Segurança em Tecnologia da Informação - Avaliação Final (Objetiva) - Individual Semipresencial

Prévia do material em texto

11/29/21, 12:38 PM AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjY4NzUzIiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBGaW5hbCAoT2JqZXRpdmEpIC0gSW5kaXZpZHVhb… 1/4
GABARITO | Avaliação Final (Objetiva) - Individual Semipresencial
(Cod.:668753)
Peso da Avaliação
3,00
Prova
32364114
Qtd. de Questões
12
Acertos/Erros
10/2
Nota
10,00
Entende-se por informação baseada em Tecnologia da Informação, “a informação residente em base de dados, arquivos informatizados,
mídias magnéticas ou outras que exijam soluções de informática para acessá-las” (BEAL, 2008, p. 33). Sobre os motivos pelos quais as
organizações tomam medidas relacionadas à segurança dos componentes de TI e da informação neles contida, classifique V para as sentenças
verdadeiras e F para as falsas: 
 
( ) A maioria das organizações depende intensamente dos recursos de tecnologia da informação para manter a continuidade de suas
operações. 
( ) A infraestrutura tecnológica é vulnerável a diversos tipos de ameaças, podendo estas ser de origem lógica, física ou ambiental. 
( ) A segurança, como requisito não funcional, não recebe a devida atenção em projetos de desenvolvimento de software, seja ele interno ou
externo. 
( ) A obscuridade apresenta características suficientes para garantir a segurança das informações baseadas em Tecnologia da Informação. 
( ) A simples exclusão de informações confidenciais de um microcomputador não cumpre totalmente o objetivo de confidencialidade, uma
vez que essas informações podem ser recuperadas através do uso de utilitários de recuperação de dados. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas
organizações. São Paulo: Atlas, 2008.
A F - F - V - V - F.
B V - V - V - F - V.
C F - V - F - V - V.
D V - F - V - F - V.
A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas, sim, do próprio
ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador. Assim, ela estabelece e mantém procedimentos
documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança e qualidade.
Baseado nas atividades da auditoria, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Garantir que os custos sejam diminuídos e a eficiência seja aumentada. 
( ) Garantir a utilização dos sistemas de controle já implantados na empresa. 
( ) Garantir que os livros fiscais estejam de acordo com as leis e os tributos. 
( ) A formação do auditor em tecnologia da informação deve ser específica, pois é uma área com características bem definidas. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - F.
B V - V - F - V.
C V - V - F - F.
D F - F - V - V.
 VOLTAR
A+
Alterar modo de visualização
1
2
Sidney Lucas da Silva
Análise e Desenvolvimento de Sistemas (3197324) 
70
11/29/21, 12:38 PM AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjY4NzUzIiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBGaW5hbCAoT2JqZXRpdmEpIC0gSW5kaXZpZHVhb… 2/4
É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou
exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um
profissional de determinada área etc. É uma forma de entrar em organizações que não necessitam da força bruta ou de erros em máquinas.
Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. Como é
o nome dessa prática? 
 
FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019.
A Hackers.
B Crackers.
C Invasão de privacidade.
D Engenharia social.
A intensificação do uso da computação e das redes de computadores trouxeram para as organizações a capacidade de produzir e
consultar informações com uma velocidade e alcance nunca antes imaginados. Ao mesmo tempo, essas tecnologias apresentam
vulnerabilidades e fragilidades que exigem medidas de prevenção, objetivando evitar o acesso não autorizado a estas informações. Assinale a
alternativa CORRETA que denomina o objetivo de segurança referente a garantir que a informação seja acessada somente por usuários
autorizados:
A Confidencialidade.
B Integridade.
C Disponibilidade.
D Legalidade.
A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões
periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio
alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta
expectativa:
A
No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que
se encontravam antes do incidente ou desastre.
B O plano de continuidade deve ser revisado e testado periodicamente.
C Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
D As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
Dentro do ciclo de vida das informações de uma organização, a etapa do descarte pode representar um risco para os objetivos de
segurança quando não são observados os devidos cuidados. Neste contexto, analise as sentenças a seguir: 
 
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, pois estes podem conter informações valiosas que não foram
devidamente apagadas de seus dispositivos de armazenamento. 
II- Informações armazenadas em meio analógico (documentos em papel, atas de reuniões, contratos etc.) devem seguir critérios rígidos de
destruição segura para evitar a recuperação de informações confidenciais. 
III- A simples exclusão de informações confidenciais de um microcomputador cumpre totalmente o objetivo de confidencialidade, uma vez
que essas informações não podem ser recuperadas através do uso de utilitários de recuperação de dados. 
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma vez que os objetivos de confidencialidade, integridade e
disponibilidade têm prioridade sobre os demais. 
 
Agora, assinale a alternativa CORRETA:
A As sentenças III e IV estão corretas.
B As sentenças I, II e III estão corretas.
3
4
5
6
Sidney Lucas da Silva
Análise e Desenvolvimento de Sistemas (3197324) 
70
11/29/21, 12:38 PM AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjY4NzUzIiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBGaW5hbCAoT2JqZXRpdmEpIC0gSW5kaXZpZHVhb… 3/4
C As sentenças I e II estão corretas.
D As sentenças I, II e IV estão corretas.
Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve
possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua
importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o
escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
A Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
B
Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas,
transacionais, entre outros.
C
Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser
contingenciada.
D É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os
requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse.
Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho
do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão
da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V
para as sentenças verdadeiras e F para as falsas: 
 
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na
BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. 
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da
informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação. 
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a
integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos
colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
A V - V - V - F.
B F - F - F - V.
C F - V - V - V.
D V - F - F - F.
Para a implementação da política de segurança de uma organização, devem ser adotados padrões e normas de segurança que estejam
alinhados com os objetivos de negócio da organização. Diante disso, assinale a alternativa CORRETA que apresenta o padrão que define
alguns termos da Gestão de Riscos:
A ISO GUIDE 73.
B COBIT.
C ITIL.
D ISO/IEC 17799.
7
8
9
Sidney Lucas da Silva
Análise e Desenvolvimento de Sistemas (3197324) 
70
11/29/21, 12:38 PM AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiNjY4NzUzIiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBGaW5hbCAoT2JqZXRpdmEpIC0gSW5kaXZpZHVhb… 4/4
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação,
modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à
disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura
computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto
da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental
das informações, assinale a alternativa INCORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
A
A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam
acessadas indevidamente.
B A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários na utilização do ambiente apenas.
C
Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é
recomendável a instalação de condicionadores do tipo compacto (self-contained).
D
Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e
treinados.
(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a
uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse
crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é
indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é
recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação,
é preciso elaborar:
A Plano de negócio de gerência de riscos.
B Plano de negócio de gerenciamento de projetos.
C Plano de contingência.
D Plano de negócio.
(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade,
confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a
determinado ponto da rede. 
 
É correto apenas o que se afirma em:
A I, II e III.
B III e IV.
C II, III e IV.
D I e II.
10
11
12
Sidney Lucas da Silva
Análise e Desenvolvimento de Sistemas (3197324) 
70