Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de 
práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT 
ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de 
segurança da informação e de sistemas. 
Com relação a esses referenciais, podemos considerar que: 
 
Nota: 20.0 
 
A O ITIL é um conjunto de boas práticas para o gerenciamento de serviços e infraestrutura 
de TI e por isso auxilia na identificação de vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 
16 da Rota de Aprendizagem (versão impressa). 
 
 
B O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e 
por isso é importante para classificar os riscos. 
 
 
C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços 
que a área de TI fornece, porém não tem qualquer influência na segurança da 
informação. 
 
 
D As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em 
organizações globais. 
 
 
E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política 
de Segurança da Informação de grandes organizações. 
 
Questão 2/5 - Segurança em Sistemas de Informação 
A segurança da informação é a área de conhecimento humano que tem por finalidade planejar e operar 
processos, técnicas, ferramentas e mecanismos que possam prover a devida proteção à informação, mas 
não somente isso: devem preservar seu valor. 
No que se refere à definição de segurança da informação, é correto afirmar que: 
 
Nota: 0.0 
 
A A segurança da informação pode ser traduzida do termo security da língua inglesa, 
que refere-se aos sistemas confiáveis, construídos para reagir perante as falhas do software, 
do hardware ou dos usuários. 
 
 
B Intrusões, ataques, perda e roubo de informações são abordados pela segurança da 
informação, tradução do termo reliability, em inglês. 
 
 
C A área do conhecimento humano designada como segurança da informação não abrange a 
utilização correta da informação, desde que essa informação seja adequada aos propósitos 
específicos para os quais se destina. 
 
 
D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes 
que tenham impacto nas pessoas ou representem risco à vida referem-se às questões de 
segurança (em inglês, safety) abrangidos pela segurança da informação. 
 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 5 e 6 da 
Rota de Aprendizagem (versão impressa). 
 
 
E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a segurança da informação implica 
em controlar a tecnologia da informação para estabelecer, implementar, monitorar, analisar 
criticamente e melhorar, quando necessário, os objetivos do negócio. 
 
Questão 3/5 - Segurança em Sistemas de Informação 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para que 
possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a falhas de 
segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou apresentarem 
comportamento incompatível. 
Analise as afirmativas a seguir, relativas a este aspecto da informação: 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorados ou 
apresentar falhas, gerando incidentes de segurança da informação. 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo seu uso 
intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda não foi 
comprovada, seja por haver interesses escusos devido ao alto valor. 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação entre 
ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação. 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido em 
recursos financeiros para a proteção dos ativos e redução das ameaças. 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e 
executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são 
elaboradas à partir de uma matriz PxI – Probabilidade x Impacto. 
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
 
D Somente as afirmações IV e V são incorretas. 
 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas de 9 a 13 
da Rota de Aprendizagem (versão impressa). 
 
 
E Todas as afirmações são corretas. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, 
podem causar impactos indesejados em suas características. Quanto à essas características pode-se afirmar 
que: 
I – A confidencialidade refere-se à manutenção do valor e das características originais da informação. 
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração durante o seu ciclo de 
vida. 
III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer informação 
disponível não é confidencial. 
IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligadas à 
segurança da informação, segundo alguns autores. 
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação 
indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio da 
Internet. 
Assinale a única alternativa que confere com o que foi apresentado na aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II estão corretas. 
 
 
B Somente as afirmações IV e V estão corretas. 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, páginas 6 e 7 da 
Rota de Aprendizagem (versão impressa). 
 
 
C Somente as afirmações III e IV estão corretas. 
 
 
D Todas as afirmações são corretas. 
 
 
E Nenhuma das afirmações é correta 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a organização 
às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande parte delas, são 
oriundas de estratégias militares de defesa e foram validadas por sua aplicação por milhares de vezes no 
decorrer da história da humanidade. 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso de 
aplicação do princípio do menor privilégio. 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes pois sempre 
atuam em um mesmo nível de proteção. 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a obscuridade é 
necessário utilizar mecanismos muito complexos. 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a black 
list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando o 
universo de possibilidades é difícil de se dimensionar 
Assinale a única alternativa que classificacorretamente (com F para as Falsas e V para as Verdadeiras) as 
afirmativas, de acordo com o conteúdo apresentado no material e em aula: 
 
Nota: 0.0 
 
A V-F-F-F 
 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 9 a 12 da 
Rota de Aprendizagem (versão impressa). 
 
 
B F-V-V-F 
 
 
C F-F-V-V 
 
 
D F-V-V-V 
 
 
E V-V-V-F 
 
Questão 1/5 - Segurança em Sistemas de Informação 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de 
práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT 
ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de 
segurança da informação e de sistemas. 
Com relação a esses referenciais, pode-se afirmar que: 
 
Nota: 20.0 
 
A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não 
auxilia na identificação de vulnerabilidades. 
 
 
B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, 
por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para 
identificar e classificar os riscos. 
 
 
C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a 
área de TI fornece, porém não tem qualquer influência na segurança da informação. 
 
 
D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de 
Segurança da Informação de grandes organizações. 
 
 
E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e 
também são guias e modelos que possibilitam a avaliação e a certificação de empresa, 
processos e profissionais quanto à segurança da informação. 
 
Você acertou! 
Conteúdo apresentado no tema Organização da Segurança da Informação, Aula 2, páginas 14 a 16 da 
Rota de Aprendizagem (versão impressa). 
 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a que adota os 
mecanismos de segurança desde o início do processo de desenvolvimento do software. O quão mais cedo 
neste processo se pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e 
abrangentes tornam-se as medidas, além de aumentarem as opções quanto à estratégias e mecanismos de 
segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de 
desenvolvimento e a redução do custo para a implementação da segurança. 
Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações: 
I – A segurança da informação somente pode ser garantida pelos procedimentos de teste de software, os 
quais são geralmente enfatizados pelas organizações devido à sua importância, agilidade e baixo custo. 
II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões de segurança do 
software é uma prática comum, o que tem elevado continuamente o padrão de segurança da informação e 
dos sistemas. 
III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e 
vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. 
IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do 
software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido 
é estabelecido pela norma ISO/IEC 15.408. 
Assinale a única alternativa que confere com conteúdo que foi apresentado: 
 
Nota: 20.0 
 
A Somente as afirmações I, II e III são corretas. 
 
 
B Somente as afirmações I, II e IV são corretas. 
 
 
C Somente as afirmações II, III e IV são corretas. 
 
 
D Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas de 17 a 
20 da Rota de Aprendizagem (versão impressa). 
 
 
E Todas as afirmações são corretas. 
 
Questão 3/5 - Segurança em Sistemas de Informação 
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à 
autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à 
informação estando fora do perímetro de segurança da organização. 
O processo de identificação precisa ser completado com a verificação, com base em: 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática do solicitante. 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, alguma coisa que o 
solicitante possui no momento da autorização. 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa 
de digitação. 
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e III são corretas. 
 
 
B Somente as afirmações II e IV são corretas. 
 
 
C Somente as afirmações III e IV são corretas. 
 
 
D Somente as afirmações I e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, página 4 da Rota de Aprendizagem (versão impressa). 
 
 
E Todas as afirmações são corretas. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a 
informação em si, quer sejam os computadores e os componentes das redes de computadores, e 
determinadas funções destes dispositivos acabam mesclando-se. 
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como 
(F)alsa ou (V)erdadeira. 
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, 
como os proxies, os firewalls e os detectores de intrusão. 
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou 
danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes 
ambientes. 
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – 
normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, 
log de acessos e tradução de endereços internos para externos (NAT). 
( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como 
um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente 
desconhecido e inseguro. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 20.0 
 
A V-F-F-V 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 4 e 5 da Rota de Aprendizagem (versão impressa). 
 
 
B F-V-V-F 
 
 
C F-F-V-V 
 
 
D F-V-V-V 
 
 
E V-V-V-F 
 
Questão 5/5 - Segurança em Sistemas de Informação 
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso 
à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de 
aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido 
o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos 
recursos requisitados e devidamenteconcedidos. 
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com esse 
intuito. 
 
Nota: 20.0 
 
A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede 
criado pelo MIT para a comunicação individual segura e devidamente identificada que 
utiliza criptografia simétrica. 
 
 
B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, 
autorização e contabilização de acessos para controlar os computadores que se conectarão e 
usarão um determinado serviço de rede. 
 
 
C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na 
internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. 
 
Você acertou! 
Conteúdo apresentado no tema Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, páginas 16 e 17 da Rota de Aprendizagem (versão impressa). 
 
 
D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, 
de forma especial para a comunicação na web, em conjunto com navegadores e servidores 
web. 
 
 
E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto 
seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL. 
Questão 1/5 - Segurança em Sistemas de Informação 
A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção 
de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, 
passa necessariamente pela segurança do sistema operacional, um dos principais componentes de 
praticamente todo sistema computacional. 
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que: 
 
Nota: 20.0 
 
A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o 
Windows na posição de sistema operacional mais seguro entre todos. 
 
 
B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, 
tornou-o mais vulnerável que os demais sistemas operacionais. 
 
 
C Sistemas operacionais proprietários e voltados para hardware específico são geralmente mais 
vulneráveis devido à sua grande utilização e baixa velocidade de resposta às ameaças. 
 
 
D Computadores de grande porte – os mainframes – geralmente voltados para operações 
recorrentes e de grande capacidade de processamento, apresentam mais problemas de 
segurança, devido ao alto volume e à complexidade das operações executadas. 
 
 
E Os sistemas operacionais dos dispositivos móveis são mais vulneráveis, pois estes 
dispositivos são limitados em suas capacidades e, ao mesmo tempo, apresentam recursos, 
facilidades e opções de uso que aumentam as vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, 
da Aula 4, página 6 da Rota de Aprendizagem (versão impressa). 
 
Questão 2/5 - Segurança em Sistemas de Informação 
Cada sistema computacional possui suas particularidades, quer seja em função de suas capacidades – 
processamento, memória, interfaces, autonomia – quer seja em função de sua constituição física ou 
mobilidade, e também da programação à qual é capaz de corresponder. E estas particularidades determinam 
e requerem proteção adequada. É possível classificar e separar os tipos de proteção necessária aos 
componentes do sistema computacional em grupos com características distintas. 
Analise as afirmativas a seguir com base nesta abordagem: 
I – A proteção contra intempéries e fenômenos naturais evita que haja falta de energia devido à interrupção 
do fornecimento por parte da rede elétrica. 
II – Os controles de qualidade atuam sobre a disponibilidade da energia evitando a interrupção do 
fornecimento. 
III – Os controles de acesso, criptografia e capacidade de tráfego são aplicados sobre as comunicações dos 
sistemas computacionais. 
IV – Hardware e software requerem mecanismos de proteção distintos, embora estes possam trabalhar de 
forma conjunta ou interdependente. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado nas aulas e com a sua 
análise: 
 
Nota: 20.0 
 
A Somente as afirmações I, II e III são corretas. 
 
 
B Somente as afirmações I, II e IV são corretas. 
 
 
C Somente as afirmações II, III e IV são corretas. 
 
 
D Somente a afirmação III é correta. 
 
E Somente as afirmações III e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas da Aula 
4, páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
 
Questão 3/5 - Segurança em Sistemas de Informação 
Os controles de acesso geralmente operam em conjunto com os controles de verificação para estabelecer a 
devida autorização e garantir a autenticidade das operações. A maioria dos sistemas baseia-se no conjunto 
identificação (ID) e senha (PASSWORD), porém para muitas operações críticas e o uso de informações 
sensíveis estes controles não são suficientes. 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única correta. 
 
Nota: 20.0 
 
A Controles biométricos, certificados digitais e assinaturas eletrônicas são geralmente 
utilizados em conjunto com a identificação (ID) e senha (PASSWORD). 
 
Você acertou! 
Conteúdo apresentado no tema da Aula 03 – Os meios para prover a Segurança da Informação e de 
Sistemas, página 3 da Rota de Aprendizagem (versão impressa). 
 
 
B Cada vez mais é necessário o uso de técnicas e mecanismos que garantam a identidade dos 
agentes, devido à velocidade das aplicações. 
 
 
C A independência do ambiente, a flexibilidade e a interatividade com diversas tecnologias e 
funcionalidades são atributos exclusivos dos sistemas operacionais, e isso dificulta a 
utilização de controles de acesso. 
 
 
D O desempenho dos controles de acesso é um aspecto bastante crítico, exigindo que as 
aplicações e os computadores sejam cada vez mais velozes e estejam cada vez menos 
conectados, restringindo, assim, o raio de ação desses controles. 
 
 
E O conjunto identificação (ID) e senha (PASSWORD), é suficiente para muitas operações 
críticas, por isso são os controles mais utilizados na maioria das aplicações sensíveis, como 
o home banking, por exemplo. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
Os sistemas operacionais para ambientes de computação móvel são especialmente importantes para a 
segurança da informação nestes ambientes, uma vez que são profundamente adaptados aos recursos 
computacionais e à infraestrutura de serviços e funcionalidades específicas do ambiente e dos 
equipamentos. Quanto a estes ambientes, é correto afirmar que: 
 
Nota: 20.0 
 
A O Windows Phone, apesar dos avanços, ainda apresenta problemas como a autenticação do 
usuário, as permissões requeridas pelas aplicações e o tratamento de informações entre 
aplicações multitarefas. 
 
 
B A arquitetura do iOS apresenta características diferenciadas de segurança, que provê APIs 
de segurança na camada Core Services e a evolução dos security services. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, 
da Aula 4, páginas 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
 
C O Google Android é um sistema operacional de código parcialmente aberto, pois algumas 
de suas interfaces são proprietárias, além de ter sido o primeiro SO para sistemas de 
computação móvel com interface gráfica, o que traz problemas para a segurança da 
informação. 
 
 
D A arquitetura específica do Android dificultou os ataques por algum tempo, porém este 
sistema operacional do consórcio entre as fabricantesNokia, Sony Ericsson e a operadora 
NTT DoCoMo acabou sendo vítima do primeiro ataque por um worm – o Cabir – registrado 
em 2004. 
 
 
E Todos os sistemas operacionais dos dispositivos móveis são confiáveis e seguros, pois tem 
uma arquitetura robusta desenvolvida com base no sistema operacional Unix, exceto o 
Android. 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Um Sistema Gerenciador de Banco de Dados tem por objetivo possibilitar o armazenamento, a recuperação 
e a modificação da maneira mais rápida possível, além de preservar estes dados de maneira confiável e 
segura. A segurança das informações em um banco de dados é obtida por intermédio de mecanismos, 
componentes e operações, entre as quais: 
I - Controle de acesso e permissões, registro de atividades e histórico de modificações. 
II - Preservação por meio de cópias de segurança – os backups e redundância. 
III – O armazenamento dos dados em nuvem - o cloud computing – devido à sua capacidade quase 
inesgotável de processamento e armazenagem. 
IV – O uso de outros serviços vinculados aos bancos de dados, como o Data Warehouse- DW, o Business 
Inteligence – BI e o Big Data. 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado: 
 
Nota: 0.0 
 
A Somente as afirmações I e II são corretas. 
 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, 
da Aula 4, páginas 6 e 7 da Rota de Aprendizagem (versão impressa). 
 
 
B Somente as afirmações II e III são corretas. 
 
 
C Somente as afirmações II e IV são corretas. 
 
 
D Somente as afirmações III e IV são corretas. 
 
 
E Somente a afirmação IV é correta. 
 
Os negócios feitos por meio da comunicação eletrônica e dos computadores, conhecido como e-commerce, 
não estão restritas à Internet, pois existem outras soluções como o uso de bancos e cartões, compras e 
negociações feitas por terminais e dispositivos de comunicação específicos, como tablets, celulares, totens 
e outros. 
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como (F)alsas ou 
(V)erdadeiras: 
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes adquirem seus 
produtos diretamente de fabricantes, distribuidores e revendedores, o não-repúdio é um aspecto de suma 
importância, pois evita que falsos compradores assumam outra identidade, comprando em nome de outros. 
( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o comportamento humano 
é fator essencial para que as defesas e a proteção sejam efetivas. 
 ( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio dos sites de 
compra, venda e troca, e requer especial atenção ao aspecto de identidade dos participantes, uma vez que é 
difícil comprovar, por meio eletrônico, quem realmente está do “outro lado”. 
( ) O B2B – Business to Business, como as operações financeiras, de logística e suprimentos, além dos 
serviços providos pelo governo, é um serviço mais seguro, já que trata especificamente de comunicação 
entre organizações confiáveis. 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o 
conteúdo apresentado no material e em aula: 
 
Nota: 20.0 
 
A V-F-F-V 
 
B F-V-V-F 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 
4, páginas de 11 a 13 da Rota de Aprendizagem (versão impressa). 
 
 
C F-F-V-V 
 
 
D F-V-F-V 
 
 
E V-V-F-F 
 
Questão 2/5 - Segurança em Sistemas de Informação 
A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção 
de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, 
passa necessariamente pela segurança do sistema operacional, um dos principais componentes de 
praticamente todo sistema computacional. 
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que: 
 
Nota: 20.0 
 
A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o 
Windows na posição de sistema operacional mais seguro entre todos. 
 
 
B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, 
tornou-o mais vulnerável que os demais sistemas operacionais. 
 
 
C Sistemas operacionais proprietários e voltados para hardware específico são geralmente 
mais vulneráveis devido à sua grande utilização e baixa velocidade de resposta às ameaças. 
 
 
D Computadores de grande porte – os mainframes – geralmente voltados para operações 
recorrentes e de grande capacidade de processamento, apresentam mais problemas de 
segurança, devido ao alto volume e à complexidade das operações executadas. 
 
 
E Os sistemas operacionais dos dispositivos móveis são mais vulneráveis, pois estes 
dispositivos são limitados em suas capacidades e, ao mesmo tempo, apresentam recursos, 
facilidades e opções de uso que aumentam as vulnerabilidades. 
 
Você acertou! 
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, 
da Aula 4, página 6 da Rota de Aprendizagem (versão impressa). 
 
Questão 3/5 - Segurança em Sistemas de Informação 
A análise de impacto nos negócios ou BIA – Business Impact Analysis é uma ferramenta essencial para a 
gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a 
avaliação dos mesmos quanto as possibilidades de incidentes que possam interrompê-los. No que se refere 
à BIA é correto afirmar que: 
 
Nota: 20.0 
 
A A análise de riscos, para a BIA, é necessária para identificar todas as ameaças às quais os 
sistemas e as informações estão sujeitas e que demandam um tratamento preventivo. 
 
 
B Os dois insumos básicos da BIA são os relatórios de BCP – Business Continuity Plan e a 
análise de riscos. 
 
 
C As perdas ou interrupções da capacidade produtiva da organização são avaliadas por meio de 
atividades do BPM – Business Process Management ou gerenciamento dos processos de 
negócio 
 
 
D A BIA é apoiada nas normas ISO/IEC 27005 e ISO/IEC 22301 e visa principalmente manter 
a confidencialidade da informação. 
 
 
E Riscos de negócios, para a BIA, referem-se à possibilidade de perda de recursos requeridos 
para a entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, 
fornecedores e tecnologia. 
 
Você acertou! 
Conteúdo apresentado no tema 2 da Aula 05, “Segurança da Informação e Sistemas e a continuidade 
dos negócios”, páginas 6, 5 e 7 da Rota de Aprendizagem (versão impressa). 
 
Questão 4/5 - Segurança em Sistemas de Informação 
A GCN - Gestão da Continuidade dos Negócios é um processo diretamente relacionado com a segurança 
da informação e dos sistemas. Seu objetivo é evitar a interrupção ou reduzir a interferência dos incidentes 
nos processos críticos e nas informações vitais para a preservação da organização e de seus negócios. Para 
isso, a GCN contempla os seguintes aspectos: 
I - Resposta a incidentes. 
II - A gestão de crises. 
III - O regime de contingência. 
IV - A recuperação de desastres. 
Avalie as afirmações a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: 
 
Nota: 0.0 
 
A Somente as afirmações I e II são corretas. 
 
 
B Somente as afirmações I, II e III são corretas. 
 
 
C Somente as afirmações I, II e IV são corretas. 
 
 
D Somente as afirmações II, III e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
Conteúdo apresentado no tema 1 da Aula 05, “Segurança da Informação e Sistemas e a continuidade 
dos negócios”, página 3 da Rota de Aprendizagem (versãoimpressa). 
 
Questão 5/5 - Segurança em Sistemas de Informação 
A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a 
normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A 
regra é retomar a normalidade o quanto antes e com o menor prejuízo possível. Com relação ao DRP – 
Disaster Recovery Plan, pode-se afirmar que: 
I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do 
ambiente e da infraestrutura de tecnologia da informação. 
II – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a segurança 
das informações e dos sistemas. 
III – A política de segurança da informação e a BIA – Business Impact Analysis são fundamentais para a 
elaboração do DRP. 
IV – Faz parte do DRP a decisão sobre a caraterização da gravidade do incidente e a ativação do regime de 
operação em contingência. 
Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II são corretas. 
 
 
B Somente as afirmações I e III são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema 5 da Aula 05, “Segurança da Informação e Sistemas e a continuidade 
dos negócios”, páginas 12, 13 e 14 da Rota de Aprendizagem (versão impressa). 
 
 
C Somente as afirmações I, II e IV são corretas. 
 
 
D Somente as afirmações II, III e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
Questão 1/5 - Segurança em Sistemas de Informação 
A análise de impacto nos negócios ou BIA – Business Impact Analysis - é uma ferramenta essencial para a 
gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a 
avaliação dos mesmos quanto as possibilidades de incidentes que possam interrompê-los. No que se refere 
à BIA é correto afirmar que: 
I – A BIA serve para identificar todas as ameaças às quais os sistemas e as informações estão sujeitas e que 
demandam um tratamento preventivo. Por isso os dois insumos básicos da BIA são os relatórios de BCP – 
Business Continuity Plan e a análise de riscos. 
II – A avaliação de possíveis perdas ou interrupções da capacidade produtiva da organização é suportada 
pelo BPM – Business Process Management ou gerenciamento dos processos de negócio. 
III - A BIA é apoiada nas normas ISO/IEC 27005 e ISO/IEC 22301 e visa principalmente manter a 
confidencialidade da informação. 
IV - Riscos de negócios, para a BIA, referem-se à possibilidade de perda de recursos requeridos para a 
entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, fornecedores e 
tecnologia. 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em 
aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II são corretas. 
 
 
B Somente as afirmações I, II e III são corretas. 
 
 
C Somente as afirmações II e IV são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema 2 da Aula 05, “Segurança da Informação e Sistemas e a continuidade 
dos negócios”, páginas 6, 5 e 7 da Rota de Aprendizagem. 
 
 
D Somente as afirmações II, III e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
Questão 2/5 - Segurança em Sistemas de Informação 
A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a 
normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A 
regra é retomar a normalidade o quanto antes e com o menor prejuízo possível. Com relação ao DRP – 
Disaster Recovery Plan, pode-se afirmar que: 
I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do 
ambiente e da infraestrutura de tecnologia da informação. 
II – A política de segurança da informação e a BIA – Business Impact Analysis são documentos 
necessários para elaboração do DRP. 
III – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a 
segurança das informações e dos sistemas. 
IV – Faz parte do DRP a decisão sobre a caracterização da gravidade do incidente e a ativação do regime 
de operação em contingência. 
Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema 5 da Aula 05, “Segurança da Informação e Sistemas e a continuidade 
dos negócios”, páginas 12, 13 e 14 da Rota de Aprendizagem. 
 
 
B Somente as afirmações I e III são corretas. 
 
 
C Somente as afirmações II e IV são corretas. 
 
 
D Somente as afirmações II, III e IV são corretas. 
 
 
E Todas as afirmações são corretas. 
 
Questão 3/5 - Segurança em Sistemas de Informação 
No processo de desenvolvimento de software é necessário que haja uma especial atenção aos 
procedimentos que garantirão a qualidade do software – e de forma especial aos testes a serem realizados. 
Com relação ao teste de software é correto afirmar que: 
 
Nota: 20.0 
 
A O teste de software é uma das atividades do processo de desenvolvimento de software que 
podem causar problemas, muitos dos quais de forma latente, isto é, que irão manifestar-se 
somente durante o uso. 
 
 
B No modelo de desenvolvimento iterativo o software só é avaliado de forma efetiva e total 
na fase final, a de integração e testes, quando já é tarde para identificar os problemas e a 
correção custa mais. 
 
 
C O início das atividades de teste deve ser o mais antecipado possível dentro do SDLC, 
independente do modelo e das técnicas empregadas. Quanto antes forem descobertos os 
problemas, menor é o custo da correção. 
 
Você acertou! 
Conteúdo apresentado no tema “Desenvolvimento e teste” da Aula 06, páginas de 2 a 8 da Rota de 
Aprendizagem. 
 
 
D O início das atividades de teste depende do modelo e das técnicas empregadas no processo 
de desenvolvimento de software (SDLC), e antecipar os testes pode gerar custos adicionais. 
 
 
E A automação de tarefas de teste, a geração e manipulação de massa de teste e a necessidade 
de manter constante atualização sobre as técnicas de ataques e as vulnerabilidades não são 
práticas recomendadas, já que aumentam os custos do desenvolvimento. 
 
Questão 4/5 - Segurança em Sistemas de Informação 
O Plano de Continuidade dos Negócios - PCN ou BCP - Business Continuity Plan é um documento ou 
conjunto de documentos que estabelece as estratégias e planos de ação para o enfrentamento de situações 
de emergência que afetem a operação normal da organização. Do ponto de vista da segurança da 
informação e dos sistemas o PCN aborda os sistemas críticos e seus componentes, além dos processos de 
negócio dos quais fazem parte. Com relação ao PCN é correto afirmar que: 
 
Nota: 20.0 
 
A O objetivo do PCN é a prevenção, isto é, assegurar a continuidade das operações da 
organização, mitigando os riscos e prevenindo a ocorrência de um incidente. 
 
 
B A elaboração e atualização do PCN é atribuição exclusiva da área de Tecnologia da 
Informação, devido a seu conhecimento dos processos críticos do negócio. 
 
 
C O procedimento operacional de contingência do Plano de Continuidade dos Negócios – PCN, 
ou BCP - Business Continuity Plan, é ativado para mitigar os riscos e assim evitar a ocorrência 
de incidentes. 
 
 
D A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos negócios, e 
avança com a definição de estratégias de abordagem e elaboração dos planos de ação. 
 
Você acertou! 
Conteúdo apresentado no tema 3 da Aula 05, “Segurança da Informação e Sistemas e a continuidadedos negócios”, páginas 7, 8 e 9 da Rota de Aprendizagem. 
 
 
E É um padrão do PCN estabelecer que sempre será ativado o procedimento operacional 
de contingência e declarada a situação de crise quando ocorrer um incidente de segurança da 
informação. 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Uma análise interessante sobre a manutenção do software foi a proposta por Meir Lehman. Ele nasceu na 
Alemanha e mudou para a Inglaterra na década de 30, onde trabalhou na IBM entre 1964 e 1972. Em 1974 
publicou o texto conhecido como as “Leis de Lehman” sobre evolução de software. São afirmações 
pertinentes à essas “leis”: 
I - Os sistemas evoluem e a mudança é contínua, por isso a manutenção é inexorável. Os cenários mudam, 
os requisitos mudam e por isso o sistema precisa ser alterado. E uma vez alterado, o sistema também altera 
o ambiente ao qual pertence. 
II - A complexidade dos sistemas aumenta à medida em que evolui ou sofre mudanças, o que faz com que 
sua estrutura também sofra uma evolução e melhore cada vez mais. 
III - Um sistema abrangente gera um meio ambiente próprio que tende à auto regulação, e isso reflete-se 
nos seus atributos, como tamanho, taxa de erros e tempo para novas versões; 
IV - Durante o ciclo de vida de um software sua taxa de manutenção é crescente, exigindo um aumento 
contínuo dos recursos e do pessoal envolvido. 
V - À medida em que o software passa por manutenções, evolução e incrementos, aumenta também a sua 
qualidade, já que as falhas são corrigidas e o sistema evolui de maneira quase constante. 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em 
aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II são corretas. 
 
 
B Somente as afirmações I, II e V são corretas. 
 
 
C Somente as afirmações I e III são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema “Operação e Manutenção” da Aula 06, páginas de 9 a 11 da Rota de Aprendizagem. 
 
 
D Somente as afirmações II, IV e V são corretas. 
 
 
E Todas as afirmações são corretas. 
 
Questão 5/5 - Segurança em Sistemas de Informação 
Uma análise interessante sobre a manutenção do software foi a proposta por Meir Lehman. Ele nasceu na 
Alemanha e mudou para a Inglaterra na década de 30, onde trabalhou na IBM entre 1964 e 1972. Em 1974 
publicou o texto conhecido como as “Leis de Lehman” sobre evolução de software. São afirmações 
pertinentes à essas “leis”: 
I - Os sistemas evoluem e a mudança é contínua, por isso a manutenção é inexorável. Os cenários mudam, 
os requisitos mudam e por isso o sistema precisa ser alterado. E uma vez alterado, o sistema também altera 
o ambiente ao qual pertence. 
II - A complexidade dos sistemas aumenta à medida em que evolui ou sofre mudanças, o que faz com que 
sua estrutura também sofra uma evolução e melhore cada vez mais. 
III - Um sistema abrangente gera um meio ambiente próprio que tende à auto regulação, e isso reflete-se 
nos seus atributos, como tamanho, taxa de erros e tempo para novas versões; 
IV - Durante o ciclo de vida de um software sua taxa de manutenção é crescente, exigindo um aumento 
contínuo dos recursos e do pessoal envolvido. 
V - À medida em que o software passa por manutenções, evolução e incrementos, aumenta também a sua 
qualidade, já que as falhas são corrigidas e o sistema evolui de maneira quase constante. 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em 
aula: 
 
Nota: 20.0 
 
A Somente as afirmações I e II são corretas. 
 
 
B Somente as afirmações I, II e V são corretas. 
 
 
C Somente as afirmações I e III são corretas. 
 
Você acertou! 
Conteúdo apresentado no tema “Operação e Manutenção” da Aula 06, páginas de 9 a 11 da Rota de 
Aprendizagem. 
 
 
D Somente as afirmações II, IV e V são corretas. 
 
 
E Todas as afirmações são corretas.