Segurança em Tecnologia da Informação - Avaliação Final (Objetiva) - Individual

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação Final (Objetiva) - Individual
(Cod.:745146)
Peso da Avaliação 3,00
Prova 50970840
Qtd. de Questões 12
Acertos/Erros 8/2
Canceladas 2
Nota 10,00
Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os 
salários de todos os funcionários que estava armazenada em um computador (o servidor de arquivos) 
tenha sido acessada por usuários que não tinham autorização. Para tirar proveito de tal situação 
visualizaram as informações contidas nesta planilha, e em seguida, as modificaram. Neste caso, 
princípios da segurança da informação foram comprometidos com esse incidente, pois encontraram 
redundâncias nos dados. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as 
falsas:
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível.
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação.
( ) O princípio violado foi a integridade, pois a informação deve estar protegida contra modificação 
sem permissão; garantida a fidedignidade das informações.
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - F - V.
B F - V - V - F.
C F - F - V - V.
D V - V - F - F.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de 
informação, assim como atestar se os dados e as demais informações neles contidos correspondem 
aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a 
gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização 
dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. 
Acerca do COBIT, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O COBIT atua em quatro domínios distintos: planejar e organizar, adquirir e implementar, 
entregar e dar suporte, e monitorar e avaliar.
( ) No processo de gerenciamento de continuidade, o COBIT define algumas práticas para a 
elaboração de um plano de continuidade do negócio.
( ) Um dos benefícios que esta ferramenta pode trazer é o alinhamento da tecnologia da informação 
com os objetivos da organização.
( ) Apesar de ser uma ferramenta com alto potencial para a elaboração de uma política de segurança, 
 VOLTAR
A+
Alterar modo de visualização
1
2
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 1/7
há ainda muitas restrições quanto à sua utilização.
( ) É uma ferramenta desenvolvida exclusivamente aos gestores, a fim de apoiar suas avaliações 
sobre o nível da gestão de TI.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - V - F.
B V - V - V - F - F.
C V - F - F - V - F.
D F - F - V - F - V.
Para mitigar falhas na área de segurança da informação, existem boas práticas que são aplicadas. 
Qualquer vulnerabilidade no sistema operacional pode afetar diretamente a segurança dos dados e de 
aplicações em um computador. Sobre as boas práticas de segurança, classifique V para as sentenças 
verdadeiras e F para as falsas:
( ) É recomendável fornecer o número mínimo de serviços de rede necessários no computador 
servidor.
( ) Caso serviços não utilizados não estejam em execução, não é necessário encerrá-los.
( ) Executar as correções mais recentes recomendadas pelo fornecedor para o sistema operacional.
( ) Registrar eventos relacionados à segurança, incluindo logins e log offs com êxito e com falha, e 
mudanças nas permissões do usuário.
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B F - F - V - V.
C F - V - F - F.
D V - F - V - F.
É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou 
sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se 
passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área 
etc. É uma forma de entrar em organizações que não necessitam da força bruta ou de erros em 
máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses 
ataques, podem ser facilmente manipuladas. 
Sobre essa prática, assinale a alternativa CORRETA:
A Crackers.
B Engenharia social.
C Invasão de privacidade.
3
4
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 2/7
D Hackers.
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não 
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de 
segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da 
informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da 
infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações 
para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem 
ser observados na segurança física e ambiental das informações, classifique V para as sentenças 
verdadeiras e F para as falsas:
( ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação 
elétrica.
( ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que 
possuem aplicações on-line.
( ) Aquecimento, ventilação e ar-condicionado e detecção de fogo são itens relevantes para 
segurança ambiental.
( ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso 
devido e restrito à informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
A V - V - V - F.
B V - F - V - F.
C F - V - F - V.
D F - F - F - V.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e 
inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. 
Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, 
sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual 
o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos 
processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é 
recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar:
A Plano de negócio de gerenciamento de projetos.
B Plano de negócio.
C Plano de negócio de gerência de riscos.
D Plano de contingência.
5
6
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 3/7
(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança 
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a 
esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma 
privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou 
entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como 
análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio doqual 
se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
A I, II e III.
B III e IV.
C I e II.
D II, III e IV.
A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a profissão 
de auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora 
guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que 
essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião. A filosofia de 
auditoria em tecnologia de informação está calcada em confiança e em controles internos. Estes visam 
confirmar se os controles internos foram implementados e se existem; caso afirmativo, se são 
efetivos. Sobre a relação da organização dos trabalhos de auditoria em TI, associe os itens, utilizando 
o código a seguir:
I- Planejamento.
II- Escolher a equipe.
III- Programar a equipe.
( ) Orçar tempo e registrar o real e também produzir relatórios em conformidade com os trabalhos 
efetuados.
( ) É caracterizado para evitar quaisquer surpresas que possam aparecer nas atividades empresariais.
( ) Deve-se observar a experiência acumulada por ramos de atividade, além do perfil e histórico 
profissional. 
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-
organizacionais-e-operacionais. Acesso em: 30 out. 2018.
A I - II - III.
B II - I - III.
C III - II - I.
7
8
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 4/7
D III - I - II.
A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da 
organização, mas, sim, do próprio ambiente informatizado, garantindo a integridade dos dados 
manipulados pelo computador. Assim, ela estabelece e mantém procedimentos documentados para 
planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança 
e qualidade. Sobre as atividades da auditoria, classifique V para as sentenças verdadeiras e F para as 
falsas:
( ) Garantir que os custos sejam diminuídos e a eficiência seja aumentada.
( ) Garantir a utilização dos sistemas de controle já implantados na empresa.
( ) Garantir que os livros fiscais estejam de acordo com as leis e os tributos, conforme menciona a 
ISO 17799.
( ) Garantir a formação do auditor em tecnologia da informação, que deve ser específica a uma área 
com características bem definidas, pois ao referir-se ao órgão fiscalizador, a auditoria poderá ser 
externa, indicando ser realizada pela própria organização. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - V - F - V.
B V - V - F - F.
C F - V - V - F.
D F - F - V - V.
O Cavalo de Troia ou Trojan Horse é um tipo de programa malicioso que pode entrar em um 
computador disfarçado como um programa comum e legítimo. Ele serve para possibilitar a abertura 
de uma porta de forma que usuários mal-intencionados possam invadir seu PC. Seu nome surgiu 
devido à história da guerra de Troia e que culminou com a destruição desta. O Cavalo de Troia, um 
grande cavalo de madeira, fora supostamente oferecido como um pedido de paz por parte dos gregos. 
Sendo um presente para o rei, os troianos levaram o cavalo para dentro das muralhas da cidade, 
durante a noite, quando todos dormiam. Ele se revelou uma armadilha, e os soldados gregos que se 
escondiam dentro da estrutura oca de madeira do cavalo saíram e abriram os portões para que todo o 
exército entrasse e queimasse a cidade. Assim como na história, um Trojan se passa por um programa 
que simula alguma funcionalidade útil quando de fato ele esconde um programa que pode causar 
malefícios aos computadores e seus usuários. Sobre algumas das funções maliciosas que podem ser 
executadas por um Cavalo de Troia, analise as sentenças a seguir:
I- Uma das funções maliciosas que podem ser executadas por um Cavalo de Troia é a alteração ou 
destruição de arquivos.
II- Uma das funções maliciosas que podem ser executadas por um Cavalo de Troia é furto de senhas e 
outras informações sensíveis, como números de cartões de crédito.
III- Uma das funções maliciosas que podem ser executadas por um Cavalo de Troia é a inclusão de 
backdoors, para permitir que um atacante tenha total controle sobre o computador.
IV- Uma das funções maliciosas que podem ser executadas por um Cavalo de Troia é poder se 
replicar, infectar outros arquivos, ou propagar cópias de si mesmo automaticamente.
Assinale a alternativa CORRETA:
A As sentenças I, II e III estão corretas.
B As sentenças I, III e IV estão corretas.
9
10
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 5/7
C As sentenças II, III e IV estão corretas.
D As sentenças I, II e IV estão corretas.
Em um passado não muito distante, muitas instituições financeiras sofreram grandes prejuízos 
oriundos de roubos virtuais ocorridos através do internet banking. A fim de mitigar estas 
vulnerabilidades, foram implementados os sistemas de Gestão de Segurança da Informação, os quais 
visam a garantir a segurança e a integridade às informações das organizações. Acerca da Gestão da 
Segurança da Informação, analise as sentenças a seguir:
I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes transparência na 
gestão financeira das organizações e a credibilidade de suas informações.
II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de requisitos, 
processos e controles com a finalidade de gerir de forma adequada os riscos às suas informações.
III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de gestão de segurança 
da informação (SGSI), sendo que adoção desta poderá garantir à organização a certificação ISO 
17799.
IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a segurança dos recursos 
tecnológicos.
Assinale a alternativa CORRETA:
A Somente a sentença III está correta.
B As sentenças I, II e IV estão corretas.
C As sentenças III e IV estão corretas.
D As sentenças I e II estão corretas.
Uma boa gestão de segurança da informação não implica altos custos. Algumas práticas são simples e 
podem evitar perdas financeiras e manter uma boa reputação da marca frente ao mercado. A proteção 
aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio 
sistema operacional. No entanto, no que se refere às boas práticas para garantir a segurança a nível de 
sistema operacional, recomenda-se algumas práticas de segurança. 
Sobre essas práticas, assinale a alternativa CORRETA:
A
Extinção de contas do usuário e políticas de conta, compreendendo que a falta de proteção
adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma
pessoa não autorizada, ao obter identificador (ID) e senha de um usuário privilegiado, pode,
intencionalmente, causar danos ao sistema.
B
Correções do sistema e maximização de sistema operacional. Por exemplo: editores,
compiladores, softwares de manutenção, monitoração e diagnóstico não devem ser restritos, já
que essas ferramentas podem ser usadas para transmissão do sistema operacional.
C
Extinção de registros de log e monitoramento, compreendendo que os arquivos de log são usados
para registrar ações dos usuários, sem atribuir nenhum indicativo como fonte de informação para
auditorias futuras.
11
12
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 6/7
D Controle de sistema de arquivos. Por exemplo: arquivos com a configuração do sistema, dados da
folha de pagamento e dados estratégicos da empresa.
Imprimir
20/11/2024, 17:39 Avaliação Final (Objetiva) - Individual
about:blank 7/7