre o modelo de gesto PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gesto de segurana dainformao(SGSI),ouseja,devem-seexecutarasaescorretivase preventivas necessrias para alcanar a melhoria contnua do SGSI. Errado!AetapadocorrespondeimplementareoperaroSGSI. Memorize a tabela abaixo! 53Considerequeumamensagemdecorreioeletrnico,supostamente vinda do provedor de Internet, sob a alegao de que o computador que recebia amensagemestavainfectadoporumvrus,sugeriaquefosseinstaladauma ferramentadedesinfeco.Considereaindaquenaverdade,aferramenta oferecidaeraumprogramamaliciosoque,apsainstalao,tornouosdados pessoaisdousurioacessveisaoremetentedamensagem.Nessasituao hipottica, correto afirmar que houve um ataque de engenharia social. Correto.Aproveitando-sedainocnciaedotreinamentoinsuficientedo usurio. 54 Os rtulos fsicos so a forma mais usada para definir a classificao de umainformao,massosubstitudos,emalgumassituaes,por procedimentos e metadados. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 39 de 55 Correto. Documentos eletrnicos protegidos por senhas e nveis de acesso no tero rtulo fsico, por exemplo. 55Apolticadeseguranadainformao(PSI)devebuscaro comprometimentointegraldetodaaorganizao,portantootratamentodas consequnciasadvindasdaviolaodasnormasdesegurananodesua competncia. Errado! Inclusive h a previso de estabelecimento de processo disciplinar formal para aqueles que violam as normas de segurana. (CESPEMinistriodasComunicaesAtividadeTcnicade ComplexidadeGerencialEspecialidade252013)Emrelaoaos conceitos bsicos da NBR ISO/IEC 27001:2006, julgue os itens subsecutivos. 56AnormaemtelaprevqueoSGSIincluaumaestruturaparadefinir objetivoseestabeleadirecionamentoglobalparaaesrelativassegurana da informao. Correto. 57Deacordocomareferidanorma,osriscossoaceitveis,desdeque satisfaam claramente s polticas da organizao e aos critrios de aceitao de riscos. Correto. 58 O processo do Sistema de Gesto de Segurana da Informao (SGSI), estabelecidopelanormaNBRISO/IEC27001:2006,sebaseianomodeloPDCA (plan do check act). Correto. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 40 de 55 (CESPEANTTAnalistaAdministrativoInfraestruturadeTI 2013)Julgueositensaseguir,acercadanormaNBRISO/IEC27001:2006. Nessesentido,considerequeasiglaSGSI,semprequeutilizada,refere-sea sistema de gesto de segurana da informao. 59NoestabelecimentodoSGSI,aorganizaodeveprepararuma declaraodeaplicabilidadequeincluaosobjetivosdecontroleecontroles selecionados e as razes para sua seleo e os objetivos de controle e controles atualmente implementados. Correto. 60Aavaliaoderiscos,apesardeenvolveracomparaodorisco estimadocomcritriosderiscopredefinidosparadeterminaraimportnciado risco em relao segurana da informao, no faz parte da documentao do SGSI. Errado!Naturalmentefazparte!NaetapaestabeleceroSGSIosriscos soidentificadoseavaliados.EadocumentaosoSGSIdeveincluirnos umadescriodametodologiadeanlise/avaliaoderiscoscomo tambm deve conter o relatrio de anlise/avaliao de riscos. Alm, claro, do plano de tratamento de riscos. (item 4.3.1) 61 Na fase check, do modelo PDCA (plan, do, check, act), ocorre, alm da monitoraoeanlisecrticadoSGSI,amediododesempenhodeum processo frente poltica, aos objetivos e experincia prtica do SGSI. Correto.Tambmdevemserapresentadososresultadosparaaanlise crtica pela direo. 62UmSGSIprojetadoparaasseguraraseleodecontrolesde seguranaadequadosparaprotegerosativosdeinformaoepropiciar confiana s partes envolvidas. Correto. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 41 de 55 63Aorganizaodeveproverosrecursosnecessriostantono estabelecimentoquantonamanutenodoSGSI,paraasseguraroapoiodos procedimentosdeseguranadainformaoaosrequisitosdenegcio,bem comootratamentodestinadoaosrequisitoslegaiseregulamentareses obrigaescontratuaisdeseguranadainformao,conformeanecessidade exigida. Correto. (CESPE SERPRO Analista Suporte Tcnico 2013) 64 De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno, detecoerespostaaincidentes,atuao,manuteno,anlisecrticae auditoria. Todas essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). Correto. (CESPE SERPRO Tcnico Operao de Redes 2013) A adoo deumsistemadegestodeseguranadainformao(SGSI)deveseruma deciso estratgica para uma organizao. Por sua vez, a forma de implantao doSGSIinfluenciadapornecessidadeseobjetivos,requisitosdesegurana, processosempregados,etamanhoeestruturadaorganizao.Acercadesse assuntoecombasenaespecificaodeseguranadainformaodescritana norma ISO 27001, julgue os itens a seguir. 65NafasedeimplementaoeoperaodoSGSI,aorganizaodeve executar procedimentos para prontamente determinar se as aes tomadas para solucionar uma violao de segurana foram eficazes, assim como implantar os controles selecionados para atender aos objetivos de controle. Correto. 66NoconvenientequeosdocumentosrequeridospeloSGSIsejam distribudosparatodososfuncionriosdaorganizao,mesmoqueestes possamcontribuircomoseucontedoousintam-seresponsveispela estratgia de segurana adotada na empresa. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 42 de 55 Correto.Noconfunda!UmacoisaoDocumentodaPolticade SeguranadaInformaoestardisponvelatodososfuncionrios.Outra coisasoosdocumentosrequeridospeloSGSI,que,porconterdetalhes sobre avaliao de riscos, etc, possui contedo sensvel. Tais documentos devem ser protegidos e controlados. (item 4.3.2) 67 Entre as etapas de monitorao de um SGSI, est prevista a construo deumtextocomtodososobjetivosdecontroleeseusrespectivoscontroles. Essasinformaesfaropartedadeclaraodeaplicabilidadequedeveser submetida autorizao e a posterior aprovao pela diretoria da empresa. Errado!Objetivosdecontroleecontrolesdevemserselecionadosna Norma,paraentopreparar-seaDeclaraodeAplicabilidade.Taletapa,na verdade, est contida em estabelecer o SGSI. (CESPETELEBRASEspecialistaAnalistadeTI2013)Com referncia norma NBR ISO/IEC 27001:2006, julgue os itens a seguir. 68 O procedimentodocumentadoque atenda aosrequisitos do SGSIpara aocorretivadevedefinirrequisitosparadeterminarascausasdeno conformidades. Correto.Almdeidentificarno-conformidades,avaliara necessidadedeaesparaassegurarqueaquelasno-conformidades no ocorram novamente, determinar e implementar as aes corretivas necessrias,registrarosresultadosdasaesexecutadaseanalisar criticamente as aes corretivas executadas. (item 8.2). 69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gesto de segurana da informao), para se alcanar a melhoria contnua, necessrio executar as aes corretivas e preventivas, com base nos resultados daauditoriainterna,daanlisecrticarealizadapeladireooudeoutra informao pertinente. Errado! Essas aes so executadas na fase manter e melhorar o SGSI. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 43 de 55 70Definirrequisitospararegistrarosresultadosdeaesexecutadas uma forma de preveno realizada com o objetivo de eliminar as causas de no conformidades potenciais alinhadas aos requisitos do SGSI. Correto.Item8.2danorma.Aorganizaodeveexecutaraespara eliminar as causas de no-conformidades com os requisitos do SGSI, de forma a evitarasuarepetio.Oprocedimentodocumentadoparaaocorretivadeve definirrequisitosparaidentificarno-conformidadeseregistrarosresultados das aes executadas. 71(CESPECGE/PIAuditorGovernamental2015)Oobjetivo principal da norma ISO/IEC 27002 implantar um sistema de gesto da segurana da informao (SGSI). Errado! O objetivo da ISO 27002 um cdigo de prtica para a gesto da segurana da informao. Quem implementa um SGSI a ISO 27001. CONSIDERAES FINAIS Pois bem amigos, encerramos nosso curso! As normas so matrias essencialmente tericas, e no h muita manobra didticaparatornaroassuntomaistrivialeintuitivo.Porisso,sigopelo caminho de mostrar a metodologia de cobrana. Entendendo o que eu chamo de esprito das normas, voc capaz de olhar para uma questo e, mesmo sem terdecoradotodootexto,percebequepossvelresponderacertadamente usando o bom senso. Mesmo assim, recomendo a leitura dos textos, pelo menos uma vez. Bons estudos, estudem as outras matrias e que venha o edital! Victor Dalton 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 44 de 55 LISTA DE EXERCCIOS (CESPEANATELAnalistaDesenvolvimentodeSistemasde Informao2014)AnormaNBRISO/IEC27001:2006foielaboradapara prover um modelo de estabelecimento, implementao, operao, monitorao, anlisecrtica,manutenoemelhoriadosistemadegestodesistemasde informao (SGSI). Com relao a esse assunto, julgue os itens que se seguem. 1 Devido a questes econmicas, a norma em questo no cobre empresas de pequeno porte. 2AreferidanormaadotaomodelodemelhoriacontnuaPDCA,que apresenta as seguintes etapas: PLAN estabelecer o SGSI; DO implementar e operar o SGSI; CHECK monitorar e analisar criticamente o SGSI; e ACT manter e melhorar o SGSI. (CESPE ANATEL Analista Infraestrutura de TI 2014) Julgue os itensaseguirarespeitodasnormasISO/IEC27001eISO/IEC27002edo sistema de gesto de segurana da informao (SGSI). 3 A norma ISO 27002 recomenda que as chaves criptogrficas usadas para asassinaturasdigitaisdedocumentoseletrnicossejamidnticasquelas usadasparaacriptografiadessesdocumentos:apadronizaodaschaves garante maior segurana aos documentos. 4NanormaISO27001,recomenda-seque,nocontextodaao preventiva,aorganizaoidentifiquetantoalteraesnosriscosquantoos consequentes requisitos de aes preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alteraes significativas. (CESPE SUFRAMA Analista Tecnologia da Informao 2014) Nessesentido,considerequeasiglaSGSI,semprequeutilizada,sereferea sistema de gesto de segurana da informao. 5Afimdesealcanaramelhoriacontnuanaimplementaoena operao do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 45 de 55 apartirdosresultadosdaauditoriainternadoSGSIedaanlisecrticapela direo ou de outra informao pertinente. 6 A identificao do que no est de acordo e o registro dos resultados das aesexecutadassoprocedimentosquevisameliminarascausasdeno conformidade com os requisitos do SGSI. (CESPE TJ/SE Analista Anlise de Sistemas 2014) Com base nasnormasABNTNBRISO/IECn.27001:2006en.27002:2005,julgueos itens a seguir, relativos gesto de segurana da informao. 7Paraalcanarosobjetivosdecontroleidentificados,fazpartedaetapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as consideraes de financiamentos e a atribuio de papis e responsabilidades. 8 Para evitar o vazamento de informaes corporativas, que gera prejuzos enormessorganizaes,autilizaodeequipamentosforadasdependncias da organizao requer obrigatoriamente a autorizao prvia da administrao. 9DeacordocomanormaISO/IECn.27002:2005,permitidoqueo administrador de sistemas suprima ou desative o registro (log) de suas prprias atividades em caso de falta de espao em disco. 10NomodeloPDCA(Plan,Do,Check,Act)aplicadoaosprocessosdo SGSI,umaanlisederiscosdeveserrealizadasomentequandohouver mudananosrequisitosdeseguranaouquandoforemidentificadasameaas que coloquem em risco a segurana da organizao. (CESPESERPROAnalistaAdministraodeServiosde TecnologiadaInformao2013)NoqueconcernenormaABNTNBR ISO/IEC 27002, julgue o item seguinte. 11Odocumentodepolticadeseguranadainformaodeclarao comprometimentodaaltadireodaorganizaoedescreveosrequisitosde conscientizao e treinamento em segurana da informao.0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 46 de 55 (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao2012)CombasenosaspectosgeraisdanormaABNTNBR ISO/IEC 27002, que estabelece o cdigo de prtica para a gesto da segurana da informao, julgue os itens que se seguem. 12Aconformidadenoumdoscontedosdareferidanorma,poisno visaobtenodecertificao,jqueessaincumbnciaficaacargode empresasprivadasresponsveispalaanlisedeconformidadedaprticade empresassprticasrecomendadastantopelaNBR27002quantopelaNBR 27001. 13Umaanlisederiscosdeveserrealizadaperiodicamenteemum ambientecomputacional,principalmentequandohouveramudananos requisitos de segurana ou quando surgirem novas ameaas ou vulnerabilidades que ponham em risco a segurana. 14Requisitosdeseguranadainformaopodemserobtidosapartirda anlise/avaliaodosriscosdaorganizaocombasenosseusobjetivos estratgicos; a partir da legislao vigente; e, finalmente, a partir dos requisitos donegciopara o processamentoda informao que a organizao desenvolve para realizar suas operaes. 15Aproteodedadoseprivacidadedeinformaespessoais,de registrosorganizacionaiseosdireitosdepropriedadeintelectualmuitasvezes so vistos erroneamente como controles essenciais para uma organizao. 16 A norma em apreo estabelece diretrizes e princpios para a segurana da informao, no entanto a implementao de seus objetivos de controles e dos controles no garante o atendimento aos requisitos de segurana da informao, pois a implementao de responsabilidade do SGSI. (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao 2012) Com relao a contedo prtico, objetivos de controles e diretrizesparaimplementaorecomendadospelanormaABNTNBRISO/IEC 27002, julgue os itens. 17 Cabe exclusivamente aos gestores e administradores a coordenao da segurana da informao dentro de uma organizao. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 47 de 55 18 A responsabilidade por um ativo de informao na organizao deve ser atribudasequipesdesuporteestabelecidasenomeadas.Deacordocoma norma vigente, veda-se, por exemplo, responsabilizar um usuriopor um ativo inventariado. 19Emgestodaseguranadainformao,sdevemserclassificadasas informaes que possuam algum valor para a organizao, ou seja, aquelas cuja divulgao traga algum malefcio financeiro ou de imagem a qualquer indivduo que nela trabalhe. 20 Uma informao deve ser classificada de acordo com os seus requisitos deconfidencialidade,integridadeedisponibilidade,nohavendo,nessanorma, indicao de parmetros para outros tipos de requisitos a serem considerados. 21 A ao de se evitar um risco, de modo a eliminar a ocorrncia de suas consequncias e, naturalmente, a realizao da atividade que o ocasionaria, no fazpartedotratamentodorisco,poisotratamentorefere-seaoriscoquese toma, no ao que se evita. 22Asconsequnciasdaviolaodapolticadeseguranadevemser includas em um plano de tratamento de riscos,mas no devem fazer parte do documento da poltica em si. 23Segundoacitadanorma,convmqueapolticadeseguranaseja analisadacrticaeperiodicamente,luzdoresultadododesempenhodo processo e de acordo com a poltica de segurana da informao. 24Anormaemquestorecomendaquesejamincludas,napolticade seguranadainformao,declaraesqueesclareamtermosecondiesde trabalho de recursos humanos, incluindo at responsabilidades que se estendam paraforadasdependnciasdaorganizaoeforadoshorriosnormaisde trabalho. 25Recuperaodeerros,procedimentosdereinicializaoeplanosde contingncia,apesardeserembemespecficosaoprocessodeaceitaode sistemas,devemserconsideradosparaminimizarosriscosdefalhasde 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 48 de 55 sistemas,nogerenciamentodeoperaesecomunicaespreconizadopela norma 27002. 26 A norma referidarecomenda que serealizem treinamento,educaoe conscientizao de pessoas apenas antes da contratao, para assegurar que os novosrecursoshumanossaibamagircomseguranadiantedasatividadesa serem desenvolvidas por eles. (CESPE Banco Central do Brasil Analista rea 2 2013) Julgue os itens a seguir com base na norma NBR ISO/IEC n. 27.002 da ABNT. 27 As informaes operacionais includas no ambiente antes dos testes de intruso devem ser nele mantidas aps o teste. 28 A utilizao de VPN (virtual private network) entre o usurio e o ponto de acesso que difunde o sinal em uma rede wireless garante confidencialidade e integridade ao trfego da rede. (CESPEMinistriodasComunicaesAtividadeTcnicade ComplexidadeGerencialEspecialidade252013)Arespeitodanorma NBR ISO/IEC 27.002:2005, julgue os itens a seguir. 29Deacordocomareferidanorma,todosositensdecontrole,seese etapas so aplicveis apenas a organizaes de grande envergadura. 30AnormaNBRcitadaacimaprevonzeseessobreotratamentode riscos de segurana da informao. (CESPEANTTAnalistaAdministrativoInfraestruturadeTI 2013) Julgue os itens subsequentes, a respeito da norma NBR ISO/IEC 27002. 31Naimplementaodeseguranafsicaeseguranadoambienteem umaorganizao,devemserdefinidasreassegurasparapreveniracessos fsicosnoautorizados,danoseinterfernciascomasinstalaesecomas informaes da organizao. Deve ainda ser implantada uma rea de recepo, demodoqueoacessoalocaisdefinidoscomoreasegurasfiquemrestritos somente ao pessoal da organizao. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 49 de 55 32Nagestodosativos,cujoobjetivoprincipalmanteraproteo adequadadosativosdaorganizao,importantequeosprincipaisativosde informao sejam inventariados e atribudos a um proprietrio responsvel que, por questo de segurana, no pode delegar a implementao dos controles. 33 De acordo com a norma em questo, as senhas devem ser modificadas no primeiro acesso ao sistema e devem ser includas em processos automticos de acesso ao sistema, como os que utilizam macro e tokens. 34Naaplicaodecontroledesegurana,funesereasde responsabilidadedevemserrealizadasdeformaconjunta,pelasmesmas pessoas para reduzir as oportunidades de modificao. (CESPEBancodaAmazniaTcnicoCientficoSeguranada Informao2012)Noqueserefereaosobjetivosdecontrole,contidosno Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes. 35 Conforme prev a norma em apreo, em acordo com terceiros referente aquisiodeprodutosdeTI,dispensa-seocontroledoSGSInoquediz respeito a segurana da informao. 36 A violao da poltica de segurana da informao deve ser apurada por meio da aplicao de processo disciplinar formal: o que estabelece o controle deprocessodisciplinar contido no grupodecontroledesegurana em recursos humanos. 37Aintegridadedeinformaesdisponibilizadasemsistemasacessveis publicamentenoprecisaseralvodapolticadesegurana,vistoqueso,por natureza, informaes no confidenciais, ou seja, pblicas. 38Entreoscontrolesreferentesaogerenciamentodeacessodousurio, tendo-se em vista assegurar o acesso autorizado e prevenir o no autorizado, o anexoemquestoestabelecequeaanlisecrticadedireitosdeacessodos usuriosdeveserfeitapormeiodeumprocessoformaleconduzidaem intervalos regulares. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 50 de 55 39Areferidanormaexplcitaaoafirmarque,emrazodeseucarter privativo,aspolticaseprocedimentosdeseguranadeumaorganizaono podemserexpostosopiniodeoutros,oqueimpossibilitacontatoscom grupos de interesses especiais ou ainda a promoo de fruns especializados de segurana da informao e associaes profissionais. (CESPEPolciaFederalPeritorea32013)Comrelao norma ISO/IEC 27001:2006, julgue os itens a seguir. 40DeacordocomanormaISO/IEC27001:2006,aformulaodeum plano de tratamento de riscos que identifique a ao apropriada, os recursos, as responsabilidadeseasprioridadesparaagestoderiscosestrelacionada etapa Do do ciclo PDCA. 41SegundoanormaISO/IEC27001:2006,aorganizaodeveelaborar umadeclaraodeaplicabilidade,detalhandoosativosdentrodoescopodo SGSIeosseusproprietrios,bemcomoaspossveisameaasaplicadasatais ativos e as vulnerabilidades por elas exploradas. 42 Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema de Gesto da Segurana da Informao (SGSI), devem-se identificar e avaliar as opesparaotratamentoderiscos,cujasaesenglobamaaceitao consciente dos riscos (desde que satisfaam s polticas estabelecidas dentro da organizao), bem como a possibilidade de transferncia dos riscos para outras partes, como seguradoras e fornecedores. (CESPETCE/ESAuditordeControleExternoTecnologiada Informao 2012) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de gesto de segurana da informao. 43Ogerenciamentodeacessodousurioplenamenteimplementado pelosseguintescontroles:registrodeusurio,gerenciamentodeprivilgiose gerenciamento de senha do usurio. 44Umapolticadeseguranadainformaodevefornecerorientaoe apoioda direopara a segurana dainformao, deacordocom osrequisitos do negcio e com as leis e regulamentaes relevantes. O documento da poltica de segurana da informao necessita da aprovao da direo da organizao e 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 51 de 55 deveserpublicadoecomunicadoparatodososfuncionriosepartesexternas relevantes, no devendo ser alterado a partir de ento. 45 Na NBR ISO/IEC 27001, so estabelecidos controles que regem o uso e a configurao de cdigos mveis claramente autorizados, em concordncia com a poltica de segurana da informao. (CESPESERPROAnalistaAdministraodeServiosde Tecnologia da Informao 2013) A respeito da norma ABNT NBR ISO/IEC 27001,julgueositensaseguir.Nessesentido,considerequeasiglaSGSI, sempre que utilizada, refere-se a sistema gesto de segurana da informao. 46EntreosdocumentosquefazempartedadocumentaodeumSGSI, esto includas a declarao da poltica do SGSI, o escopo do SGSI e o plano de tratamento de risco.47NaetapademelhoriadoSGSI,ocorremasauditoriasinternasem intervalos planejados. 48ParaseestabelecerumSGSI,necessriodefiniraestratgiade avaliaodosriscos,queimportanteparaapreparaodadeclaraode aplicabilidade. 49ParaassegurarqueoSGSIcontinuaconvenientecomarealidadeda organizao, a direo deve analis-lo em intervalos planejados. 50Aexecuodeprocedimentosecontrolesparaidentificartentativase falhas de segurana e incidentes que foram bem-sucedidos faz parte da etapa de implementao e operao do SGSI. (CESPESERPROAnalistaNegciosemTecnologiada Informao2013)Acercadaseguranadainformao,julgueositens subsequentes. 51Naelaboraodoplanodecontinuidadedonegciodeuma organizao,devemserconsideradosnoapenasosprocedimentosde recuperao das atividades, mas tambm os procedimentos de emergncia aps a ocorrncia de um incidente.0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 52 de 55 52 Pode ser identificada uma equivalncia entre o modelo de gesto PDCA (plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. A etapa do (fazer) corresponde a manter e melhorar os sistemas de gesto de segurana dainformao(SGSI),ouseja,devem-seexecutarasaescorretivase preventivas necessrias para alcanar a melhoria contnua do SGSI. 53Considerequeumamensagemdecorreioeletrnico,supostamente vinda do provedor de Internet, sob a alegao de que o computador que recebia amensagemestavainfectadoporumvrus,sugeriaquefosseinstaladauma ferramentadedesinfeco.Considereaindaquenaverdade,aferramenta oferecidaeraumprogramamaliciosoque,apsainstalao,tornouosdados pessoaisdousurioacessveisaoremetentedamensagem.Nessasituao hipottica, correto afirmar que houve um ataque de engenharia social. 54 Os rtulos fsicos so a forma mais usada para definir a classificao de umainformao,massosubstitudos,emalgumassituaes,por procedimentos e metadados. 55Apolticadeseguranadainformao(PSI)devebuscaro comprometimentointegraldetodaaorganizao,portantootratamentodas consequnciasadvindasdaviolaodasnormasdesegurananodesua competncia. (CESPEMinistriodasComunicaesAtividadeTcnicade ComplexidadeGerencialEspecialidade252013)Emrelaoaos conceitos bsicos da NBR ISO/IEC 27001:2006, julgue os itens subsecutivos. 56AnormaemtelaprevqueoSGSIincluaumaestruturaparadefinir objetivoseestabeleadirecionamentoglobalparaaesrelativassegurana da informao. 57Deacordocomareferidanorma,osriscossoaceitveis,desdeque satisfaam claramente s polticas da organizao e aos critrios de aceitao de riscos. 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 53 de 55 58 O processo do Sistema de Gesto de Segurana da Informao (SGSI), estabelecidopelanormaNBRISO/IEC27001:2006,sebaseianomodeloPDCA (plan do check act). (CESPEANTTAnalistaAdministrativoInfraestruturadeTI 2013)Julgueositensaseguir,acercadanormaNBRISO/IEC27001:2006. Nessesentido,considerequeasiglaSGSI,semprequeutilizada,refere-sea sistema de gesto de segurana da informao. 59NoestabelecimentodoSGSI,aorganizaodeveprepararuma declaraodeaplicabilidadequeincluaosobjetivosdecontroleecontroles selecionados e as razes para sua seleo e os objetivos de controle e controles atualmente implementados. 60Aavaliaoderiscos,apesardeenvolveracomparaodorisco estimadocomcritriosderiscopredefinidosparadeterminaraimportnciado risco em relao segurana da informao, no faz parte da documentao do SGSI. 61 Na fase check, do modelo PDCA (plan, do, check, act), ocorre, alm da monitoraoeanlisecrticadoSGSI,amediododesempenhodeum processo frente poltica, aos objetivos e experincia prtica do SGSI. 62UmSGSIprojetadoparaasseguraraseleodecontrolesde seguranaadequadosparaprotegerosativosdeinformaoepropiciar confiana s partes envolvidas. 63Aorganizaodeveproverosrecursosnecessriostantono estabelecimentoquantonamanutenodoSGSI,paraasseguraroapoiodos procedimentosdeseguranadainformaoaosrequisitosdenegcio,bem comootratamentodestinadoaosrequisitoslegaiseregulamentareses obrigaescontratuaisdeseguranadainformao,conformeanecessidade exigida. (CESPE SERPRO Analista Suporte Tcnico 2013) 64 De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno, detecoerespostaaincidentes,atuao,manuteno,anlisecrticae 0162413645101624136451 - LuisTecnologia da Informao para MPOG Analista de TIPGPE Prof Victor DaltonAula 09 Prof. Victor Dalton www.estrategiaconcursos.com.br 54 de 55 auditoria. Todas essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act). (CESPE SERPRO Tcnico Operao de Redes 2013) A adoo deumsistemadegestodeseguranadainformao(SGSI)deveseruma deciso estratgica para uma organizao. Por sua vez, a forma de implantao doSGSIinfluenciadapornecessidadeseobjetivos,requisitosdesegurana, processosempregados,etamanhoeestruturadaorganizao.Acercadesse assuntoecombasenaespecificaodeseguranadainformaodescritana norma ISO 27001, julgue os itens a seguir. 65NafasedeimplementaoeoperaodoSGSI,aorganizaodeve executar procedimentos para prontamente determinar se as aes tomadas para solucionar uma violao de segurana foram eficazes, assim como implantar os controles selecionados para atender aos objetivos de controle. 66NoconvenientequeosdocumentosrequeridospeloSGSIsejam distribudosparatodososfuncionriosdaorganizao,mesmoqueestes possamcontribuircomoseucontedoousintam-seresponsveispela estratgia de segurana adotada na empresa. 67 Entre as etapas de monitorao de um SGSI, est prevista a construo deumtextocomtodososobjetivosdecontroleeseusrespectivoscontroles. Essasinformaesfaropartedadeclaraodeaplicabilidadequedeveser submetida autorizao e a posterior aprovao pela diretoria da empresa. (CESPETELEBRASEspecialistaAnalistadeTI2013)Com referncia norma NBR ISO/IEC 27001:2006, julgue os itens a seguir. 68 O procedimentodocumentadoque atenda aosrequisitos do SGSIpara aocorretivadevedefinirrequisitosparadeterminarascausasdeno conformidades. 69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gesto de segurana da informao), par