Baixe o app para aproveitar ainda mais
Prévia do material em texto
● Pergunta 1 O framework COBIT parte da premissa de que não se pode gerenciar o que não se mede. Assim, ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. Considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio. Dentre as principais características do COBIT relacionadas a seguir, assinale a alternativa que apresenta características dele. ● Direcionado a controles. ● Foco em serviço. ● Foco em negócio. ● Orientação em controles. ● Base em métricas. Resposta Selecionada: I, III, IV, V.. Resposta Correta: I, III, IV, V.. Comentário da resposta: Resposta correta. O COBIT é focado no negócio, preocupa-se com requisitos regulatórios, orientado a processos, direcionado por métricas e baseado em controles. Tem como objetivo principal a governança de TI, aplicando práticas de controle da informação, planejamento e monitoramento de resultados. ● Pergunta 2 ● 1 em 1 pontos ● O COBIT (Control Objectives for Information and related Technology) tem como objetivo a governança de TI, através da aplicação de práticas de controle da informação, planejando e monitorando resultados. Porém, serve para dar atenção ao foco do negócio ao invés de simplesmente verificar os serviços de TI. Assinale a alternativa que apresenta seus benefícios: Resposta Selecionada: Aumenta a eficiência da Tecnologia da Informação, melhora a segurança da informação e cria uma linguagem comum. Resposta Correta: Aumenta a eficiência da Tecnologia da Informação, melhora a segurança da informação e cria uma linguagem comum. Comentário da resposta: Resposta correta. O COBIT ajuda as empresas a desenvolver, organizar e implementar estratégias no que diz respeito ao gerenciamento de informações e governança. Aumenta a eficiência da tecnologia da informação, melhora a segurança da informação e, otimiza investimentos em TI. ● Pergunta 3 ● 0 em 1 pontos ● O malware, programa criado com o intuito de executar ações que causem danos e atividades maliciosas em um computador é capaz de propagar-se sozinho, agindo sobre vulnerabilidades ou falhas existentes na configuração de programas instalados e, que pode ser controlado por acesso remoto pelo hacker é denominado: Assinale a alternativa correta. Resposta Selecionada: Trojan Resposta Correta: Spyware Comentário da resposta: Sua resposta está incorreta. Pois somente o spyware tem a característica de passar as informações a terceiros sem que o usuário saiba, bem como propagar-se sozinho. O vírus faz a propagação inserindo cópias dele mesmo e acaba se tornando parte de outros programas ou arquivos. O Trojan além de implementar funções para as quais foi desenvolvido, também executa outras funções sem o conhecimento do usuário. Sniffers inspecionam os dados trafegados em redes de computadores e verme (worm), trata-se de um programa independente que se propaga ou é ativado em sistemas atacados procurando novos sistemas acessíveis para atacar. ● Pergunta 4 ● 1 em 1 pontos ● Um tipo de ataque a uma aplicação Web com base na inclusão de código malicioso no servidor, neste exemplo, as requisições realizadas pelos usuários são respondidas utilizando dados não confiáveis. Dentre alguns exemplos de consequências desse tipo de ataque podem ocorrer: o direcionamento do usuário a um site malicioso; roubo da sessão de usuário, entre outros. Diante disso, assinale a alternativa correspondente à vulnerabilidade em questão. Resposta Selecionada: Cross-Site Scripting. Resposta Correta: Cross-Site Scripting. Comentário da resposta: Resposta correta. A alternativa está correta, pois através deste tipo de ataque são injetados códigos em um campo de texto de uma página existente e, este será apresentado a outros usuários. Este script é utilizado para escapar de controles de acesso que utilizem uma política de mesma origem e são capazes de sequestrar os dados de acesso de usuários e administradores. ● Pergunta 5 ● 1 em 1 pontos ● A política de segurança da informação deve ser conhecida por todos dentro da organização. Um ótimo preparo para que os colaboradores estejam informados dos padrões, critérios e instruções operacionais da política de segurança da informação, não deixa de ser necessário a divulgação através de: Assinale a alternativa correta no que diz respeito à divulgação. Resposta Selecionada: Avisos através de e-mail, páginas de intranet e cartazes. Resposta Correta: Avisos através de e-mail, páginas de intranet e cartazes. Comentário da resposta: Resposta correta. A organização deve realizar os avisos através de e-mail, páginas da intranet e cartazes espalhados, apresentando a importância em manter um ambiente seguro, justificando o porquê de os funcionários terem que seguir e conhecer a política de segurança existente na organização. ● Pergunta 6 ● 1 em 1 pontos ● Algo muito importante para o sistema de gestão de segurança da informação é que seja realizado o monitoramento e análise crítica deste. Desta forma, há um acompanhamento de resultados, implantação de controles e uma análise para que ocorra sempre a melhoria contínua referente ao processo de gestão de riscos. Diante desse monitoramento e análise, a empresa deve: Resposta Selecionada: realizar fases de correções no SGSI, sem identificar novamente possíveis novos riscos. Resposta Correta: realizar fases de correções no SGSI, sem identificar novamente possíveis novos riscos. Comentário da resposta: Resposta correta. A alternativa está correta, pois um SGSI deve identificar os riscos de um sistema, analisá-los e avaliá-los, bem como definir contextos, implementar controles, ações de revisão e, diante dos resultados, identificar e avaliar opções para tratamento desses riscos, incluindo a reaplicação do processo de gestão de riscos de segurança da informação. ● Pergunta 7 ● 1 em 1 pontos ● A gerência de riscos faz a avaliação dos riscos da empresa, esta avaliação tem a finalidade de identificar ameaças e vulnerabilidades em seus ativos. Permite que sejam identificados riscos e que sejam determinadas ações para que o risco seja aceitável para a organização. Esta avaliação de riscos deve ser: Resposta Selecionada: quantitativa e qualitativa. Resposta Correta: quantitativa e qualitativa. Comentário da resposta: Resposta correta. A avaliação deve ser feita de modo qualitativo, fazendo a qualificação dos riscos e quantitativo em relação a quantidade de riscos existentes. Dentro da avaliação de riscos são considerados o valor estratégico do processo, o nível de criticidade dos ativos, as ocorrências de eventos de segurança, o valor que existe no ativo para o processo e a probabilidade de que ocorram outros eventos. ● Pergunta 8 ● 0 em 1 pontos ● Programas de segurança da informação possuem uma série de benefícios para as empresas que os adotam, entre eles a redução de custos, pois evita problemas de segurança e se controla melhor caso ocorra um incidente. Programas de segurança da informação fornecem estrutura para que a organização tenha um nível de segurança desejado, avalia os riscos que podem ser enfrentados, abordando de que forma serão mitigados e realiza o planejamento para que a política e suas práticas atualizadas sejam mantidas. A partir do que foi apresentado, analise as afirmativas a seguir: I. Garantia de proteção de ativos da empresa. II. Identificação e correção de falhas e vulnerabilidades. III. Gera credibilidade e melhora a imagem da empresa frente aos usuários e parceiros. IV. Gera agilidade nos processos. Está correto o que se afirma em: Resposta Selecionada: I, II, III e IV apenas. Resposta Correta: I e II apenas. Comentário da resposta: Sua resposta está incorreta. Pois programas de segurança da informação (softwares) não geram credibilidade e nem melhoram a imagem da empresa frente aos usuários e parceiros, o que gera essa credibilidade é uma boa política de segurança da informação implementada e também não gera agilidade nos processos. ● Pergunta 9 ● 1 em 1pontos ● Quando pensamos em um sistema de gestão da segurança da informação, devem ser consideradas políticas que dizem respeito à supervisão e à gestão na empresa, onde se tenha a finalidade de concretizar os objetivos da empresa, bem como priorizar as regras para utilização de recursos tecnológicos.. Assinale a alternativa que constam atribuições decorrentes de uma política de segurança: Resposta Selecionada: especificar instrumentos e métodos a serem utilizados na gestão, para planejar, adotar, supervisionar, implementar, buscando segurança da informação melhorando tarefas e atividades. Resposta Correta: especificar instrumentos e métodos a serem utilizados na gestão, para planejar, adotar, supervisionar, implementar, buscando segurança da informação melhorando tarefas e atividades. Comentário da resposta: Resposta correta. A alternativa está correta, pois a política de segurança da informação da empresa, que deve ter conceitos de segurança da informação, uma estrutura que estabeleça objetivos e as maneiras de controle, o comprometimento da direção com a política, entre tantos outros fatores. ● Pergunta 10 ● 1 em 1 pontos ● A TI da empresa ficou responsável por entregar um sistema de Controle de Ponto em 10/01/2020, este depende dos requisitos que serão coletados no RH, ou seja, Recursos Humanos. Diante de grande volume de trabalho, o departamento de RH pode ou não ter número de pessoas suficientes que possam fornecer as informações para o desenvolvimento do sistema. Dúvidas relacionadas ao fornecimento de informações mostram que, o departamento de RH pode não conceder informações necessárias em tempo hábil para o desenvolvimento e entrega do sistema. Em uma declaração de riscos deve constar, o evento de risco, causas e impactos nos objetivos. Assim, é correto afirmar que, a partir da situação apresentada o evento de risco é: Resposta Selecionada: RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema. Resposta Correta: RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema. Comentário da resposta: Resposta correta. A alternativa está correta, pois é correto afirmar este evento de risco, pois devem ser apresentados os eventos de riscos que podem influenciar na data da entrega do projeto para que os gestores tomem decisões corretas, o que significa que o RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema.
Compartilhar