Segurança da Informação e Gerenciamento

Prévia do material em texto

14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
1/6
Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual
(Cod.:668753)
Peso da Avaliação 3,00
Prova 32437962
Qtd. de Questões 12
Acertos/Erros 11/1
Nota 10,00
A política de segurança e auditoria em sistemas de informação deve descrever processos
contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação, sendo
que, em caso de algum incidente de segurança, deve prever medidas operacionais que deverão ser
executadas para a retomada do funcionamento da organização. Assinale a alternativa CORRETA que
apresenta este conjunto de medidas operacionais:
A Auditoria de Sistemas.
B Plano de Recuperação Urgente.
C Plano de Continuidade.
D Política de Recuperação.
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e
uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de
segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da
informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da
infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a
disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações
para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança
ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas: ( ) A parte de
climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do
ambiente. ( ) Em decorrência da necessidade do controle das condições ambientais e de
confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de
condicionadores do tipo compacto (self-contained) ou de central de água gelada. ( ) Sistemas de
detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente
verificados e treinados. ( ) A retirada do descarte e do transporte são fatores ambientais que devem ter
controles específicos, evitando que informações sejam acessadas indevidamente. Assinale a
alternativa que apresenta a sequência CORRETA: FONTE: http://efagundes.com/artigos/seguranca-
da-informacao/. Acesso em: 30 out. 2018.
A V - V - F - F.
B V - F - V - F.
C F - F - F - V.
D F - V - V - V.
 VOLTAR
A+
Alterar modo de visualização
1
2
14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
2/6
O interesse do ser humano em guardar informações é muito antigo, mas era feito de forma
rudimentar apenas para registro pessoal. Hoje, o valor da informação é quase imensurável para as
empresas, e todo seu ciclo deve ser controlado. Para auxiliar e obter melhor uso das informações, é
necessário o gerenciamento da informação. Esse gerenciamento é um conjunto estruturado de
atividades que reflete a forma pela qual uma organização captura, distribui e usa informação e
conhecimento. Com base no exposto, quais são as etapas do ciclo de vida da informação?
A Tratamento, identificação, obtenção, distribuição, uso, armazenamento e descarte.
B Identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, uso,
armazenamento e descarte.
C Identificação das necessidades e dos requisitos, tratamento, distribuição, armazenamento e
descarte.
D Obtenção, identificação das necessidades e dos requisitos, tratamento, distribuição, uso,
armazenamento e descarte.
Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar
se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é
conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu
sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base.
Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a
qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o
Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir: I- O Ciclo
PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total,
sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da
Informação. II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o
mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança
da informação. III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é
necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas,
dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. IV- Conforme especificado pela
ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada
pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a
criação do comitê de segurança. Assinale a alternativa CORRETA: FONTE: KIM, David.
Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
A As sentenças II e IV estão corretas.
B Somente a sentença III está correta.
C As sentenças I e IV estão corretas.
D As sentenças I, II e III estão corretas.
A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da
utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria
3
4
5
14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
3/6
através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa
CORRETA:
A Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por
ela mesma.
B A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI
em função da utilização dos mesmos.
C A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a
serem implantados.
D As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o
computador e através do computador.
No momento atual, a política de segurança da informação é adotada em grande parte das
organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política
efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de
segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é
fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido
é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre
essas formas, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Deve-se promover
treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às
mudanças. ( ) A comunicação com os funcionários pode ser feita através de avisos, palestras de
conscientização, elaboração de guias rápidos de consulta e treinamento específico. ( )
Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de
segurança. ( ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas,
sem a necessidade de revisão. Agora, assinale a alternativa que apresenta a sequência CORRETA:
A V - V - V - F.
B F - V - V - F.
C F - F - V - V.
D V - F - F - V.
Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. Apresenta uma
estrutura estratégica e operativa que ajudará a controlar uma situação de emergência e a minimizar as
suas consequências negativas. O plano de contingência propõeuma série de procedimentos
alternativos ao funcionamento normal de uma organização, sempre que alguma das suas funções
usuais se vê prejudicada por uma contingência interna ou externa. Com base na avaliação do plano de
contingência, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Os planos devem ser
específicos para cobrir apenas os aspectos lógicos, os demais aspectos não são considerados no plano
de contingência. ( ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e
sejam de fácil recuperação. ( ) Os planos de contingências são apenas teóricos, não havendo
necessidade de testes ou revisões periódicas. ( ) O acompanhamento dos procedimentos pode ser
facilitado através de relatórios de produção. Agora, assinale a alternativa que apresenta a sequência
CORRETA:
A F - V - F - V.
B V - V - V - F.
6
7
14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
4/6
C F - V - F - F.
D V - F - V - F.
A segurança da informação diz respeito à proteção de determinados dados, com a intenção de
preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Atualmente, a
informação digital é um dos principais produtos de nossa era e necessita ser convenientemente
protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os
comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que
têm o objetivo de roubar, destruir ou modificar essas informações. Com relação aos conceitos da
segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O conceito que garante
que a informação seja acessada, alterada e distribuída, por pessoas autorizadas é a comunicabilidade.
( ) Quando dizemos que uma informação não deve ser alterada ou excluída sem autorização, estamos
falando do conceito de integridade. ( ) O conceito de disponibilidade diz respeito à divulgação das
normas de segurança para todos. ( ) Toda vulnerabilidade de um sistema ou computador pode
representar possibilidades de ponto de ataque de terceiros. Assinale a alternativa que apresenta a
sequência CORRETA: FONTE: http://seguranca-da-informacao.info/. Acesso em: 28 mar. 2018.
A V - F - F - V.
B V - V - F - F.
C V - F - V - F.
D F - V - F - V.
Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança
de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e
disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para
as falsas: ( ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias
organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no
gerenciamento da segurança de TI. ( ) O plano de continuidade visa a estabelecer exclusivamente
critérios para a recuperação das atividades que envolvem os recursos tecnológicos. ( ) A auditoria nas
redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico. ( ) Entre os
principais objetivos de um sistema geral de controle interno é a manutenção da integridade das
informações. ( ) Avaliação dos controles internos em ambientes informatizados é uma atividade
decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha
conhecimento na área TI. Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - V - F.
B V - F - V - V - V.
C F - F - V - F - V.
D V - V - F - F - V.
8
9
14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
5/6
Os administradores de sistemas, analistas e programadores sempre buscam evitar que
imprevistos ocorram e que os sistemas, servidores e aplicações não tenham problemas de acesso. Para
evitar esses problemas, as organizações desenvolvem estruturas físicas e lógicas para suprir qualquer
contingência que venha a ocorrer. Alguns procedimentos devem ser realizados quando servidores,
switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos que devem ser
adotados, assinale a alternativa CORRETA:
A Manutenção periódica, backups e restauração das redes.
B Divulgação dos problemas de rede e conscientização dos funcionários.
C Treinamento dos programas incorporados e utilização de hardware.
D Servidores atualizados, substituição de equipamentos de rede.
(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a
esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é
utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento
assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III.
Assinatura digital é um método de autenticação de informação digital tipicamente tratado como
análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma
rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da
rede. É correto apenas o que se afirma em:
A II, III e IV.
B III e IV.
C I, II e III.
D I e II.
(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e
inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse
crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando,
sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual
o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos
processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é
recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de
indisponibilidade da TIC. Nessa situação, é preciso elaborar:
A Plano de negócio de gerência de riscos.
B Plano de negócio.
C Plano de negócio de gerenciamento de projetos.
10
11
12
14/04/2022 22:23 Avaliação Final (Objetiva) - Individual
6/6
D Plano de contingência.
Imprimir