PROVA-A2 -UVA - SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 1/6
Local: Sala 134 - Térreo - Sala de Aula / Andar / Polo Freguesia / POLO FREGUESIA/JACAREPAGUÁ - RJ 
Acadêmico: EAD-IL10317-20214A
Aluno: ANDRE LUIZ DE AZEVEDO SANT ANNA 
Avaliação: A2-
Matrícula: 20204300120 
Data: 25 de Novembro de 2021 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 7,00/10,00
1  Código: 31844 - Enunciado: “ISO/IEC 17799/2007-27002 É uma norma de segurança da
informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece
princípios para a gestão de segurança da informação de uma organização e também pode servir
como um guia prático de desenvolvimento de procedimentos para
empresas.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso
em: 30 out. 2018.) Identifique as principais seções: Avaliação de risco. Política de segurança.
Organização da segurança da informação. Gerência de recursos. Segurança dos recursos
humanos.
 a) II, III, IV e V.
 b) I, II, IV e V.
 c) III, IV e V.
 d) I, II, III, IV e V.
 e) I, II, III e IV.
Alternativa marcada:
d) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Avaliação de risco. Correta. É preciso mensurar os
problemas que podem acontecer.Política de segurança. Correta. É preciso que a empresa esteja
já com plano estratégico para contingência de invasão.Organização da segurança da informação.
Correta. É preciso que haja todo um planejamento para a política de segurança da
informação.Gerência de recursos. Correta. A empresa precisa ter em seu orçamento o
investimento necessário em tecnologia.Segurança dos recursos humanos. Correta. Os
funcionários precisam estar cientes de como funciona a política de segurança de sua empresa,
evitando, assim, acessos indevidos.
1,00/ 1,00
2  Código: 31846 - Enunciado: A busca constante por novas soluções e produtos deve-se a essa
crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da
tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos
mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças
para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes.(Fonte:
https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a utilização de
organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois
asssegura uma saída para esta questão. Identifique quais afirmativas a seguir são
verdadeiras:I. Coordenar recursos compartilhados de forma descentralizada (sem controle
centralizado).II. Menor invetismento em Segurança da Informação.III. Fazer uso de protocolos e
interfaces padrões, de propósito geral e aberta.IV. Menor uso de Tecnologias.V. Proporcionar
qualidades de serviços não triviais.
 a) I, IV e V apenas.
 b) II, III e V apenas.
 c) III, IV e V apenas.
 d) II, III e IV apenas.
 e) I, III e V apenas.
0,00/ 1,00
02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 2/6
Alternativa marcada:
b) II, III e V apenas.
Justificativa: GabaritoI, III e V apenas.I. Coordenar recursos compartilhados de forma
descentralizada (sem controle centralizado). Correto, pois a descentralização permitirá qu eos
serviços fluam com maior velocidade.III. Fazer uso de protocolos e interfaces padrões, de
propósito geral e aberta. Correto, pois isto permitirá uma maior ampliação nos processos de
segurançã e com a devida padronização.V. Proporcionar qualidades de serviços não
triviais. Correto, pois estamos diante de um cenário inovador, que demanda soluções não
triviais. Distrator:II. Menor invetismento em Segurança da Informação. Errado, pois ainda mais
em ambiente virtualizado que há a necessidade de investomentos em segurança da
informação.IV. Menor uso de Tecnologias. Errado, pois esta demanda acarreta na contratação de 
novas tendências tecnológicas para atender a inovação.
3  Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria
alta administração da organização para realizar os investimentos necessários em segurança da
informação. Os custos elevados das soluções contribuem para esse cenário, mas o
desconhecimento da importância do tema é provavelmente ainda o maior problema.” (Fonte:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança
da informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que
venha a comprometer qualquer um desses princípios estará atentando contra a sua
segurança.Identifique quais são esses três princípios básicos:
 a) Confidencialidade, integridade, robustez.
 b) Confidencialidade, volatilidade, robustez.
 c) Integridade, disponibilidade, robustez.
 d) Integridade, disponibilidade, volatilidade.
 e) Integridade, confidencialidade, disponibilidade.
Alternativa marcada:
e) Integridade, confidencialidade, disponibilidade.
Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A
confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas
(NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada,
intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode
acarretar danos inestimáveis para a empresa ou a pessoa física. Um exemplo simples seria o furto
do número e da senha do cartão de crédito ou dos dados da conta bancária de uma pessoa;
a integridade é a garantia da exatidão e completude da informação e dos métodos de
processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação
não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça
consistente” (DANTAS, 2011, p. 11). Quando a informação é alterada, falsificada ou furtada,
ocorre a quebra da integridade. A integridade é garantida quando se mantém a informação no
seu formato original; a disponibilidade é a garantia de que os usuários autorizados obtenham
acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO/IEC
27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores
estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da
informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou
seja, não intencionais, configuram quebra de disponibilidade. Distratores:Confidencialidade,
volatilidade, robustez. Incorreta. Volatilidade é uma medida estatística que aponta a frequência e
a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por
meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro e
robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para
permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade,
1,00/ 1,00
02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 3/6
disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística que aponta
a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de
tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título
no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma característica da
disponibilidade. Significa que não há capacidade suficiente para permitir que todos os
funcionários trabalhem nos sistemas de informação.Integridade,disponibilidade,
robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há
capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de
informação.
4  Código: 31845 - Enunciado: “A ISO 27001 não termina com a implementação de várias
salvaguardas, seus autores entenderam perfeitamente bem que as pessoas do departamento de
TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos
executivos não fizerem algo a respeito. Por exemplo, você pode propor uma nova política para a
proteção de documentos confidenciais, mas, se a alta administração não impuser tal política
para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada
em sua organização.”(Fonte: <https://advisera.com/27001academy/pt-br/knowledgebase/a-
logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/>. Acesso em: 30 out.
2018.) Indique o que a alta administração deve fazer de acordo com a ISO 27001: Definir suas
expectativas de negócio (objetivos) para a segurança da informação. Publicar uma política sobre
como controlar se esses objetivos são atingidos. Designar as principais responsabilidades para a
segurança da informação. Prover apenas recursos financeiros suficientes, sendo
responsabilidade dos colaboradores a promoção dos recursos humanos. Revisar no início do
processo se todas as expectativas foram realmente atingidas.
 a) I e V.
 b) I, II e III.
 c) II, III, IV e V.
 d) I, II, III e V.
 e) I, II, III, IV e V.
Alternativa marcada:
b) I, II e III.
Justificativa: Resposta correta: I, II e III.Definir suas expectativas de negócio (objetivos) para a
segurança da informação. Correta. Esse planejamento permitirá que haja uma forte segurança
nas informações da empresa.Publicar uma política sobre como controlar se estes objetivos são
atingidos. Correta. Apesar de parecer que não são atingíveis, é preciso que haja um resguardo
sobre eles. Designar as principais responsabilidades para a segurança da informação. Correta. As
políticas estabelecidas é que serão responsáveis por resguardar as
informações. Distratores:Prover apenas recursos financeiros suficientes, sendo
responsabilidade dos colaboradores a promoção dos recursos humanos. Incorreta. Deve
promover recursos humanos e financeiros, uma vez que a tecnologia a ser utilizada precisa ser de
ponta e isso demanda investimento.Revisar no início do processo se todas as expectativas foram
realmente atingidas. Incorreta. Essa revisão deve ser regular, a fim de verificar se houve alguma
falha.
1,00/ 1,00
5  Código: 40523 - Enunciado: "A senha é a forma mais convencional de identificação e acesso do
usuário. Se um terceiro tem acesso a sua senha, ele poderá utilizá-la ilegalmente ou para se
passar por você."Fonte: http://seguranca-da-informacao.info/politicas-de-seguranca.html.
Acesso em 07 de jan. de 2020.Em determinadas corporações, pode existir a chamada 'política de
senhas', que possuem algumas regras. Identifique quais afirmativas são válidas em relação a
essas regras:I - Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que
obriga o usuário a renovar as suas senhas nesse período.II - Proibir a repetição de caracteres.III -
1,00/ 1,00
02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 4/6
Obrigar a inserção de quantidade de letras e números. IV - Criar uma lista de senhas que não
podem ser utilizadas.V - Uso do nome como parte da senha. 
É correto o que se afirma em:
 a) I, III, IV, apenas.
 b) IV e V, apenas.
 c) I, II, III e IV, apenas.
 d) III, IV e V, apenas.
 e) Somente a I.
Alternativa marcada:
c) I, II, III e IV, apenas.
Justificativa: Resposta correta: I, II, III e IV, apenas.Adotar um padrão de prazo de validade das
senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período.
Correto, pois com a validade em prática o usuário se habilitará a um processo de renovação que
trará maior segurança.Proibir a repetição de caracteres. Correto, pois isto dificultará o
entendimento da senha.Obrigar a inserção de quantidade de letras e números. Correto, pois
quanto maior a senha melhor o nível de dificuldade.Criar uma lista de senhas que não podem ser
utilizadas. Correto, pois se este arquivo for acesso pelo hacker irá criar uma grande confusão e
tirar o foco dele de uma busca mais direcionada. Distrator:Uso do nome como parte da senha.
Errado, pois como é fácil o acesso ao nome da pessoa que está recebendo a invasão, esta nunca
deve fazer parte da construção da senha, pois facilitará saber qual é o valor da senha.
6  Código: 32266 - Enunciado: "A segurança da informação diz respeito a como as pessoas usam as
informações que chegam até elas. E não há dúvida quanto a isso: seja um e-mail particular ou um
relatório empresarial sobre uma grande venda, nada pode escapar do ecossistema de proteção
criado para aquela pessoa."Fonte: https://medium.com/@hacklabs/o-que-é-segurança-da-
informação-8a66a6f08837 Acesso em 28/09/2020Diante do exposto, leia as afirmativas a seguir:I -
A segurança da informação é o passo inicial para que as empresas se protejam de invasões. 
II - É saudável que aplicativos que militam com informações financeiras trabalhem com
criptografia. 
III - As empresas investem apenas em hardware como políticas e processos segurança. 
IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa,
pois usarão apenas os so�wares para cuidarem disto. 
É correto o que se afirma em:
 a) I e III, apenas.
 b) II e III, apenas.
 c) I e II, apenas.
 d) I e IV, apenas.
 e) I e IV, apenas.
Alternativa marcada:
c) I e II, apenas.
Justificativa: Resposta correta: I e II, apenasI - A segurança da informação é aquele conceito por
trás da defesa dos dados. Correto, pois ele atua diretamente em prol da defesa dos dados e/ou
informações.II - É natural e saudável que esses dados sejam sigilosos, mas sempre existe o risco
de uma ou outra informação vazar. Correto, pois apesar de todo o sigilo, a empresa necessita de
um departamento de TI para tratar das políticas, dos métodos e dos processos de segurança da
informação da empresa.Distratores:III - As empresas investem apenas em hardware como
políticas e processos segurança. Errado, pois as políticas, os métodos e os processos estão
ligados para garantir a integridade da informação da empresa e para isso é preciso que haja
investimento em hardware, so�ware e capacitação profissional.IV - Ter um departamento de TI é
fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares
1,00/ 1,00
02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 5/6
para cuidarem disto.. Os so�wares utilizados cuidam disto. Errado, pois a empresa pode
terceirizar este serviço e para tratar da segurança da informação é preciso que haja investimento
em hardware, so�ware e capacitação profissional.
7  Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p.
21) “A informação é elemento essencial para todos os processos de negocio da organização,
sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se
tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a
finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se
necessária a implementação de políticas de se segurança da informação que busquem reduzir as
chances de fraudes ou perda de informações.
(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-
definicao-importancia-elaboracao-e-implementacao/)Diante da importância da informação e da
necessidade de uma política de segurança de informação,defina política de segurança da
informação.
Resposta:
A politica de segurança é um conjunto de procedimentos, regras, normas, padrões e diretrizes a
serem respeitadas e seguidos por todos os utilizadores da estrutura da empresa. O respeito ao
patrimônio e metodologia de uso de casa um incide em facilitar possíveis ataques ou fraudes,
fazendo assim a politica de segurança uma ferramenta essencial para se manter segura.
Justificativa: Expectativa de respostaPode-se definir a política de segurança como um
documento que estabelece princípios, valores, compromissos, requisitos, orientações e
responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção
para as informações. Ela é basicamente um manual de procedimentos que descreve como os
recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança
da informação.
2,00/ 2,00
8  Código: 32281 - Enunciado: "A auditoria, atuando de forma independente e sistemática na
organização, deve focar sua atividade prioritariamente na avaliação dos processos de
governança, gestão de riscos e controle e, de forma complementar, na avaliação das principais
atividades, processos e produtos da organização, especialmente aqueles considerados vitais
para atingir os objetivos estratégicos. Com esse foco, a auditoria proporcionará relativa
segurança às partes interessadas na condução dos negócios da empresa. A auditoria de sistemas,
por sua vez, está relacionada à avaliação dos sistemas de informação e dos recursos tecnológicos
que englobam o processo de geração, guarda e disponibilização da informação."(Fonte: TERUEL,
E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas características. Centro
Paula Souza. Pós-graduação. Disponível em: http://www.portal.cps.sp.gov.br/pos-
graduacao/workshop-de-pos-graduacao-e-pesquisa/anais/2010/trabalhos/gestao-e-
desenvolvimento-de-tecnologias-da-informacao-aplicadas/trabalhos-completos/teruel-
evandro-carlos.pdf. Acesso em: 26 nov. 2019.) 
Nesse contexto, cite pelo menos três ferramentas de auditoria utilizadas em empresas de todo o
mundo.
Resposta:
.
Justificativa: Expectativa de resposta:1. Audit Command Language (ACL). 
2. Interactive Data Extraction & Analisys (IDEA). 
3. Audimation. 
4. Galileo. 
5. Pentana.
0,00/ 2,00
02/12/2021 08:27 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 6/6