A2 AV2 SEGURANCA E AUDITORIA DE SISTEMAS

Prévia do material em texto

04/12/2022 22:26 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 1/5
Local: Sala 1 - TJ - Prova On-line / Andar / Polo Tijuca / POLO UVA TIJUCA 
Acadêmico: EAD-IL10317-20214A
Aluno: ELEN PIRES DE ARAÚJO 
Avaliação: A2-
Matrícula: 20203301257 
Data: 25 de Novembro de 2021 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 9,00/10,00
1  Código: 32272 - Enunciado: A norma ISO 27001 estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e
tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da
informação; organização da segurança da informação; gestão de ativos; segurança em recursos
humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de
acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de
incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade.
Essas seções totalizam trinta e nove categorias principais de segurança, e cada categoria contém
um objetivo de controle e um ou mais controles que podem ser aplicados, bem como algumas
diretrizes e informações adicionais para a sua implementação.(Fonte:
https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/)O texto acima retrata qual ponto do sistema de
gestão de segurança da informação? 
 a) Vulnerabilidade.
 b) Backup.
 c) Segurança física.
 d) Risco.
 e) Elaborando a política de segurança.
Alternativa marcada:
d) Risco.
Justificativa: GabaritoElaborando a política de segurança. Correto, pois deve-se formar um
comitê de segurança da informação, constituído por profissionais de diversos departamentos,
como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for
necessário.DistratoresRisco. Errado, pois com relação a segurança, os riscos são compreendidos
como condições que criam ou aumentam o potencial de danos e perdas. É medido pela
possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado, pois a ISO/IEC
27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais
longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de
backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de
paralisação na ocorrência de um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o
acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para
proteger as áreas que contenham informações e instalações de processamento da informação,
segundo a ISO/IEC 27002:2005 (2005).Vulnerabilidade. Errado, pois a vulnerabilidade como uma
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser
exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais
princípios da segurança da informação. 
0,00/ 1,00
2  Código: 31850 - Enunciado: Um dos processos de que podemos tratar é o de auditoria no âmbito
de uma empresa telefônica. Esse é um passo vital para determinar, entre várias demandas
apresentadas, quais seriam os referidos valores que estão sendo cobrados indevidamente para
um consumidor ou o que tem gerado vários gastos desnecessários. Dessa forma, temos as
1,00/ 1,00
04/12/2022 22:26 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 2/5
ferramentas de tecnologia da informação, que são grandes aliadas para o processo das
organizações que demandam executar ações dessa natureza. Isso é fato, uma vez que a
tecnologia passou a ser amplamente adotada no setor corporativo, tendo em consideração a sua
grande contribuição para solucionar os mais diversos tipos de demandas/problemas, sobretudo
quando a resolução requer uma boa análise de informações.Nesse contexto, identifique quais das
ferramentas de TI a seguir ajudam na auditoria telefônica. I - COBIT. 
II - ITIL. 
III - PMBOK. 
IV - IDEA. 
V - LARAVEL.Estão corretas:
 a) I, III e IV, apenas.
 b) II, IV e V, apenas.
 c) II, III e V, apenas.
 d) II, III e IV, apenas.
 e) I, II e IV, apenas.
Alternativa marcada:
a) I, III e IV, apenas.
Justificativa: Resposta correta: I, III e IV, apenas.COBIT. Correto, pois é conhecido como um
documento no qual é apresentado um modelo de framework, ou seja, uma junção de códigos que
promove uma funcionalidade genérica — que pode ser adaptada a processos específicos.PMBOK.
Correta. É preciso considerar as melhores práticas de gerenciamento destinadas a todos os tipos
de projeto. É possível ver no PMBOK um excelente complemento para uma análise estratégica das
contas com telefonia de uma empresa.IDEA. Correta. Entra nessa lista de ferramentas de TI, com
ênfase na extração e análise de dados — muito utilizado para detecção de fraudes e
inconformidades com as políticas de controle interno. Distratores:ITIL. Incorreta. É um conjunto
de boas práticas para serem aplicadas na infraestrutura, operação e gerenciamento de serviços
de tecnologia da informação (ITSM).LARAVEL. Incorreta. É um framework de desenvolvimento
rápido para PHP, livre e de código aberto.
3  Código: 31844 - Enunciado: “ISO/IEC 17799/2007-27002 É uma norma de segurança da
informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece
princípios para a gestão de segurança da informação de uma organização e também pode servir
como um guia prático de desenvolvimento de procedimentos para
empresas.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso
em: 30 out. 2018.) Identifique as principais seções: Avaliação de risco. Política de segurança.
Organização da segurança da informação. Gerência de recursos. Segurança dos recursos
humanos.
 a) I, II, IV e V.
 b) I, II, III, IV e V.
 c) I, II, III e IV.
 d) II, III, IV e V.
 e) III, IV e V.
Alternativa marcada:
b) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Avaliação de risco. Correta. É preciso mensurar os
problemas que podem acontecer.Política de segurança. Correta. É preciso que a empresa esteja já
com plano estratégico para contingência de invasão.Organização da segurança da informação.
Correta. É preciso que haja todo um planejamento para a política de segurança da
informação.Gerência de recursos. Correta. A empresa precisa ter em seu orçamento o
investimento necessário em tecnologia.Segurança dos recursos humanos. Correta. Os
1,00/ 1,00
04/12/2022 22:26 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 3/5
funcionários precisam estar cientes de como funciona a política de segurança de sua empresa,
evitando, assim, acessos indevidos.
4  Código: 33228 - Enunciado: Objetos de controle são metas de controle a serem alcançadas ou
efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim, os
objetivos de controle são detalhados conforme o enfoque ao qual está relacionado. Existem
diversas áreas que esses objetivos podem contemplar, como segurança, atendimento a
solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos
usuários e outsourcing (Disponível em: <https://www.profissionaisti.com.br/2012/04/auditoria-
de-sistemas-de-informacao-conheca-mais-sobre-o-assunto/>. Acesso em: 8 out. 2018). Diante do
cenário, uma das caracterísiticas fundamentais para uma boa auditoria dentro da governança de
TI é a implementação bem estruturada do framework COBIT. Segundo o COBIT, as metas a serem
alcançadas em uma auditoria de sistemas de informação se enquadrarãoem quais dos itens a
seguir? I- Recursos do projeto.II- Gerenciamento de riscos do projeto.III- Planejamento do projeto
integrado.
 a) II e III apenas.
 b) I e III, apenas.
 c) I, apenas.
 d) I e II, apenas.
 e) I, II e III apenas.
Alternativa marcada:
e) I, II e III apenas.
Justificativa: Resposta correta: I, II e III apenas.Recursos do projeto. Correta. Para um bom
processo de auditoria, é importante que a meta tenha um olhar atento para os recursos
estabelecidos em um projeto. Assim, é possível verificar se o que foi estipulado é o que foi
implementado.Gerenciamento de riscos do projeto. Correta. É preciso estabelecer se todos os
gerenciamentos de riscos descritos foram contemplados na implantação do projeto, evitando
assim problemas futuros.Planejamento do projeto integrado. Correta. Tudo aquilo que foi
planejado é o que deve ser efetivamente implementado para que o projeto alcance seu sucesso.
1,00/ 1,00
5  Código: 32271 - Enunciado: "Para que a cultura da empresa seja mudada em relação à segurança
da informação, é fundamental que os funcionários estejam preparados para a mudança, por meio
de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento
direcionado. (FREITAS E ARAUJO, 2008, P. 47). A política deve ser escrita de forma clara, não
gerando qualquer dúvida entre os usuários. Todos os funcionários da organização, incluindo
aqueles que são terciários e prestadores de serviço, deverão receber um treinamento adequado
para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002 (2005), os usuários
devem estar cientes das ameaças e das vulnerabilidades de segurança da informação e estejam
equipados para apoiar a política de segurança da informação da organização durante a execução
normal do trabalho."Fonte: Politica de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.Com base no texto
exposto, assinale o ponto do sistema de gestão de segurança da informação retratado:
 a) Preparação do Backup.
 b) Implantação da política de segurança.
 c) Compreensão de ativos.
 d) Utilização da Segurança física.
 e) Definição de Risco.
Alternativa marcada:
1,00/ 1,00
04/12/2022 22:26 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 4/5
b) Implantação da política de segurança.
Justificativa: Resposta correta: Implantação da política de segurança.Correto, pois toda e
qualquer empresa necessita que uma política de segurança seja implementada para garantir a
segurança das informações. 
Distratores:Compreensão de ativos. 
Incorreto, pois deve-se formar um comitê de segurança da informação, constituído por
profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura,
recursos humanos e outro que for necessário.Utilização da Segurança física.
Incorreto, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados
perímetros de segurança para proteger as áreas que contenham informações e instalações de
processamento da informação, segundo a ISO/IEC 27002:2005(2005).Preparação do Backup. 
Incorreto, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado
em outro local, o mais longe possível do ambiente atual, como em outro prédio. É evidente que o
procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das
operações em caso de paralisação na ocorrência de um sinistro.Definição de Risco. 
Incorreto, pois com relação a segurança, os riscos são compreendidos como condições que criam
ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a
acontecer e produzir perdas.Fonte: Politica de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.
6  Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários
vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão.
Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que os
serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção excessiva.
Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo planos,
procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida e
efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a
seguir:I - Falhas no equipamento. 
II - Roubo. 
III - Cibercrime. 
IV - Impactos ambientais. 
V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma
empresa:
 a) I, III, IV e V.
 b) II, III, IV e V.
 c) I, II, III, IV e V.
 d) II, IV e V.
 e) I, II, IV e V.
Alternativa marcada:
c) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que
danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que
a empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na
página da empresa, nas redes sociais da empresa e também no acesso a informações
sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos
processos de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do
ambiente de segurança da empresa é o próprio funcionário.
1,00/ 1,00
2,00/ 2,00
04/12/2022 22:26 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6747146/7d0e871e-de72-11ea-bf83-0242ac11002d/ 5/5
7  Código: 31841 - Enunciado: “A maior parte das empresas tem dúvidas exatamente sobre o que
desejam contratar: não sabem se precisam de um plano de recuperação de desastres, de
contingência operacional ou de continuidade de negócios.A confusão é comum e mais que
normal, considerando-se que o mercado insiste em falar de contingência como sinônimo da
solução, quando, na verdade, o conceito do dicionário é de que se trata do problema em
si.”(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou-
recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/>. Acesso em: 25 out. 2018.) Defina
plano de recuperação de desastres.
Resposta:
É o plano que uma empresa faz para documentar formalmente seus principais ativos/bens que
são essenciais para o funcionamento e continuidade das principais atividades e sistemas críticos
da empresa
Justificativa: Expectativa de resposta:Plano de recuperação de desastres é a documentação
formal de recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas)
críticos (exigidos para funcionamento) da organização. Essa criticidade é indicada pela análise do
tempo de tolerância (por quanto tempo o ativo ou processo pode ser interrompido sem que
acarrete perdas significativas para a organização) e pelo custo de parada.
8  Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente
sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de
Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e
mais que normal, considerando-se que o mercado insiste em falar de “contingência”
como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do
problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia-
continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse
cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse
plano.
Resposta:
Um Plano de Contingência é quando uma empresa define caminhos/fluxosalternativos para lidar
com situações que impactem o bom funcionamento do caminho/fluxo principal e ideal. É como
se fosse um plano B, e faz parte do Plano de Recuperação de Desastres. Exemplo: Pegou fogo no
prédio onde fica o servidor principal da empresa. Um plano de contingência seria manter
servidores alternativos com backups atualizados e utiliza-los para evitar indisponibilidade do
serviço.
Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro
do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de
processos alternativos para atuação da empresa durante um evento que afete as atividades
normais (ou aplicativos), necessários para funcionamento da organização. 
 
2,00/ 2,00