GestaoSegInfo

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação da Disciplina (Cod.:858956)
Peso da Avaliação 10,00
Prova 75680044
Qtd. de Questões 20
Nota 8,00
A política da segurança da informação são objetivos documentados e transformados em valores, 
princípios e requisitos para se obter um padrão de proteção para as informações. Seguindo essa linha 
de raciocínio, pode-se definir a política de segurança da informação como: um documento que 
determina princípios, valores, compromissos e requisitos para a segurança da informação (DANTAS, 
2011).
 
Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
 
Considerando os conceitos e definições da política de segurança da informação, assinale a alternativa 
CORRETA:
A Implementação da política: responsável pelo gerenciamento da fase de identificação das
necessidades da política até a autorização da política final. 
B Manutenção da política: avaliação da conformidade e da efetividade da política implementada,
bem como elaborar ações corretivas para a não conformidade.
C Aprovação da política: responsável pela solicitação e o recebimento do apoio executivo. Nesta
etapa, é elaborado um programa de conscientização de segurança corporativa. 
D Desenvolvimento da Política: responsável pela definição dos requisitos corporativos da política
de segurança da informação, bem como o estabelecimento de padrões para documentação. 
CORAS é um método que integra diversas técnicas para avaliação de risco com base em Unified 
Modeling Language (UML). O projeto foi iniciado em 2001 por quatro países da União Europeia 
(Grécia, Alemanha, Noruega e Reino Unido), com apoio de empresas de TI (Intracom, Solinet e 
Telenor) e de sete institutos (CTI, FORTH, IFE, NCT, NR, RAL e Sintef), além da universidade 
QMUL, no Reino Unido (MARTINS, 2014, p. 50).
 
Fonte: MARTINS, A. B. Desenvolvimento de uma metodologia para gestão de risco com base no 
método coras e avaliação quantitativa para aplicação em plantas de saneamento. Tese apresentada à 
Escola Politécnica da Universidade de São Paulo para obtenção do título de Doutora em Ciências. São 
Paulo, 2014.
 Considerando o método CORAS (The Coras Method), assinale a alternativa CORRETA:
A
 A linguagem CORAS é uma linguagem de modelagem gráfica para documentação, comunicação
e análise de ameaças à segurança e cenários de risco no processo de análise dos passivos das
ameaças.
B A metodologia CORAS disponibiliza uma ferramenta computacional desenvolvida para
documentar, manter e gerar relatórios de análise através da modelagem de risco. 
 VOLTAR
A+ Alterar modo de visualização
1
2
C
O método CORAS apresenta uma forte preocupação em compreender os alvos dos passivos da
organização, o contexto e os objetivos da avaliação efetuada nas principais operações da
organização. 
D Um ponto positivo do método CORAS é que exige pouco conhecimento especializado de áreas
distintas, sendo de fácil aplicação.
Uma anomalia é definida como algo diferente, anormal, peculiar ou que não seja facilmente 
classificado. No contexto de segurança, uma anomalia pode ser definida como ações ou dados que 
não sejam considerados normais por um determinado sistema, usuário ou rede (PINHEIRO, 2007).
 
Fonte: PINHEIRO, J. M. dos S. Ameaças e Ataques aos Sistemas de Informação: Prevenir e 
Antecipar. Caderno UniFOA.n05, dezembro de 2007.
 Considerando a definição de anomalia, assinale a alternativa CORRETA: 
A Anomalias em padrões de comportamento: esses sistemas tendem a variar conforme a
implementação, porém os mais eficientes são implementados como sistemas de modelo rígido. .
B Anomalias em padrões de comportamento: estão relacionadoq normalmente ao comportamento
de usuários.
C Anomalias em padrões de protocolos: estão relacionadas normalmente ao comportamento de
usuários
D
 Anomalias em padrões de protocolos: são consideradas de natureza estatística, incluindo algumas
características como volume de tráfego, mistura de protocolos e inúmeras distribuições na origem
e no destino. 
A ética da informação diz respeito às questões éticas e morais referentes ao desenvolvimento e ao uso 
das tecnologias da informação. Além disso, contempla a elaboração, coleta, duplicação, distribuição e 
processamento de informação (FONTES, 2006).
 
Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006. 
 Considerando a ética da informação, assinale a alternativa CORRETA: 
A A ética da Informação estuda as questões normativas relacionadas com a elaboração,
preservação, organização, acesso, apresentação e controle da informação. 
B A informação tem como característica a ética, isso significa que os indivíduos que possuem a
informação devem estabelecer os padrões éticos sobre o modo de como gerir as informações. 
C A moral determina como as informações serão utilizadas e como o seu uso afetará os indivíduos
da organização.
D A ética é o conjunto de valores e costumes difundidos por uma determinada sociedade, enquanto
a moral é a prática coletiva influenciada por esse conjunto de valores éticos individuais. 
3
4
A segurança da informação integrada combina inúmeras tecnologias de segurança com 
compatibilidade de políticas, gerenciamento, serviço e suporte, e pesquisa para proteger as 
informações. Portanto, essa combinação de várias funções possibilita uma proteção mais eficiente e 
eficaz contra a grande variedade de ameaças minimizando os efeitos dos ataques (SANTOS; 
SOARES, 2019).
 
Fonte: SANTOS, E. E. dos; SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da 
segurança da informação nas organizações. Revista Tecnológica da Fatec Americana, vol. 07, n. 02, 
abril/setembro de 2019.
 Considerando a segurança da informação integrada, assinale a alternativa CORRETA: 
A Gerenciamento de vulnerabilidades: permite as conexões além do perímetro da rede local,
assegurando que redes locais se comuniquem com segurança por meio da Internet.
B Firewall: responsável por controlar todo o tráfego de dados verificando as informações que
entram e saem da rede assegurando para ocorrer acessos não autorizados.
C Proteção antimalware: possibilita a avaliação da posição de segurança da rede descobrindo
falhas de segurança e sugerindo melhorias.
D Filtragem de conteúdo: responsável por identificar o acesso não autorizado e dispara alertas e
relatórios.
Com o propósito de orientar as organizações em relação as melhores práticas de segurança da 
informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas 
práticas para alcançar efetivamente a segurança em seu ambiente. Conforme Sêmola (2003, p. 43): 
“Uma norma tem o propósito de definir regras, padrões e instrumentos de controle que deem 
uniformidade a um processo, produto ou serviço”.
 
Fonte: SÊMOLA, Marcos. Gestão da segurança da informação: uma visão executiva – Rio de Janeiro: 
Campus, 2003.
 Considerando as características da ISO 17799, assinale a alternativa CORRETA: 
A Os recursos de informação que serão usados para identificar anomalias técnicas precisam ser
identificados, ou seja, identificar quais hardwares e outras tecnologias utilizadas no processo. 
B Os patches precisam ser avaliados antes de serem testados. Isso é necessário para garantir que
tragam efeitos positivos necessários ao sistema.
C A organização define e estabelece as funções e responsabilidades associadas à gestão de
vulnerabilidades técnicas. 
D Conforme a urgência exigida para tratar uma anomalia técnica é necessário a tomada da ação
conforme os controles relacionados com a gestão de mudanças. 
Um certificado digital é considerado uma estrutura de dados que possui valores de chave pública, bem 
como, um conjunto de informações de identificação da entidade a qual essa chave está ligada 
(ALBUQUERQUE, 2020) fazem parte de uma Infraestrutura de Chaves Públicas, então, a 
confiabilidade do certificado é proveniente da assinatura realizada pela autoridade certificadora e que 
está presente nocertificado.
 
5
6
7
Fonte: ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de 
eletrocardiografia para ambientes de computação móvel em nuvem. Distrito Federal, 2020.
 Considerando as características do certificado digital, assinale a alternativa CORRETA: 
A Quem emite o certificado digital são empresas somente públicas que possuem autoridade
certificadora. 
B As informações são criptografadas, isto é, organizadas de modo que só quem tem permissão
pode entendê-los.
C O A3 é a validade de um ano, fica armazenado diretamente em um único computador. 
D Chave de acesso pública digital, totalmente segura e confidencial, que permite verificar a
autenticidade de dados. 
Em relação à análise de risco de segunrança da informação, a análise qualitativa é utilizada, 
geralmente, quando não existe a disponibilidade de dados ou quando eles são precários, e sua análise 
é realizada com base em valores referenciais. Já a análise quantitativa é utilizada quando os dados são 
confiáveis, estão disponíveis e sua análise é baseada em valores absolutos (DANTAS, 2011).
 
Fonte: DANTAS, L. M. Segurança da informação: uma abordagem focada em gestão de riscos. 
Olinda: Livro Rápido, 2011.
 Considerando os métodos qualitativos e quantitativos, assinale a alternativa CORRETA: 
A O método quantitativo não consegue ranquear os riscos identificados e utilizam questionários e
matrizes de risco. 
B O método quantitativo ajusta-se bem quando não se tem conhecimento profundo do objeto da
análise, a incerteza é grande.
C O método qualitativo aborda técnicas subjetivas e fornece estimativas numéricas e não realizam o
tratamento de dados estatísticos e dados históricos. 
D O método qualitativo usa técnicas objetivas, caras e complexas, porém suprem as deficiências
dos métodos quantitativos. 
Um ataque usa uma determinada vulnerabilidade para infringir uma propriedade de segurança do 
sistema. Uma das principais ameaças aos sistemas estão relacionadas a destruição de informações ou 
recursos, alterações ou deturpação da informação, bem como,roubo, eliminação ou exposição de 
informação, podendo paralisar os serviços da organização (MAZIERO, 2019).
 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 Considerando as características de um ataque, assinale a alternativa CORRETA: 
A Interrupção: obtém acesso de modo não autorizado a um fluxo de informações, porém sem alterá-
las, ou seja, é um ataque vinculado à confidencialidade 
B
É preciso considerar que existem ataques ativos que visam obter informações confidenciais,
entretanto, os ataques passivos inserem alterações no sistema para favorecer o atacante ou
bloquear sua utilização pelos usuários autorizados.
C Interceptação: impede o fluxo normal das informações ou acessos, ou seja, corresponde a um
ataque à disponibilidade do sistema. 
8
9
D
 Um ataque ocorre quando uma ameaça intencional é realizada. Os ataques ocorrem por motivos
diversos. Variam desde a pura curiosidade, passando pelo interesse em adquirir maior
conhecimento sobre os sistemas, até o extremo, envolvendo ganhos financeiros, extorsão ou
chantagem de algum tipo. 
A gestão de riscos é considerada essencial na gestão estratégica de qualquer organização, pois analisa 
de modo metódico os riscos específicos de cada atividade, com o objetivo de obter uma vantagem 
sustentada em cada atividade individual e no conjunto de todas as atividades. Então, a ponderação de 
um risco é avaliada através da combinação da probabilidade ou frequência de ocorrência e da 
magnitude das consequências ou impacto dessa ocorrência (FERREIRA, 2019).
 
Fonte: FERREIRA, D. G. Arquitetura segura no desenvolvimento de software: Abordagem à 
plataforma digital U. OPENLAB. Mestrado em Segurança Informática Departamento de Ciência de 
Computadores. Faculdade de Letras da Universidade do Porto, 2019.
 
Considerando a matriz de risco, assinale a alternativa CORRETA: A A matriz de risco é considerada 
uma ferramenta muito usada que ajuda o desenvolvedor na classificação e priorização de riscos e 
ainda facilita a comunicação visual. B A matriz de risco é representada por meio de eixos de escalas 
numéricas inteiras de ocorrência e impacto para um determinado fator de risco e ameaça. C Após a 
representação visual da matriz, cada um dos fatores de risco precisa ser identificado e avaliado em 
relação a sua probabilidade de não ocorrência. D A matriz de risco avalia um processo sistemático da 
probabilidade de ocorrência de uma falha e do impacto desta na organização, considerando as perdas 
de confidencialidade, integridade e disponibilidade dos passivos.
A A matriz de risco é representada por meio de eixos de escalas numéricas inteiras de ocorrência e
impacto para um determinado fator de risco e ameaça. 
B Após a representação visual da matriz, cada um dos fatores de risco precisa ser identificado e
avaliado em relação a sua probabilidade de não ocorrência.
C A matriz de risco é considerada uma ferramenta muito usada que ajuda o desenvolvedor na
classificação e priorização de riscos e ainda facilita a comunicação visual. 
D
 A matriz de risco avalia um processo sistemático da probabilidade de ocorrência de uma falha e
do impacto desta na organização, considerando as perdas de confidencialidade, integridade e
disponibilidade dos passivos.
A segurança física é a aplicação de medidas físicas, técnicas e procedimentais de proteção para 
impedir o acesso não autorizado a informação considerada sensível, onde se inclui aquela que contém 
dados pessoais. Deste modo a combinação apropriada de medidas de segurança físicas a serem 
implementadas deve ser determinada com base no resultado da análise prévia do risco. (MARQUES, 
2018).
 Fonte: MARQUES, A. G. Segurança Física. 
A O controle de acesso tem como responsabilidade promover a proteção dos hardwares, aplicativos,
bem como a alteração e divulgação autorizada de dados. 
B
 A combinação apropriada de medidas de segurança físicas a serem implementadas deve ser
determinada com base no resultado da análise prévia do risco. A exigência das medidas deve ser
proporcional ao risco identificado. 
C O objetivo da segurança física é assegurar a proteção sobre dados do passivo da organização para
que somente usuários autorizados tenham acesso a ela. 
10
11
D É fundamental a manutenção da identificação do usuário por lD e senha, como também, um
sistema complexo onde tenham os logs de entrada e saída do usuário.
A segurança lógica possui o objetivo de proteger os sistemas por meio de regras ou softwares para 
controle de acesso. Geralmente é usada para proteção de ataques e vulnerabilidades, bem como, para 
assegurar os sistemas de erros não intencionais, ou ainda, a remoção acidental de dados (LOPES, 
2012).
 
Fonte: LOPES, I. M. Adopção de políticas de segurança de sistemas de informação na administração 
pública local em Portugal. Tese (Doutorado em Tecnologias e Sistemas de Informação, Engenharia e 
Gestão de Sistemas de Informação) – Universidade do Minho, Braga, 2012.
 
Considerando as características da segurança lógica, neste caso o firewall, assinale a alternativa 
CORRETA:
A
 O principal objetivo de um firewall é garantir que todos os dados que trafeguem de uma rede
para outra passem de modo aleatório por ele. Para isso, é aconselhável realizar uma avaliação da
arquitetura no qual o sistema será implantado. 
B O firewall é formado por um filtro de pacotes que age em um terceiro nível de defesa, sendo
responsável por restringir conexões externas que não sejam direcionadas a um host específico.
C
 O firewall é considerado um equipamento essencial para assegurar a segurança em redes de
computadores, no qual é realizada a filtragem de pacotes de redes de modo que o administrador
irá configurar conforme a necessidade de acesso aos passivos da organização.
D
 Um firewall é considerado um dispositivo de segurança da rede responsável por monitorar o
tráfego de rede de entrada, bemcomo, de saída. O monitoramento é o responsável em permitir ou
bloquear tráfegos específicos conforme um conjunto determinado de regras de segurança.
A nossa sociedade nunca teve ao longo da história tanto acesso de informações, mas toda essa 
disponibilidade pode acarretar problemas de segurança da informação. Isso significa que a segurança 
da informação é o conceito fundamental para defender os dados de uma determinada organização 
(DANTAS, 2011).
 
Fonte: DANTAS, L.M. Segurança da Informação: uma abordagem focada em gestão de riscos. 
Olinda. Livro Rapido, 2011.
 Considerando as características da informação, assinale a alternativa CORRETA: 
A Os dados são considerados informações brutas que apresentam as características de um
determinado evento, ou seja, são registros que podem estar vinculados a algum evento problema.
B
Informação é muito mais que um conjunto de dados. Transformar a informação em dados é
transformar algo com pouco significado em um recursos de valor para a nossa vida pessoal e
profissional. 
C A palavra informação deriva do latim “informare”, que significa dar forma ou aparência, criar,
representar uma ideia ou noção de algo que é colocado em forma, em ordem. 
D A informação pode ser considerada um conjunto de dados que poderá resultar em novas
informações, sendo um passivo valioso para a organização. 
12
13
Um sistema informático compreende inúmeros fatores além do sistema operacional, ou seja, a em si 
manutenção das propriedades de segurança estão relacionadas ao funcionamento adequado de todos 
os elementos do sistema (hardware até o usuário final) (MAZIERO, 2019).
 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 Considerando os aspectos básicos do sistema de segurança, assinale a alternativa CORRETA: 
A Proteção de perímetro: ferramentas de firewall e routers cuidam desse aspecto, mantendo a rede
protegida contra tentativas de intrusão. 
B Aplicativos de backup: manter sempre atualizados e testados os arquivos de segurança em mídia
confiável e separados logicamente dos servidores.
C Auditoria: alerta os responsáveis pela segurança sobre qualquer sinal de invasão ou mudança
suspeita no comportamento da rede que possa significar um padrão de ataque.
D Proteção de arquivos: a segurança física impede acessos físicos não autorizados à infraestrutura
da rede. 
Com o propósito de orientar as organizações em relação as melhores práticas de segurança da 
informação, diversos órgãos consolidam inúmeros elementos de segurança com normas e boas 
práticas para alcançar efetivamente a segurança em seu ambiente (DONDA, 2016). 
 Considerando as normas da NBR/ISO, assinale a alternativa CORRETA: 
A A Norma 27004 trata dos aspectos críticos necessários para a implantação de um projeto bem-
sucedido de um Sistema de Gestão da Segurança da Informação (SGSI). 
B Norma 27000 proporciona uma visão geral de sistemas de gestão de segurança da informação, de
termos e de definições comumente usados na família ISMS de normas. 
C A Norma 27001 estabelece diretrizes para as práticas de gestão de segurança da informação e
normas de segurança da informação para as organizações. 
D A Norma 27005 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação no contexto da organização.
As medidas de segurança são consideradas práticas, procedimentos e mecanismos utilizados para a 
proteção da informação, bem como, de seus ativos. Nesse sentido, as barreiras de segurança são 
importantes para reduzir os riscos e, por isso, precisam ser dimensionadas de modo adequado para 
assegurar a interação e integração com os sistemas de segurança (FONTES, 2006).
 
Fonte: FONTES, E. L. G. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006.
 Considerando as barreiras de segurança, assinale a alternativa CORRETA: 
A Deter: representa o elo de ligação com a primeira barreira, criando um movimento cíclico e
contínuo.
B Dificultar: identificação e gerenciamento de acessos para definir os perfis e autorizar as
permissões. 
14
15
16
C Discriminar: o objetivo dessa barreira é a adoção efetiva dos controles que dificultarão o acesso
indevido. 
D Desencorajar: responsável por desencorajar as ameaças, ou seja, ações que são desmotivadas pela
presença de mecanismos físicos, tecnológicos ou humanos.
Os roteadores têm como objetivo distribuir o sinal de internet, ou seja, são importantes para fazer o 
roteamento e a interligação de uma rede para outra. Atualmente os roteadores possuem antenas para 
que os dispositivos, incluindo os estáticos, consigam realizar conexão sem fios. Em determinados 
modelos é preciso ter um adaptador para captar o sinal wireless (SÊMOLA, 2014).
 
Fonte: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: 
Campus, 2 ed, 2014.
 
Considerando as etapas para garantir a segurança da informação dos roteadores, assinale a alternativa 
CORRETA: 
A O WPA3.2 é um protocolo de certificação que utiliza o APS (Advanced ption Standard), sistema
de encriptação mais seguro e mais pesado do que o WPA2 original. 
B Hd externo é um ajuste que modifica a rede sem fio em um Wi-Fi invisível, deste modo, usuários
não autorizados não conseguem localizar o roteador, dificultando uma possível invasão.
C Rede invisível com SSDI apresenta maior parte das vulnerabilidades é observada em aparelhos
recém-lançados.
D A maior parte das vulnerabilidades é observada em aparelhos recém-lançados. Verificar as
atualizações de segurança do firmware para que usuários mantenham os equipamentos seguros. 
 A informação está presente em todos os segmentos da organização. A informação organizacional 
surge em diferentes níveis, formatos e granularidades, ou seja, o detalhamento da informação 
(BALTZAN e PHILLIPS, 2012). Então cada indivíduo necessita correlacionar os diferentes níveis, 
formatos e granularidades da informação para tomar a decisão estratégica adequada à organização 
(BALTZAN e PHILLIPS, 2012; MAZIERO, 2019).
 Fonte: BALTZAN, P. e PHILLIPS, A. Sistemas de informação. Porto Alegre: AMGH, 2012.
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019.
 
Considerando a qualidade da informação no contexto das organizações, assinale a alternativa 
CORRETA:
A Informação pública é primordial à manutenção da sua integridade. O acesso externo dos dados
que integram esse tipo de informação deve ser evitado.
B Informação confidencial é primordial à manutenção da sua integridade. O armazenamento
precisa ser em áreas de acesso reservado.
C Informação interna não precisa de investimento com segurança e armazenamento, e o descarte
da informação pode ser realizado de forma simples. 
D A crescente demanda por informações em tempo real decorre da necessidade das empresas
tomarem decisões mais rápidas e eficazes, 
17
18
A informação pode ser considerada um conjunto de dados que poderá resultar em novas informações, 
sendo um ativo valioso para a organização. Transformar esses dados em informação é transformar 
algo com pouco significado em um recurso de valor para a nossa vida pessoal e profissional 
(FONTES, 2006).
 
Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006.
 Considerando o conceito de dados e informação, assinale a alternativa CORRETA: 
A O dado é um conjunto de informações com valor, que diminui a incerteza ou amplia o
conhecimento. 
B Os dados são considerados fatos brutos que apresentam as características de um determinado
evento, ou seja, são registros que podem estar vinculados a algum evento.
C O dado é considerado uma informação processada que apresenta as características de um
determinado evento. 
D A informação é de fácil estruturação e obtida de modo ágil por máquinas. Além disso, a
informação pode ser transferível e quantificável.
O Cobit (Control Objectives for Informationand related Technology - objetivos de controle para a 
informação e tecnologia) é considerado uma ferramenta focada em Governança de TI elaborada e 
mantida pela Information Systems Audit and Control Association (ISACA) (MASCARENHAS 
NETO, 2019).
 Fonte: MASCARENHAS NETO, P. T. Segurança da informação. São João Pessoa: UFPB, 2019. 
Considerando a ferramenta Cobit, assinale a alternativa CORRETA: 
A A etapa de coleta de dados do Cobit cria um perfil de risco para cada cenário com uma visão
para o risco existente.
B O Cobit de modo geral possui um sumário executivo, um framework, controle de objetivos,
mapas de auditoria, ferramentas para implementação e um guia com técnicas de gerenciamento. 
C O Cobit aborda o risco de segurança da informação na tecnologia ligando os cenários associados
aos riscos de segurança da informação com a resposta adequada aos passivos organizacionais. 
D
O novo framework do Cobit 7 é estruturado em sete princípios de governança corporativa de
tecnologia da informação (TI) que possibilitam que a organização desenvolva um framework
efetivo de governança e gestão de TI. 
19
20
Imprimir