APOL Segurança da Informação 4

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade 
planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover 
a devida proteção à informação, mas não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
 
Nota: 10.0 
 A A segurança da informação pode ser traduzida do 
termo security da língua inglesa, que refere-se aos sistemas 
confiáveis, construídos para reagir perante as falhas do software, 
do hardware ou dos usuários. 
 B Intrusões, ataques, perda e roubo de informações são abordados 
pela segurança da informação, tradução do termo reliability, em 
inglês. 
 C A área do conhecimento humano designada como segurança da 
informação não abrange a utilização correta da informação, desde 
que essa informação seja adequada aos propósitos específicos 
para os quais se destina. 
 D Problemas causados aos negócios, ao meio ambiente, à 
infraestrutura ou até mesmo acidentes que tenham impacto nas 
pessoas ou representem risco à vida referem-se às questões de 
segurança (em inglês, safety) abrangidos pela segurança da 
informação. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da 
Informação, Aula 1, páginas 5 e 6 da Rota de Aprendizagem (versão 
impressa). 
 E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a 
segurança da informação implica em controlar a tecnologia da 
informação para estabelecer, implementar, monitorar, analisar 
criticamente e melhorar, quando necessário, os objetivos do 
negócio. 
 
Questão 2/10 - Segurança em Sistemas de Informação 
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente 
uma quantidade incalculável de informação. Apesar da quantidade de informação ter 
passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi 
a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – 
que inaugurou a era das telecomunicações – que a quantidade de informação 
produzida, disponível e transportada ganhou tamanha proporção. 
Avalie as afirmações sobre os conceitos de informação a seguir: 
I – A informação é restrita a um conjunto de nomes, números, imagens e sons. 
II – No mundo moderno a informação somente pode existir com o uso da tecnologia. 
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, 
com base na separação entre a informação e os dados. 
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo 
qual possam manter sua utilidade e seu valor. 
V – Os dados são os resultados da análise ou processamento que, mediante 
processos e regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos. 
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: 
 
Nota: 10.0 
 A Somente as afirmações I e II estão corretas. 
 B Somente as afirmações II e IV estão corretas. 
 C Somente as afirmações III e IV estão corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da 
Informação, Aula 1, páginas 3 e 4 da Rota de Aprendizagem (versão 
impressa). 
 D Todas as afirmações são corretas. 
 E Nenhuma das afirmações é correta. 
 
Questão 3/10 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a 
que adota os mecanismos de segurança desde o início do processo de 
desenvolvimento do software. O quão mais cedo neste processo se pensar em riscos, 
ameaças e formas de proteger a informação, mais efetivas e abrangentes tornam-se 
as medidas, além de aumentarem as opções quanto à estratégias e mecanismos de 
segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis 
para o processo de desenvolvimento e a redução do custo para a implementação da 
segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as 
seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de 
teste de software, os quais são geralmente enfatizados pelas organizações devido à 
sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das 
questões de segurança do software é uma prática comum, o que tem elevado 
continuamente o padrão de segurança da informação e dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de 
faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação tornam-
se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, 
contemplando a segurança do software, a segurança do ambiente de desenvolvimento 
e a garantia de segurança do software desenvolvido é estabelecido pela norma 
ISO/IEC 15.408. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
 
Nota: 10.0 
 A Somente as afirmações I, II e III são corretas. 
 B Somente as afirmações I, II e IV são corretas. 
 C Somente as afirmações II, III e IV são corretas. 
 D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da 
Informação, Aula 2, páginas de 17 a 20 da Rota de Aprendizagem 
(versão impressa). 
 E Todas as afirmações são corretas. 
 
Questão 4/10 - Segurança em Sistemas de Informação 
Marcos regulatórios são leis e acordos internacionais que governam e servem de base 
para a definição e a aplicação das práticas de segurança da informação e de sistemas. 
Isso também implica em um aspecto de grande importância: a legalidade dessas 
medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo 
a considerar a legalidade como um dos pilares da segurança da informação e dos 
sistemas. 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se 
considerar que: 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, 
é uma lei voltada para as finanças, decorrente de problemas financeiros causados à 
economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum 
impacto na segurança da informação e dos sistemas. 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de 
Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para 
a proteção das informações de usuários de planos de saúde nos Estados Unidos, sem 
impacto nos demais países. 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para 
Relatórios Financeiros) é um conjunto de recomendações do IASB (International 
Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que 
estabelece padrões para o tratamento e publicação de informações financeiras e 
contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do 
mercado financeiro. 
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-
regulamentação dos bancos centrais de diversos países, e estabelecem princípios de 
governança, transparência e auditoria, com impacto direto na segurança da 
informação e de sistemas. 
Assinale a única alternativa que confere com o material e com o que foi apresentado 
na aula: 
 
Nota: 0.0 
 A Somente as afirmações I e III são corretas. 
 B Somente as afirmações II e IV são corretas. 
 C Somente as afirmações III e IV são corretas. 
 
Conteúdo apresentado no tema A Organização da Segurança da 
Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão 
impressa). 
 D Somente as afirmações I e IV são corretas. 
 E Todas as afirmações são corretas. 
 
Questão 5/10 - Segurança em Sistemas de Informação 
A legislação brasileira aplicada à área de segurança da informação tem como base a 
Constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do 
assunto em seus incisos, de maneira ampla e geral.Já a legislação específica tem 
sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a 
aplicação de regulamentos legais ao uso da Internet. 
Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, 
foi aprovada em tempo recorde a seguinte legislação: 
 
Nota: 10.0 
 A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil 
(Infraestrutura de Chaves Públicas), iniciando o uso da 
certificação digital e assinatura eletrônica de documentos. 
 B MP 2.026-7, que instituiu a modalidade de compras por meio de 
pregão eletrônico. 
 C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a 
proteção de propriedade intelectual de programa de computador, 
sua comercialização no país, etc. 
 D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido 
ao vazamento de fotos íntimas da atriz de mesmo nome na 
internet. 
 
Você acertou! 
Conteúdo apresentado em tema da aula "A Organização da Segurança 
da Informação", Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem 
(versão impressa). 
 E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece 
princípios, garantias, direitos e deveres para o uso da Internet no 
Brasil. 
 
Questão 6/10 - Segurança em Sistemas de Informação 
Embora tenhamos evoluído consideravelmente em métricas, metodologias e formas 
de gerenciamento na área de TI, a mesma ainda é vista como uma caixa preta, em 
especial no que tange à demonstração de resultados. 
Com isto, temos uma imagem muitas vezes distorcida das equipes de TI dentro das 
organizações. 
Quais das afirmativas abaixo são (V) verdadeiras ou (F) falsas em relação aos 
problemas levantados pelos usuários da TI? 
 
I Provisão de serviços inadequada 
II Gastos excessivos com infraestrutura 
III Entrega de projetos com atrasos e acima do orçamento 
IV Falta de comunicação e entendimento 
Assinale a Alternativa com a sequência CORRETA 
Nota: 10.0 
 A V,F,F,V 
 B V,V,F,F 
 C V,V,V,V 
Você acertou! 
Todos os itens correspondem aos principais problemas 
encontrados dentro das reclamações dos usuários 
AULA 3 - SLIDE 7-8 
 D V,V,F,V 
 E F,F,F,F 
 
Questão 7/10 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da 
informação – para que possa ser empregada adequadamente pelos processos da 
organização. Tais ativos estão expostos a falhas de segurança da informação, 
possuindo pontos fracos que podem vir a ser explorados ou apresentarem 
comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem 
ser explorados ou apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da 
informação, seja pelo seu uso intenso, por se tratar de uma nova tecnologia cuja 
efetividade na segurança da informação ainda não foi comprovada, seja por haver 
interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma 
combinação entre ameaças, vulnerabilidades e ativos da informação ou da tecnologia 
da informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode 
ser dispendido em recursos financeiros para a proteção dos ativos e redução das 
ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de 
forma sequencial e executadas de maneira cíclica, com base no modelo PDCA para 
auxiliar na tomada de decisão, e são elaboradas à partir de uma matriz PxI – 
Probabilidade x Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi 
apresentado na aula: 
 
Nota: 10.0 
 A Somente as afirmações I e III são corretas. 
 B Somente as afirmações II e IV são corretas. 
 C Somente as afirmações III e IV são corretas. 
 D Somente as afirmações IV e V são incorretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da 
Informação, Aula 1, páginas de 9 a 13 da Rota de Aprendizagem 
(versão impressa). 
 E Todas as afirmações são corretas. 
 
Questão 8/10 - Segurança em Sistemas de Informação 
A norma ABNT NBR ISO/IEC 27002:2013 define informação como sendo um ativo – 
isto é, bem, patrimônio – da organização, de grande importância e valor, e que por 
isso necessita de proteção adequada. Para isso, deve-se considerar a informação em 
suas diversas formas e nos diversos meios utilizados para obter, armazenar, 
transportar e modificar a informação. 
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da 
informação: 
( ) O valor da informação é restrito ao que se pode representar com palavras escritas, 
números e imagens. 
( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da 
informação. 
( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm 
valor para o negócio da organização, necessitando, portanto, de proteção. 
( ) A necessidade de classificar a informação decorre da existência de uma grande 
diversidade de informações no ambiente pessoal e no ambiente corporativo, o que 
torna inviável a proteção total de todas essas informações. 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na 
disciplina: 
 
Nota: 10.0 
 A V-F-F-V 
 B F-V-V-F 
 C F-V-F-V 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da 
Informação, Aula 1, página 4 da Rota de Aprendizagem (versão 
impressa). 
 D F-V-V-V 
 E V-V-V-F 
 
Questão 9/10 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL 
e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e 
colocadas em prática, colaboraram para atingir as metas de segurança da informação 
e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
 
Nota: 10.0 
 A O ITIL é um padrão para o gerenciamento de serviços e 
infraestrutura de TI e por isso auxilia na identificação de 
vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da 
Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão 
impressa). 
 B O COBIT tem por objetivo ajudar a conhecer e administrar os 
serviços e ativos de TI e por isso é importante para classificar os 
riscos. 
 C O ITIL é fundamental para a gestão dos processos de TI, isto é, 
do conjunto de serviços que a área de TI fornece, porém não tem 
qualquer influência na segurança da informação. 
 D As normas ISO são destinadas apenas à certificação e por isso 
empregadas apenas em organizações globais. 
 E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a 
elaboração da Política de Segurança da Informação de grandes 
organizações. 
 
Questão 10/10 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL 
e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e 
colocadas em prática, colaboraram para atingir as metas de segurança da informação 
e de sistemas. 
Com relação a esses referenciais, pode-se afirmar que: 
 
Nota: 10.0 
 A O COBIT é um padrão para o gerenciamento de serviços e 
infraestrutura de TI e, portanto, não auxilia na identificação de 
vulnerabilidades. 
 B O ITIL tem por objetivo ajudar a conhecer e administrar os 
serviços e ativos de TI. Entretanto, por não incorporar qualquer 
atividade voltada para a análise e gestão de riscos, não serve 
para identificar e classificar os riscos. 
 C O ITIL é fundamental para a gestão dos processos de TI, isto é, 
do conjunto de serviçosque a área de TI fornece, porém não tem 
qualquer influência na segurança da informação. 
 D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a 
elaboração da Política de Segurança da Informação de grandes 
organizações. 
 E As normas ISO são importantes referenciais para a segurança da 
informação e dos sistemas, e também são guias e modelos que 
possibilitam a avaliação e a certificação de empresa, processos e 
profissionais quanto à segurança da informação. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da 
Informação, Aula 2, páginas 14 a 16 da Rota de Aprendizagem (versão 
impressa).