Segurança da Informação e Auditoria de TI

Prévia do material em texto

6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 1/7 
Prova Impressa 
GABARITO | Avaliação Final (Objetiva) - Individual 
(Cod.:745146) 
Peso da Avaliação 3,00 
Prova 
Qtd. de Questões 12 
Acertos/Erros 9/1 
Canceladas 2 
Nota 10,00 
Segurança da informação é a proteção de um conjunto de dados, no sentido de preservar o valor que 
possuem para um indivíduo ou organização. O conceito de Segurança da Informática ou Segurança de 
Computadores está intimamente relacionado ao de 
Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos 
sistemas em si. Quais são os principais atributos que orientam a análise, o planejamento e a 
implementação da segurança para um grupo de informações que se deseja proteger? 
A Confidencialidade, persistência e disponibilidade. 
B Consistência, integridade e disponibilidade. 
C Confidencialidade, integridade e durabilidade. 
D Confidencialidade, integridade e disponibilidade. 
Vivemos em uma época que, quando uma empresa tem sua estrutura física destruída por alguma 
catástrofe, a sua recuperação é mais fácil, pois ela simplesmente pode reabrir uma nova sede e continuar 
suas atividades desde que seus dados estejam protegidos. Já em uma situação inversa, em que os dados 
da empresa foram perdidos, com certeza será uma perda irreparável. Hoje, a informação tem um valor 
muito grande para as empresas e alguns objetivos devem ser considerados para a preservação das 
informações. Com base no exposto, assinale a alternativa CORRETA: 
A Disponibilidade: é a garantia de que a informação seja íntegra e disponível a todos no momento em 
que desejar. 
B Confidencialidade: é a garantia de que a informação será acessada somente por quem tem a 
autorização para o acesso. 
C As características básicas da segurança da informação são confidencialidade, integridade e risco, e 
esses atributos não são exclusivos dos sistemas computacionais. 
D Integridade: é a garantia de que a informação foi manuseada para atender aos objetivos. 
 
 
 
1 
2 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 2/7 
 
A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização 
dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes 
recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA: 
A A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a 
serem implantados. 
B As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador 
e através do computador. 
C A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em 
função da utilização dos mesmos. 
D Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela 
mesma. 
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada. 
A política de segurança e auditoria em sistemas de informação deve descrever processos contínuos 
que garantam a confidencialidade, a integridade e a disponibilidade da informação, sendo que, em caso 
de algum incidente de segurança, deve prever medidas operacionais que deverão ser executadas para a 
retomada do funcionamento da organização. Assinale a alternativa CORRETA que apresenta este 
conjunto de medidas operacionais: 
A Plano de Continuidade. 
B Auditoria de Sistemas. 
C Plano de Recuperação Urgente. 
D Política de Recuperação. 
Os sistemas de informação computadorizados e o acesso às dependências em que eles se encontram são 
em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e 
tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos; no 
entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão 
funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. 
Os profissionais e usuários com pouco conhecimento de segurança em informática acabam por 
desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. 
Com relação ao acesso físico, assinale a alternativa INCORRETA: 
3 
4 
5 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 3/7 
 
FONTE: SILVA, G. F.; SCHIMIGUEL, J. Segurança em ambiente de TI: segurança física da informação 
em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatório de la Economía 
Latinoamericana , 2017. 
A Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de 
acesso físico. 
B Quando a empresa define um acesso físico, a segurança lógica acaba sendo desnecessária. 
C Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede. 
D Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca 
elétrica, já na estrutura lógica, um logon em uma rede. 
Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que possibilitem 
confiabilidade nos testes realizados nos ativos de sistemas de informação, garantindo que os processos, 
as atividades e os sistemas estejam em total segurança. Cabe ao auditor examinar os sistemas de 
informações que possuem falhas no controle da segurança, verificando os níveis com falhas e que estão 
associados com as aplicações organizacionais. Diante dessa afirmação, assinale a alternativa CORRETA 
que apresenta esta abordagem do auditor: 
A Abordagem de manutenção do computador. 
B Abordagem de controles organizacionais. 
C Abordagem ao redor do computador. 
D Abordagem de máquina e hardware. 
Para mitigar falhas na área de segurança da informação, existem boas práticas que são aplicadas. 
Qualquer vulnerabilidade no sistema operacional pode afetar diretamente a segurança dos dados e de 
aplicações em um computador. Sobre as boas práticas de segurança, classifique V para as sentenças 
verdadeiras e F para as falsas: 
( ) É recomendável fornecer o número mínimo de serviços de rede necessários no computador servidor. 
( ) Caso serviços não utilizados não estejam em execução, não é necessário encerrá-los. 
( ) Executar as correções mais recentes recomendadas pelo fornecedor para o sistema operacional. 
6 
7 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 4/7 
 
( ) Registrar eventos relacionados à segurança, incluindo logins e log offs com êxito e com falha, e 
mudanças nas permissões do usuário. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A F - F - V - V. 
B V - F - V - F. 
C V - F - V - V. 
D F - V - F - F. 
A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é 
feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da 
informação, independentemente do meio de armazenamento, de processamento ou de transmissão 
utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída 
indevidamente. Com relação aos possíveis ataques à segurança, analise as afirmativas a seguir: 
I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica. 
II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico. 
III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de 
segurança lógica. 
IV- O ataque é um ato deliberado de tentar se desviar dos controles de segurança, com o objetivo de 
explorar as vulnerabilidades. 
Assinale a alternativa CORRETA: 
FONTES, E. Segurança da informação : o usuário faz a diferença. São Paulo: Saraiva, 2006. 
8 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individualabout:blank 5/7 
 
A As afirmativas I, II e IV estão corretas. 
B As afirmativas I, II e III estão corretas. 
C As afirmativas II, III e IV estão corretas. 
D Somente a afirmativas IV está correta. 
A auditoria no desenvolvimento e na manutenção dos sistemas de informação é essencial e garante 
que qualquer alteração não torne todo o sistema ou a rede vulnerável e insegura. Esses processos de 
desenvolvimento e manutenção envolvem profissionais de TI que possuem conhecimento suficiente, para 
assegurar que as novas versões dos sistemas sejam seguras. Estes procedimentos devem atender 
especificamente às políticas de segurança e disponibilizar o pleno funcionamento do negócio da 
organização. É preciso implementar certos procedimentos de desenvolvimento, manutenção e 
documentação dos sistemas para garantir a segurança das tecnologias da informação. Sobre esses 
processos, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Capacitação, treinamentos e desenvolvimento dos usuários. 
 ) Conscientizar, implantar cursos e palestras para divulgar a segurança. ( 
( ) Aquisição, planejamento e manutenções preventivas. 
( ) Modificação, documentação e especificação dos programas. 
Assinale a alternativa que apresenta a sequência CORRETA: 
A F - V - F - F. 
B V - V - V - F. 
C F - F - V - V. 
D V - F - F - V. 
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não 
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança 
da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O 
conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das 
informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme 
e pode, em alguns casos, levá-la à falência. 
Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA: 
A 
Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o 
sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto 
( self-contained ). 
9 
10 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 6/7 
B A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, 
evitando que informações sejam acessadas indevidamente. 
C Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser 
constantemente verificados e treinados. 
D A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários na utilização do 
ambiente apenas. 
11 (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes 
de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, 
avalie as afirmações a seguir: 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma 
privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou 
entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como 
análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se 
aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em: 
A II, III e IV. 
B I e II. 
C I, II e III. 
D III e IV. 
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada. 
12 (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e 
inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. 
Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, 
sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o 
impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos 
de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é 
recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
6/7/23, 12:55 PM Avaliação Final (Objetiva) - Individual 
about:blank 7/7 
A Plano de negócio de gerenciamento de projetos. 
B Plano de negócio. 
 
C Plano de contingência. 
D Plano de negócio de gerência de riscos.