Gestão da Segurança da Informação (142982)

Prévia do material em texto

https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 1/7
Peso da Avaliação
10,00
Qtd. de Questões
20
Nota
10,00
O ato de estabelecer ou confirmar algo é chamado de autenticação, para segurança da informação este processo pode ter várias camadas. 
Sabendo disso, existem vários mecanismos de autenticação que compõem o processo estes são os principais: senhas, impressão digital, 
padrão de voz, assinatura, token, biometria, padrão ocular (SÊMOLA, 2014).
 Fonte: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2 ed, 2014. 
Considerando o processo de autenticação, assinale a alternativa CORRETA:
A
Transmissão das informações entre usuário e entidade autenticadora: ocorre quando a senha do usuário é armazenada na base de
dados da entidade autenticadora.
B
Elaboração das senhas: quando o usuário possui a possibilidade de criar a sua própria senha, é comum a seleção de termos que tenham
significado para o usuário, ou seja, datas, nomes de pessoas conhecidas, estas informação são consideradas as ideias para elaborar uma
senha. 
C
Armazenamento dos parâmetros do usuário: uma solução viável para esse problema é o encaminhamento de parâmetros dinâmicos não
mensurados a partir da senha e que não possibilitam, quando capturados por um intruso, a dedução da própria. 
D
 O conceito básico de senha é que, primeiramente, ela é privada, ou seja, algo que apenas seu ID de login registrado deve saber. Se outra
pessoa sabe sua senha, ela já não é mais privada e seus dados registrados já não estão mais seguros. 
O risco é compreendido pela combinação dos seguintes elementos: consequência e probabilidade (OLIVEIRA, 2001). É importante ressaltar 
que inúmeros fatores influenciam no processo de mensuração do risco, devendo ser considerado os controles e as medidas de segurança que 
atuam de modo direto no aumento ou na redução do risco (OLIVEIRA, 2001; FONTES, 2006).
 Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
Fonte: OLIVEIRA, W. Segurança da informação: técnicas e soluções. São Paulo: Atlas, 2001. 
Considerando a definição de riscos, assinale a alternativa CORRETA:
A
 O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação à segurança, os riscos são compreendidos
como condições que criam ou aumentam o potencial de danos e perdas. 
B
Os riscos naturais oriundas de ações com objetivo de resultar em danos. Alguns fatores precisam ser considerados, sendo: situação do
sistema de controle interno; mercado competitivo, informação de alto poder estratégico, entre outros.
C
A compreensão do ambiente e das atividades de negócios é outro ponto fundamental no estudo do risco, ameaças e vulnerabilidades,
uma vez que a profundidade da análise estará diretamente relacionada com essas duas variáveis. 
D
Os riscos intencionais são resultantes de ações intencionais, ou seja, ligadas com vulnerabilidades humanas, físicas, de hardware, de
software, bem como, dos meios de armazenamento e das comunicações. 
A hierarquia de uma instituição é considerada uma ferramenta importante de comunicação para os tomadores de decisões, gerentes de 
negócio, desenvolvedores, auditores e outros, para explicar quais documentos estão disponíveis e quais são aplicáveis a cada caso 
(CARVALHO, 2017).
 
Fonte: CARVALHO, E. T. R. DE. Criação de um Guia de Boas Práticas para Desenvolvimento Seguro. Monografia submetida ao curso de 
graduação em Engenharia de Software da Universidade de Brasília, como requisito parcial para obtenção do Título de Bacharel em Engenharia 
de Software. Brasília, 2017.
 Considerando a arquitetura de segurança da informação, assinale a alternativa CORRETA: 
1
2
3

01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 2/7
A  A gestão de usuário assegura que os controles adequados à gestão dos usuários, desde sua admissão até o pós-desligamento. 
B  A gestão de acesso aos dados usa programas e de produtos que atendam à necessidade de segurança da organização.
C  A conformidade considera o tempo de restabelecimento do negócio, em caso de contingência ou de desastres. 
D Produtos de segurança contemplam as regras para liberar e, posteriormente, cancelar o acesso às informações. 
As vulnerabilidades são falhas que sozinhas não acarretam incidentes, já que são elementos passivos dependentes de um determinado 
agente causador que utilize as ameaças para prejudicar a segurança da organização (DANTAS, 2011).
 Fonte: DANTAS, L.M. Segurança da Informação: uma Abordagem Focada em gestão de Riscos. Olinda. Livro Rapido, 2011. 
Considerando a definição de vulnerabilidades, assinale a alternativa CORRETA: 
A
 A norma ISO/NBR 27005:2009 classifica as vulnerabilidades quanto ao tipo de ativo secundário ao qual ela se aplica, a saber:
vulnerabilidades de hardware, de softwares, de rede, de pessoal, de instalações e da estrutura organizacional. 
B
A vulnerabilidade é definida como a fragilidade de um passivo que pode ser explorada por inúmeros tipos de ameaças que permitem a
ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação. 
C
 As vulnerabilidades são fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações que, ao serem
exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da
segurança da informação.
D
 A vulnerabilidade é uma característica que determinado recurso assume quando está suscetível a um ataque, ou seja, é uma condição
encontrada em um passivo que o dota de fragilidades que podem ser exploradas com ameaças que podem resultar em danos de ordens
diversas.
Todos os dias circulam na internet milhares de bits e bytes de informação, tais como, notícias, produtos, blogs, tutoriais, lives. A nossa 
sociedade nunca teve ao longo da história tanto acesso de informações, mas toda essa disponibilidade pode acarretar problemas de 
segurança da informação. Nesse sentido, o sistema operacional utiliza diversas técnicas complementares para manter a segurança de um 
sistema operacional, sendo que, essas técnicas estão classificadas nas em grandes áreas (MAZIERO, 2019).
 Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do Paraná. UFBR: 2019. 
Considerando as técnicas para garantir a segurança do sistema, assinale a alternativa CORRETA: 
A  A autenticação usa técnicas para identificar usuários e recursos em um determinado sistema. 
B
 Para o controle de acesso são utilizadas técnicas para assegurar um registro confiável das atividades realizadas no sistema para
contabilizar o uso dos recursos.
C  A auditoria emprega técnicas para definir quais ações são autorizadas e quais são negadas no sistema.  
D  Auditoria são regras definidas que detalham as ações que são permitidas no sistema.
O firewall foi desenvolvido pela Bell Labs em meados de 1980, a pedido de uma das maiores empresas de telecomunicações do mundo a 
AT&T, o primeiro firewall do mundo foi desenvolvido com o objetivo de “filtrar” informações que entravam e saiam da sua rede empresarial, de 
forma que fossem flexíveis para a manipulação seguindo especificações presentes as regras definidas pelos cientistas e desenvolvedores da 
Bell Labs (NETO, 2004, p. 10).
 Fonte: NETO, U. Dominando Linux Firewall IPTABLES. Rio de Janeiro: Ciência Moderna, 2004. 
Considerando as arquiteturas que servem como base para a implantação de um firewall, assinale a alternativa CORRETA: 
A  Screened host: adiciona uma camada extra de segurança que isola a rede interna de uma rede externa não confiável. 
B
Screened subnet: formada por umfiltro de pacotes que age em um primeiro nível de defesa, sendo responsável por restringir conexões
externas que não sejam direcionadas a um host específico.
C
Dual-Homed Host: pode ser implementada por um host que apresenta duas interfaces de rede, uma para LAN e outra para a rede
externa, tornando-se a única porta de entrada. 
4
5
6
01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 3/7
D
 Screened host: o roteamento é desabilitado, fazendo com que os pacotes não possam ser roteados entre as redes, garantindo o
isolamento do tráfego. 
O cartão inteligente, uma chave ou token representam exemplos de autenticação de propriedade. Nestes exemplos as desvantagens são 
perda, esquecimento ou roubo do dispositivo. O cartão inteligente é considerado um dos dispositivos de segurança mais usado na área de 
certificação digital, já que guarda chaves, tanto privada quanto públicas, com total confidencialidade e segurança (SÊMOLA, 2014)
 Fonte: SÊMOLA, M. Gestão da segurança da informação: uma visão executiva. Rio de Janeiro: Campus, 2 ed, 2014.
Considerando as características do chip do cartão inteligente, assinale a alternativa CORRETA: 
A   Clock: recomeça a comunicação do cartão com o leitor/programador.
B  Vcc: porta de alimentação do smart card. Utiliza corrente contínua
C Reset: utilizados para conexão USB, entre outros usos.
D
 Terra: programação da tensão de entrada. Não é mais utilizado, mas era uma entrada de uma tensão mais alta para programar a
memória.
CORAS é um método que integra diversas técnicas para avaliação de risco com base em Unified Modeling Language (UML). O projeto foi 
iniciado em 2001 por quatro países da União Europeia (Grécia, Alemanha, Noruega e Reino Unido), com apoio de empresas de TI (Intracom, 
Solinet e Telenor) e de sete institutos (CTI, FORTH, IFE, NCT, NR, RAL e Sintef), além da universidade QMUL, no Reino Unido (MARTINS, 2014).
 
Fonte: MARTINS, A. B. Desenvolvimento de uma metodologia para gestão de risco com base no método coras e avaliação quantitativa para 
aplicação em plantas de saneamento. Tese apresentada à Escola Politécnica da Universidade de São Paulo para obtenção do título de 
Doutora em Ciências. São Paulo, 2014.
 Considerando as etapas do método CORAS (The Coras Method), assinale a alternativa CORRETA: 
A  A estimativa dos riscos é constituída de um brainstorming multidisciplinar destinado às pessoas com experiência no objeto analisado. 
B  A etapa da identificação dos riscos define os critérios da análise de risco que serão usados nas etapas seguintes. 
C
 A etapa do refinamento corresponde a definição dos alvos de avaliação, dos ativos mais valiosos, dos cenários de ameaças,
vulnerabilidades e riscos. 
D A avaliação dos riscos identifica o tratamento, bem como a análise custo/benefício dos tratamentos.
O ato de estabelecer ou confirmar algo é chamado de autenticação, para segurança da informação, esse processo pode ter várias camadas. 
Sabendo disso, existem vários mecanismos de autenticação que compõem o processo estes são os principais: senhas, impressão digital, 
padrão de voz, assinatura, token, biometria, padrão ocular, PIN. O Número de Identificação Pessoal (PIN) está ligado a parâmetros secretos 
armazenados pelo usuário, bem como, pela entidade autenticadora (ALBUQUERQUE, 2020).
 
Fonte: ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de eletrocardiografia para ambientes de computação 
móvel em nuvem. Distrito Federal, 2020.
 Considerando as características do PIN, assinale a alternativa CORRETA:
A Nesse método, o usuário compartilha parâmetros não confidenciais com a rede de comunicação móvel celular. 
B
 O processo de autenticação pode apresentar muitos problemas observados no processo baseado em usuário e IP também ocorrem na
autenticação que tem como base a utilização do PIN.
C
 O PIN mistura credenciais de conhecimento e de propriedade, sendo usado para a autenticação de equipamentos perante servidores de
acesso a redes de comunicações. 
D
Os parâmetros encontram-se em um dispositivo fixo (SIM-card) que fica com o usuário e em um elemento da rede celular (tipicamente o
centro de autenticação).
7
8
9
01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 4/7
O Facilitated Risk Analysis Process (FRAAP) é considerada uma metodologia de análise e avaliação de riscos que objetiva identificar o ativo, 
verificar o risco, determinar a probabilidade e identificar a ação ou medida corretiva de um sistema, aplicação ou processo de negócio por vez 
(MASCARENHAS NETO, 2019). Fonte: MASCARENHAS NETO, P. T. Segurança da informação. São João Pessoa: UFPB, 2019.
 Considerando o Facilitated Risk Analysis Process (FRAAP), assinale a alternativa CORRETA: 
A
 O método FRAAP utiliza métodos quantitativos e vem sendo usado por se apresentar eficiente para assegurar que os riscos sejam
identificados, examinados e documentados e suas responsabilidades e estabelecer datas para executar as ações oriundas de seu plano
de ação. 
B
 O propósito do método FRAAP é identificar as ameaças e vulnerabilidades em potencial que podem acarretar impactos positivos para a
integridade, confidencialidade e disponibilidade das informações.
C
 O método FRAAP é executado por especialistas da própria organização, por meio de uma reunião mediada cujo objetivo é de identificar
os riscos, as medidas e as ações de controle que podem minimizá-los, identificar os stakholders e atribuir os ativos sobre suas
responsabilidades 
D
 O método FRAAP tem por objetivo analisar um sistema, aplicação ou segmento de uma organização em um longo período, para isso, é
realizada uma sessão de brainstorming com uma equipe composta por especialistas, gerentes do negócio e um grupo de apoio técnico. 
No Brasil, a LGPD (Lei Geral de Proteção dos Dados Pessoais) é importante marco legislativo brasileiro que altera significativamente o atual 
modelo de coleta e tratamento indiscriminado de dados pessoais para o modelo em que se passará a coletar e trata somente o necessário 
(STELZER et al, 2019).
 
Fonte: STELZER, J. et al. A lei geral de proteção de dados pessoais e os desafios das instituições de ensino superior para a adequação. UFSC: 
Florianopólis. 2019.
 
Considerando a LGPD (Lei Geral de Proteção dos Dados Pessoais (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018), assinale a alternativa 
CORRETA:
A
 O dado pessoal corresponde ao dado genético, biométrico, de saúde, vida e orientação sexual, origem racial ou étnica; de convicção
política, sindical, filosófica ou religiosa. 
B  O dado pessoa sensível e qualquer dado relacionado a pessoa natural diretamente identificada ou identificável. 
C
A LGPD aporta consigo os fundamentos que frisam a proteção de direitos e garantias da pessoa natural, tais como o respeito à
privacidade, à autodeterminação informativa, à liberdade de expressão, à inviolabilidade da intimidade, e respeitos aos direitos humanos,
para citar alguns. 
D O tratamento de dados representa qualquer operação que possa ser realizada nas informações fornecidas pelos usuários.
As invasões a sistemas, bem como, os ataques cibernéticos geralmente utilizam a engenharia social para conseguir informações e dados das 
organizações ou usuários que serão vítimas. A conscientização é um processo longo e constante, que pretende criar uma consciência de uso 
seguro da internet, principalmente das redes sociais, que ganham milhares de novos adeptos todos os dias. (FONTES, 2006).
FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. 
Considerando os modos de obter informações, assinale a alternativa CORRETA: 
A
O hacker usa telefones públicos para dificultaro rastreio, coletando assim, o máximo de informações e adquirindo dados sobre a vítima
ou para confirmar se as informações obtidas são verdadeiras.
B
 O hacker se passa por alguém em busca de dados ou até́ representando falsamente ser vendedores, faxineiro e até́ funcionário da
organização para obter dados. 
C
O principal meio de explorar determinado alvo é garantir sua confiança, e investigando suas principais anomalias, ou seja, é uma etapa
denominada de DO” ou engajamento.
D
O e-mail e as trocas de mensagens por meio de dispositivos móveis são considerados essenciais nas atividades diárias. Nesta modalidade
o hacker envia mensagens com keyloggers de arquivos tentadores conseguindo acessar os dados dos passivos necessárias para o
ataque. 
10
11
12
01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 5/7
O risco é considerado como algo que pode ou não acontecer, mas se acontecer terá impactos negativos ao projeto em relação aos custos, 
prazos, qualidade, tempo ou satisfação do usuário. Um risco pode ter uma causa definida ou várias causas e, se acontecer, pode gerar um ou 
vários impactos (FONTES, 2006).
 Fonte: FONTES, E. Segurança da informação. São Paulo: Editora Saraiva. 2006. 
Considerando a gestão de risco de segurança da informação, assinale a alternativa CORRETA: 
A O gerenciamento de riscos é o processo de identificação, análise e avaliação do risco, para uma determinada tomada de decisão. 
B
A gestão de riscos analisa de modo aleatório os riscos específicos de cada atividade, com o objetivo de obter uma vantagem sustentada
em cada atividade individual e no conjunto de todas as atividades. 
C
O gerenciamento do risco é um processo específico e pontual de análise, avaliação, priorização e implementação de recomendações de
segurança conforme o grau de criticidade do risco.
D
O gerenciamento de riscos determina o caminho e o contexto adequado para o desenvolvimento e a implantação de filtragem de
conteúdo. 
O método CRAMM – CCTA Risk Analysis and Management Method - foi originalmente desenvolvido pela Central Computer and 
Telecommunications Agency (CCTA) ou Agência Central de Computadores e Telecomunicações do governo britânico. Vem sendo aperfeiçoado 
pela empresa britânica Insight Consulting, uma divisão da Siemens Enterprise Communications Ltd. Essa metodologia é utilizada por muitas 
organizações por oferecer suporte à implementação da ISO/IEC 27001, que é amplamente aceita pelas organizações (MASCARENHAS NETO, 
2019).
 Fonte: MASCARENHAS NETO, P. T. Segurança da informação. São João Pessoa: UFPB, 2019. 
Considerando o método CRAMM (CCTA Risk Analysis and Management Method), assinale a alternativa CORRETA: 
A  O problema do método CRAMM é a aplicação de inúmeras etapas e recomendações para definição do escopo do estudo.
B
 O benefício do método CRAMM é que não requer conhecimento especializado sobre o tema e pode ser usado em conjunto com a
ferramenta CRAMM express. 
C
O método CRAMM possibilita que seus usuários realizem as atividades em diversos níveis de complexidade, já que usa uma abordagem
que identifica as ameaças aos ativos, bem como, as vulnerabilidades para gerir o risco e propor medidas mitigadoras.
D
 O problema do método CRAMM é que não pode ser ajustada conforme a realidade da organização e que seu processo não é
automatizado.
O gerenciamento do risco é um processo contínuo de análise, avaliação, priorização e implementação de recomendações de segurança 
conforme o grau de criticidade do risco. Esse processo garante que o gestor de segurança faça de modo adequado o balanceamento do custo 
operacional e econômico das medidas de defesa, obtendo com isso, ganhos protegendo os sistemas de TI, dados e informações da 
organização (FONTES, 2006). Fonte:
 FONTES, E. Segurança da informação. São Paulo: Editora Saraiva. 2006 
Considerando os processos do gerenciamento de riscos, assinale a alternativa CORRETA: 
A  Análise do risco determina a extensão da ameaça potencial e o risco associado a um sistema de TI.. 
B  A avaliação e análise engloba a priorização, avaliação e implementação dos controles necessários para o tratamento do risco. 
C  A mitigação do risco desenvolve um círculo contínuo que realimenta o processo de análise de risco
D
 A mitigação do risco é extremamente necessária em virtude do dinamismo com que os acontecimentos se sucedem em uma
organização, que vão influenciar no nível de segurança estabelecido.
As informações, ou seja, os ativos de informação de uma organização, possuem um valor que precisa ser classificado e valorado. De modo 
geral, um ativo é definido como qualquer elemento de valor para uma organização, isso pode ser tanto humano quanto tecnológico 
(MAZIERO, 2019).
13
14
15
16
01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 6/7
 Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do Paraná. UFBR: 2019. 
Considerando as características da informação, assinale a alternativa CORRETA:
A
 Confidencialidade: exatidão das informações para assegurar que os dados e as informações processadas e transmitidas pelos sistemas
de informação são íntegros. 
B
 Confidencialidade: acesso a indivíduos com autorização. Isso significa que a informação será divulgada com prévia autorização, então, é
preciso adotar métodos que assegurem a confidencialidade das informações.
C
 Disponibilidade: garantia de que os indivíduos que acessaram a informação são exatamente os que possuem acesso à informação, e que
ela não foi modificada após o seu envio ou validação. .
D
Legalidade: os documentos eletrônicos confidenciais precisam ter dispositivos como mensagens de rodapé que assegurem que a
classificação da informação sobreviverá à passagem de seu conteúdo do meio digital para o meio físico impresso
A nossa sociedade nunca teve ao longo da história tanto acesso de informações, mas toda essa disponibilidade pode acarretar problemas de 
segurança da informação. Isso significa que a segurança da informação é o conceito fundamental para defender os dados de uma 
determinada organização (DANTAS, 2011).
 Fonte: DANTAS, L.M. Segurança da Informação: uma abordagem focada em gestão de riscos. Olinda. Livro Rapido, 2011. 
Considerando as características da informação, assinale a alternativa CORRETA: 
A
Os dados são considerados informações brutas que apresentam as características de um determinado evento, ou seja, são registros que
podem estar vinculados a algum evento problema.
B
Informação é muito mais que um conjunto de dados. Transformar a informação em dados é transformar algo com pouco significado em
um recursos de valor para a nossa vida pessoal e profissional. 
C
A palavra informação deriva do latim “informare”, que significa dar forma ou aparência, criar, representar uma ideia ou noção de algo que
é colocado em forma, em ordem. 
D
 A informação pode ser considerada um conjunto de dados que poderá resultar em novas informações, sendo um passivo valioso para a
organização. 
Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais ações que tem por objetivo proteger o 
recurso informação, possibilitando que o negócio da organização seja realizado e sua missão seja alcançada (FONTES, 2006).
 Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. 
Considerando o conceito de segurança da informação, assinale a alternativa CORRETA: 
A
A segurança da informação é utilizada para ajudar a organização a compreender e identificar qual é o grau de vulnerabilidade dos dados
que serão compartilhadas. 
B
 A segurança da informação é uma área de conhecimento voltada à proteção da informaçãoe dos ativos associados contra
indisponibilidade, alterações indevidas e acessos não autorizados. 
C
Um sistema informático compreende inúmeros fatores além do sistema operacional, ou seja, a em si manutenção das propriedades de
segurança estão relacionadas ao funcionamento adequado de todos os elementos do sistema (software).
D
 Pode-se dizer que a preocupação com a segurança da informação teve início na atualidade, com o surgimento da internet, sobretudo no
que se refere ao aspecto da confidencialidade da informação. 
A ameaça é um evento indesejável que pode danificar um ativo, causando impacto nos resultados do negócio. Deste modo, quando um 
determinado ativo da informação é atacado ocorre, então, uma ameaça. O ataque à uma organização pode ocorrer tanto internamente 
quanto externamente (SANTOS e SOARES, 2019).
 
Fonte: SANTOS, E. E. dos e SOARES, T. M. M. K. Riscos, ameaças e vulnerabilidades: o impacto da segurança da informação nas organizações. 
Revista Tecnológica da Fatec Americana, vol. 07, n. 02, abril/setembro de 2019.
 Considerando as características de uma ameaça, assinale a alternativa CORRETA: 
17
18
19
01/03/24, 22:35 AVA
https://ava2.uniasselvi.com.br/subject/grades-and-tests/answer-book/eyJ0ZXN0Ijp7InRlc3RDb2RlIjoiODU4OTU2IiwiZGVzY3JpcHRpb24iOiJBdmFsaWHDp8OjbyBkYSBEaXNjaXBsaW5hIiwicGFyYW1ldGVyIjpudWx… 7/7
A
O levantamento de uma lista de ameaças correspondente a cada passivo do processo organizacional é fundamental para a definição de
vulnerabilidades, e, consequentemente, para análise de risco. 
B  Para cada tipo de ameaça identificada é possível existir estruturas no sistema operacional que viabilizem o incidente.
C
 Uma ameaça é um potencial causa de um incidente indesejado, podendo acarretar danos a um sistema ou organização, então, uma
ameaça conta com um indivíduo que se aproveita de uma vulnerabilidade.
D
 Para classificar as ameaças, é possível fazer uma análise coletiva do que poderá realizar a ação da ameaça, e por fim, o resultado da
ação. 
Um dos desafios do processo de implantação da política de segurança da informação é a falta de planejamento das ações a serem colocadas 
em prática. Para que tudo ocorra do modo planejado, é preciso que haja o envolvimento de toda a equipe ao longo do processo, já que eles 
serão os executores do plano de trabalho (CARVALHO, 2017).
Fonte: CARVALHO, E. T. R. DE. Criação de um Guia de Boas Práticas para Desenvolvimento Seguro. Monografia submetida ao curso de 
graduação em Engenharia de Software da Universidade de Brasília, como requisito parcial para obtenção do Título de Bacharel em Engenharia 
de Software. Brasília, 2017.
 Considerando as etapas de implantação da política de segurança da informação, assinale a alternativa CORRETA: 
A  A abrangência corresponde a definição dos limites e as fronteiras da Política de Segurança da Informação. 
B  A implementação delimita as fronteiras da segurança na organização. 
C
 A manutenção realiza uma ampla divulgação da Política de Segurança da Informação dentro da organização e treinamentos com todos
os seus funcionários.
D
 A divulgação e o treinamento documentam e estebelecem procedimentos que garantam a efetividade e o cumprimento das ações de
segurança na organização. 
20