A2 Segurança e Auditoria de Sistemas

Prévia do material em texto

Local: 01 - POLO NITERÓI II - RJ - Sala 01 / Andar / POLO NITERÓI II - RJ / POLO NITERÓI II - RJ 
Acadêmico: EAD-IL10317-20222B
Aluno: EDUARDO FERREIRA TRINDADE 
Avaliação: A2-
Matrícula: 20211302973 
Data: 30 de Junho de 2022 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 9,90/10,00
1  Código: 31851 - Enunciado: Cuidar das infecções de vírus no computador é uma das tarefas mais
chatas. Ao baixar um arquivo ou conectar um pen drive, você pode ter seu computador infectado
por um vírus que pode desde utilizar sua internet quanto quebrar o sistema operacional,
impedindo o de ligar.Existem muitos tipos de infecções e malwares para computadores, que
podem fazer muito mal ao computador, quebrando o disco rígido até serem silenciosos e capazes
de roubar seus dados, fotos e senhas.(Fonte:http://www.vejaisso.com/10-tipos-de-virus-de-
computador-sintomas-do-pc-com-virus-e-malwares/)Indique quais itens a seguir são suspeitas
de infecção por um vírus ou worm:I. Computador fica lento.II. Novos arquivos aparecem no
Windows Explorer.III. Computar reinicia sozinho.IV. Erros do Windows frequentemente.V. Não é
possível atualizar ou instalar antivírus.
 a) III, IV e V apenas.
 b) II, III, IV e V apenas.
 c) I, II e V apenas.
 d) I, II, III, IV e V.
 e) I, II, III e IV apenas.
Alternativa marcada:
d) I, II, III, IV e V.
Justificativa: GabaritoI. Computador fica lento. Correto, pois o vírus afeta a parte do
processamento do computador.II. Novos arquivos aparecem no Windows Explorer. Correto, pois
o vírus cria novos ícones.III. Computar reinicia sozinho. Correto, pois o vírus pode atuar na área
de boot do computador.IV. Erros do Windows frequentemente. Correto, pois o vírus afeta o
sistema operacional do computador.V. Não é possível atualizar ou instalar antivírus. Correto, pois
ele próprio cria bloqueios contra essses aplicativos.
1,00/ 1,00
2  Código: 32271 - Enunciado: "Para que a cultura da empresa seja mudada em relação à
segurança da informação, é fundamental que os funcionários estejam preparados para a
mudança, por meio de avisos, palestras de conscientização, elaboração de guias rápidos de
consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A política deve ser escrita
de forma clara, não gerando qualquer dúvida entre os usuários. Todos os funcionários da
organização, incluindo aqueles que são terciários e prestadores de serviço, deverão receber um
treinamento adequado para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002
(2005), os usuários devem estar cientes das ameaças e das vulnerabilidades de segurança da
informação e estejam equipados para apoiar a política de segurança da informação da
organização durante a execução normal do trabalho."Fonte: Politica de Segurança da
Informação: Definição, Importância, Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.Com base no texto
exposto, assinale o ponto do sistema de gestão de segurança da informação retratado:
 a) Implantação da política de segurança.
 b) Utilização da Segurança física.
 c) Preparação do Backup.
 d) Definição de Risco.
 e) Compreensão de ativos.
1,00/ 1,00
Alternativa marcada:
a) Implantação da política de segurança.
Justificativa: Resposta correta: Implantação da política de segurança.Correto, pois toda e
qualquer empresa necessita que uma política de segurança seja implementada para garantir a
segurança das informações. 
Distratores:Compreensão de ativos. 
Incorreto, pois deve-se formar um comitê de segurança da informação, constituído por
profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura,
recursos humanos e outro que for necessário.Utilização da Segurança física.
Incorreto, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados
perímetros de segurança para proteger as áreas que contenham informações e instalações de
processamento da informação, segundo a ISO/IEC 27002:2005(2005).Preparação do Backup. 
Incorreto, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado
em outro local, o mais longe possível do ambiente atual, como em outro prédio. É evidente que
o procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das
operações em caso de paralisação na ocorrência de um sinistro.Definição de Risco. 
Incorreto, pois com relação a segurança, os riscos são compreendidos como condições que criam
ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a
acontecer e produzir perdas.Fonte: Politica de Segurança da Informação: Definição, Importância,
Elaboração e Implementação. Disponível em:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/> Acesso em 26 de nov. de 2019.
3  Código: 31850 - Enunciado: Um dos processos de que podemos tratar é o de auditoria no âmbito
de uma empresa telefônica. Esse é um passo vital para determinar, entre várias demandas
apresentadas, quais seriam os referidos valores que estão sendo cobrados indevidamente para
um consumidor ou o que tem gerado vários gastos desnecessários. Dessa forma, temos as
ferramentas de tecnologia da informação, que são grandes aliadas para o processo das
organizações que demandam executar ações dessa natureza. Isso é fato, uma vez que a
tecnologia passou a ser amplamente adotada no setor corporativo, tendo em consideração a sua
grande contribuição para solucionar os mais diversos tipos de demandas/problemas, sobretudo
quando a resolução requer uma boa análise de informações.Nesse contexto, identifique quais
das ferramentas de TI a seguir ajudam na auditoria telefônica. I - COBIT. 
II - ITIL. 
III - PMBOK. 
IV - IDEA. 
V - LARAVEL.Estão corretas:
 a) I, II e IV, apenas.
 b) I, III e IV, apenas.
 c) II, III e V, apenas.
 d) II, IV e V, apenas.
 e) II, III e IV, apenas.
Alternativa marcada:
b) I, III e IV, apenas.
Justificativa: Resposta correta: I, III e IV, apenas.COBIT. Correto, pois é conhecido como um
documento no qual é apresentado um modelo de framework, ou seja, uma junção de códigos
que promove uma funcionalidade genérica — que pode ser adaptada a processos
específicos.PMBOK. Correta. É preciso considerar as melhores práticas de gerenciamento
destinadas a todos os tipos de projeto. É possível ver no PMBOK um excelente complemento para
uma análise estratégica das contas com telefonia de uma empresa.IDEA. Correta. Entra nessa
1,00/ 1,00
lista de ferramentas de TI, com ênfase na extração e análise de dados — muito utilizado para
detecção de fraudes e inconformidades com as políticas de controle interno. Distratores:ITIL.
Incorreta. É um conjunto de boas práticas para serem aplicadas na infraestrutura, operação e
gerenciamento de serviços de tecnologia da informação (ITSM).LARAVEL. Incorreta. É um
framework de desenvolvimento rápido para PHP, livre e de código aberto.
4  Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários
vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão.
Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que
os serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção
excessiva. Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo
planos, procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida
e efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a
seguir:I - Falhas no equipamento. 
II - Roubo. 
III - Cibercrime. 
IV - Impactos ambientais. 
V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma
empresa:
 a) II, IV e V.
 b) I, III, IV e V.
 c) I, II, IV e V.
 d) II, III, IV e V.
 e) I, II,III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que
danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que
a empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na
página da empresa, nas redes sociais da empresa e também no acesso a informações
sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos
processos de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do
ambiente de segurança da empresa é o próprio funcionário.
1,00/ 1,00
5  Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para
se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e
tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança
da informação; organização da segurança da informação; gestão de ativos; segurança em
recursos humanos; segurança física e do ambiente; gestão das operações e comunicações;
controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação;
gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e
conformidade.Indique qual norma está sendo abordada no texto.
 a) ISO 10011.
 b) ISO 9001.
 c) ISO 27001.
 d) ISO 9004.
 e) ISO 9000.
Alternativa marcada:
1,00/ 1,00
c) ISO 27001.
Justificativa: GabaritoISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma
organização. Todo o seu processo de organização permite qe o trâmite executado no sistema
garante toda a integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é
uma norma de padronização para um determinado serviço ou produto. Esta norma faz parte do
conjunto de normas designado ISO 9000 e pode ser implementada por organizações de qualquer
tamanho, independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas
de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a
base de um sistema de gerenciamento da qualidade e definem a terminologia global. 
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a
melhoria do desempenho. Esta norma, prevista para uso interno e não com fins contratuais,
versa principalmente sobre a melhoria contínua dos desempenhos. 
ISO 10011. Errado, pois pertence a linhas diretivas para a auditoria dos sistemas de gestão da
qualidade e/ou de gestão ambiental. 
6  Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada,
como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem
ser alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não
autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e
corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-
de-seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro
queira invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas
que remetem a isso e marque a alternativa que as apresenta: Utilização para fim de práticas
ilegais. Utilização do computador de outros para promover ataques. Destruição de informações.
Furto de números de cartões de crédito e senhas de banco. Furto de informações salvas nas
máquinas. 
 a) I, III, IV e V.
 b) I, II, III, IV e V.
 c) II, III, IV e V.
 d) I, II, III e IV.
 e) I, II, III e V.
Alternativa marcada:
b) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta.
A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização
do computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro
usuário fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta.
Com acesso ao HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de
cartões de crédito e senhas de banco. Correta. O hacker se utiliza dessas informações para furtar
dinheiro.Furto de informações salvas nas máquinas. Correta. O usuário pode ter várias
informações importantes tanto de cunho quanto profissional. 
1,00/ 1,00
7  Código: 32281 - Enunciado: "A auditoria, atuando de forma independente e sistemática na
organização, deve focar sua atividade prioritariamente na avaliação dos processos de
governança, gestão de riscos e controle e, de forma complementar, na avaliação das principais
atividades, processos e produtos da organização, especialmente aqueles considerados vitais
para atingir os objetivos estratégicos. Com esse foco, a auditoria proporcionará relativa
segurança às partes interessadas na condução dos negócios da empresa. A auditoria de sistemas,
1,90/ 2,00
por sua vez, está relacionada à avaliação dos sistemas de informação e dos recursos tecnológicos
que englobam o processo de geração, guarda e disponibilização da informação."(Fonte: TERUEL,
E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas características. Centro
Paula Souza. Pós-graduação. Disponível em: http://www.portal.cps.sp.gov.br/pos-
graduacao/workshop-de-pos-graduacao-e-pesquisa/anais/2010/trabalhos/gestao-e-
desenvolvimento-de-tecnologias-da-informacao-aplicadas/trabalhos-completos/teruel-
evandro-carlos.pdf. Acesso em: 26 nov. 2019.) 
Nesse contexto, cite pelo menos três ferramentas de auditoria utilizadas em empresas de todo o
mundo.
Resposta:
Audimation
IDEA
Galileo
ACL
Justificativa: Expectativa de resposta:1. Audit Command Language (ACL). 
2. Interactive Data Extraction & Analisys (IDEA). 
3. Audimation. 
4. Galileo. 
5. Pentana.
8  Código: 31852 - Enunciado: "Milhões de bits e bytes de informação circulam na internet
diariamente. Nunca na história tivemos uma ferramenta tão democrática na hora de publicar e
de consumir conteúdo. Mas tudo tem seu limite, e talvez seja o momento de repensar aquilo que
você envia para a grande rede. Você já refletiu sobre a quantidade de informações a seu respeito
que estão disponíveis por aí, a partir de um simples “Buscar” no so�ware de busca na Web?"
(Fonte: VELOSO, T. O que é segurança da informação? Tecnoblog. 04/12/2010. Disponível em:
https://tecnoblog.net/43829/o-que-e-seguranca-da-informacao/. Acesso: 22 nov. 2019). 
Diante desse apontamento, defina o conceito de segurança da informação.
Resposta:
O conceito de segurança da informação está totalmente atrelado à proteção dos dados, e tem o
intuito de garantir a disponibilidade desses dados exclusivamente àqueles autorizados a acessá-
los. 
Justificativa: Expectativa de resposta:A segurança da informação é o que está por trás da defesa
dos dados, detalhes e afins, para assegurar que eles estejam acessíveis somente aos seus
responsáveis de direito ou às pessoas às quais foram enviados.
2,00/ 2,00