Baixe o app para aproveitar ainda mais
Prévia do material em texto
04/12/2022 22:26 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 1/5 Local: Sala 1 - TJ - Prova On-line / Andar / Polo Tijuca / POLO UVA TIJUCA Acadêmico: EAD-IL10317-20214A Aluno: ELEN PIRES DE ARAÚJO Avaliação: A2- Matrícula: 20203301257 Data: 25 de Novembro de 2021 - 08:00 Finalizado Correto Incorreto Anulada Discursiva Objetiva Total: 9,00/10,00 1 Código: 32272 - Enunciado: A norma ISO 27001 estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade. Essas seções totalizam trinta e nove categorias principais de segurança, e cada categoria contém um objetivo de controle e um ou mais controles que podem ser aplicados, bem como algumas diretrizes e informações adicionais para a sua implementação.(Fonte: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/)O texto acima retrata qual ponto do sistema de gestão de segurança da informação? a) Vulnerabilidade. b) Backup. c) Segurança física. d) Risco. e) Elaborando a política de segurança. Alternativa marcada: d) Risco. Justificativa: GabaritoElaborando a política de segurança. Correto, pois deve-se formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário.DistratoresRisco. Errado, pois com relação a segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na ocorrência de um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005 (2005).Vulnerabilidade. Errado, pois a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais princípios da segurança da informação. 0,00/ 1,00 2 Código: 31850 - Enunciado: Um dos processos de que podemos tratar é o de auditoria no âmbito de uma empresa telefônica. Esse é um passo vital para determinar, entre várias demandas apresentadas, quais seriam os referidos valores que estão sendo cobrados indevidamente para um consumidor ou o que tem gerado vários gastos desnecessários. Dessa forma, temos as 1,00/ 1,00 04/12/2022 22:26 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 2/5 ferramentas de tecnologia da informação, que são grandes aliadas para o processo das organizações que demandam executar ações dessa natureza. Isso é fato, uma vez que a tecnologia passou a ser amplamente adotada no setor corporativo, tendo em consideração a sua grande contribuição para solucionar os mais diversos tipos de demandas/problemas, sobretudo quando a resolução requer uma boa análise de informações.Nesse contexto, identifique quais das ferramentas de TI a seguir ajudam na auditoria telefônica. I - COBIT. II - ITIL. III - PMBOK. IV - IDEA. V - LARAVEL.Estão corretas: a) I, III e IV, apenas. b) II, IV e V, apenas. c) II, III e V, apenas. d) II, III e IV, apenas. e) I, II e IV, apenas. Alternativa marcada: a) I, III e IV, apenas. Justificativa: Resposta correta: I, III e IV, apenas.COBIT. Correto, pois é conhecido como um documento no qual é apresentado um modelo de framework, ou seja, uma junção de códigos que promove uma funcionalidade genérica — que pode ser adaptada a processos específicos.PMBOK. Correta. É preciso considerar as melhores práticas de gerenciamento destinadas a todos os tipos de projeto. É possível ver no PMBOK um excelente complemento para uma análise estratégica das contas com telefonia de uma empresa.IDEA. Correta. Entra nessa lista de ferramentas de TI, com ênfase na extração e análise de dados — muito utilizado para detecção de fraudes e inconformidades com as políticas de controle interno. Distratores:ITIL. Incorreta. É um conjunto de boas práticas para serem aplicadas na infraestrutura, operação e gerenciamento de serviços de tecnologia da informação (ITSM).LARAVEL. Incorreta. É um framework de desenvolvimento rápido para PHP, livre e de código aberto. 3 Código: 31844 - Enunciado: “ISO/IEC 17799/2007-27002 É uma norma de segurança da informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece princípios para a gestão de segurança da informação de uma organização e também pode servir como um guia prático de desenvolvimento de procedimentos para empresas.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso em: 30 out. 2018.) Identifique as principais seções: Avaliação de risco. Política de segurança. Organização da segurança da informação. Gerência de recursos. Segurança dos recursos humanos. a) I, II, IV e V. b) I, II, III, IV e V. c) I, II, III e IV. d) II, III, IV e V. e) III, IV e V. Alternativa marcada: b) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Avaliação de risco. Correta. É preciso mensurar os problemas que podem acontecer.Política de segurança. Correta. É preciso que a empresa esteja já com plano estratégico para contingência de invasão.Organização da segurança da informação. Correta. É preciso que haja todo um planejamento para a política de segurança da informação.Gerência de recursos. Correta. A empresa precisa ter em seu orçamento o investimento necessário em tecnologia.Segurança dos recursos humanos. Correta. Os 1,00/ 1,00 04/12/2022 22:26 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 3/5 funcionários precisam estar cientes de como funciona a política de segurança de sua empresa, evitando, assim, acessos indevidos. 4 Código: 33228 - Enunciado: Objetos de controle são metas de controle a serem alcançadas ou efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim, os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado. Existem diversas áreas que esses objetivos podem contemplar, como segurança, atendimento a solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos usuários e outsourcing (Disponível em: <https://www.profissionaisti.com.br/2012/04/auditoria- de-sistemas-de-informacao-conheca-mais-sobre-o-assunto/>. Acesso em: 8 out. 2018). Diante do cenário, uma das caracterísiticas fundamentais para uma boa auditoria dentro da governança de TI é a implementação bem estruturada do framework COBIT. Segundo o COBIT, as metas a serem alcançadas em uma auditoria de sistemas de informação se enquadrarãoem quais dos itens a seguir? I- Recursos do projeto.II- Gerenciamento de riscos do projeto.III- Planejamento do projeto integrado. a) II e III apenas. b) I e III, apenas. c) I, apenas. d) I e II, apenas. e) I, II e III apenas. Alternativa marcada: e) I, II e III apenas. Justificativa: Resposta correta: I, II e III apenas.Recursos do projeto. Correta. Para um bom processo de auditoria, é importante que a meta tenha um olhar atento para os recursos estabelecidos em um projeto. Assim, é possível verificar se o que foi estipulado é o que foi implementado.Gerenciamento de riscos do projeto. Correta. É preciso estabelecer se todos os gerenciamentos de riscos descritos foram contemplados na implantação do projeto, evitando assim problemas futuros.Planejamento do projeto integrado. Correta. Tudo aquilo que foi planejado é o que deve ser efetivamente implementado para que o projeto alcance seu sucesso. 1,00/ 1,00 5 Código: 32271 - Enunciado: "Para que a cultura da empresa seja mudada em relação à segurança da informação, é fundamental que os funcionários estejam preparados para a mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A política deve ser escrita de forma clara, não gerando qualquer dúvida entre os usuários. Todos os funcionários da organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um treinamento adequado para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002 (2005), os usuários devem estar cientes das ameaças e das vulnerabilidades de segurança da informação e estejam equipados para apoiar a política de segurança da informação da organização durante a execução normal do trabalho."Fonte: Politica de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Disponível em: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.Com base no texto exposto, assinale o ponto do sistema de gestão de segurança da informação retratado: a) Preparação do Backup. b) Implantação da política de segurança. c) Compreensão de ativos. d) Utilização da Segurança física. e) Definição de Risco. Alternativa marcada: 1,00/ 1,00 04/12/2022 22:26 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 4/5 b) Implantação da política de segurança. Justificativa: Resposta correta: Implantação da política de segurança.Correto, pois toda e qualquer empresa necessita que uma política de segurança seja implementada para garantir a segurança das informações. Distratores:Compreensão de ativos. Incorreto, pois deve-se formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário.Utilização da Segurança física. Incorreto, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005(2005).Preparação do Backup. Incorreto, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na ocorrência de um sinistro.Definição de Risco. Incorreto, pois com relação a segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.Fonte: Politica de Segurança da Informação: Definição, Importância, Elaboração e Implementação. Disponível em: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019. 6 Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão. Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que os serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção excessiva. Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo planos, procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida e efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a seguir:I - Falhas no equipamento. II - Roubo. III - Cibercrime. IV - Impactos ambientais. V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma empresa: a) I, III, IV e V. b) II, III, IV e V. c) I, II, III, IV e V. d) II, IV e V. e) I, II, IV e V. Alternativa marcada: c) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que a empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na página da empresa, nas redes sociais da empresa e também no acesso a informações sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos processos de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do ambiente de segurança da empresa é o próprio funcionário. 1,00/ 1,00 2,00/ 2,00 04/12/2022 22:26 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 5/5 7 Código: 31841 - Enunciado: “A maior parte das empresas tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam de um plano de recuperação de desastres, de contingência operacional ou de continuidade de negócios.A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de contingência como sinônimo da solução, quando, na verdade, o conceito do dicionário é de que se trata do problema em si.”(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou- recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/>. Acesso em: 25 out. 2018.) Defina plano de recuperação de desastres. Resposta: É o plano que uma empresa faz para documentar formalmente seus principais ativos/bens que são essenciais para o funcionamento e continuidade das principais atividades e sistemas críticos da empresa Justificativa: Expectativa de resposta:Plano de recuperação de desastres é a documentação formal de recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas) críticos (exigidos para funcionamento) da organização. Essa criticidade é indicada pela análise do tempo de tolerância (por quanto tempo o ativo ou processo pode ser interrompido sem que acarrete perdas significativas para a organização) e pelo custo de parada. 8 Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de “contingência” como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia- continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse plano. Resposta: Um Plano de Contingência é quando uma empresa define caminhos/fluxosalternativos para lidar com situações que impactem o bom funcionamento do caminho/fluxo principal e ideal. É como se fosse um plano B, e faz parte do Plano de Recuperação de Desastres. Exemplo: Pegou fogo no prédio onde fica o servidor principal da empresa. Um plano de contingência seria manter servidores alternativos com backups atualizados e utiliza-los para evitar indisponibilidade do serviço. Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de processos alternativos para atuação da empresa durante um evento que afete as atividades normais (ou aplicativos), necessários para funcionamento da organização. 2,00/ 2,00
Compartilhar