SEGURANCA E AUDITORIA DE SISTEMAS

Prévia do material em texto

11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 1/6
Local: Sala 2 - TJ - Prova On-line / Andar / Polo Tijuca / POLO UVA TIJUCA 
Acadêmico: EAD-IL10317-20222A
Aluno: JENNIFER NOGUEIRA 
Avaliação: A2-
Matrícula: 20212302457 
Data: 30 de Junho de 2022 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 9,00/10,00
1  Código: 32056 - Enunciado: "Inicialmente, grande parte dos acessos à Internet eram realizados
por meio de conexão discada com velocidades que dificilmente ultrapassavam 56 Kbps. O
usuário, de posse de um modem e de uma linha telefônica, se conectava ao provedor de acesso e
mantinha esta conexão apenas pelo tempo necessário para realizar as ações que dependessem
da rede. Desde então, grandes avanços ocorreram e novas alternativas surgiram, sendo que
atualmente grande parte dos computadores pessoais ficam conectados à rede pelo tempo em
que estiverem ligados e a velocidades que podem chegar a até 100 Mbps."Fonte: Cartilha de
Segurança na Internet. Centro de Estudos, Resposta e Tratamento de incidentes de Segurança do
Brasil. Disponível em: <https://cartilha.cert.br/redes/> Acesso: 27 de nov. de 2019.Dessa forma, o
aumento da tecnologia por parte dos avanços da Internet vem nos deixando cada vez mais
vulneráveis e, para isso, cuidados são importantes quando realizamos uma determinada
conexão.Ao conectar o seu computador à rede, ele pode estar sujeito a ameaças. Nesse contexto,
identifique as ameaças que o computador pode estar sujeito ao se conectar à rede:I - Furto de
dados. 
II - Uso indevido de recursos. 
III - Varredura. 
IV - Interceptação de tráfego. 
V - Exploração de vulnerabilidades.Estão corretos os itens: 
 a) II, III, e IV, apenas.
 b) I, II e III, apenas.
 c) I, III e IV, apenas.
 d) III, IV e V, apenas.
 e) I, II, III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: Resposta: I, II, III, IV, VFurto de dados. Correto, pois informações pessoais e outros
dados podem ser obtidos tanto pela interceptação de tráfego como pela exploração de possíveis
vulnerabilidades existentes em seu computador pessoal ou de trabalho.Uso indevido de recursos.
Correto, pois um hacker pode obter o acesso em um computador conectado à uma determinada
rede e utilizá-lo para a prática de atividades maliciosas, como obter arquivos, disseminar spans,
propagar códigos maliciosos, desferir ataques e assim também poderá esconder a real identidade
do atacante.Varredura. Correto, pois um hacker pode realizar varreduras na rede, com o propósito
de descobrir outros computadores e, então, promover a execução de ações maliciosas, como
ganhar acesso e explorar vulnerabilidades.Interceptação de tráfego. Correto, pois um hacker, que
venha consiga um acesso à rede, pode tentar fazer a interceptação do tráfego e, então, coletar
dados que estejam sendo transmitidos sem o uso devido de uma criptografia.Exploração de
vulnerabilidades. Correto, pois um computador determinado pode ser infectado ou ser invadido
e, sem que o proprietário tenha ciência, participar de ataques, ter dados indevidamente
coletados e ser usado para a propagação de códigos maliciosos. 
1,00/ 1,00
2  Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas,
tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os
administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar
1,00/ 1,00
11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 2/6
alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a
chance de ocorrer ataques ao seu negócio.Dessa forma, conforme citado em Sêmola (2010), a
importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso
do negócio de qualquer organização, independente de seu tamanho ou área de atuação.(Fonte:
https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os
requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do –
Check – Act).Diante disto, detecte quais são as fases do ciclo
PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas.
 a) III, IV e V apenas.
 b) II, III, IV e V apenas.
 c) I, III, IV e V apenas.
 d) I, II, III, IV e V.
 e) II, IV e V apenas.
Alternativa marcada:
b) II, III, IV e V apenas.
Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o
gerenciamento de projeto que contempla em suas etapas: início; planejamento; monitoramento
e controle e execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e
projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de
segurança.Execução. Correto, pois aqui são implantadas e operacionalizadas as políticas,
controles, processos e procedimentos do SGSI.Verificação. Correto, pois de uma forma geral,
nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas,
procedimentos e controles.Ações corretivas. Correto, pois com base na etapa de verificação, são
tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI,
especificadas na fase de planejamento e implantadas na fase de execução.
3  Código: 32266 - Enunciado: "A segurança da informação diz respeito a como as pessoas usam as
informações que chegam até elas. E não há dúvida quanto a isso: seja um e-mail particular ou um
relatório empresarial sobre uma grande venda, nada pode escapar do ecossistema de proteção
criado para aquela pessoa."Fonte: https://medium.com/@hacklabs/o-que-é-segurança-da-
informação-8a66a6f08837 Acesso em 28/09/2020Diante do exposto, leia as afirmativas a seguir:I -
A segurança da informação é o passo inicial para que as empresas se protejam de invasões. 
II - É saudável que aplicativos que militam com informações financeiras trabalhem com
criptografia. 
III - As empresas investem apenas em hardware como políticas e processos segurança. 
IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa,
pois usarão apenas os so�wares para cuidarem disto. 
É correto o que se afirma em:
 a) II e III, apenas.
 b) I e IV, apenas.
 c) I e II, apenas.
 d) I e III, apenas.
 e) I e IV, apenas.
Alternativa marcada:
c) I e II, apenas.
Justificativa: Resposta correta: I e II, apenasI - A segurança da informação é aquele conceito por
trás da defesa dos dados. Correto, pois ele atua diretamente em prol da defesa dos dados e/ou
informações.II - É natural e saudável que esses dados sejam sigilosos, mas sempre existe o risco
de uma ou outra informação vazar. Correto, pois apesar de todo o sigilo, a empresa necessita de
1,00/ 1,00
11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 3/6
um departamento de TI para tratar das políticas, dos métodos e dos processos de segurança da
informação da empresa.Distratores:III - As empresas investem apenas em hardware como
políticas e processos segurança. Errado, pois as políticas, os métodos e os processos estão
ligados para garantir a integridade da informação da empresa e para isso é preciso que haja
investimento em hardware, so�ware e capacitação profissional.IV - Ter um departamento de TI é
fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares
para cuidarem disto.. Os so�wares utilizados cuidam disto. Errado, pois a empresa pode
terceirizar este serviço e para tratar da segurança da informação é preciso que haja investimento
em hardware, so�ware e capacitação profissional.
4  Código: 31849 - Enunciado: "Em uma auditoria os objetivos de controlesão estabelecidos com
base nas atividades da entidade, seu tamanho, qualidade de seus sistemas e controle interno e
competência de sua administração. É necessário que o auditor tenha um modelo normativo de
como as atividades devem estar sendo feitas. Assim, deve-se levar em conta as atividades das
pessoas, órgãos e produtos da entidade de modo que tais atividades não se desviem das normas
preestabelecidas pela organização. Objetos de controle são metas de controle a serem
alcançadas ou efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria.
Assim, os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado.
Existem diversas áreas que esses objetivos podem contemplar, como segurança, atendimento a
solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos
usuários e outsourcing."(Fonte: FONSECA, G. Auditoria de sistemas de informação - Conheça mais
sobre o assunto. Profissionais TI. 19/04/2012. Disponível em:
https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-conheca-
mais-sobre-o-assunto/. Acesso em: 22 nov. 2019.) 
Segundo o COBIT (Control Objectives for Information and related Technology), as metas a serem
alcançadas em uma auditoria de sistemas de informação se enquadram nos itens a seguir:I-
Estrutura de gerenciamento de programa. 
II- Estrutura de gerenciamento de projeto. 
III- Abordagem de gerenciamento de projeto. 
IV- Comprometimento dos participantes. 
V- Escopo do projeto.Identifique os itens corretos:
 a) I, III, IV e V, apenas.
 b) I, II e III, apenas.
 c) III, IV e V, apenas.
 d) I, II, IV e V, apenas.
 e) I, II, III, IV e V.
Alternativa marcada:
c) III, IV e V, apenas.
Justificativa: Resposta correta: I, II, III, IV e V.Estrutura de gerenciamento de programa. Correta.
Determina uma padronização que permitirá uma organização maior no programa.Estrutura de
gerenciamento de projeto. Correta. Determina uma padronização que permitirá uma organização
e um desenvolvimento mais organizado nos projetos de TI da empresa.Abordagem de
gerenciamento de projeto. Correta. Fomenta a estrutura na concepção dos projetos de
TI.Comprometimento dos participantes. Correta. O envolvimento dos participantes deve ser
plano.Escopo do projeto. Correta. Determina na íntegra o que o projeto realmente deverá
executar.
0,00/ 1,00
5  Código: 32279 - Enunciado: "A fraude corporativa é um câncer que existe em praticamente todas
as organizações. O percentual de organizações e a maneira como cada organização é afetada,
variam de pesquisa para pesquisa, mas sempre os percentuais são altos. A Kroll Advisory, em
recente trabalho indica que 74% das empresas latinas americanas são afetadas por fraudes
1,00/ 1,00
11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 4/6
corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco importa. Para
você este percentual se torna 100%. Sua organização é o que existe de mais importante. 
Para ser efetiva no combate a fraude, é mandatório que a organização considere o processo de
segurança da informação. Este processo é um elemento eficiente/eficaz em função dos controles
que ele exige e quando bem gerenciado possibilita que organização minimize o risco de
fraude."Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes!
Disponível em: <http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso
em 27 de nov. de 2019.Alguns controles do Processo de Segurança da Organização são de
excelência crítica para o combate à fraude corporativa. Identifique as alternativas que
caracterizam este controle:I - Identificação, autenticação e autorização do usuário. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. 
III - Gestão de recursos e dependência operacional. 
É correto o que se afirma em:
 a) II, apenas.
 b) I, II e III.
 c) III, apenas.
 d) I, apenas.
 e) II e III, apenas.
Alternativa marcada:
b) I, II e III.
Justificativa: Resposta: I, II e III.I - Identificação, autenticação e autorização do usuário. Correto,
pois o usuário precisa ter identificação única, intransferível e válida apenas enquanto o usuário
está ativo no ambiente da informação. II - Registro do que acontece no ambiente e gestão sobre
estes registros. Correto, pois os acessos realizados pelo usuário devem ser registrados bem como
as alterações realizadas nas informações. III - Gestão de recursos e dependência operacional.
Correto, pois o Processo de Segurança da Informação exige que exista uma gestão de recursos e
uma identificação de dependência.
6  Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para
se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e
tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da
informação; organização da segurança da informação; gestão de ativos; segurança em recursos
humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de
acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de
incidentes de segurança da informação; gestão da continuidade do negócio, e
conformidade.Indique qual norma está sendo abordada no texto.
 a) ISO 27001.
 b) ISO 10011.
 c) ISO 9000.
 d) ISO 9001.
 e) ISO 9004.
Alternativa marcada:
a) ISO 27001.
Justificativa: GabaritoISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Todo o seu processo de organização permite qe o trâmite executado no sistema
garante toda a integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma
norma de padronização para um determinado serviço ou produto. Esta norma faz parte do
conjunto de normas designado ISO 9000 e pode ser implementada por organizações de qualquer
1,00/ 1,00
11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 5/6
tamanho, independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas
de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a
base de um sistema de gerenciamento da qualidade e definem a terminologia global. 
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a
melhoria do desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa
principalmente sobre a melhoria contínua dos desempenhos. 
ISO 10011. Errado, pois pertence a linhas diretivas para a auditoria dos sistemas de gestão da
qualidade e/ou de gestão ambiental. 
7  Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente
sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de
Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e
mais que normal, considerando-se que o mercado insiste em falar de “contingência”
como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do
problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia-
continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse
cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse
plano.
Resposta:
Esse plano, tem como objetivo recuperar a empresa de uma maneira rápida no menor tempo
possível, Ele mostrara as alternativas necessárias para otimizar a operação da organização.
Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro
do Plano de Recuperação de Desastres, o Plano de Contingência Operacional éa definição de
processos alternativos para atuação da empresa durante um evento que afete as atividades
normais (ou aplicativos), necessários para funcionamento da organização. 
 
2,00/ 2,00
8  Código: 31841 - Enunciado: “A maior parte das empresas tem dúvidas exatamente sobre o que
desejam contratar: não sabem se precisam de um plano de recuperação de desastres, de
contingência operacional ou de continuidade de negócios.A confusão é comum e mais que
normal, considerando-se que o mercado insiste em falar de contingência como sinônimo da
solução, quando, na verdade, o conceito do dicionário é de que se trata do problema em
si.”(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou-
recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/>. Acesso em: 25 out. 2018.) Defina
plano de recuperação de desastres.
Resposta:
Esse plano tem como objetivo recuperar ou substituir os ativos da empresa: Equipamentos,
Aplicativos, etc...
Uma documentação formal é gerada para que se entenda o que será necessário para a
recuperação desses ativos. Como por exemplo: o Hardware necessário, os aplicativos a serem
instalados,, o uso correto de backups, dessa maneira consegue-se disponibilizar novas formas
rapidas e transparentes para o usuário e sua ferramenta de trabalho.
Justificativa: Expectativa de resposta:Plano de recuperação de desastres é a documentação
formal de recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas)
críticos (exigidos para funcionamento) da organização. Essa criticidade é indicada pela análise do
tempo de tolerância (por quanto tempo o ativo ou processo pode ser interrompido sem que
acarrete perdas significativas para a organização) e pelo custo de parada.
2,00/ 2,00
11/11/2022 18:15 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7225028/41f2abb8-ac23-11eb-9ac1-06d1d23e0d69/ 6/6