Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação 1. O que é um ativo, segundo a norma ISO 27002? É qualquer coisa para a qual a organização atribua valor e importância, devendo ser protegido. (Alternativa correta) É o patrimônio da empresa, suas máquinas e equipamentos. É o funcionário que foi admitido e ainda não tirou férias trabalhando para a organização. É qualquer funcionário que não esteja aposentado e ainda exerça suas atividades. 2. De acordo com o conteúdo apresentado em Dica do Professor, a utilização de recursos tecnológicos nos negócios tem gerado consideráveis impactos na sociedade e levantado uma série de questões éticas relacionadas a crime, privacidade, individualidade, emprego, saúde e condições de trabalho. É importante compreender que a tecnologia da informação (TI) pode tanto ocasionar resultados benéficos quanto causar efeitos prejudiciais sobre as pessoas e a sociedade. O papel dos gestores modernos é justamente o de maximizar os efeitos benéficos da tecnologia para as pessoas e empresas, ao mesmo tempo em que os pontos negativos desta utilização são reduzidos. Analise as afirmações relacionadas com a ética no uso da TI e identifique a CORRETA: A teoria das partes interessadas afirma que as empresas possuem responsabilidades éticas com todos os membros da sociedade, a qual permite que as corporações existam baseadas em um contrato social. A ética nos negócios foca em como as empresas podem aumentar a sua produtividade, independente das formas de trabalho dos seus funcionários. A teoria do contrato social sustenta que os gerentes têm uma responsabilidade ética para administrar a empresa em benefício de todos os seus interessados. Um dos princípios da ética tecnológica é o da proporcionalidade, que indica que o bem realizado pela tecnologia deve exceder o dano ou o risco. (Alternativa correta) 3. A segurança da informação não era alvo de muita preocupação, até surgirem as redes. A utilização da internet inseriu muitas vulnerabilidades de segurança, pois ela pode ser portadora de atacantes, dentre outras vulnerabilidades. Junto com o crescimento da internet, o número de ameaças à segurança também aumentou. Entre essas ameaças, há os ataques direcionados. Sobre esse tipo de ataques, considere as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) O ataque direcionado não segue uma linha específica, pois ele é direcionado às informações em geral das organizações. ( ) São ataques que não tem constância, já que os invasores não permanecem ativos após a abordagem inicial. ( ) Uma das principais ameaças virtuais e exemplo de ataque direcionado é o business email compromise. ( ) O possível invasor estuda muito bem as organizações que pretende atacar e identifica um profissional de alta função. ( ) Os invasores fazem de tudo para que, mesmo após o ataque inicial, o ataque continue sendo efetuado. Assinale a alternativa que contenha a sequência correta: V – F – F – V – V. F – V – V – F – V. F – F – V – V – F. F – F – V – V – V. (Alternativa correta) 4. A segurança da informação tem a função de proteger a informação e os sistemas de informação de possíveis ataques às organizações, tendo como pilares a confidencialidade, a integridade e a disponibilidade. Sobre a disponibilidade, pode-se afirmar: I. A criptografia e a autenticação são algumas das formas que são usadas para garantir a disponibilidade. II. A disponibilidade está condicionada também a um sistema eficaz, bem como ao funcionamento da rede. III. É fundamental que existam planos de recuperação frente aos possíveis desastres, para manter a disponibilidade. IV. Tem como objetivo assegurar o estado original dos dados, para que sejam assim disponibilizados. V. Os métodos para a manutenção da disponibilidade dependem diretamente da confiabilidade. São verdadeiras: II e III. (Alternativa correta) I, III e IV. II, IV e V. I e V. 5. As organizações vêm se modernizando à medida que as Tecnologias da Informação sofrem constantes evoluções. Dificilmente, uma empresa moderna sobrevive no mercado sem utilizar recursos tecnológicos na execução de suas tarefas. Contudo, ao mesmo tempo em que ajudam a empresa na sua gestão, as tecnologias podem ser utilizadas por pessoas interessadas em comprometer a segurança das informações organizacionais, tendo como objetivo final o ganho de benefícios indevidos. Em relação à segurança da informação, marque a alternativa CORRETA: Ações reativas não necessitam ser especificadas em um plano de gestão de riscos de TI, pois as ações preventivas são capazes de abordar todos os possíveis problemas. As novas tecnologias de proteção a dados são, na maioria dos casos, as culpadas por problemas de segurança da informação. A segurança da informação direciona seus esforços para ataques realizados por cibercriminosos, uma vez que eles ocasionam maiores perdas financeiras. A segurança da informação está diretamente relacionada com os riscos aos dados, aos sistemas de informação e às redes. (Alternativa correta) 6. Com as diversas ameaças que estão presentes na rotina dos dispositivos que se encontram conectados a uma rede, é fundamental que as organizações tenham um gerenciamento de segurança eficiente, que possa proteger os acessos às redes, bem como os dados armazenados e transmitidos por meio delas. A respeito do gerenciamento de segurança, escolha a alternativa correta: Para um bom gerenciamento de segurança, é importante que, dentro de uma organização, os colaboradores possuam acesso às informações dos demais setores dessa organização, mesmo que não atuem neles. Como uma das técnicas usadas no gerenciamento de segurança, há a autenticação, que atualmente, devido ao avanço das ameaças, já não diminui os riscos de ataques, mesmo quando é exitosa. As diferentes técnicas que são utilizadas para um gerenciamento de segurança eficiente incluem o token e o smartcard, que são senhas individuais fornecidas para os usuários. Uma das formas mais seguras do gerenciamento de segurança, quando se trata da técnica de autenticação, é a autenticação em duas etapas de verificação, como o uso do token. (Alternativa correta) 7. As recentes tecnologias da informação (TI) facilitam o processo de coletar, armazenar, recuperar e compartilhar dados e informações com rapidez e facilidade. Esta característica gera um efeito benéfico na eficiência dos sistemas de informação. Por outro lado, essa grande capacidade da TI em armazenar e recuperar informações pode gerar efeitos negativos no direito de privacidade de cada indivíduo. Analise os itens a seguir sobre a privacidade em ambientes que utilizam tecnologias da informação e identifique a afirmação que, de acordo com a obra Administração de Sistemas de Informação, base teórica para esta Unidade de Aprendizagem, está CORRETA: Em hipótese nenhuma as empresas podem acessar as conversas de e-mail de seus funcionários. O risco de ter a privacidade violada pode ser reduzido com a utilização de ferramentas de criptografia e navegação anônima. (Alternativa correta) Em uma abordagem técnica, a rede social é o único ambiente que gera problemas de violação da privacidade das pessoas. O Spamming é a prática de envio de mensagens críticas, ofensivas e, muitas vezes, vulgares para pessoas ou grupos. 8. Assinale a alternativa que apresenta um dos benefícios da ISO 27001 para as organizações. Obtenção de vantagem de Marketing: existem cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metologia da ISO 27001 está em conformidade com todos esses requisitos. Conformidade com requisitos legais: o principal objetivo da ISO 27001 é prevenir incidentes de segurança. Ao prevenir incidentes, a empresa economizará o valor significativo. Conformidade com requisitoslegais: há cada vez mais leis, regulamentações e requisitos contratuais relacionados à segurança da informação, e a metologia da ISO 27001 está em conformidade com todos esses requisitos. (Alternativa correta) Redução decustos: se sua organização obtém a certificação, e seus competidores não, ela terá vantagem sobre eles na visão de clientes sensíveis à questão de segurança das informações. 9. A certificação para ISO 27001 pode ser retirada de duas formas. Quais são elas? Certificação própria e certificação para organizações. Certificação individual e certificação para organizações. (Alternativa correta) Certificação para estudantes e certificação para TI. Certificação para gestores e certificação para empregados. 10. O crescimento da tecnologia exige cada vez mais um pensamento computacional voltado para a resolução de problemas, já que a tecnologia também envolve algumas ameaças, como o roubo de dados confidenciais. O conhecimento sobre a segurança da informação é fundamental para proteger as organizações. Escolha a alternativa correta a respeito da segurança da informação: A segurança da informação envolve um conjunto de ações que visam a proteger as organizações especificamente de ameaças externas. A segurança da informação reúne diversos procedimentos que têm por objetivo proteger as organizações de ameaças exclusivamente digitais. Os recursos são tidos como os ativos de maior valor de uma organização; por isso, é indispensável que sejam protegidos de ameaças. Os controles da segurança da informação precisam ser definidos, concretizados, controlados, observados e aperfeiçoados sempre. (Alternativa correta) 1. Entre as possíveis ameaças que fazem parte das ações dos cibercriminosos, que usam computadores como instrumentos para cometer atos ilegais, há as ameaças persistentes avançadas (APT, do inglês advanced persistent threats). A respeito desse tipo de ameaça, pode-se afirmar que: I. É uma técnica de ataque continuado em que o atacante procura o acesso a um sistema e então permanece nele durante um tempo. II. O governo e as grandes organizações costumam ser os principais alvos desse tipo de ameaças, que usam técnicas como malwares. III. O acesso contínuo efetuado a partir da ameaça persistente avançada ocorre por meio de quatro etapas bem direcionadas pelo atacante. São verdadeiras: I e III. III. II e III. I e II. (Alternativa correta) 2. A norma 27001 é internacional e publicada pela: Internal Start Organization (ISO). International Save Organization (ISO). International Start Organization (ISO). International Standardization Organization (ISO). (Alternativa correta) 3. A área de segurança da informação utiliza diversos termos técnicos que devem ser bem compreendidos e diferenciados pelos gestores, especialmente aqueles cuja atuação está diretamente relacionada com a proteção dos dados e redes da organização. Esse conhecimento é fundamental para que as ferramentas corretas sejam empregadas em cada situação que envolva a segurança da informação. Analise os termos apresentados a seguir e relacione-os corretamente a seus conceitos: I. Risco. II. Ameaça. III. Contramedida. IV. Exploração. ( ) Uso de alguma ferramenta ou técnica com o intuito de obter vantagem de uma vulnerabilidade. ( ) Recurso de segurança adotado para reduzir riscos. ( ) Probabilidade de uma ameaça explorar uma vulnerabilidade. ( ) Situação em que alguém ou algo pode causar danos a um ou vários ativos. Marque a alternativa que apresenta CORRETAMENTE o relacionamento entre os termos e seus respectivos conceitos. 4, 1, 3, 2. 3, 2, 1, 4. 4, 3, 1, 2. (Alternativa correta) 2, 1, 3, 4. 4. Para um profissional, para que serve uma certificação em segurança da informação? Serve para informar que o indivíduo não leva muito em consideração o estudo para exercer suas atividades. Serve como forma de valorizar seu currículo, atestando sua vasta experiência em determinado assunto. (Alternativa correta) Serve como único fundamento para solicitação de aumento salarial. Serve para demonstrar que o indivíduo entende somente o básico sobre o assunto da certificação. 5. Os Sistemas de Informação (SI) estão sujeitos a sofrer diversas ameaças ocasionadas tanto por agentes internos, como os funcionários, quanto por agentes externos, os cibercriminosos, por exemplo. Normalmente, essas ameaças tentam se aproveitar de vulnerabilidades existentes no ambiente tecnológico da organização. Uma classificação comumente encontrada na área de Segurança da Informação para as ameaças é relacioná-la como intencional ou não intencional, sendo esta última ainda categorizada como erro humano, riscos ambientais ou falhas nos sistemas computadorizados. Analise as alternativas a seguir e marque aquela que apresenta CORRETAMENTE um exemplo real de ameaça intencional ou não intencional. A codificação errada de uma funcionalidade do software, em função do entendimento incorreto pelo programador, é um exemplo de ameaça não intencional. (Alternativa correta) Enchentes e fortes oscilações de energia são exemplos de ameaças intencionais. O uso de materiais de qualidade inferior na fabricação de computadores é um exemplo de ameaça intencional. Casos relacionados com a Engenharia Social são exemplos de ameaças não intencionais. 6. A segurança da informação e a segurança de redes corporativas não estão relacionadas apenas com o uso de hardwares e softwares para prevenir ou reagir a incidentes. Na verdade, toda e qualquer defesa tecnológica é importante, mas a proteção aos dados e operações das empresas requer uma abordagem mais ampla, envolvendo desde a implementação de procedimentos e políticas de uso dos recursos tecnológicos até a garantia do cumprimento de leis e regulamentações governamentais. Nesse contexto, analise as afirmações a seguir: I. Os maiores riscos e, consequentemente, os maiores incidentes são causados geralmente pelos próprios funcionários das organizações. II. As ameaças à segurança da informação acontecem tanto com o uso de alta tecnologia quanto pelos crimes tradicionais, como o roubo de um notebook da empresa, por exemplo. III. É importante tratar a segurança da informação como uma função isolada na organização, pois assim ela será capaz de auxiliar no alcance dos objetivos estratégicos. Está CORRETO o que se afirma apenas em: I, II e III. II e III. I e II. (Alternativa correta) I e III. 7. Por que os clientes podem vir a exigir, para fechar um negócio, que as organizações sejam certificadas ou demonstrem sua vinculação a uma norma ou padrão internacional? Porque, assim, a empresa demonstra sua preocupação com boas práticas internacionais e com a qualidade do que faz. (Alternativa correta) Porque isso elimina totalmente as chances de um incidente de segurança da informação. Porque isso assegura que a entrega dos produtos será mais rápida. Porque os preços dos produtos e serviços serão mais baratos. 8. O crime em informática, uma ameaça crescente para a sociedade, é causado por ações criminosas ou irresponsáveis de indivíduos que estão tirando vantagem do uso abrangente e da vulnerabilidade de computadores, da internet e de outras redes. Ele representa o maior desafio da ética de uso das tecnologias da informação, além de constituir uma séria ameaça para a segurança dos sistemas empresariais. Em relação aos crimes em informática, analise as seguintes afirmações: I. A cópia não autorizada de software proprietário não é considerada crime quando o usuário realiza apenas duas cópias de determinado software. II. Não se configura crime quando um usuário acessa sem autorização determinado hardware, mas não o danifica. III. Um funcionário não pode compartilhar informações corporativas sem a devidaliberação, pois estaria cometendo um crime de informática. De acordo com as informações apresentadas em Dica do Professor, está CORRETO o que se afirma em: Somente III. (Alternativa correta) Somente I e II. Somente I. Somente II. 9. Empresas de monitoramento de redes relatam que o número de ataques vem crescendo nos últimos anos, ocasionando consideráveis prejuízos, especialmente financeiros. Normalmente, os ambientes das grandes empresas e dos governos são os que mais sofrem ataques. Como a variedade de ataques é grande, a tarefa de defender o ambiente virtual é muito complexa e nem sempre consegue obter sucesso. Um ataque do tipo DoS (Denial of Service – Negação de Serviço) ocorre quando: um servidor ou site recebe um número de solicitações maior do que sua capacidade de resposta, fazendo com que ele falhe. (Alternativa correta) todos os computadores da empresa são automaticamente desligados por vírus. dados falsos são inseridos no computador do usuário para que ele seja obrigado a negar essa alteração de arquivos. o usuário abre algum anexo de e-mail infectado com vírus, espalhando esta praga por toda a rede. 10. Qual é a certificação mais adequada para quem está começando como profissional de segurança da informação? ISO 27002. (Alternativa correta) Auditor Líder ISO 27001. CISSP. CSA+. 1. Quando o tema principal de interesse é inovação, e temos indicadores de inovação para os processos de negócio e inovação tecnológica e em TI, estamos falando de aspectos de qual dashboard? Da Governança de TI. (Alternativa correta) Dos executivos de negócios. Dos gestores de TI. Da governança corporativa. 2. O primeiro padrão mundial a tratar do gerenciamento de serviços de TI foi a norma BS 15000. Assinale a alternativa que traz a evolução dessa norma. ISO/IEC 20000. (Alternativa correta) ITIL, primeira versão. ITIL, segunda versão. PMBOK. 3. O ciclo de vida de um projeto é contínuo, ou seja, não é finalizado após a implementação ter sido concluída. Dessa forma, conforme as informações trazidas pela figura, podemos notar alguns pontos de elevação e de recuo em relação ao investimento de tempo e de recursos. Com base na figura, assinale a alternativa que traz a relação coerente entre os custos e o tempo de vida de um projeto. Os níveis de custo e de pessoal são altos no início, atingem um valor mínimo enquanto o projeto é executado e sobem rapidamente conforme o projeto é finalizado. Os níveis de custo e de pessoal são baixos no início, atingem um valor máximo enquanto o projeto é executado e caem rapidamente conforme o projeto é finalizado. (Alternativa correta) Os níveis de custo e de pessoal são altos no início, atingem um valor máximo enquanto o projeto é executado e aumentam rapidamente conforme o projeto é finalizado. Os níveis de custo e de pessoal são baixos no início, atingem um valor reduzido enquanto o projeto é executado e caem rapidamente conforme o projeto é finalizado. 4. Podemos afirmar que a governança corporativa tem algumas convicções diante do contexto onde é inserida. Selecione a opção que traz alguns desses princípios. Não há distinção entre os acionistas; prestação de contas. (Alternativa correta) Alinhamento estratégico e gestão de riscos referentes ao uso dos recursos tecnológicos. Uso e aplicação de normas como COSO e COBIT, com o intuito de trazer transparência para as ações dos acionistas. Estabelecimento de níveis corporativos; a contabilidade financeira fica sob responsabilidade de alguns setores da empresa. 5. Podemos citar diversos meios de comunicação os quais nos trazem variadas possibilidades de transmissão de nossas mensagens. O uso de interfaces interativas com o usuário e ferramentas de relatório facilita bastante essa comunicação. Assinale a alternativa que traz exemplos de informações que podem constar em um dashboard direcionado para os executivos de negócio. Execução da capacidade de drill-downs e necessidade de análise. Indicação de incidentes e problemas. Concepção de um dashboard do tipo eminentemente estratégico. (Alternativa correta) Indicação de satisfação dos clientes e usuários por serviço. 6. Dentro da comunicação entre as áreas de TI, pode haver diferentes públicos, dentre eles existem os responsáveis pelos acordos de níveis de serviço, índices de satisfação dos usuários, entre outros aspectos. Assinale a alternativa que expõe a qual público estamos nos referindo. Governança empresarial. Executivos de TI. Executivos do negócio. Governança de TI. (Alternativa correta) 7. A comunicação é primordial para que haja um relacionamento dentro de uma sociedade, e no âmbito dos negócios é importante para que haja compreensão dos processos que devem ser executados por aqueles que estão envolvidos na produção. Assinale a alternativa que traz uma maneira eficiente de realizar o tipo de comunicação sobre o desempenho. Dashboard. (Alternativa correta) E-mail. Telefone fixo. Rádio. 8. Alguns modelos e guias de boas práticas de gerenciamento trazem níveis de maturidade para assegurar se o negócio está ou não fomentado em algum aspecto. Assinale a alternativa que traz o nível de maturidade correto do CMMI. Nível 4 - Gerenciando. Nível 2 - Quantitativamente Gerenciado. Nível 3 - Definido. (Alternativa correta) Nível 5- Inicial. 9. Para Fernandes et al. (2012, p.15), “o principal objetivo da governança de TI é alinhar a TI aos requisitos do negócio, considerando soluções de apoio ao negócio, assim como a garantia da continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI”. Diante dessa definição, assinale a alternativa que contempla um objetivo da governança. Promover a estratégia e controladoria dos processos existentes na empresa, diante de suas regras de negócio. Promover o alinhamento econômico do negócio, com foco na saúde financeira da empresa. Promover o planejamento estratégico e alinhamento com os objetivos da empresa, além da gestão de eventos críticos. Promover o alinhamento de arquitetura de TI, visando trazer aspectos que remetem à infraestrutura não só das aplicações, mas também de todos os recursos de TI. (Alternativa correta) 10. Alguns marcos regulamentam o modo de execução e aplicação de diversas metodologias e práticas. Assinale a alternativa que traz o marco regulatório, surgido com o intuito de oferecer suporte às operações existentes na bolsa de valores quanto ao quesito de prevenção de fraudes. Sarbanes-Oxley Act. (Alternativa correta) Acordo da Basileia II. Acordo da Basileia I. The Committee of Sponsoring Organizations of the Treadway Commission (COSO). 1. A tecnologia pode ser vista como método ou técnica relacionada a uma atividade específica, e está inserida no contexto humano desde a descoberta do fogo. Podemos dizer que em meados da década de 40, ao ser inserida no contexto corporativo o sistema de informação trouxe diversas vantagens, como: Acesso à internet, aquisição de equipamentos de produção e distribuição de recursos financeiros. Eficácia na produção, metodologias gerenciais e gerenciamento de dados. (Alternativa correta) Metodologias gerenciais, acesso à internet e redução do preço dos sistemas de informação. Gerenciamento de dados e acesso a recursos mais baratos. 2. Assinale a alternativa que traz conceitos relacionados às principais funções de um sistema de informação. Entrada, leitura e saída de dados e feedback. Entrada, saída de dados e feedback. Leitura, entrada e saída de dados. Entrada, processamento, saída de dados e feedback. (Alternativa correta) 3. Os fatores de sucesso e de aprovação de algum projeto após a sua implementação estão interligadosa qual fator? A definição dos funcionários de cada setor. Ao valor do financiamento realizado pela empresa. A definição do produto e serviço executado. A governança que foi aplicada em todo o projeto. (Alternativa correta) 4. O ciclo de vida de um projeto é composto por diversos detalhes importantes. Dessa forma, assinale a alternativa que traz a etapa que sinaliza o início de um projeto de implementação da governança de TI dentro de uma empresa. Etapa de implantação Etapa de implementação Etapa de planejamento (Alternativa correta) Etapa de testes 5. Qual componente tecnológico está associado à realização da análise de rotinas que foram desenvolvidas para a realização de atividades específicas? Rede. Processamento. Dados. Software. (Alternativa correta) 6. Assinale a alternativa que traz um dos serviços que pode ser desempenhado automaticamente por um sistema de informação em um contexto corporativo. Seleção e contratação de funcionários. Processamento de informações e geração de relatórios com alta precisão e em alta velocidade. (Alternativa correta) Determinação de recursos físicos. Armazenamento de recursos financeiros. 7. Sobre a definição de processo, assinale a alternativa correta: É a definição do uso dos recursos financeiros de uma corporação. É a definição de procedimentos que norteiam a produção ou execução de algo específico. (Alternativa correta) É a definição dos dados de entrada e processamento de um sistema. É a definição dos padrões de um projeto tecnológico. 8. O gerenciamento da governança de TI deve abranger etapas. Assinale a alternativa que traz de forma correta a etapa e seu respectivo domínio. Compromisso: necessidades de aplicações. Estrutura: projetos e serviços. (Alternativa correta) Processos: objetivos do desempenho. Decisão: gestão da demanda. 9. Ao ser inserida em uma organização, a transparência traz obrigação e desempenho para que os resultados obtidos e as ações realizadas sejam expostos. Diante desse conceito, assinale a alternativa que apresenta o contexto no qual essa prática é aplicada. Alinhamento estratégico. Governança empresarial. Governança de TI. Governança corporativa. (Alternativa correta) 10. Dentro do contexto corporativo temos diversos processos ocorrendo simultaneamente. Assinale a alternativa que traz os principais pilares desse contexto e que também estão envolvidos com a comunicação existente entre as diferentes áreas. Dashboard, documentação, scorecards. Gestão de TI, executivos e Governança de TI. Executivos, Governança de TI, governança corporativa. As pessoas, as atividades e a tecnologia. (Alternativa correta)
Compartilhar