Segurança e Auditoria de Sistemas(IL10317) - A2

Prévia do material em texto

23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 1/6
Local: 1001 - EAD - Prédio IV / Andar / Campus Comércio Prédio IV / EAD - UNIDADE COMERCIO 
Acadêmico: 030TDS2AM
Aluno: JOSÉ VICTOR CARDOSO DA SILVA 
Avaliação: A2
Matrícula: 203000032 
Data: 18 de Junho de 2021 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 10,00/10,00
1  Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria
alta administração da organização para realizar os investimentos necessários em segurança da
informação. Os custos elevados das soluções contribuem para esse cenário, mas o
desconhecimento da importância do tema é provavelmente ainda o maior problema.” (Fonte:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança
da informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que
venha a comprometer qualquer um desses princípios estará atentando contra a sua
segurança.Identifique quais são esses três princípios básicos:
 a) Integridade, confidencialidade, disponibilidade.
 b) Confidencialidade, integridade, robustez.
 c) Confidencialidade, volatilidade, robustez.
 d) Integridade, disponibilidade, robustez.
 e) Integridade, disponibilidade, volatilidade.
Alternativa marcada:
a) Integridade, confidencialidade, disponibilidade.
Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A
confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas
(NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada,
intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode
acarretar danos inestimáveis para a empresa ou a pessoa física. Um exemplo simples seria o furto
do número e da senha do cartão de crédito ou dos dados da conta bancária de uma pessoa;
a integridade é a garantia da exatidão e completude da informação e dos métodos de
processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação
não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça
consistente” (DANTAS, 2011, p. 11). Quando a informação é alterada, falsificada ou furtada,
ocorre a quebra da integridade. A integridade é garantida quando se mantém a informação no
seu formato original; a disponibilidade é a garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO/IEC
27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores
estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da
informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou
seja, não intencionais, configuram quebra de disponibilidade. Distratores:Confidencialidade,
volatilidade, robustez. Incorreta. Volatilidade é uma medida estatística que aponta a frequência e
a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por
meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro e
robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para
permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade,
disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística que aponta
a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de
tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título
no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma característica da
disponibilidade. Significa que não há capacidade suficiente para permitir que todos os
funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade,
robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há
1,00/ 1,00
23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 2/6
capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de
informação.
2  Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários
vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão.
Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que
os serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção
excessiva. Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo
planos, procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida
e efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a
seguir:I - Falhas no equipamento. 
II - Roubo. 
III - Cibercrime. 
IV - Impactos ambientais. 
V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma
empresa:
 a) I, III, IV e V.
 b) II, III, IV e V.
 c) II, IV e V.
 d) I, II, IV e V.
 e) I, II, III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que
danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que
a empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na
página da empresa, nas redes sociais da empresa e também no acesso a informações
sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos
processos de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do
ambiente de segurança da empresa é o próprio funcionário.
1,00/ 1,00
3  Código: 32271 - Enunciado: "Para que a cultura da empresa seja mudada em relação à
segurança da informação, é fundamental que os funcionários estejam preparados para a
mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de
consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A política deve ser escrita
de forma clara, não gerando qualquer dúvida entre os usuários. Todos os funcionários da
organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um
treinamento adequado para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002
(2005), os usuários devem estar cientes das ameaças e das vulnerabilidades de segurança da
informação e estejam equipados para apoiar a política de segurança da informação da
organização durante a execução normal do trabalho."Fonte: Politica de Segurança da
Informação: Definição, Importância, Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.Com base no texto
exposto, assinale o ponto do sistema de gestão de segurança da informação retratado:
 a) Definição de Risco.
 b) Implantação da política de segurança.
 c) Utilização da Segurança física.
 d) Preparação do Backup.
 e) Compreensão de ativos.
1,00/ 1,00
23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 3/6
Alternativa marcada:
b) Implantação da política de segurança.
Justificativa: Resposta correta: Implantação da política de segurança.Correto, pois toda e
qualquer empresa necessita que uma política de segurança seja implementada para garantir a
segurança das informações. 
Distratores:Compreensão de ativos. 
Incorreto, pois deve-se formar um comitê de segurança da informação, constituídopor
profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura,
recursos humanos e outro que for necessário.Utilização da Segurança física.
Incorreto, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados
perímetros de segurança para proteger as áreas que contenham informações e instalações de
processamento da informação, segundo a ISO/IEC 27002:2005(2005).Preparação do Backup. 
Incorreto, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado
em outro local, o mais longe possível do ambiente atual, como em outro prédio.  É evidente que
o procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das
operações em caso de paralisação na ocorrência de um sinistro.Definição de Risco. 
Incorreto, pois com relação a segurança, os riscos são compreendidos como condições que criam
ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a
acontecer e produzir perdas.Fonte: Politica de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.
4  Código: 32274 - Enunciado: "A política de segurança diz respeito às regras que devem ser
elaboradas e seguidas pelos utilizadores dos recursos de informação de uma empresa.A
formação de um conjunto de boas práticas de mercado, com o objetivo de desenvolvimento de
uma política/cultura de segurança é essencial para qualquer tipo de empresa que necessite
desse trabalho, já que a informação é um dos ativos mais valiosos de uma organização.As
decisões relacionadas à segurança que o administrador da organização toma, determinam quão
segura a rede de sua corporação é, quantas funções ela irá disponibilizar e como será a sua
utilização. Por isso, é preciso determinar metas de segurança. Em qualquer política de segurança,
existem duas diretrizes: a proibitiva, que quer dizer que tudo que não é permitido é proibido, e a
permissiva, onde tudo que não é proibido é permitido."Fonte: http://seguranca-da-
informacao.info/politicas-de-seguranca.html. Acesso em: 06 de dez. de 2019.Diante do exposto,
quais afirmativas são pertinentes para que um terceiro queira invadir um sistema ou máquina:I -
Usar como práticas fraudulentas. 
II - Utilizar o computador de outra pessoa para promover ataques. 
III - Destruir informações importantes. 
IV - Disseminar cookies. 
V - Furtar informações armazenadas nos computadores. 
É correto o que se afirma em:
 a) I e II, apenas.
 b) I, II, III e IV, apenas.
 c) II, III, IV e V, apenas.
 d) I, II, III e V, apenas.
 e) I, II e V, apenas.
Alternativa marcada:
d) I, II, III e V, apenas.
Justificativa: Resposta:I, II, III, V, apenasUsar como práticas fraudulentas. Correto, pois qualquer
tipo de invasão caracteriza uma ação ilegal. Quem faz esta prática é um Hacker.Utilizar o
computador de outra pessoa para promover ataques. Correto, pois os hackers se utilizam de
1,00/ 1,00
23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 4/6
computadores de terceiros para fazer invasões mascarando de qual computador, realmente, está
partindo a invasão.Destruir de informações importantes. Correto, pois um Hacker ao invadir um
computador pode destruir toda e qualquer informação.Furtar informações armazenadas nos
computadores. Correto, pois um Hacker ao invadir um computador pode se apoderar de toda e
qualquer informação. Distrator:Disseminação de cokies. Errado, pois os cookies são registros que
ficam na memória do computador para que algum sites possam se utilizar das informações
pesquisadas pelo usuário e habilitá-las em um novo site de consulta. Esta não caracteriza
qualquer tipo de invasão.
5  Código: 32279 - Enunciado: "A fraude corporativa é um câncer que existe em praticamente todas
as organizações. O percentual de organizações e a maneira como cada organização é afetada,
variam de pesquisa para pesquisa, mas sempre os percentuais são altos. A Kroll Advisory, em
recente trabalho indica que 74% das empresas latinas americanas são afetadas por fraudes
corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco importa. Para
você este percentual se torna 100%. Sua organização é o que existe de mais importante. 
Para ser efetiva no combate a fraude, é mandatório que a organização considere o processo de
segurança da informação. Este processo é um elemento eficiente/eficaz em função dos controles
que ele exige e quando bem gerenciado possibilita que organização minimize o risco de
fraude."Fonte:  Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes!
Disponível em: <http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso
em 27 de nov. de 2019.Alguns controles do Processo de Segurança da Organização são de
excelência crítica para o combate à fraude corporativa. Identifique as alternativas que
caracterizam este controle:I - Identificação, autenticação e autorização do usuário. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. 
III - Gestão de recursos e dependência operacional. 
É correto o que se afirma em:
 a) II, apenas.
 b) III, apenas.
 c) I, II e III.
 d) I, apenas.
 e) II e III, apenas.
Alternativa marcada:
c) I, II e III.
Justificativa: Resposta: I, II e III.I - Identificação, autenticação e autorização do usuário. Correto,
pois o usuário precisa ter identificação única, intransferível e válida apenas enquanto o usuário
está ativo no ambiente da informação. II - Registro do que acontece no ambiente e gestão sobre
estes registros. Correto, pois os acessos realizados pelo usuário devem ser registrados bem como
as alterações realizadas nas informações. III - Gestão de recursos e dependência operacional.
Correto, pois o Processo de Segurança da Informação exige que exista uma gestão de recursos e
uma identificação de dependência.
1,00/ 1,00
6  Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada,
como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem
ser alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não
autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e
corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-
de-seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro
queira invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas
que remetem a isso e marque a alternativa que as apresenta: Utilização para fim de práticas
1,00/ 1,00
23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 5/6
ilegais. Utilização do computador de outros para promover ataques. Destruição de informações.
Furto de números de cartões de crédito e senhas de banco. Furto de informações salvas nas
máquinas. 
 a) I, II, III e IV.
 b) I, III, IV e V.
 c) II, III, IV e V.
 d) I, II, III, IV e V.
 e) I, II, III e V.
Alternativa marcada:
d) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta.
A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização
do computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro
usuário fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta.
Com acesso ao HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de
cartões de crédito e senhas de banco. Correta. O hacker se utiliza dessas informações para furtar
dinheiro.Furto de informações salvas nas máquinas. Correta. O usuário pode ter váriasinformações importantes tanto de cunho quanto profissional. 
7  Código: 31852 - Enunciado: "Milhões de bits e bytes de informação circulam na internet
diariamente. Nunca na história tivemos uma ferramenta tão democrática na hora de publicar e
de consumir conteúdo. Mas tudo tem seu limite, e talvez seja o momento de repensar aquilo que
você envia para a grande rede. Você já refletiu sobre a quantidade de informações a seu respeito
que estão disponíveis por aí, a partir de um simples “Buscar” no so�ware de busca na Web?"
(Fonte: VELOSO, T. O que é segurança da informação? Tecnoblog. 04/12/2010. Disponível em:
https://tecnoblog.net/43829/o-que-e-seguranca-da-informacao/. Acesso: 22 nov. 2019). 
Diante desse apontamento, defina o conceito de segurança da informação.
Resposta:
Segurança da informação é o que está por trás da defasados dados, detalhes e afins, para
assegurar que eles estejam acessíveis somente aos seus responsáveis de direito ou às pessoas às
quais foram enviados.
Comentários: Resposta correta. Parabéns.
Justificativa: Expectativa de resposta:A segurança da informação é o que está por trás da defesa
dos dados, detalhes e afins, para assegurar que eles estejam acessíveis somente aos seus
responsáveis de direito ou às pessoas às quais foram enviados.
2,00/ 2,00
8  Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas
exatamente sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação
de Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum
e mais que normal, considerando-se que o mercado insiste em falar de “contingência”
como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do
problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia-
continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse
cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse
plano.
Resposta:
Plano de Contingência Operacional – PCO, também dentro do Plano de Recuperação de
Desastres, o Plano de Contingência Operacional é a definição de processos alternativos para
atuação da empresa durante um evento que afete as atividades normais(ou aplicativos),
2,00/ 2,00
23/09/2021 17:19 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6369870/3d2f8e8e-463a-11ea-ab31-0242ac11000e/ 6/6
necessários para funcionamento da organização.
Comentários: Resposta correta. Parabéns.
Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro
do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de
processos alternativos para atuação da empresa durante um evento que afete as atividades
normais (ou aplicativos), necessários para funcionamento da organização.