Segurança da Informação

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual (Cod.:745146)
Peso da Avaliação 3,00
Prova 51027892
Qtd. de Questões 12
Acertos/Erros 6/3
Canceladas 3
Nota 9,00
Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os salários de todos 
os funcionários que estava armazenada em um computador (o servidor de arquivos) tenha sido acessada por 
usuários que não tinham autorização. Para tirar proveito de tal situação visualizaram as informações contidas 
nesta planilha, e em seguida, as modificaram. Neste caso, princípios da segurança da informação foram 
comprometidos com esse incidente, pois encontraram redundâncias nos dados. Sobre o exposto, classifique V 
para as sentenças verdadeiras e F para as falsas:
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. 
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. 
( ) O princípio violado foi a integridade, pois a informação deve estar protegida contra modificação sem 
permissão; garantida a fidedignidade das informações.
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - F - F.
B F - V - V - F.
C V - F - F - V.
D F - F - V - V.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
A política de segurança e auditoria em sistemas de informação deve descrever processos contínuos que 
garantam a confidencialidade, a integridade e a disponibilidade da informação, sendo que, em caso de algum 
incidente de segurança, deve prever medidas operacionais que deverão ser executadas para a retomada do 
funcionamento da organização. Assinale a alternativa CORRETA que apresenta este conjunto de medidas 
operacionais:
A Política de Recuperação.
B Auditoria de Sistemas.
C Plano de Continuidade.
D Plano de Recuperação Urgente.
 VOLTAR
A+ Alterar modo de visualização
1
2
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não 
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da 
informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de 
segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses 
conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O 
impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à 
falência. Com relação aos itens que devem ser observados na segurança física e ambiental das informações, 
classifique V para as sentenças verdadeiras e F para as falsas:
( ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
( ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem 
aplicações on-line.
( ) Aquecimento, ventilação e ar-condicionado e detecção de fogo são itens relevantes para segurança 
ambiental.
( ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e 
restrito à informação.
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
A F - V - F - V.
B V - V - V - F.
C V - F - V - F.
D F - F - F - V.
É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas 
por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra 
pessoa, assumir outra personalidade, fingir que é um profissional de determinada área etc. É uma forma de entrar 
em organizações que não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança das 
próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. 
Sobre essa prática, assinale a alternativa CORRETA:
A Engenharia social.
B Hackers.
C Crackers.
D Invasão de privacidade.
3
4
O Cavalo de Troia ou Trojan Horse é um tipo programa malicioso que podem entrar em um computador 
disfarçados como um programa comum e legítimo. Ele serve para possibilitar a abertura de uma porta de forma 
que usuários mal intencionados possam invadir seu PC. Seu nome surgiu devido à história da guerra de Troia e 
que culminou com a destruição desta. O cavalo de Troia, um grande cavalo de madeira, fora supostamente 
oferecido como um pedido de paz por parte dos gregos. Sendo um presente para o rei, os troianos levaram o 
cavalo para dentro das muralhas da cidade, durante a noite, quando todos dormiam, revelou-se uma armadilha e 
os soldados gregos que se escondiam dentro da estrutura oca de madeira do cavalo saíram e abriram os portões 
para que todo o exército entrasse e queimasse a cidade. Assim como na história, um Trojan se passa por um 
programa que simula alguma funcionalidade útil quando de fato ele esconde um programa que pode causar 
malefícios aos computadores e seus usuários, como abrir portas e possibilitar invasões ou roubar senhas de 
usuário. Sobre algumas das funções maliciosas que podem ser executadas por um cavalo de troia, classifique V 
para as sentenças verdadeiras e F para as falsas:
( ) Uma das funções maliciosas que podem ser executadas por um cavalo de troia é alteração ou destruição de 
arquivos.
( ) Uma das funções maliciosas que podem ser executadas por um cavalo de troia é furto de senhas e outras 
informações sensíveis, como números de cartões de crédito.
( ) Uma das funções maliciosas que podem ser executadas por um cavalo de troia é inclusão de backdoors, para 
permitir que um atacante tenha total controle sobre o computador.
( ) Uma das funções maliciosas que podem ser executadas por um cavalo de troia é poder se replicar, infectar 
outros arquivos, ou propagar cópias de si mesmo automaticamente.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F - V.
B F - V - V - V.
C F - F - V - F.
D V - V - V - F.
Uma boa gestão de segurança da informação não implica altos custos. Algumas práticas são simples e podem 
evitar perdas financeiras e manter uma boa reputação da marca frente ao mercado. A proteção aos recursos 
computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. No 
entanto, no que se refere às boas práticas para garantir a segurança a nível de sistema operacional, recomenda-se 
algumas práticas de segurança. 
Sobre essas práticas, assinale a alternativa CORRETA:
A
Extinção de registros de log e monitoramento, compreendendo que os arquivos de log são usados para
registrar ações dos usuários, sem atribuir nenhum indicativo como fonte de informação para auditorias
futuras.
B
Extinção de contas do usuário e políticas de conta, compreendendo que a falta de proteção adequada aos
arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa não autorizada, ao
obter identificador (ID) e senha de um usuário privilegiado, pode, intencionalmente, causar danos ao sistema.
C Controle de sistema de arquivos. Por exemplo: arquivos com a configuração do sistema, dados da folha de
pagamento e dados estratégicos da empresa.
D
Correções do sistema e maximização de sistema operacional. Por exemplo: editores, compiladores, softwares
de manutenção, monitoração e diagnóstico não devem ser restritos, já que essas ferramentas podem ser
usadas para transmissão do sistema operacional.
5
6
Para mitigar falhas na área de segurança da informação, existem boas práticas que são aplicadas. Qualquer 
vulnerabilidade no sistema operacional pode afetar diretamente a segurança dos dados e de aplicações em um 
computador. Sobre as boas práticas de segurança, classifique V para as sentenças verdadeiras e F para as falsas:
( ) É recomendável fornecer o númeromínimo de serviços de rede necessários no computador servidor. 
( ) Caso serviços não utilizados não estejam em execução, não é necessário encerrá-los. 
( ) Executar as correções mais recentes recomendadas pelo fornecedor para o sistema operacional. 
( ) Registrar eventos relacionados à segurança, incluindo logins e log offs com êxito e com falha, e mudanças 
nas permissões do usuário.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - F.
B F - V - F - F.
C V - F - V - V.
D F - F - V - V.
A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos 
recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. 
Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA:
A A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função
da utilização dos mesmos.
B Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela
mesma.
C As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e
através do computador.
D A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem
implantados.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
Ter um Plano de Continuidade de Negócios - PCN -(do termo inglês Business Continuity Plan - BCP) é 
definir todos os possíveis riscos inerentes ao negócio, em todas as áreas da empresa e formalizar as medidas 
contingenciais cabíveis de serem executadas no caso de concretização de eventos danosos, ou seja, em qualquer 
situação que afete a normal condução dos negócios. Com base no Plano de Continuidade de Negócios (BCP), 
classifique V para as sentenças verdadeiras e F para as falsas: 
( ) O BCP auxilia na preparação para enfrentar incidentes dos processos operacionais, que poderiam colocar a 
missão e a saúde financeira da organização em risco. 
( ) É recomendável no BCP, a utilização de um plano de reinicialização de negócios (Business Resumption 
Planning - BRP). 
( ) Devido às suas características de construção da documentação do BCP, ele não possui uma fase de testes. 
( ) Na fase de documentação e desenvolvimento do plano BCP, encontra-se a etapa conhecida por Gestão de 
Crises (Crisis Management - CM). 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - F.
B V - F - F - V.
7
8
9
C V - F - V - F.
D V - V - F - V.
Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que possibilitem confiabilidade 
nos testes realizados nos ativos de sistemas de informação, garantindo que os processos, as atividades e os 
sistemas estejam em total segurança. Cabe ao auditor examinar os sistemas de informações que possuem falhas 
no controle da segurança, verificando os níveis com falhas e que estão associados com as aplicações 
organizacionais. Diante dessa afirmação, assinale a alternativa CORRETA que apresenta esta abordagem do 
auditor:
A Abordagem de máquina e hardware.
B Abordagem de manutenção do computador.
C Abordagem ao redor do computador.
D Abordagem de controles organizacionais.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela 
busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias 
da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos 
negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem 
qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto 
financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio 
sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um 
plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é 
preciso elaborar:
A Plano de negócio de gerência de riscos.
B Plano de negócio de gerenciamento de projetos.
C Plano de contingência.
D Plano de negócio.
(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de 
garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as 
afirmações a seguir: 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma 
chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à 
assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica 
uma política de segurança a determinado ponto da rede. 
10
11
12
É correto apenas o que se afirma em:
A III e IV.
B I, II e III.
C II, III e IV.
D I e II.
Imprimir