2201-SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 2/7
c.
d. 
Comentário
da
resposta:
O trecho está usando termos em inglês, enquanto a política deve
ser escrita toda em português
O trecho apresenta ambiguidades
Alternativa B. O trecho está fazendo uso de termos técnicos. Uma
política de segurança da informação deve ser acessível a todos os
membros da organização e o uso de termos técnicos não contribui
para essa prática.
Pergunta 2
Resposta Selecionada: c. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
Os riscos podem ser classificados de acordo com suas características e origem.
Qual das alternativas abaixo NÃO representa uma classificação de risco?
Risco virtual
Risco humano
Risco tecnológico
Risco virtual
Risco de imagem
Alternativa C. Risco virtual. Os riscos normalmente são
classificados em: risco de negócio, risco humano, risco tecnológico,
risco de imagem e risco legal.
Pergunta 3
Resposta
Selecionada:
c.
Respostas: a. 
b.
Pedro trabalha no setor de TI da empresa ZYZ e está bastante descontente com
seu trabalho e seu relacionamento com o superior hierárquico. Ciente deste fato, o
superior iniciou procedimentos para o desligamento do Pedro da empresa, mas
teme que Pedro possa se rebelar e causar danos à organização, principalmente
pelo fato de ele trabalhar no setor de TI. Com relação às boas práticas de
segurança da informação, o que é recomendado neste caso em relação aos
direitos de acesso de Pedro?
Os direitos de acesso de Pedro devem ser revogados antes
mesmo de sua saída, para garantir que ele não gere danos à
organização por algum motivo indevido.
Pedro não pode ser demitido.
O superior hierárquico de Pedro deve conversar com ele e pedir
colaboração no processo de saída.
1 em 1 pontos
1 em 1 pontos
30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 3/7
c.
d. 
Comentário
da
resposta:
Os direitos de acesso de Pedro devem ser revogados antes
mesmo de sua saída, para garantir que ele não gere danos à
organização por algum motivo indevido.
Pedro deve ser transferido de setor, não atuando mais na TI.
Alternativa C. Os direitos de acesso de Pedro devem ser
revogados antes mesmo de sua saída, para garantir que ele não
gere danos à organização por algum motivo indevido. É importante
ressaltar que, em função de como ocorreu o desligamento, os
privilégios e direitos de acesso devem ser alterados antes do
efetivo encerramento das atividades. Por exemplo, no caso de uma
demissão por parte da empresa, em função de descontentamento
de atividades de um colaborador, a reação deste pode ser drástica.
Logo, com razoabilidade e proporcionalidade, a empresa pode
tomar medidas que contingenciem qualquer atitude que tenha o
objetivo de prejudicá-la.
Pergunta 4
Resposta Selecionada: d. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
Qual nome é dado a um conjunto de operações que são executadas em uma
forma de "tudo ou nada". Isto é, se alguma das operações do conjunto falhar, as
demais não serão efetivadas, garantindo a integridade da informação.
Transação.
Evento.
Falha.
Processamento interno.
Transação.
Alternativa correta d. Transação. Uma transação é um conjunto de
operações realizadas por um sistema que é executado em uma
abordagem "tudo ou nada", isto é, se todas as operações de uma
transação são executadas com sucesso, a transação é concluída e
persistida nas bases e dados. Porém, se alguma das operações de
uma transação apresenta um erro de processamento, toda a
transação é desfeita e o sistema volta para um estado anterior
íntegro.
Pergunta 5
O setor de suporte da empresa recebeu um chamado relatando um erro no
software. O analista de suporte ao tratar o chamado acessou o código-fonte do
sistema e começou a analisar o código-fonte, para investigar eventuais
1 em 1 pontos
0 em 1 pontos
30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 4/7
Resposta
Selecionada:
a.
Respostas: a.
b.
c.
d.
Comentário
da
resposta:
inconsistências. Porém, este analista não é ligado à área de T.I. e de
desenvolvimento de software. Com relação à gestão de segurança da informação,
essa permissão está:
Correta, pois o analista está sendo proativo e tenta auxiliar a
equipe de T.I. a buscar a causa raiz do problema que está gerando
o incidente.
Correta, pois o analista está sendo proativo e tenta auxiliar a
equipe de T.I. a buscar a causa raiz do problema que está gerando
o incidente.
Correta, pois diante de um incidente a organização tem que
investigar a real ocorrência, não importando quem faça essa
investigação.
Incorreta, pois não é responsabilidade do analista fazer essa
tarefa.
Incorreta, pois essa ação vai contra o preceituado na norma de
que o pessoal de suporte não tenha acesso ao código-fonte dos
sistemas.
Alternativa correta d. Incorreta, pois essa ação vai contra o
preceituado na norma que o pessoal de suporte não tenha acesso
ao código-fonte dos sistemas. O acesso ao código-fonte dos
sistemas deve ser restrito, com o objetivo de prevenir a introdução
de funcionalidades não autorizadas e mudanças não intencionais.
O ideal é possuir uma biblioteca central de código-fonte e o que for
sensível ao negócio fique por meio de bibliotecas compiladas, das
quais não é possível interpretar o código.
Pergunta 6
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
Qual é a fase do processo de gestão de recursos humanos que busca assegurar
que colaboradores, fornecedores e terceiros tenham pleno conhecimento acerca
de seus papéis e responsabilidades?
Antes da contratação.
Antes da contratação.
Durante a contratação.
Encerramento da contratação.
Em todas as fases do processo.
1 em 1 pontos
30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 5/7
Comentário
da
resposta:
Alternativa A. Antes da contratação. Nesta fase, a norma nos
informa da importância de assegurar que os funcionários,
fornecedores e terceiros tenham plena compreensão acerca de
seus papéis e responsabilidades. Desse modo, uma recomendação
é a de que na descrição dos cargos, a qual descreve o rol de
atividades, sejam explícitas as suas responsabilidades sobre a
segurança da informação, assim como nos termos e condições de
contratação, normalmente apresentados no contrato celebrado
entre a organização e o novo colaborador. 
Pergunta 7
Resposta
Selecionada:
a.
Respostas: a.
b. 
c.
d. 
Comentário
da
resposta:
Sua empresa está diante de alguns incidentes:
- um usuário não está conseguindo salvar um arquivo na extensão .XLS
- a rede de computadores foi invadida
- uma pessoa fingiu ser um funcionário da empresa para coletar informações
sigilosas
- há uma falha no alarme de incêndio próximo às portas de emergência.
Qual dos incidentes acima NÃO representa um incidente de segurança da
informação?
O usuário que não consegue salvar o arquivo no formato .XLS
O usuário que não consegue salvar o arquivo no formato .XLS
A invasão da redes de computadores da empresa
Uma pessoa que fingiu ser um funcionário para coletar
informações sigilosas
A falha no alarme de incêndio
Alternativa A. O usuário que não consegue salvar o arquivo no
formato .XLS. Trata-se apenas de um incidente de suporte, não
comprometendo a integridade, disponibilidade e confidencialidade
da informação. 
Pergunta 8
João trabalha na empresa ZYZ e elaborou um documento sobre determinado ativo
da organização. Neste documento, João inseriu informações,tais como o tipo do
1 em 1 pontos
1 em 1 pontos
30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 6/7
Resposta Selecionada: c. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
ativo, o formato da informação e a localização do ativo. Com relação à norma ISO
27001, podemos dizer que João elaborou qual dos documentos abaixo?
Inventário de a�vos.
Lista de a�vos.
Planilha de dados.
Inventário de a�vos.
Base de dados de a�vos.
Alternativa C. Inventário de ativos. É um documento estabelecido
na gestão de ativos que armazena informações sobre eles, tais
como: tipo do ativo, formato da informação, localização do ativo,
informações detalhadas sobre cópias de segurança, informações
detalhadas sobre licenciamento, detalhamento da importância do
ativo para o negócio.
Pergunta 9
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
Comentário
da
resposta:
Qual é o nome que se dá ao processo de revisão frequente da política de
segurança da informação?
Revisão
Revisão
Melhoria
Análise crí�ca
Evolução
Alternativa C. Análise Crítica. Esse processo inclui a avaliação de
oportunidades para a melhoria da política da organização, gerenciando-a em
resposta às mudanças no ambiente organizacional, às oportunidades de
negócio, às condições legais e ao ambiente técnico.
Pergunta 10
Resposta Selecionada: c. 
Respostas: a. 
b. 
A organização está investigando possíveis eventos que possam comprometer a
confiabilidade da informação. Pelo o que ela está procurando?
Por vulnerabilidades
Por ameaças
Por vírus
0 em 1 pontos
0 em 1 pontos
30/05/2022 09:50 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash...
https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_23832414_1&course_id=_178941_1&content_id=_800073… 7/7
Segunda-feira, 30 de Maio de 2022 09h48min28s BRT
c. 
d. 
Comentário da
resposta:
Por vulnerabilidades
Por riscos
Alternativa A. Por ameaças. Uma ameaça é qualquer evento que
explore vulnerabilidades.
← OK