PROVA OBJETIVA - SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

Questão 1/12 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL 
e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e 
colocadas em prática, colaboraram para atingir as metas de segurança da informação 
e de sistemas. 
Com relação a esses referenciais, pode-se afirmar que: 
 
Nota: 10.0 
 A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades. 
 
 B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e 
gestão de riscos, não serve para identificar e classificar os riscos. 
 
 C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança 
da informação. 
 
 D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. 
 
 E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a 
certificação de empresa, processos e profissionais quanto à segurança da informação. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão impressa). 
 
 
Questão 2/12 - Segurança em Sistemas de Informação 
Crise é uma ocorrência que impede ou dificulta que a organização atinja seus 
objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de 
crises é um plano ou conjunto de medidas estratégicas que, em situações de 
anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa 
ocorrência. 
No que se refere à gestão de crises é correto afirmar que: 
 
Nota: 10.0 
 A Em situações de crise a tomada de decisões individuais e improvisadas dificulta o trabalho em equipe e colaborativo, podendo aumentar a crise e até mesmo 
colocar em risco a sobrevivência da organização, por isso deve ser evitada. 
Você acertou! 
Conteúdo apresentado na Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 7, 8 e 9 da Rota de Aprendizagem. 
 
 B A primeira providência perante a ocorrência que gera uma situação de crise deve ser fazer a declaração de desastre e ativar o BCP. Em seguida deve-se preservar 
as evidências da ocorrência que possibilitem identificar os culpados. 
 
 C A gestão de crise tem por objetivo ativar o procedimento operacional de contingência da organização, com o intuito de proteger seus empregados, o seu negócio, 
os seus ativos e a sua imagem. 
 
 D Durante a ocorrência de uma crise todos os envolvidos devem estar totalmente informados e preparados, sendo capazes de prover informações, especialmente para 
a mídia, pois isso reduz o impacto da crise na opinião pública. 
 
 E Como as situações de crise seguem um determinado padrão, as informações a respeito da situação devem ser fornecidas ao público em geral, em grande 
quantidade e o mais rapidamente possível, exceto para as autoridades e órgãos de segurança, os quais exigem formalidade. 
 
 
Questão 3/12 - Segurança em Sistemas de Informação 
Cada sistema computacional possui suas particularidades, quer seja em função de 
suas capacidades – processamento, memória, interfaces, autonomia – quer seja em 
função de sua constituição física ou mobilidade, e também da programação à qual é 
capaz de corresponder. E estas particularidades determinam e requerem proteção 
adequada. É possível classificar e separar os tipos de proteção necessária aos 
componentes do sistema computacional em grupos com características distintas. 
Analise as afirmativas a seguir com base nesta abordagem: 
I – A proteção contra intempéries e fenômenos naturais evita que haja falta de energia 
devido à interrupção do fornecimento por parte da rede elétrica. 
II – Os controles de qualidade atuam sobre a disponibilidade da energia evitando a 
interrupção do fornecimento. 
III – Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre 
as comunicações dos sistemas computacionais. 
IV – Hardware e software requerem mecanismos de proteção distintos, embora estes 
possam trabalhar de forma conjunta ou interdependente. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado 
nas aulas e com a sua análise: 
 
Nota: 10.0 
 A Somente as afirmações I, II e III são corretas. 
 
 B Somente as afirmações I, II e IV são corretas. 
 
 C Somente as afirmações II, III e IV são corretas. 
 
 D Somente a afirmação III é correta. 
 E Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas da Aula 4, páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
 
 
Questão 4/12 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL 
e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e 
colocadas em prática, colaboraram para atingir as metas de segurança da informação 
e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
 
Nota: 10.0 
 A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão impressa). 
 
 B O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é importante para classificar os riscos. 
 
 C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança 
da informação. 
 
 D As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em organizações globais. 
 
 E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. 
 
Questão 5/12 - Segurança em Sistemas de Informação 
A gestão de riscos é um processo de suma importância para a segurança da 
informação. Pode-se considerar quatro atividades essenciais a esse processo, 
dispostas de forma sequencial e executadas de maneira cíclica, com base no modelo 
PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, corrigir). 
Com relação ao processo de gestão de riscos é correto afirmar que: 
 
Nota: 10.0 
 A Impacto é a medida do resultado que um incidente pode produzir nos negócios da organização. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 12 a 14 da Rota de Aprendizagem (versão impressa). 
 B A matriz P x I – Probabilidade x Impacto é uma ferramenta da Análise Qualitativa de riscos, e auxilia no cálculo do ROI – return of investiment. 
 C Reduzir o risco implica na utilização de medidas que impeçam a ocorrência do risco pela eliminação de vulnerabilidades ou tratamento contra as ameaças. 
 
 D Transferir o risco significa utilizar controles que reduzam a probabilidade ou o impacto do risco. 
 
 E Aceitar o risco é a melhor forma de preparar a organização contra as ameaças, pois mesmo aplicando um tratamento aos riscos é improvável que se consiga 
eliminá-los totalmente. 
 
 
Questão 6/12 - Segurança em Sistemas de Informação 
Um Sistema Gerenciador de Banco de Dados tem por objetivo possibilitar o 
armazenamento, a recuperação e a modificação da maneira mais rápida possível, 
além de preservar estes dados de maneira confiável e segura. Asegurança das 
informações em um banco de dados é obtida por intermédio de mecanismos, 
componentes e operações, entre as quais: 
I - Controle de acesso e permissões, registro de atividades e histórico de 
modificações. 
II - Preservação por meio de cópias de segurança – os backups e redundância. 
III – O armazenamento dos dados em nuvem - o cloud computing – devido à sua 
capacidade quase inesgotável de processamento e armazenagem. 
IV – O uso de outros serviços vinculados aos bancos de dados, como o Data 
Warehouse- DW, o Business Inteligence – BI e o Big Data. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado: 
 
Nota: 10.0 
 A Somente as afirmações I e II são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 4, páginas 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
 B Somente as afirmações II e III são corretas. 
 
 C Somente as afirmações II e IV são corretas. 
 
 D Somente as afirmações III e IV são corretas. 
 
 E Somente a afirmação IV é correta. 
 
 
Questão 7/12 - Segurança em Sistemas de Informação 
Cada sistema computacional possui suas particularidades, quer seja em função de 
suas capacidades – processamento, memória, interfaces, autonomia – quer seja em 
função de sua constituição física ou mobilidade, e também da programação à qual é 
capaz de corresponder. E estas particularidades determinam e requerem proteção 
adequada. É possível classificar e separar os tipos de proteção necessária aos 
componentes do sistema computacional em grupos com características distintas. 
Sob este ponto de vista, analise as afirmativas a seguir, classificando-as como 
(F)alsas ou (V)erdadeiras: 
( ) A proteção contra intempéries e fenômenos naturais evita que haja falta de energia 
devido à interrupção do fornecimento por parte da rede elétrica. 
( ) Os controles de qualidade atuam sobre a disponibilidade da energia evitando a 
interrupção do fornecimento. 
( ) Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre 
as comunicações dos sistemas computacionais. 
( ) Hardware e software requerem mecanismos de proteção distintos, embora estes 
possam trabalhar de forma conjunta ou interdependente. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 A V-F-F-V 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas da Aula 4, páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
 
 D F-V-V-V 
 
 E V-V-F-F 
 
 
Questão 8/12 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a 
que adota os mecanismos de segurança desde o início do processo de 
desenvolvimento do software. O quão mais cedo neste processo se pensar em riscos, 
ameaças e formas de proteger a informação, mais efetivas e abrangentes tornam-se 
as medidas, além de aumentarem as opções quanto à estratégias e mecanismos de 
segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis 
para o processo de desenvolvimento e a redução do custo para a implementação da 
segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as 
seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de 
teste de software, os quais são geralmente enfatizados pelas organizações devido à 
sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das 
questões de segurança do software é uma prática comum, o que tem elevado 
continuamente o padrão de segurança da informação e dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de 
faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação tornam-
se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, 
contemplando a segurança do software, a segurança do ambiente de desenvolvimento 
e a garantia de segurança do software desenvolvido é estabelecido pela norma 
ISO/IEC 15.408. 
Assinale a única alternativa que confere com o conteúdo que foi apresentado e com a 
sua análise: 
Nota: 10.0 
 A Somente as afirmações I, II e III são corretas. 
 
 B Somente as afirmações I, II e IV são corretas. 
 
 C Somente as afirmações II, III e IV são corretas. 
 
 D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 3, páginas de 17 a 20 da Rota de Aprendizagem (versão impressa). 
 
 E Todas as afirmações são corretas. 
 
 
Questão 9/12 - Segurança em Sistemas de Informação 
Embora a informação possa manifestar-se em diversos meios – impressa ou 
eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico que tem seu 
expoente em termos de volume, flexibilidade e facilidade de uso e acesso. Nesse 
contexto essa mesma informação está continuamente exposta a riscos de segurança, 
os quais atentam contra as suas características básicas: a confidencialidade, a 
integridade e a disponibilidade da informação. Estes riscos, quando concretizados, 
resultam no que se denomina incidente de segurança. 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando 
cada uma como (F)alsa ou (V)erdadeira: 
( ) Os serviços providos aos usuários de sistemas computacionais ou software através 
de suas interfaces estão sujeitos a falhas, erros e faltas. A manifestação destes em 
eventos resulta em um incidente de segurança. 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, 
exploits e spywares, geralmente referenciados genericamente como malwares. Essas 
ameaças não são naturais, pois geralmente há um agente malicioso relacionado ao 
incidente causado por essas ameaças 
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, tais 
como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de 
temperatura de operação são denominadas falhas físicas. 
( ) Dispositivos e ambientes computacionais com características de 
mobilidade, flexibilidade, capacidade de personalização, conectividade, convergência 
de tecnologias e capacidades reduzidas de armazenamento e processamento de 
informações, como os smartphones, são mais vulneráveis. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 10.0 
 A V-F-F-V 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-V-V 
 
 E V-V-V-V 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 9 a 15 da Rota de Aprendizagem (versão impressa). 
 
 
Questão 10/12 - Segurança em Sistemas de Informação 
O Plano de Continuidade dos Negócios - PCN ou BCP - Business Continuity Plan é 
um documento ou conjunto de documentos que estabelece as estratégias e planos de 
ação para o enfrentamento de situações de emergência que afetem a operação 
normal da organização. Do ponto de vista da segurança da informação e dos sistemas 
o PCN aborda os sistemas críticos e seus componentes, além dos processos de 
negócio dos quais fazem parte. Com relação ao PCN é correto afirmar que: 
 
Nota: 10.0 
 A O objetivo do PCN é a prevenção, isto é, assegurar a continuidade das operações da organização, mitigando os riscos e prevenindo a ocorrência de um incidente. 
 
 B A elaboração e atualização do PCN é atribuição exclusiva da área de Tecnologia da Informação, devido a seu conhecimento dos processos críticos do negócio. 
 
 C O procedimento operacional de contingência do Plano de Continuidade dos Negócios – PCN, ou BCP - Business ContinuityPlan, é ativado para mitigar os riscos 
e assim evitar a ocorrência de incidentes. 
 
 D A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos negócios, e avança com a definição de estratégias de abordagem e elaboração 
dos planos de ação. 
 
Você acertou! 
Conteúdo apresentado no tema 3 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 7, 8 e 9 da Rota de Aprendizagem. 
 
 E É um padrão do PCN estabelecer que sempre será ativado o procedimento operacional de contingência e declarada a situação de crise quando ocorrer um incidente 
de segurança da informação. 
 
 
Questão 11/12 - Segurança em Sistemas de Informação (questão 
opcional) 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram 
validadas por sua aplicação por anos a fio no decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. 
Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que 
pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se 
dimensionar 
 ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um 
superior é um caso de aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são 
convergentes, embora possam ser aplicados em diferentes níveis ou estágios da 
proteção. 
( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre si, 
uma vez que reforçar a obscuridade não requer, necessariamente, o uso de 
mecanismos de proteção complexos. 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no 
material e em aula: 
 
Nota: 0.0 
 A V-F-F-F 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-V-V 
 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da Rota de Aprendizagem (versão impressa). 
 
 E V-V-V-F 
 
 
Questão 12/12 - Segurança em Sistemas de Informação (questão 
opcional) 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura 
que suporta a informação em si, quer sejam os computadores e os componentes das 
redes de computadores, e determinadas funções destes dispositivos acabam 
mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando 
cada uma delas como (F)alsa ou (V)erdadeira. 
( ) Todos os dispositivos da infraestrutura de segurança da informação têm funções 
claramente definidas, como os proxies, os firewalls e os detectores de intrusão, e 
devem autuar de forma autônoma e independente. 
( ) É função de um IDS monitorar o uso dos recursos, de modo que possamos 
identificar e inibir ações indesejadas ou danosas à informação e aos sistemas, 
possibilitando assim o combate as ameaças e a redução da vulnerabilidade destes 
ambientes. 
( ) Os PROXIES funcionam como intermediários entre usuários de uma rede interna e 
outra externa – normalmente a internet, executando operações de autenticação e 
identificação, filtragem de informações, log de acessos e tradução de endereços 
internos para externos (NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - 
geralmente considerada como um ambiente conhecido e seguro – e a rede externa, 
geralmente considerada como um ambiente desconhecido e inseguro. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 0.0 
 A V-F-F-V 
 
 B F-V-V-F 
 
 C F-F-V-V 
 
 D F-V-V-V 
 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa). 
 
 E V-V-V-V