Política de Segurança da Informação

Prévia do material em texto



Informações da avaliação
 Marllon Duarte Fortunato  1240105589
 21_2025_1_IL10317_21ADS3251A
 Avaliação 2 - Prova Regular - 03/07/2025 08:00:00 (Finalizado)
 Sala Online / Andar Online / Prédio Online / Polo Online
Total: 7.20 / 10.00
 Legenda
 Discursiva  Objetiva
 Questão 1 | Código 32274 | 0.80 / 0.80
Enunciado
"A política de segurança diz respeito às regras que devem ser elaboradas e seguidas pelos utilizadores dos
recursos de informação de uma empresa.A formação de um conjunto de boas práticas de mercado, com o
objetivo de desenvolvimento de uma política/cultura de segurança é essencial para qualquer tipo de
empresa que necessite desse trabalho, já que a informação é um dos ativos mais valiosos de uma
organização.As decisões relacionadas à segurança que o administrador da organização toma, determinam
quão segura a rede de sua corporação é, quantas funções ela irá disponibilizar e como será a sua utilização.
Por isso, é preciso determinar metas de segurança. Em qualquer política de segurança, existem duas
diretrizes: a proibitiva, que quer dizer que tudo que não é permitido é proibido, e a permissiva, onde tudo
que não é proibido é permitido."Fonte: http://seguranca-da-informacao.info/politicas-de-seguranca.html.
Acesso em: 06 de dez. de 2019.Diante do exposto, quais afirmativas são pertinentes para que um terceiro
queira invadir um sistema ou máquina:I - Usar como práticas fraudulentas.II - Utilizar o computador de outra
pessoa para promover ataques.III - Destruir informações importantes.IV - Disseminar cookies.V - Furtar
informações armazenadas nos computadores.É correto o que se afirma em:
Justificativa
Resposta:I, II, III, V, apenasUsar como práticas fraudulentas. Correto, pois qualquer tipo de invasão
caracteriza uma ação ilegal. Quem faz esta prática é um Hacker.Utilizar o computador de outra pessoa para
promover ataques. Correto, pois os hackers se utilizam de computadores de terceiros para fazer invasões
mascarando de qual computador, realmente, está partindo a invasão.Destruir de informações importantes.
Correto, pois um Hacker ao invadir um computador pode destruir toda e qualquer informação.Furtar
informações armazenadas nos computadores. Correto, pois um Hacker ao invadir um computador pode se
apoderar de toda e qualquer informação.Distrator:Disseminação de cokies. Errado, pois os cookies são
registros que ficam na memória do computador para que algum sites possam se utilizar das informações
pesquisadas pelo usuário e habilitá-las em um novo site de consulta. Esta não caracteriza qualquer tipo de
invasão.
 >a)I, II, III e V, apenas.
Alternativa marcada
a) I, II, III e V, apenas.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 1/7

 Questão 2 | Código 31845 | 0.80 / 0.80
Enunciado
“A ISO 27001 não termina com a implementação de várias salvaguardas, seus autores entenderam
perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem
atingir muitos resultados se os altos executivos não fizerem algo a respeito. Por exemplo, você pode propor
uma nova política para a proteção de documentos confidenciais, mas, se a alta administração não
impusertal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será
adotada em sua organização.”(Fonte: <https://advisera.com/27001academy/pt-br/knowledgebase/a-logica-
basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/>. Acesso em: 30 out. 2018.)Indiqueo
que a alta administração deve fazer de acordo com aISO 27001: Definir suas expectativas de negócio
(objetivos) para a segurança da informação. Publicar uma política sobre como controlar se esses objetivos
são atingidos. Designar as principais responsabilidades para a segurança da informação. Prover apenas
recursos financeiros suficientes, sendo responsabilidadedos colaboradores a promoção dos recursos
humanos. Revisar no início do processose todas as expectativas foram realmente atingidas.
Justificativa
Resposta correta:I, II e III.Definir suas expectativas de negócio (objetivos) para a segurança da informação.
Correta. Esse planejamento permitirá que haja uma forte segurança nas informações da empresa.Publicar
uma política sobre como controlar se estes objetivos são atingidos. Correta. Apesar de parecer que não são
atingíveis, é preciso que haja um resguardo sobre eles.Designar as principais responsabilidades para a
segurança da informação. Correta. As políticas estabelecidas é que serão responsáveis por resguardar as
informações.Distratores:Prover apenas recursos financeiros suficientes, sendo responsabilidadedos
colaboradores a promoção dos recursos humanos. Incorreta.Deve promover recursos humanos e
financeiros, uma vez que a tecnologia a ser utilizada precisa ser de ponta e isso demanda
investimento.Revisar no início do processo se todas as expectativas foram realmente atingidas. Incorreta.
Essa revisão deve ser regular, a fim deverificar se houve alguma falha.
 >b)I, II e III.
Alternativa marcada
b) I, II e III.
 Questão 3 | Código 31850 | 0.80 / 0.80
Enunciado
Um dos processos de que podemos tratar é o de auditoria no âmbito de uma empresa telefônica. Esse é um
passo vital para determinar, entre várias demandas apresentadas, quais seriam os referidos valores que
estão sendo cobrados indevidamente para um consumidor ou o que tem gerado vários gastos
desnecessários. Dessa forma, temos as ferramentas de tecnologia da informação, que são grandes aliadas
para o processo das organizações que demandam executar ações dessa natureza. Isso é fato, uma vez que
a tecnologia passou a ser amplamente adotada no setor corporativo, tendo em consideração a sua grande
contribuição para solucionar os mais diversos tipos de demandas/problemas, sobretudo quando a resolução
requer uma boa análise de informações.Nesse contexto, identifique quais das ferramentas de TI a seguir
ajudam na auditoria telefônica. I - COBIT.II - ITIL.III - PMBOK.IV - IDEA.V - LARAVEL.Estão corretas:
Justificativa
Resposta correta: I, III e IV, apenas.COBIT. Correto, pois é conhecido como um documento no qual é
apresentado um modelo de framework, ou seja, uma junção de códigos que promove uma funcionalidade
genérica — que pode ser adaptada a processos específicos.PMBOK. Correta. É preciso considerar as
melhores práticas de gerenciamento destinadas a todos os tipos de projeto. É possível ver no PMBOK um
excelente complemento para uma análise estratégica das contas com telefonia de uma empresa.IDEA.
Correta. Entra nessa lista de ferramentas de TI, com ênfase na extração e análise de dados — muito
utilizado para detecção de fraudes e inconformidades com as políticas de controle interno.Distratores:ITIL.
Incorreta. É um conjunto de boas práticas para serem aplicadas na infraestrutura, operação e
gerenciamento de serviços de tecnologia da informação (ITSM).LARAVEL. Incorreta. É um framework de
desenvolvimento rápido para PHP, livre e de código aberto.
 >d)I, III e IV, apenas.
Alternativa marcada
d) I, III e IV, apenas.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 2/7

 Questão 4 | Código 31849 | 0.80 / 0.80
Enunciado
"Em uma auditoria os objetivos de controle são estabelecidos com base nas atividades da entidade, seu
tamanho, qualidade de seus sistemas e controle interno e competência de sua administração. É necessário
que o auditor tenha um modelo normativo de como as atividades devem estar sendo feitas. Assim, deve-se
levar em conta as atividades das pessoas, órgãos e produtos da entidade de modo que tais atividades não
se desviem das normas preestabelecidas pela organização. Objetos de controle são metas de controle a
serem alcançadas ou efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim,
os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado. Existem diversas
áreas que esses objetivos podem contemplar, como segurança,atendimento a solicitações externas,
materialidade, altos custos de desenvolvimento, grau de envolvimento dos usuários e outsourcing."(Fonte:
FONSECA, G. Auditoria de sistemas de informação - Conheça mais sobre o assunto. Profissionais TI.
19/04/2012. Disponível em: https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-informacao-
conheca-mais-sobre-o-assunto/. Acesso em: 22 nov. 2019.)Segundo o COBIT (Control Objectives for
Information and related Technology), as metas a serem alcançadas em uma auditoria de sistemas de
informação se enquadram nos itens a seguir:I- Estrutura de gerenciamento de programa.II- Estrutura de
gerenciamento de projeto.III- Abordagem de gerenciamento de projeto.IV- Comprometimento dos
participantes.V- Escopo do projeto.Identifique os itens corretos:
Justificativa
Resposta correta: I, II, III, IV e V.Estrutura de gerenciamento de programa. Correta. Determina uma
padronização que permitirá uma organização maior no programa.Estrutura de gerenciamento de projeto.
Correta. Determina uma padronização que permitirá uma organização e um desenvolvimento mais
organizado nos projetos de TI da empresa.Abordagem de gerenciamento de projeto. Correta. Fomenta a
estrutura na concepção dos projetos de TI.Comprometimento dos participantes. Correta. O envolvimento
dos participantes deve ser plano.Escopo do projeto. Correta. Determina na íntegra o que o projeto realmente
deverá executar.
 >c)I, II, III, IV e V.
Alternativa marcada
c) I, II, III, IV e V.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 3/7

 Questão 5 | Código 31842 | 0.80 / 0.80
Enunciado
Temos uma norma que estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma organização. Essa norma possui uma seção
introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções
específicas, que são: política de segurança da informação; organização da segurança da informação;
gestão de ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações
e comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação;
gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e
conformidade.Indique qual norma está sendo abordada no texto.
Justificativa
GabaritoISO 27001.Correto, pois estabelece diretrizes e princípios gerais para se iniciar, implementar,
manter e melhorar a gestão de segurança da informação em uma organização. Todo o seu processo de
organização permite qe o trâmite executado no sistema garante toda a integridade e confidencialidade dos
dados.DistratoresISO 9001. Errado, poisé uma norma de padronização para um determinado serviço ou
produto. Esta norma faz parte do conjunto de normas designadoISO9000 e pode ser implementada por
organizações de qualquer tamanho, independentemente da sua área de atividade.ISO 9000. Errado, pois é
ligada asistemas de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000
descrevem a base de um sistema de gerenciamento da qualidade e definem a terminologia global. ISO
9004. Errado, pois é ligada asistemas de gestão da qualidade - Linhas diretivas para a melhoria do
desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa principalmente sobre
a melhoria contínua dos desempenhos. ISO 10011. Errado, pois pertence alinhas diretivas para a auditoria
dos sistemas de gestão da qualidade e/ou de gestão ambiental.
 >d)ISO 27001.
Alternativa marcada
d) ISO 27001.
 Questão 6 | Código 31846 | 0.80 / 0.80
Enunciado
A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez
mais competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca
de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta
realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva
os seus clientes.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a utilização de organizaçõesvirtuais
como solução, em conjunto com o conceito deCloudComputing, pois asssegura uma saída para esta
questão. Identifique quais afirmativas a seguir são verdadeiras:I.Coordenar recursos compartilhados de
forma descentralizada (sem controle centralizado).II.Menor invetismento em Segurança da
Informação.III.Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta.IV.Menor uso de
Tecnologias.V.Proporcionar qualidades de serviços não triviais.
Justificativa
GabaritoI, III eV apenas.I. Coordenar recursos compartilhados de forma descentralizada (sem controle
centralizado). Correto, pois a descentralização permitirá qu eos serviços fluam com maior velocidade.III.
Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta. Correto, pois isto permitirá uma
maior ampliação nos processos de segurançã e com a devida padronização.V. Proporcionar qualidades de
serviços não triviais.Correto, pois estamos diante de um cenário inovador, que demanda soluções não
triviais.Distrator:II. Menor invetismento em Segurança da Informação. Errado, pois ainda mais em ambiente
virtualizado que há a necessidade de investomentos em segurança da informação.IV. Menor uso de
Tecnologias. Errado, pois esta demanda acarreta na contratação de novas tendências tecnológicas para
atender a inovação.
 >b)I, III e V apenas.
Alternativa marcada
b) I, III e V apenas.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 4/7

 Questão 7 | Código 32265 | 0.80 / 0.80
Enunciado
É sabido que, atualmente, existe um volume gigantesco de informações circulando, dado ao grande avanço
da internet, dos sistemas e dos aplicativos pessoais e empresariais existentes. Isso traz benefícios, mas
também malefícios caso mal estruturados. Sendo assim, é importante que haja uma reflexão do que
efetivamente devemos acessar e o que realmente precisamos enviar de informação, tanto no contexto
pessoal como também no empresarial.Diante do exposto, leia as afirmativas a seguir:I - A segurança da
informação é o conceito por trás da defesa dos dados.II - É natural e saudável que os dados sejam
sigilosos, embora sempre exista o risco de alguma informação vazar.III - A segurança da informação nada
mais é do que políticas, processos e métodos em uma empresa.III - Nos dias atuais, é essencial a
existência de um departamento de TI (Tecnologia da Informação) nas empresas preparado para dar conta
da segurança da informação.É correto o que se afirma em:
Justificativa
Resposta correta:I, II, III e IV.I - A segurança da informação é o conceito por trás da defesa dos
dados.Correto, pois ele atua diretamente em prol da defesa dos dados e/ou informações.II - É natural e
saudável que os dados sejam sigilosos, embora sempre exista o risco de alguma informação vazar.Correto,
pois apesar de todo o sigilo, a empresa necessita de um departamento de TI para tratar das políticas, dos
métodos e dos processos de segurança da informação da empresa.III - A segurança da informação nada
mais é do que políticas, processos e métodos em uma empresa.Correto, pois as políticas, os métodos e os
processos estão ligados para garantir a integridade da informação da empresa.III - Nos dias atuais, é
essencial a existência de um departamento de TI (Tecnologia da Informação) nas empresas preparado para
dar conta da segurança da informação.Correto, pois toda empresa necessita de uma área de TI para
garantir a segurança de seus dados e/ou informações.
 >b)I, II, III e IV.
Alternativa marcada
b) I, II, III e IV.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 5/7

 Questão 8 | Código 32272 | 0.80 / 0.80
EnunciadoA norma ISO 27001 estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar
a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória
sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são:
política de segurança da informação; organização da segurança da informação; gestão de ativos; segurança
em recursos humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de
acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de
segurança da informação; gestão da continuidade do negócio, e conformidade. Essas seções totalizam
trinta e nove categorias principais de segurança, e cada categoria contém um objetivo de controle e um ou
mais controles que podem ser aplicados, bem como algumas diretrizes e informações adicionais para a sua
implementação.(Fonte: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-
definicao-importancia-elaboracao-e-implementacao/)O texto acima retrata qual ponto do sistema de gestão
de segurança da informação?
Justificativa
GabaritoElaborando a política de segurança. Correto, pois deve-se formar um comitê de segurança da
informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia,
infraestrutura, recursos humanos e outro que for necessário.DistratoresRisco. Errado, pois com relação a
segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e
perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado, pois a
ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais
longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de backup é um
dos recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na
ocorrência de um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o acesso físico não
autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham
informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005
(2005).Vulnerabilidade. Errado, pois a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças. Segundo Campos (2007), vulnerabilidade são as
fraquezas presentes nos ativos, que podem ser exploradas, seja ela intencionalmente ou não, resultando
assim na quebra de um ou mais princípios da segurança da informação.
 >b)Elaborando a política de segurança.
Alternativa marcada
b) Elaborando a política de segurança.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 6/7

 Questão 9 | Código 32279 | 0.80 / 0.80
Enunciado
"A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual de
organizações e a maneira como cada organização é afetada, variam de pesquisa para pesquisa, mas
sempre os percentuais são altos. A Kroll Advisory, em recente trabalho indica que 74% das empresas latinas
americanas são afetadas por fraudes corporativas. Mas, se sua organização é afetada pela fraude, este
percentual pouco importa. Para você este percentual se torna 100%. Sua organização é o que existe de
mais importante.Para ser efetiva no combate a fraude, é mandatório que a organização considere o
processo de segurança da informação. Este processo é um elemento eficiente/eficaz em função dos
controles que ele exige e quando bem gerenciado possibilita que organização minimize o risco de
fraude."Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes!
Disponível em: <http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso em 27
de nov. de 2019.Alguns controles do Processo de Segurança da Organização são de excelência crítica para
o combate à fraude corporativa. Identifique as alternativas que caracterizam este controle:I - Identificação,
autenticação e autorização do usuário.II - Registro do que acontece no ambiente e gestão sobre estes
registros.III - Gestão de recursos e dependência operacional.É correto o que se afirma em:
Justificativa
Resposta: I, II e III.I - Identificação, autenticação e autorização do usuário. Correto, pois o usuário precisa ter
identificação única, intransferível e válida apenas enquanto o usuário está ativo no ambiente da
informação.II - Registro do que acontece no ambiente e gestão sobre estes registros. Correto, pois os
acessos realizados pelo usuário devem ser registrados bem como as alterações realizadas nas
informações.III - Gestão de recursos e dependência operacional. Correto, pois o Processo de Segurança da
Informação exige que exista uma gestão de recursos e uma identificação de dependência.
 >d)I, II e III.
Alternativa marcada
d) I, II e III.
 Questão 10 | Código 32282 | 0.00 / 2.80
Enunciado
"Outros softwares, embora não específicos para a atividade de auditoria, também vêm sendo utilizados com
esse propósito, sendo possível citar como exemplos as planilhas eletrônicas, como Excel, softwares de
gerenciamento de banco de dados, como Access e MySQL, ferramentas de business intelligence, como
Business Objects, softwares estatísticos etc. Segundo Imoniana (2008) e Lyra (2008), softwares utilitários
utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos,
sumarizar, concatenar, gerar relatórios etc. Esses programas não foram desenvolvidos para executar
trabalhos de auditoria, portanto não têm recursos tais como verificação de totais de controles, ou gravação
das trilhas de auditoria. A grande vantagem desse tipo de ferramenta é que elas podem ser utilizadas como
'quebra-galho' na ausência de outros recursos."(Fonte: TERUEL, E. C. Principais ferramentas utilizadas na
auditoria de sistemas e suas características. Centro Paula Souza. Pós-graduação. Disponível em:
<http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-
pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-informacao-
aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf>. Acesso em: 27 nov. 2019.)Cite qual ferramenta
de auditoria apresenta a característica descrita no texto exposto.
Resposta
Sysinternals Suite, pois é uma ferramente de utilizade geral.
Comentários
Resposta incorreta.
Justificativa
Expectativa de resposta: Ferramentas de utilidade geral, que são ferramentas mais amplas e de uso mais
comum, que podem propiciar a extração de dados para que uma série de demandas possa ser levantada e
analisada.
05/10/2025, 15:19 Impressão da prova
https://aluno.provafacilnaweb.com.br/#/finished-tests/636582/print 7/7