SEGURANÇA E AUDITORIA DE SISTEMAS

Prévia do material em texto

16/06/2019 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/1923036/1104d9b8-5eba-11e8-8a4d-0242ac110036/ 1/5
Local: 223A - Sala de Aula / Andar / Polo Barra da Tijuca / POLO UVA BARRA MARAPENDI - RJ 
Acadêmico: EAD-IL10317-20184A
Aluno: DANIEL FRANCISCO ALVES FELICIANO 
Avaliação: A2-
Matrícula: 20182300254 
Data: 23 de Novembro de 2018 - 15:30 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 10,00/10,00
1  Código: 32278 - Enunciado:  Objetos de controle são metas de controle a serem alcançadas ou efeitos
negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim, os objetivos de controle são
detalhados conforme o enfoque ao qual está relacionado. Existem diversas áreas que esses objetivos podem
contemplar, como segurança, atendimento a solicitações externas, materialidade, altos custos de
desenvolvimento, grau de envolvimento dos usuários e outsourcing (Disponível em:
<https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-conheca-mais-sobre-o-
assunto/>. Acesso em: 8 out. 2018). Diante do cenário, uma das caracterísiticas fundamentais para uma boa
auditoria dentro da governança de TI é a implementação bem estruturada do framework COBIT. Segundo o
COBIT, as metas a serem alcançadas em uma auditoria de sistemas de informação se enquadrarão em quais
dos itens a seguir? I- Recursos do projeto.II- Gerenciamento de riscos do projeto.III- Planejamento do projeto
integrado.IV- Recursos do projeto.
 a) I e II, apenas.
 b) I, II e III, apenas.
 c) I, II, III e IV.
 d) III e IV, apenas.
 e) I, II e IV, apenas.
 
Alternativa marcada:
c) I, II, III e IV.
Justificativa: Resposta correta: I, II, III e IV.Recursos do projeto. Correta. Para um bom processo de auditoria, é
importante que a meta tenha um olhar atento para os recursos estabelecidos em um projeto. Assim, é
possível verificar se o que foi estipulado é o que foi implementado.Gerenciamento de riscos do projeto. Correta.
É preciso estabelecer se todos os gerenciamentos de riscos descritos foram contemplados na implantação do
projeto, evitando assim problemas futuros.Planejamento do projeto integrado. Correta. Tudo aquilo que foi
planejado é o que deve ser efetivamente implementado para que o projeto alcance seu sucesso.Recursos do
projeto. Correta. Uma vez estabelecidos os recursos, eles devem ser utilizados na sua totalidade. Caso isso não
aconteça, é possível que haja algum problema que chamará a atenção da auditoria.
1,00/ 1,00
2  Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os
negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em
conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de
mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio.Dessa forma,
conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator
fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de
atuação.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os requisitos do SGSI
de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act).Diante disto, detecte
quais são as fases do ciclo PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas.
 a) II, III, IV e V apenas.
 b) III, IV e V apenas.
 c) I, II, III, IV e V.
 d) I, III, IV e V apenas.
 e) II, IV e V apenas.
 
Alternativa marcada:
a) II, III, IV e V apenas.
Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o gerenciamento de
projeto que contempla em suas etapas: início; planejamento; monitoramento e controle e
execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e projetadas as atividades
referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança.Execução. Correto,
1,00/ 1,00
16/06/2019 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/1923036/1104d9b8-5eba-11e8-8a4d-0242ac110036/ 2/5
pois aqui são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do
SGSI.Verificação. Correto, pois de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a
eficiência, por exemplo, de suas políticas, procedimentos e controles.Ações corretivas. Correto, pois com base
na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao
SGSI, especificadas na fase de planejamento e implantadas na fase de execução.
3  Código: 31846 - Enunciado: A busca constante por novas soluções e produtos deve-se a essa crescente
evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da tecnologia e da
economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que
estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que
atendam de forma objetiva os seus clientes.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-
caracter%C3%ADsticas-de-auditoria-seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a
utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois
asssegura uma saída para esta questão. Identifique quais afirmativas a seguir são verdadeiras:I. Coordenar
recursos compartilhados de forma descentralizada (sem controle centralizado).II. Menor invetismento em
Segurança da Informação.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta.IV. Menor
uso de Tecnologias.V. Proporcionar qualidades de serviços não triviais.
 a) I, IV e V apenas.
 b) III, IV e V apenas.
 c) I, III e V apenas.
 d) II, III e IV apenas.
 e) II, III e V apenas.
 
Alternativa marcada:
c) I, III e V apenas.
Justificativa: GabaritoI, III e V apenas.I. Coordenar recursos compartilhados de forma descentralizada (sem
controle centralizado). Correto, pois a descentralização permitirá qu eos serviços fluam com maior
velocidade.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta. Correto, pois isto
permitirá uma maior ampliação nos processos de segurançã e com a devida padronização.V. Proporcionar
qualidades de serviços não triviais. Correto, pois estamos diante de um cenário inovador, que demanda
soluções não triviais. Distrator:II. Menor invetismento em Segurança da Informação. Errado, pois ainda mais em
ambiente virtualizado que há a necessidade de investomentos em segurança da informação.IV. Menor uso de
Tecnologias. Errado, pois esta demanda acarreta na contratação de  novas tendências tecnológicas para
atender a inovação.
1,00/ 1,00
4  Código: 32272 - Enunciado: A norma ISO 27001 estabelece diretrizes e princípios gerais para se iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui
uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções
específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de
ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações e
comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação;
gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade. Essas
seções totalizam trinta e nove categorias principais de segurança, e cada categoria contém um objetivo de
controle e um ou mais controles que podem ser aplicados, bem como algumas diretrizes e informações
adicionais para a sua implementação.(Fonte: https://www.profissionaisti.com.br/2013/06/politica-de-
seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/)Otexto acima retrata qual
ponto do sistema de gestão de segurança da informação? 
 a) Backup.
 b) Risco.
 c) Elaborando a política de segurança.
 d) Vulnerabilidade.
 e) Segurança física.
 
Alternativa marcada:
c) Elaborando a política de segurança.
Justificativa: GabaritoElaborando a política de segurança. Correto, pois deve-se formar um comitê de
segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico,
engenharia, infraestrutura, recursos humanos e outro que for necessário.DistratoresRisco. Errado, pois com
1,00/ 1,00
16/06/2019 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/1923036/1104d9b8-5eba-11e8-8a4d-0242ac110036/ 3/5
relação a segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de
danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado,
pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais
longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de backup é um dos
recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na ocorrência de
um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o acesso físico não autorizado. Convém que
sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de
processamento da informação, segundo a ISO/IEC 27002:2005 (2005).Vulnerabilidade. Errado, pois a
vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças. Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser
exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais princípios da
segurança da informação. 
5  Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para se iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui
uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções
específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de
ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações e
comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação;
gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade.Indique
qual norma está sendo abordada no texto.
 a) ISO 10011.
 b) ISO 27001.
 c) ISO 9004.
 d) ISO 9000.
 e) ISO 9001.
 
Alternativa marcada:
b) ISO 27001.
Justificativa: GabaritoISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Todo o seu
processo de organização permite qe o trâmite executado no sistema garante toda a integridade e
confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma norma de padronização para um
determinado serviço ou produto. Esta norma faz parte do conjunto de normas designado ISO 9000 e pode ser
implementada por organizações de qualquer tamanho, independentemente da sua área de atividade.ISO 9000.
Errado, pois é ligada a sistemas de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO
9000 descrevem a base de um sistema de gerenciamento da qualidade e definem a terminologia global.  
 
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a melhoria do
desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa principalmente sobre a
melhoria contínua dos desempenhos.  
 
ISO 10011. Errado, pois pertence a  linhas diretivas para a auditoria dos sistemas de gestão da qualidade e/ou
de gestão ambiental. 
1,00/ 1,00
6  Código: 31851 - Enunciado: Cuidar das infecções de vírus no computador é uma das tarefas mais chatas. Ao
baixar um arquivo ou conectar um pen drive, você pode ter seu computador infectado por um vírus que pode
desde utilizar sua internet quanto quebrar o sistema operacional, impedindo o de ligar.Existem muitos tipos de
infecções e malwares para computadores, que podem fazer muito mal ao computador, quebrando o disco
rígido até serem silenciosos e capazes de roubar seus dados, fotos e senhas.
(Fonte:http://www.vejaisso.com/10-tipos-de-virus-de-computador-sintomas-do-pc-com-virus-e-
malwares/)Indique quais itens a seguir são suspeitas de infecção por um vírus ou worm:I. Computador fica
lento.II. Novos arquivos aparecem no Windows Explorer.III. Computar reinicia sozinho.IV. Erros do Windows
frequentemente.V. Não é possível atualizar ou instalar antivírus.
 a) I, II, III e IV apenas.
 b) I, II e V apenas.
 c) III, IV e V apenas.
 d) I, II, III, IV e V.
 e) II, III, IV e V apenas.
1,00/ 1,00
16/06/2019 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/1923036/1104d9b8-5eba-11e8-8a4d-0242ac110036/ 4/5
 
Alternativa marcada:
d) I, II, III, IV e V.
Justificativa: GabaritoI. Computador fica lento. Correto, pois o vírus afeta a parte do processamento do
computador.II. Novos arquivos aparecem no Windows Explorer. Correto, pois o vírus cria novos ícones.III.
Computar reinicia sozinho. Correto, pois o vírus pode atuar na área de boot do computador.IV. Erros do
Windows frequentemente. Correto, pois o vírus afeta o sistema operacional do computador.V. Não é possível
atualizar ou instalar antivírus. Correto, pois ele próprio cria bloqueios contra essses aplicativos.
7  Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) “A
informação é elemento essencial para todos os processos de negocio da organização, sendo, portanto, um bem
ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das
organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e
causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da
informação que busquem reduzir as chances de fraudes ou perda de informações.
(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/)Diante da importância da informação e da necessidade de uma
política de segurança de informação, defina política de segurança da informação.
Resposta:
Justificativa: Expectativa de respostaPode-se definir a política de segurança como um documento que
estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser
feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de
procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar
da eficácia da segurança da informação.
2,00/ 2,00
8  Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente sobre o que
desejam contratar: não sabem se precisam de um Plano de Recuperação de Desastres, de Contingência
Operacional ou de Continuidade de Negócios.A confusão é comum e mais que normal, considerando-se que o
mercado insiste em falar de “contingência” como sinônimo da solução, quando na verdade o conceito do
dicionário é de que trata-se do problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-
contingencia-continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse
cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse plano.
Resposta:
Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro do Plano de
Recuperação de Desastres,o Plano de Contingência Operacional é a definição de processos alternativos para
atuação da empresa durante um evento que afete as atividades normais (ou aplicativos), necessários para
funcionamento da organização. 
 
2,00/ 2,00
16/06/2019 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/1923036/1104d9b8-5eba-11e8-8a4d-0242ac110036/ 5/5
(https://strtec.s3.amazonaws.com/ilumno/processamento/imagens_corrigidas/2018/11/27/71a527d8-
f248-11e8-abe2-0242ac110020.jpg?
Signature=r3HpsBhTgSu3BlaDT7RjLkV4SG4%3D&Expires=1560740195&AWSAccessKeyId=AKIAJ5OVDHP63TNW
https://strtec.s3.amazonaws.com/ilumno/processamento/imagens_corrigidas/2018/11/27/71a527d8-f248-11e8-abe2-0242ac110020.jpg?Signature=r3HpsBhTgSu3BlaDT7RjLkV4SG4%3D&Expires=1560740195&AWSAccessKeyId=AKIAJ5OVDHP63TNWC3PQ