SEGURANÇA E AUDITORIA DE SISTEMAS A2

Prévia do material em texto

16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 1/8
Local: Sala 1 - Sala de Aula / Andar / Polo Madureira / POLO MADUREIRA - RJ
Acadêmico: EAD-IL10317-20224A
Aluno: FABÍOLA DA SILVA RODRIGUES DOS SANTOS
Avaliação: A2-
Matrícula: 20222302413
Data: 3 de Dezembro de 2022 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 10,00/10,00
1  Código: 32265 - Enunciado: É sabido que, atualmente, existe um volume gigantesco de
informações circulando, dado ao grande avanço da internet, dos sistemas e dos aplicativos
pessoais e empresariais existentes. Isso traz benefícios, mas também malefícios caso mal
estruturados. Sendo assim, é importante que haja uma reflexão do que efetivamente devemos
acessar e o que realmente precisamos enviar de informação, tanto no contexto pessoal como
também no empresarial.Diante do exposto, leia as afirmativas a seguir:I - A segurança da
informação é o conceito por trás da defesa dos dados.II - É natural e saudável que os dados sejam
sigilosos, embora sempre exista o risco de alguma informação vazar.III - A segurança da
informação nada mais é do que políticas, processos e métodos em uma empresa.III - Nos dias
atuais, é essencial a existência de um departamento de TI (Tecnologia da Informação) nas
empresas preparado para dar conta da segurança da informação.
É correto o que se afirma em:
 a) I, II e III, apenas.
 b) I, II, III e IV.
 c) I e II, apenas.
 d) II, III e IV, apenas.
 e) I, III e IV, apenas.
Alternativa marcada:
b) I, II, III e IV.
Justificativa: Resposta correta: I, II, III e IV.I - A segurança da informação é o conceito por trás da
defesa dos dados.
Correto, pois ele atua diretamente em prol da defesa dos dados e/ou informações.II - É natural e
saudável que os dados sejam sigilosos, embora sempre exista o risco de alguma informação
vazar.
Correto, pois apesar de todo o sigilo, a empresa necessita de um departamento de TI para tratar
das políticas, dos métodos e dos processos de segurança da informação da empresa.III - A
segurança da informação nada mais é do que políticas, processos e métodos em uma empresa.
Correto, pois as políticas, os métodos e os processos estão ligados para garantir a integridade da
informação da empresa.III - Nos dias atuais, é essencial a existência de um departamento de TI
(Tecnologia da Informação) nas empresas preparado para dar conta da segurança da informação.
Correto, pois toda empresa necessita de uma área de TI para garantir a segurança de seus dados
e/ou informações.
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 2/8
2  Código: 31851 - Enunciado: Cuidar das infecções de vírus no computador é uma das tarefas mais
chatas. Ao baixar um arquivo ou conectar um pen drive, você pode ter seu computador infectado
por um vírus que pode desde utilizar sua internet quanto quebrar o sistema operacional,
impedindo o de ligar.Existem muitos tipos de infecções e malwares para computadores, que
podem fazer muito mal ao computador, quebrando o disco rígido até serem silenciosos e capazes
de roubar seus dados, fotos e senhas.(Fonte:http://www.vejaisso.com/10-tipos-de-virus-de-
computador-sintomas-do-pc-com-virus-e-malwares/)Indique quais itens a seguir são suspeitas
de infecção por um vírus ou worm:I. Computador fica lento.II. Novos arquivos aparecem no
Windows Explorer.III. Computar reinicia sozinho.IV. Erros do Windows frequentemente.V. Não é
possível atualizar ou instalar antivírus.
 a) I, II, III e IV apenas.
 b) II, III, IV e V apenas.
 c) III, IV e V apenas.
 d) I, II e V apenas.
 e) I, II, III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: GabaritoI. Computador fica lento. Correto, pois o vírus afeta a parte do
processamento do computador.II. Novos arquivos aparecem no Windows Explorer. Correto, pois
o vírus cria novos ícones.III. Computar reinicia sozinho. Correto, pois o vírus pode atuar na área
de boot do computador.IV. Erros do Windows frequentemente. Correto, pois o vírus afeta o
sistema operacional do computador.V. Não é possível atualizar ou instalar antivírus. Correto, pois
ele próprio cria bloqueios contra essses aplicativos.
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 3/8
3  Código: 32056 - Enunciado: "Inicialmente, grande parte dos acessos à Internet eram realizados
por meio de conexão discada com velocidades que dificilmente ultrapassavam 56 Kbps. O
usuário, de posse de um modem e de uma linha telefônica, se conectava ao provedor de acesso e
mantinha esta conexão apenas pelo tempo necessário para realizar as ações que dependessem
da rede. Desde então, grandes avanços ocorreram e novas alternativas surgiram, sendo que
atualmente grande parte dos computadores pessoais ficam conectados à rede pelo tempo em
que estiverem ligados e a velocidades que podem chegar a até 100 Mbps."Fonte: Cartilha de
Segurança na Internet. Centro de Estudos, Resposta e Tratamento de incidentes de Segurança do
Brasil. Disponível em: <https://cartilha.cert.br/redes/> Acesso: 27 de nov. de 2019.Dessa forma, o
aumento da tecnologia por parte dos avanços da Internet vem nos deixando cada vez mais
vulneráveis e, para isso, cuidados são importantes quando realizamos uma determinada
conexão.Ao conectar o seu computador à rede, ele pode estar sujeito a ameaças. Nesse contexto,
identifique as ameaças que o computador pode estar sujeito ao se conectar à rede:I - Furto de
dados.
II - Uso indevido de recursos.
III - Varredura.
IV - Interceptação de tráfego.
V - Exploração de vulnerabilidades.Estão corretos os itens: 
 a) II, III, e IV, apenas.
 b) I, II, III, IV e V.
 c) I, II e III, apenas.
 d) III, IV e V, apenas.
 e) I, III e IV, apenas.
Alternativa marcada:
b) I, II, III, IV e V.
Justificativa: Resposta: I, II, III, IV, VFurto de dados. Correto, pois informações pessoais e outros
dados podem ser obtidos tanto pela interceptação de tráfego como pela exploração de possíveis
vulnerabilidades existentes em seu computador pessoal ou de trabalho.Uso indevido de
recursos. Correto, pois um hacker pode obter o acesso em um computador conectado à uma
determinada rede e utilizá-lo para a prática de atividades maliciosas, como obter arquivos,
disseminar spans, propagar códigos maliciosos, desferir ataques e assim também poderá
esconder a real identidade do atacante.Varredura. Correto, pois um hacker pode realizar
varreduras na rede, com o propósito de descobrir outros computadores e, então, promover a
execução de ações maliciosas, como ganhar acesso e explorar vulnerabilidades.Interceptação de
tráfego. Correto, pois um hacker, que venha consiga um acesso à rede, pode tentar fazer a
interceptação do tráfego e, então, coletar dados que estejam sendo transmitidos sem o uso
devido de uma criptografia.Exploração de vulnerabilidades. Correto, pois um computador
determinado pode ser infectado ou ser invadido e, sem que o proprietário tenha ciência,
participar de ataques, ter dados indevidamente coletados e ser usado para a propagação de
códigos maliciosos. 
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 4/8
4  Código: 32272 - Enunciado: A norma ISO 27001 estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e
tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança
da informação; organização da segurança da informação; gestão de ativos; segurança em
recursos humanos; segurança física e do ambiente; gestão das operações e comunicações;
controle de acesso;aquisição, desenvolvimento e manutenção de sistemas de informação;
gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e
conformidade. Essas seções totalizam trinta e nove categorias principais de segurança, e cada
categoria contém um objetivo de controle e um ou mais controles que podem ser aplicados, bem
como algumas diretrizes e informações adicionais para a sua implementação.(Fonte:
https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/)O texto acima retrata qual ponto do sistema de
gestão de segurança da informação? 
 a) Elaborando a política de segurança.
 b) Backup.
 c) Segurança física.
 d) Vulnerabilidade.
 e) Risco.
Alternativa marcada:
a) Elaborando a política de segurança.
Justificativa: GabaritoElaborando a política de segurança. Correto, pois deve-se formar um
comitê de segurança da informação, constituído por profissionais de diversos departamentos,
como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for
necessário.DistratoresRisco. Errado, pois com relação a segurança, os riscos são compreendidos
como condições que criam ou aumentam o potencial de danos e perdas. É medido pela
possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado, pois a ISO/IEC
27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais
longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de
backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de
paralisação na ocorrência de um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o
acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para
proteger as áreas que contenham informações e instalações de processamento da informação,
segundo a ISO/IEC 27002:2005 (2005).Vulnerabilidade. Errado, pois a vulnerabilidade como uma
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser
exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais
princípios da segurança da informação. 
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 5/8
5  Código: 32279 - Enunciado: "A fraude corporativa é um câncer que existe em praticamente todas
as organizações. O percentual de organizações e a maneira como cada organização é afetada,
variam de pesquisa para pesquisa, mas sempre os percentuais são altos. A Kroll Advisory, em
recente trabalho indica que 74% das empresas latinas americanas são afetadas por fraudes
corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco importa. Para
você este percentual se torna 100%. Sua organização é o que existe de mais importante.
Para ser efetiva no combate a fraude, é mandatório que a organização considere o processo de
segurança da informação. Este processo é um elemento eficiente/eficaz em função dos controles
que ele exige e quando bem gerenciado possibilita que organização minimize o risco de
fraude."Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes!
Disponível em: <http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso
em 27 de nov. de 2019.Alguns controles do Processo de Segurança da Organização são de
excelência crítica para o combate à fraude corporativa. Identifique as alternativas que
caracterizam este controle:I - Identificação, autenticação e autorização do usuário.
II - Registro do que acontece no ambiente e gestão sobre estes registros.
III - Gestão de recursos e dependência operacional.
É correto o que se afirma em:
 a) II e III, apenas.
 b) I, II e III.
 c) III, apenas.
 d) I, apenas.
 e) II, apenas.
Alternativa marcada:
b) I, II e III.
Justificativa: Resposta: I, II e III.I - Identificação, autenticação e autorização do usuário. Correto,
pois o usuário precisa ter identificação única, intransferível e válida apenas enquanto o usuário
está ativo no ambiente da informação. II - Registro do que acontece no ambiente e gestão sobre
estes registros. Correto, pois os acessos realizados pelo usuário devem ser registrados bem como
as alterações realizadas nas informações. III - Gestão de recursos e dependência operacional.
Correto, pois o Processo de Segurança da Informação exige que exista uma gestão de recursos e
uma identificação de dependência.
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 6/8
6  Código: 31849 - Enunciado: "Em uma auditoria os objetivos de controle são estabelecidos com
base nas atividades da entidade, seu tamanho, qualidade de seus sistemas e controle interno e
competência de sua administração. É necessário que o auditor tenha um modelo normativo de
como as atividades devem estar sendo feitas. Assim, deve-se levar em conta as atividades das
pessoas, órgãos e produtos da entidade de modo que tais atividades não se desviem das normas
preestabelecidas pela organização. Objetos de controle são metas de controle a serem
alcançadas ou efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria.
Assim, os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado.
Existem diversas áreas que esses objetivos podem contemplar, como segurança, atendimento a
solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos
usuários e outsourcing."(Fonte: FONSECA, G. Auditoria de sistemas de informação - Conheça mais
sobre o assunto. Profissionais TI. 19/04/2012. Disponível em:
https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-conheca-
mais-sobre-o-assunto/. Acesso em: 22 nov. 2019.)
Segundo o COBIT (Control Objectives for Information and related Technology), as metas a serem
alcançadas em uma auditoria de sistemas de informação se enquadram nos itens a seguir:I-
Estrutura de gerenciamento de programa.
II- Estrutura de gerenciamento de projeto.
III- Abordagem de gerenciamento de projeto.
IV- Comprometimento dos participantes.
V- Escopo do projeto.Identifique os itens corretos:
 a) I, III, IV e V, apenas.
 b) I, II, IV e V, apenas.
 c) I, II e III, apenas.
 d) III, IV e V, apenas.
 e) I, II, III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Estrutura de gerenciamento de programa. Correta.
Determina uma padronização que permitirá uma organização maior no programa.Estrutura de
gerenciamento de projeto. Correta. Determina uma padronização que permitirá uma organização
e um desenvolvimento mais organizado nos projetos de TI da empresa.Abordagem de
gerenciamento de projeto. Correta. Fomenta a estrutura na concepção dos projetos de
TI.Comprometimento dos participantes. Correta. O envolvimento dos participantes deve ser
plano.Escopo do projeto. Correta. Determina na íntegra o que o projeto realmente deverá
executar.
1,00/ 1,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 7/8
7  Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p.
21) “A informação é elemento essencial para todos os processos de negocio da organização,
sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se
tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a
finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se
necessária a implementação de políticas de se segurança da informação que busquemreduzir as
chances de fraudes ou perda de informações.
(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-
definicao-importancia-elaboracao-e-implementacao/)Diante da importância da informação e da
necessidade de uma política de segurança de informação, defina política de segurança da
informação.
Resposta:
A política de segurança da informação (PSI) pode ser definida como um documento que reúne
um conjunto de ações, técnicas e boas práticas para o uso seguro de dados empresariais.
Justificativa: Expectativa de respostaPode-se definir a política de segurança como um
documento que estabelece princípios, valores, compromissos, requisitos, orientações e
responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção
para as informações. Ela é basicamente um manual de procedimentos que descreve como os
recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança
da informação.
2,00/ 2,00
8  Código: 32284 - Enunciado: Há ótimas razões para que haja a celebração quanto aos progressos
atingidos nos programas de auditoria estabelecidos do Sistema de Gestão da Segurança da
Informação – SGSI, sem ter a ilusão de que o caminho está estabelecido. O Comitê Brasileiro
sobre as Normas de Gestão de Segurança da Informação (série 27000), que participa do processo
de desenvolvimento de padrões internacionais por meio da International Organization for
Standardization – ISO, está focado no trabalho para o desenvolvimento de duas normatizações
que têm dois importantes objetivos. Com base no texto apresentado, descreva quais são os dois
importantes objetivos citados.
Resposta:
1. Prover orientações para gerenciamento do programa de auditoria do Sistema de Gestão
da Segurança da Informação e a condução de auditorias internas e externas de acordo
com a ISO/IEC 27001:2005 (Sistema de gestão de segurança da informação - Requisitos),
em adição e complemento àquelas contidas na ISO 19011 (Diretrizes para auditorias de
sistemas de gestão da qualidade e /ou ambiental);
2. Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de
Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002
Justificativa: Expectativa de resposta:1) Prover orientação para o gerenciamento do programa
de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias
internas e externas, de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da
informação – Requisitos), em adição e complemento àquelas contidas na ISO 19011 (Diretrizes
para auditorias de sistema de gestão da qualidade e/ou ambiental); e2) Orientar os processos de
auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em
harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.Fonte:
https://www.iso.org/standard/42103.html.
2,00/ 2,00
16/12/2022 10:39 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/7952752/85ee328a-ccf5-11ec-b931-0242ac110018/ 8/8