Baixe o app para aproveitar ainda mais
Prévia do material em texto
29/03/2023, 22:59 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_30102884_1&course_id=_205071_1&con… 1/4 Revisar envio do teste: Clique aqui para iniciar o Quiz SP_GRAD_686299_2301_01 2301-SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO Quiz REVISAR ENVIO DO TESTE: CLIQUE AQUI PARA INICIAR O QUIZ Usuário Curso 2301-SEGURANÇA E AUDITORIA DE SISTEMAS DE INFORMAÇÃO Teste Clique aqui para iniciar o Quiz Iniciado 29/03/23 22:38 Enviado 29/03/23 22:58 Data de vencimento 29/03/23 23:59 Status Completada Resultado da tentativa 10 em 10 pontos Tempo decorrido 19 minutos Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários Pergunta 1 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: O setor de suporte da empresa recebeu um chamado relatando um erro no software. O analista de suporte ao tratar o chamado acessou o código-fonte do sistema e começou a analisar o código-fonte, para investigar eventuais inconsistências. Porém, este analista não é ligado à área de T.I. e de desenvolvimento de software. Com relação à gestão de segurança da informação, essa permissão está: Incorreta, pois essa ação vai contra o preceituado na norma de que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. Correta, pois o analista está sendo proativo e tenta auxiliar a equipe de T.I. a buscar a causa raiz do problema que está gerando o incidente. Correta, pois diante de um incidente a organização tem que investigar a real ocorrência, não importando quem faça essa investigação. Incorreta, pois não é responsabilidade do analista fazer essa tarefa. Incorreta, pois essa ação vai contra o preceituado na norma de que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. Alternativa correta d. Incorreta, pois essa ação vai contra o preceituado na norma que o pessoal de suporte não tenha acesso ao código-fonte dos sistemas. O acesso ao código-fonte dos sistemas deve ser restrito, com o objetivo de prevenir a introdução de funcionalidades não autorizadas e mudanças não intencionais. O ideal é possuir uma biblioteca central de código-fonte e o que for sensível ao negócio fique por meio de bibliotecas compiladas, das quais não é possível interpretar o código. Pergunta 2 Resposta Selecionada: d. Respostas: a. b. c. Qual é a etapa na gestão de riscos na qual avaliamos qualitativamente e quantitativamente os riscos levantados Apreciação do risco Avaliação dos riscos Mensuração do risco Identificação do risco Sala de Aula Tutoriais 1 em 1 pontos 1 em 1 pontos 22 https://senacsp.blackboard.com/webapps/blackboard/execute/courseMain?course_id=_205071_1 https://senacsp.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_205071_1&content_id=_9196072_1&mode=reset https://www.ead.senac.br/ https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_260_1 https://senacsp.blackboard.com/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_210_1 https://senacsp.blackboard.com/webapps/login/?action=logout 29/03/2023, 22:59 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_30102884_1&course_id=_205071_1&con… 2/4 d. Comentário da resposta: Apreciação do risco Alternativa D. A apreciação do risco. A apreciação do risco tem por objetivo analisar e avaliar qualitativamente e quantitativamente o risco. Pergunta 3 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: No que concerne à gestão de ativos, a norma apresenta alguns tipos de ativos mais comuns. Qual dos itens abaixo NÃO é um ativo definido pela norma? Ativos virtuais. Ativo de informação. Ativos virtuais. Ativo de software. Ativos humanos. Alternativa B. Ativos virtuais. Os tipos de ativos definidos na norma são: Ativos de informação, ativos de software, ativos de serviço, ativos humanos e ativos intangíveis. Pergunta 4 Resposta Selecionada: d. Respostas: a. b. c. d. Comentário da resposta: Após o processo de tratamento de riscos, a alta direção ainda não ficou satisfeita com os riscos que foram tratados e com os que sobraram. O que fazer neste caso? Realizar uma nova iteração do ciclo de etapas de gestão de risco Contratar uma consultoria externa para apoio e convencimento da diretoria Trocar a equipe responsável pela elaboração da política de gestão de riscos Convocar uma nova reunião e apresentar dados mais apurados Realizar uma nova iteração do ciclo de etapas de gestão de risco Alternativa D. Realizar uma nova iteração do ciclo de etapas de gestão de risco. Se um risco residual não for aceitável pela organização, recomenda-se uma nova iteração desse ciclo de etapas, de modo a reduzi- lo com a adoção de novos controles ou ações. Pergunta 5 Resposta Selecionada: c. Respostas: a. b. c. d. Comentário da resposta: Para o sucesso de uma política de segurança da informação faz-se necessário, normalmente, um documento que representa o comprometimento com a política de segurança da informação, apoiando metas e princípios estabelecidos na política. Quem é o sujeito mais indicado a assinar tal documento? A alta direção da empresa O gestor da política O diretor de TI A alta direção da empresa Os membros do sindicato Alternativa C. A alta direção da empresa. É imprescindível o apoio e comprometimento da alta direção para a efetividade da política de segurança da informação, conforme preceituado nas normas ISO 27001 e ISO 27002. Pergunta 6 Qual é o termo que representa o conjunto formado por sistemas operacionais, infraestrutura, aplicações de negócio, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário? 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 29/03/2023, 22:59 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_30102884_1&course_id=_205071_1&con… 3/4 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Sistemas de informação. Termo de responsabilidade. Sistemas de informação. Ativos. Produtos organizacionais. Alternativa correta b. Sistemas de informação. Para uma organização, a norma ISO 27002 define como sistemas de informação o conjunto formado por sistemas operacionais, infraestrutura, aplicações de negócio, produtos de prateleira (isto é, são softwares de terceiros que compramos "como são", sem customização adicional para nosso ambiente), serviços e aplicações desenvolvidas pelo usuário. Pergunta 7 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Após classificar a informação, é preciso definir, para cada tipo de classificação, procedimentos para tratar a informação que contemplem, dentre outros, a armazenagem da informação, a transmissão da informação e ____________. Qual a expressão que melhor completa a frase? A destruição da informação. O acesso à informação. A destruição da informação. O descarte da informação. A manipulação da informação. Alternativa B. A destruição da informação. São procedimentos que necessitam ser adotados no momento do descarte da informação, assim como quando e como este descarte deve ocorrer. Pergunta 8 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Um incidente aconteceu na organização em que você trabalha. Após a ocorrência do incidente, inicia-se a execução de um plano. Qual é o nome desse plano, de acordo com a ISO 27002? Plano de resposta a incidentes. Plano de continuidade. Plano de resposta a incidentes. Plano de recuperação de negócios. Nenhuma das alternativas anteriores. Alternativa correta b. Plano de resposta a incidentes. Dizemos que o incidente ocorre no tempo zero, quando identificamos sua ocorrência. Após essa identificação, inicia-se o planode resposta ao incidente, o qual é executado dentro de um período de minutos ou horas após a ocorrência do incidente. Com a execução do plano de resposta a incidentes, a organização já possui uma visão geral do incidente, seus dados e efeitos. Pergunta 9 Resposta Selecionada: c. Respostas: a. b. c. A garantia da confidencialidade é uma das premissas de uma política de segurança da informação. Qual dos eventos abaixo representa uma ameaça à confidencialidade da informação? Os envelopes de malote que possuem conteúdos sigilosos não são lacrados devidamente Um servidor de banco de dados é atacado e perde a conexão com os sistemas Ninguém consegue efetuar login nas máquinas da empresa Os envelopes de malote que possuem conteúdos sigilosos não são lacrados devidamente 1 em 1 pontos 1 em 1 pontos 1 em 1 pontos 29/03/2023, 22:59 Revisar envio do teste: Clique aqui para iniciar o Quiz &ndash... https://senacsp.blackboard.com/webapps/assessment/review/review.jsp?attempt_id=_30102884_1&course_id=_205071_1&con… 4/4 Quarta-feira, 29 de Março de 2023 22h58min32s BRT d. Comentário da resposta: Um vírus infectou a máquina e corrompeu diversos arquivos Alternativa C. Os envelopes de malote que possuem conteúdos sigilosos não são lacrados. A confidencialidade é a exposição da informação a uma parte não autorizada. Logo, um envelope de malote com conteúdos sigilosos necessita ser devidamente lacrado e identificado como confidencial. Pergunta 10 Resposta Selecionada: b. Respostas: a. b. c. d. Comentário da resposta: Você está estruturando a política de segurança da informação na sua empresa e começará a estudar controles voltados ao compromisso da alta direção, responsabilidades e autorizações. A esse tipo de controle, dá-se o nome de: Organização interna Organização natural Organização interna Organização administrativa Organização de envolvidos Alternativa B. Organização interna. Organização interna: são controles que tratam do compromisso da alta direção, responsabilidades, autorizações, acordos de confidencialidade, contato com autoridades e grupos de interesses nas áreas de segurança. ← OK 1 em 1 pontos
Compartilhar