Teste_ AO2_Governança

Prévia do material em texto

AO2
Iniciado: 10 dez em 20:54
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no
final da página.
0,6 ptsPergunta 1
Leia o texto a seguir:
Por que ter um Plano de Continuidade de Negócios na TI?
A TI é uma área fundamental dentro das empresas. Por isso, é muito importante saber quais processos de TI são essenciais e
precisam estar funcionando mesmo em caso de problemas graves. 
É aí que entra o Plano de Continuidade de Negócios de TI, que garante que os serviços estejam no ar durante a maior parte do
tempo possível e que os problemas sejam resolvidos no menor tempo possível.
Como elaborar um Plano de Continuidade de Negócios para a TI?
Um Plano de Continuidade de Negócios deve conter quando e como o PCN pode ser ativado, as pessoas responsáveis por ativá-
lo, o procedimento que essa pessoa deve adotar ao tomar a decisão e muitas outras coisas!
Fonte: CORREA, R. [Webinar] Plano de Continuidade de Negócios na TI. EUAX. Disponível em: https://www.euax.com.br/c/plano-de-continuidade-de-
negocios-na-ti/. Acesso em: 05 de maio de 2020.
Considerando as informações apresentadas, avalie as afirmações a seguir:
I - O PCN deve ser criado por especialistas, mas testado por equipes multidisciplinares periodicamente.
II - O PCN também segue a linha de melhoria contínua para seu desenvolvimento.
III, apenas.
II e III, apenas.
I e II, apenas.
I, II e III.
I, apenas.
III - Por ser um documento bem conhecido, o PCN já é um modelo pronto.
É correto o que se afirma em:
0,6 ptsPergunta 2
Leia o texto a seguir:
Um programa de segurança da informação efetivo consiste em um conjunto abrangente de políticas e procedimentos, base para
qualquer programa de proteção de dados. 
(...) 
Computadores e outros dispositivos digitais são essenciais para as empresas, gerando benefícios inumeráveis, mas também
abrindo as portas para ameaças virtuais. 
Nesse contexto, é necessário criar proteção contra ataques, começando por um bom planejamento de segurança da informação 
(...) 
Construir um programa de segurança da informação significa projetar e implementar práticas de segurança que protejam
processos críticos e ativos de TI e que possam amadurecer com o tempo. Esse programa ajudará a definir políticas e
procedimentos para avaliar riscos, monitorar ameaças e mitigar ataques.
Fonte: COMPUGRAF. Segurança da Informação minimiza riscos e preserva dados organizacionais. Disponível em:
https://www.compugraf.com.br/seguranca-da-informacao-minimiza-riscos-e-preserva-dados-organizacionais/. Acesso em: 05 de maio de 2020. Adaptado.
I apenas
III, apenas
II e III, apenas
I e II, apenas
I, II e III
As ameaças no ambiente de TI têm crescido na medida em que o uso de tecnologia aumenta, e podem gerar prejuízos enormes
para uma operação. 
Sabemos que todas as organizações precisam de uma política de segurança da informação, que deve ser seguida e executada
pelos usuários, para mitigar os riscos gerados por essas ameaças.
Considerando as informações apresentadas, avalie as afirmações a seguir:
I - Ameaças normalmente não podem ser controladas.
II - Ameaças normalmente aproveitam algum tipo de falha de segurança nos sistemas ou na rede de computadores.
III - Ameaças são sempre facilmente reconhecidas.
É correto o que se afirma em:
0,6 ptsPergunta 3
Leia o texto a seguir:
Com as soluções de segurança inundando o mercado e as respectivas ameaças proliferando diariamente, as empresas estão
priorizando as maneiras de orientar o processo decisório na administração do risco de segurança da informação. O desafio é
planejar e implantar controles que sejam proporcionais aos riscos. Porém, como estimar o risco? E qual a melhor maneira de
tratar as questões empresariais como o estabelecimento de controles básicos (baseline), e achar o equilíbrio entre segurança e
benefícios para usuários finais? Os serviços de Avaliação de Segurança das Informações ajudam os clientes a tomarem decisões
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
sobre suas necessidades de proteger as informações. A posso de ativos de informações dentro de um ambiente de TI apresenta
riscos.
Fonte: Avaliação da Segurança das Informações. KPMG. Disponível em: http://www.kpmg.com.br/publicacoes/advisory/ras/irm/SAI_site.pdf. Acesso em: 05
de maio de 2020. Adaptado. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A análise de risco não diz respeito a decisões futuras, mas sim ao futuro de decisões que devem ser realizadas e
tomadas proativamente antes que os incidentes ocorram.
PORQUE
II - O cenário de risco é muito amplo e complexo e sua identificação e tratamento deve ser claramente limitado, definido
pela própria organização pensando sempre na criticidade e eficácia a que se quer chegar.
A respeito dessas asserções, assinale a opção correta:
0,6 ptsPergunta 4
Leia o texto a seguir:
Basicamente existem dois tipos de Cloud no mercado: Cloud Público (nuvem pública) e Cloud Privado (nuvem privada). 
A maioria das empresas se encaixa no modelo de nuvem Pública, comumente oferecida por gigantes do mercado como Google e
Amazon, onde os serviços são alocados em um mesmo ambiente comum entre todos os clientes. Existem camadas básicas de
ANSs são descrições de detalhes jurídicos que devem ser incluídos no corpo dos contratos de prestação de serviços.
ANSs são detalhes administrativos sobre como o cliente deve se comportar em relação ao provedor de serviço.
ANSs são exigências exclusivas dos provedores de serviços quanto a detalhes administrativos de execução dos contratos firmados.
ANSs descrevem características técnicas do contrato de serviços prestados que são passíveis de medir e controlar objetivamente.
ANSs reúnem a descrição de todas as características do serviço a ser prestado que não podem ser objetivamente medidas.
segurança, mas todos os dados encontram-se em uma rede pública e visível na Internet. Por exemplo, se você possuir um
servidor Cloud Público na Amazon, compartilhará recursos da nuvem com outros milhares de clientes, além de não haver uma
estrutura de segurança, segmentos de rede e recursos destinados apenas ao seu Cloud. 
Mas existem empresas e negócios que dependem diretamente da exclusividade de recursos, e sobretudo, de segurança.
Imagine uma instituição financeira que tome a decisão por alocar sua infraestrutura na nuvem. Qual escolher? A resposta é:
Cloud Privado. E é isto mesmo, seu perfil obriga que haja uma nuvem computacional totalmente isolada às suas necessidades.
Fonte: FERNANDES, M. Private Cloud: A elasticidade e a segurança da nuvem privada. TI especialistas. 22/06/2011. Disponível em:
https://www.tiespecialistas.com.br/private-cloud-a-elasticidade-e-a-seguranca-da-nuvem-privada/. Acesso em: 05 abr. 2020.
Qual das opções a seguir descreve a correta relação nos contratos entre o cliente/contratante e o provedor/fornecedor de serviço
em nuvem (cloud), os chamados ANSs (Acordos de Nível de Serviço) ou SLAs (Service Level Agreement) que estará definido no
Cloud Privado contextualizado acima?
0,6 ptsPergunta 5
Leia o texto a seguir:
Auditoria de sistemas pode detectar problemas em: 
> Fraudes em e-mail; 
> Uso inadequado de hardwares; 
> Fraudes, erros e acidentes; 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.> Vazamento de informações; 
> Falta de segurança física (acessos indevidos); 
(...) 
Auditoria em Segurança da Informação: Métodos de autenticação, autorização, criptografia, gestão de certificados digitais,
segurança de redes, gestão dos usuários, configuração de antivírus, atualizações, políticas, normas, manuais operacionais. 
Auditoria de Segurança Física: Avaliação de localidades e riscos ambientais: vidas (capital intelectual), furto/roubo, acesso,
umidade, temperatura, acidentes, desastres, etc. e as proteções: perímetros de segurança, câmeras, sensores, guardas,
dispositivos, proteções do ambiente.
Fonte: Auditoria de Sistemas. USP. Disponível em: https://edisciplinas.usp.br/mod/resource/view.php?id=1720811. Acesso em: 05 de maio de 2020.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A Auditoria de TI é necessária por uma questão de governança de TI, e assim ter-se transparência nos processos e
controles.
PORQUE
II - A Auditoria de TI em algumas organizações é necessária devida a regulamentação do setor ou de onde negociam, como
a Lei SOX (Sarbanes-Oxley).
A respeito dessas asserções, assinale a opção correta:
0,6 ptsPergunta 6
II e III, apenas.
I, II e III.
III, apenas.
I e II, apenas.
I, apenas.
Leia o texto a seguir:
As etapas de um pentest são fases de preparação, planejamento e execução. Antes de iniciar um pentest, é necessário que o
cliente esteja a par de todo o processo para que não haja nenhuma falha de comunicação entre as partes. É necessário
conhecer os objetivos do negócio do cliente no que diz respeito ao teste de invasão: se esse é o primeiro teste de invasão, o que
o levou a procurar esse serviço? Quais as exposições que ele mais teme? Existe algum dispositivo frágil com o qual deveremos
ter cuidado ao efetuar os testes?
1. Preparação
Nessa fase é necessário decidir o escopo do teste de invasão: quais endereços de IP serão incluídos nos testes e quais não
serão, quais tipos de ações o cliente permitirá que sejam realizados durante o teste, permissões para desativar potencialmente
determinado serviço, limitar a avaliação a simplesmente uma análise de vulnerabilidades, etc. O cliente pode solicitar que os
testes sejam realizados somente em determinados dias e durante horários específicos.
Fonte: AUZAC. Etapas de um Pentest. Disponível em: http://www.auzac.com.br/testes-de-invasao/etapas-de-um-pentest/. Acesso em: 05 de maio de 2020.
Considerando as informações apresentadas, avalie as afirmações a seguir:
I - No Pentest, planeja-se o teste de todos os componentes da rede, com as mesmas técnicas dos atacantes, verificando
possíveis falhas e portas abertas.
II - No Pentest, planeja-se o teste da segurança lógica da rede da organização vislumbrando as vulnerabilidades.
III - No Pentest, dependendo do tipo de teste a ser aplicado o planejamento inicial entre o pentester (profissional realizador
do teste) e a organização será diferente.
É correto o que se afirma em:
0,6 ptsPergunta 7
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
Leia o texto a seguir:
Simple Network Management Protocol é um dos protocolos mais utilizados para auxiliar na gerência de redes e protocolo base
do SLAview. Primordialmente neste artigo, apresentaremos uma breve introdução ao protocolo SNMP. O protocolo simples de
gerência de rede (SNMP da siga em Inglês) teve sua origem na RFC 1067 em 1988. Conforme necessidades tecnológicas,
evoluiu em segurança e performance por algumas versões, estando atualmente na versão 3. É um protocolo da camada de
aplicação (camada sete do modelo OSI) que utiliza usualmente a porta 161 do protocolo de transporte UDP.
Vantagens do Simple Network Management Protocol
A vantagem de ser um protocolo de camada sete reside no fato da abstração das outras camadas da rede. (...)
Como pôde ser verificado, o SNMP é um protocolo robusto e bem definido. Características essas que permitiram a sua larga
aceitação por parte dos fabricantes e dos gestores da rede. Com uma gerência de redes através deste protocolo é possível
agilizar a tomada de decisões e antecipar problemas.
Fonte: O que é SNMP? TELCOMANAGER. Disponível em: https://www.telcomanager.com/o-que-e-snmp/. Acesso em: 05 de
maio de 2020.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - O protocolo SNMP consome poucos recursos da rede e de processamento.
PORQUE
II - O protocolo SNMP ajuda a localizar eventuais problemas e falhas na rede de computadores.
A respeito dessas asserções, assinale a opção correta:
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições falsas.
0,6 ptsPergunta 8
Leia o texto a seguir:
Segurança de rede consiste nas políticas e práticas adotadas para prevenir e além disso monitorar o acesso não autorizado, uso
indevido, modificação ou negação de uma rede de computadores e recursos acessíveis pela rede. A segurança de rede é um
assunto complexo. Historicamente, apenas especialistas bem treinados e experientes abordam a Segurança de Rede. 
No entanto, à medida que mais e mais pessoas se tornam “conectadas”, um número crescente de pessoas precisa entender os
conceitos básicos de segurança em um mundo conectado por redes. Este documento foi escrito pensando no usuário comum de
computador e no gerente de sistemas de informação, explicando ainda mais os conceitos necessários para entender o assunto,
seus riscos e como lidar com eles. 
Além disso, continuamos a considerar o gerenciamento de riscos, ameaças de rede, firewalls e os dispositivos de rede seguros
para fins especiais. 
(..) 
A segurança de rede combina várias camadas de defesa na borda e na rede. Cada camada de segurança de rede implementa
políticas e controles. Usuários autorizados obtêm acesso aos recursos da rede, mas os agentes mal-intencionados são
bloqueados de realizar explorações e ameaças.
Fonte: CESAR, J. Qual é a definição de “segurança de rede”? INFOSEC. Disponível em: https://www.infosec.com.br/seguranca-de-rede/. Acesso em: 05 de
maio de 2020. Adaptado. 
Considerando as informações apresentadas, avalie as afirmações a seguir:
I - Segurança de Rede deve envolver a autorização ou não de acesso aos dados da rede corporativa da organização.
II - Segurança de Rede deve envolver a escolha da devida topologia da rede de computadores, uma vez que a mesma
pode ser pública ou privada.
III - Segurança de Rede deve envolver a monitoração do tráfego de dados na rede corporativa e sua consequente proteção.
II e III, apenas.
I, apenas.
III, apenas.
I e II, apenas.
I, II e III.
É correto o que se afirma em:
0,6 ptsPergunta 9
Confidencialidade.
Integridade.
Leia o texto a seguir:
Segurança da Informação é um processo contínuo, diário, constante para a devida gestão de riscos da organização, que pode
afetar os pilares básicos da mesma. Ainda por cima porque Segurança da Informação envolve pessoas, recursos, processos de
TI e de negócios, em diferentes graus para garantir ao máximo o menor risco possível para a organização e consequentemente
garantir a segurança e proteção dos dados sob sua custódia e/ou responsabilidade, dependendo do caso, com acesso limitado e
legítimo à informação. E isto independe do tamanho da empresa, pois atualmente, por exemplo, existem startups com 3
funcionários que manipulam um volume enorme de dados, por exemplo. E Segurança da Informação continua valendo e sendo
aplicável 
para todas as organizações, independente do porte e do segmento em que atua. 
Qual das opções abaixo refere-se a um dos pilares básicos da Segurança da Informação referenciado e sugerido no
contexto acima?
Vulnerabilidade.
Privacidade.
Disponibilidade.
0,6 ptsPergunta 10
Leia o texto a seguir:
A ISO 27001 foi elaborada com o intuito de viabilizarum modelo para SGSI – Sistema de Gestão de Segurança da Informação.
Para isso, a norma padroniza questões de implantação, operação, monitoramento, análise, manutenção e melhoria da
segurança. Assim como acontece com outros padrões ISO, a norma combina as melhores práticas do segmento e permite
certificação. 
No caso específico da ISO 27001, a certificação garante que a empresa implementou um sistema para gerência da segurança da
informação, sendo um selo de credibilidade. Portanto, a certificação confere confiança à empresa e também parceiros, clientes e
auditores. Com abrangência e validade internacional, a 1ª versão da ISO 27001, de 2005, foi desenvolvida com base na Norma
Britânica BS 7799-2. A versão mais recente foi publicada em 2013, e seu título completo é ISO/IEC 27001:2013. 
A implementação da ISO 27001 pode ser realizada em qualquer organização – pública ou privada -, de qualquer segmento e
independente do tamanho. A metodologia pode ser aplicada na gestão da segurança e como procedimento para certificação.
Como o foco é proteger a confidencialidade, integridade e disponibilidade da informação, a ISO 27001 tem relevância
indiscutível. Afinal, cada vez mais, informação é um ativo de extremo valor para as empresas, fazendo com que a segurança seja
uma necessidade crítica.
Fonte: CORDEIRO, H. Segurança da Informação e ISO 27001. Disponível em: https://blog.daryus.com.br/seguranca-da-informacao-e-iso-27001/. Acesso
em: 05 de maio de 2020. 
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A ISO 27001 descreve os requisitos a serem atendidos por uma organização visando estabelecer, implementar, manter e
melhorar continuamente a SI.
 PORQUE
Nenhum dado novo para salvar. Última verificação às 21:06 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições falsas.
II - A ISO 27001 atende os princípios da CID (confidencialidade, integridade e disponibilidade).
A respeito dessas asserções, assinale a opção correta:
Enviar teste