Baixe o app para aproveitar ainda mais
Prévia do material em texto
02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 1/6 Local: Sala 134 - Térreo - Sala de Aula / Andar / Polo Freguesia / POLO FREGUESIA/JACAREPAGUÁ - RJ Acadêmico: EAD-IL10317-20214A Aluno: ANDRE LUIZ DE AZEVEDO SANT ANNA Avaliação: A2- Matrícula: 20204300120 Data: 25 de Novembro de 2021 - 08:00 Finalizado Correto Incorreto Anulada Discursiva Objetiva Total: 7,00/10,00 1 Código: 31844 - Enunciado: “ISO/IEC 17799/2007-27002 É uma norma de segurança da informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece princípios para a gestão de segurança da informação de uma organização e também pode servir como um guia prático de desenvolvimento de procedimentos para empresas.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso em: 30 out. 2018.) Identifique as principais seções: Avaliação de risco. Política de segurança. Organização da segurança da informação. Gerência de recursos. Segurança dos recursos humanos. a) II, III, IV e V. b) I, II, IV e V. c) III, IV e V. d) I, II, III, IV e V. e) I, II, III e IV. Alternativa marcada: d) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Avaliação de risco. Correta. É preciso mensurar os problemas que podem acontecer.Política de segurança. Correta. É preciso que a empresa esteja já com plano estratégico para contingência de invasão.Organização da segurança da informação. Correta. É preciso que haja todo um planejamento para a política de segurança da informação.Gerência de recursos. Correta. A empresa precisa ter em seu orçamento o investimento necessário em tecnologia.Segurança dos recursos humanos. Correta. Os funcionários precisam estar cientes de como funciona a política de segurança de sua empresa, evitando, assim, acessos indevidos. 1,00/ 1,00 2 Código: 31846 - Enunciado: A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria- seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois asssegura uma saída para esta questão. Identifique quais afirmativas a seguir são verdadeiras:I. Coordenar recursos compartilhados de forma descentralizada (sem controle centralizado).II. Menor invetismento em Segurança da Informação.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta.IV. Menor uso de Tecnologias.V. Proporcionar qualidades de serviços não triviais. a) I, IV e V apenas. b) II, III e V apenas. c) III, IV e V apenas. d) II, III e IV apenas. e) I, III e V apenas. 0,00/ 1,00 02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 2/6 Alternativa marcada: b) II, III e V apenas. Justificativa: GabaritoI, III e V apenas.I. Coordenar recursos compartilhados de forma descentralizada (sem controle centralizado). Correto, pois a descentralização permitirá qu eos serviços fluam com maior velocidade.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta. Correto, pois isto permitirá uma maior ampliação nos processos de segurançã e com a devida padronização.V. Proporcionar qualidades de serviços não triviais. Correto, pois estamos diante de um cenário inovador, que demanda soluções não triviais. Distrator:II. Menor invetismento em Segurança da Informação. Errado, pois ainda mais em ambiente virtualizado que há a necessidade de investomentos em segurança da informação.IV. Menor uso de Tecnologias. Errado, pois esta demanda acarreta na contratação de novas tendências tecnológicas para atender a inovação. 3 Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema.” (Fonte: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança da informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que venha a comprometer qualquer um desses princípios estará atentando contra a sua segurança.Identifique quais são esses três princípios básicos: a) Confidencialidade, integridade, robustez. b) Confidencialidade, volatilidade, robustez. c) Integridade, disponibilidade, robustez. d) Integridade, disponibilidade, volatilidade. e) Integridade, confidencialidade, disponibilidade. Alternativa marcada: e) Integridade, confidencialidade, disponibilidade. Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas (NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou a pessoa física. Um exemplo simples seria o furto do número e da senha do cartão de crédito ou dos dados da conta bancária de uma pessoa; a integridade é a garantia da exatidão e completude da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente” (DANTAS, 2011, p. 11). Quando a informação é alterada, falsificada ou furtada, ocorre a quebra da integridade. A integridade é garantida quando se mantém a informação no seu formato original; a disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO/IEC 27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou seja, não intencionais, configuram quebra de disponibilidade. Distratores:Confidencialidade, volatilidade, robustez. Incorreta. Volatilidade é uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro e robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade, 1,00/ 1,00 02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 3/6 disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade,disponibilidade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. 4 Código: 31845 - Enunciado: “A ISO 27001 não termina com a implementação de várias salvaguardas, seus autores entenderam perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não fizerem algo a respeito. Por exemplo, você pode propor uma nova política para a proteção de documentos confidenciais, mas, se a alta administração não impuser tal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua organização.”(Fonte: <https://advisera.com/27001academy/pt-br/knowledgebase/a- logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/>. Acesso em: 30 out. 2018.) Indique o que a alta administração deve fazer de acordo com a ISO 27001: Definir suas expectativas de negócio (objetivos) para a segurança da informação. Publicar uma política sobre como controlar se esses objetivos são atingidos. Designar as principais responsabilidades para a segurança da informação. Prover apenas recursos financeiros suficientes, sendo responsabilidade dos colaboradores a promoção dos recursos humanos. Revisar no início do processo se todas as expectativas foram realmente atingidas. a) I e V. b) I, II e III. c) II, III, IV e V. d) I, II, III e V. e) I, II, III, IV e V. Alternativa marcada: b) I, II e III. Justificativa: Resposta correta: I, II e III.Definir suas expectativas de negócio (objetivos) para a segurança da informação. Correta. Esse planejamento permitirá que haja uma forte segurança nas informações da empresa.Publicar uma política sobre como controlar se estes objetivos são atingidos. Correta. Apesar de parecer que não são atingíveis, é preciso que haja um resguardo sobre eles. Designar as principais responsabilidades para a segurança da informação. Correta. As políticas estabelecidas é que serão responsáveis por resguardar as informações. Distratores:Prover apenas recursos financeiros suficientes, sendo responsabilidade dos colaboradores a promoção dos recursos humanos. Incorreta. Deve promover recursos humanos e financeiros, uma vez que a tecnologia a ser utilizada precisa ser de ponta e isso demanda investimento.Revisar no início do processo se todas as expectativas foram realmente atingidas. Incorreta. Essa revisão deve ser regular, a fim de verificar se houve alguma falha. 1,00/ 1,00 5 Código: 40523 - Enunciado: "A senha é a forma mais convencional de identificação e acesso do usuário. Se um terceiro tem acesso a sua senha, ele poderá utilizá-la ilegalmente ou para se passar por você."Fonte: http://seguranca-da-informacao.info/politicas-de-seguranca.html. Acesso em 07 de jan. de 2020.Em determinadas corporações, pode existir a chamada 'política de senhas', que possuem algumas regras. Identifique quais afirmativas são válidas em relação a essas regras:I - Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período.II - Proibir a repetição de caracteres.III - 1,00/ 1,00 02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 4/6 Obrigar a inserção de quantidade de letras e números. IV - Criar uma lista de senhas que não podem ser utilizadas.V - Uso do nome como parte da senha. É correto o que se afirma em: a) I, III, IV, apenas. b) IV e V, apenas. c) I, II, III e IV, apenas. d) III, IV e V, apenas. e) Somente a I. Alternativa marcada: c) I, II, III e IV, apenas. Justificativa: Resposta correta: I, II, III e IV, apenas.Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período. Correto, pois com a validade em prática o usuário se habilitará a um processo de renovação que trará maior segurança.Proibir a repetição de caracteres. Correto, pois isto dificultará o entendimento da senha.Obrigar a inserção de quantidade de letras e números. Correto, pois quanto maior a senha melhor o nível de dificuldade.Criar uma lista de senhas que não podem ser utilizadas. Correto, pois se este arquivo for acesso pelo hacker irá criar uma grande confusão e tirar o foco dele de uma busca mais direcionada. Distrator:Uso do nome como parte da senha. Errado, pois como é fácil o acesso ao nome da pessoa que está recebendo a invasão, esta nunca deve fazer parte da construção da senha, pois facilitará saber qual é o valor da senha. 6 Código: 32266 - Enunciado: "A segurança da informação diz respeito a como as pessoas usam as informações que chegam até elas. E não há dúvida quanto a isso: seja um e-mail particular ou um relatório empresarial sobre uma grande venda, nada pode escapar do ecossistema de proteção criado para aquela pessoa."Fonte: https://medium.com/@hacklabs/o-que-é-segurança-da- informação-8a66a6f08837 Acesso em 28/09/2020Diante do exposto, leia as afirmativas a seguir:I - A segurança da informação é o passo inicial para que as empresas se protejam de invasões. II - É saudável que aplicativos que militam com informações financeiras trabalhem com criptografia. III - As empresas investem apenas em hardware como políticas e processos segurança. IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares para cuidarem disto. É correto o que se afirma em: a) I e III, apenas. b) II e III, apenas. c) I e II, apenas. d) I e IV, apenas. e) I e IV, apenas. Alternativa marcada: c) I e II, apenas. Justificativa: Resposta correta: I e II, apenasI - A segurança da informação é aquele conceito por trás da defesa dos dados. Correto, pois ele atua diretamente em prol da defesa dos dados e/ou informações.II - É natural e saudável que esses dados sejam sigilosos, mas sempre existe o risco de uma ou outra informação vazar. Correto, pois apesar de todo o sigilo, a empresa necessita de um departamento de TI para tratar das políticas, dos métodos e dos processos de segurança da informação da empresa.Distratores:III - As empresas investem apenas em hardware como políticas e processos segurança. Errado, pois as políticas, os métodos e os processos estão ligados para garantir a integridade da informação da empresa e para isso é preciso que haja investimento em hardware, so�ware e capacitação profissional.IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares 1,00/ 1,00 02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 5/6 para cuidarem disto.. Os so�wares utilizados cuidam disto. Errado, pois a empresa pode terceirizar este serviço e para tratar da segurança da informação é preciso que haja investimento em hardware, so�ware e capacitação profissional. 7 Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos de negocio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações. (Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao- definicao-importancia-elaboracao-e-implementacao/)Diante da importância da informação e da necessidade de uma política de segurança de informação,defina política de segurança da informação. Resposta: A politica de segurança é um conjunto de procedimentos, regras, normas, padrões e diretrizes a serem respeitadas e seguidos por todos os utilizadores da estrutura da empresa. O respeito ao patrimônio e metodologia de uso de casa um incide em facilitar possíveis ataques ou fraudes, fazendo assim a politica de segurança uma ferramenta essencial para se manter segura. Justificativa: Expectativa de respostaPode-se definir a política de segurança como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação. 2,00/ 2,00 8 Código: 32281 - Enunciado: "A auditoria, atuando de forma independente e sistemática na organização, deve focar sua atividade prioritariamente na avaliação dos processos de governança, gestão de riscos e controle e, de forma complementar, na avaliação das principais atividades, processos e produtos da organização, especialmente aqueles considerados vitais para atingir os objetivos estratégicos. Com esse foco, a auditoria proporcionará relativa segurança às partes interessadas na condução dos negócios da empresa. A auditoria de sistemas, por sua vez, está relacionada à avaliação dos sistemas de informação e dos recursos tecnológicos que englobam o processo de geração, guarda e disponibilização da informação."(Fonte: TERUEL, E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas características. Centro Paula Souza. Pós-graduação. Disponível em: http://www.portal.cps.sp.gov.br/pos- graduacao/workshop-de-pos-graduacao-e-pesquisa/anais/2010/trabalhos/gestao-e- desenvolvimento-de-tecnologias-da-informacao-aplicadas/trabalhos-completos/teruel- evandro-carlos.pdf. Acesso em: 26 nov. 2019.) Nesse contexto, cite pelo menos três ferramentas de auditoria utilizadas em empresas de todo o mundo. Resposta: . Justificativa: Expectativa de resposta:1. Audit Command Language (ACL). 2. Interactive Data Extraction & Analisys (IDEA). 3. Audimation. 4. Galileo. 5. Pentana. 0,00/ 2,00 02/12/2021 08:27 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6751116/635bad4a-1b32-11eb-b7ab-0636bf709961/ 6/6
Compartilhar