Atividade Prática – Segurança em Sistemas de Informação

Prévia do material em texto

Questão 1/10 - Segurança em Sistemas de Informação
A análise de impacto nos negócios ou BIA – Business Impact Analysis - é uma ferramenta essencial para a gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto às possibilidades de incidentes que possam interrompê-los. No que se refere à BIA é correto afirmar que: 
I – A BIA serve para identificar todas as ameaças às quais os sistemas e as informações estão sujeitas e que demandam um tratamento preventivo. Por isso os dois insumos básicos da BIA são os relatórios de BCP – Business Continuity Plan e a análise de riscos. 
II – A avaliação de possíveis perdas ou interrupções da capacidade produtiva da organização é suportada pelo BP M – Business Process Management ou gerenciamento dos processos de negócio. 
III - A BIA é apoiada nas normas I SO/ IEC 270 05 e I SO/I EC 22301 e visa principalmente manter a confidencialidade da informação. 
IV - Riscos de negócios, para a BIA, referem- se à possibilidade de perda de recursos requeridos para a entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, fornecedores e tecnologia. 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado e m aula: 
A Somente as afirmações I e II são cor reta s. 
B Somente as afirmações I, II e III são cor reta s. 
C Somente as afirmações II e IV são corretas. 
Você acertou! 
D Somente as afirmações II, III e IV são corretas. 
E Todas as afirmações são corretas. 
Questão 2/10 - Segurança em Sistemas de Informação 
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação produzida, 
disponível e transportada ganhou tamanha proporção. 
Avalie as afirmações sobre os conceitos de informação a seguir:
I – A informação é restrita a um conjunto de nomes, números, imagens e sons. 
II – No mundo moderno a informação somente pode existir com o uso da tecnologia. 
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, 
com base na separação entre a informação e os dados. 
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo 
qual possam manter sua utilidade e seu valor. 
V – Os dados são os resultados da análise ou processamento que, mediante processos e 
regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos. 
Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: 
A Somente as afirmações I e II estão corretas. 
B Somente as afirmações II e IV estão corretas. 
C Somente as afirmações III e IV estão corretas. 
Você acertou! 
Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 
1, páginas 3 e 4 da Rota de Aprendizagem (versão impressa). 
D Todas as afirmações são corretas. 
E Nenhuma das Afirmativas
Questão 3/10- Segurança em Sistemas de Informação
A análise de Impacto nos negócios ou BIA – Business Impact Analysis, é uma ferramenta essencial para a gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto às possibilidades de incidentes que possam interrompê-los. No que se refere à BIA é correto afirmar que:
	
	A
	- A análise de riscos, para a BIA, é necessária para identificar todas as ameaças às quais os sistemas e as informações estão sujeitas e que demandam um tratamento preventivo. 
	
	B
	 - Os dois insumos básicos da BIA são relatórios de BCP – Business Continuity Plan e a análise de riscos 
	
	C
	- As perdas ou interrupções da capacidade produtiva da organização são avaliadas por meio de atividades do BPM – Business Process Management ou gerenciamento dos processos de negócios.
	
	D
	- A BIA é apoiada nas normas ISSO/IEC 270005 e ISSO/IEC 22301 e visa principalmente manter a confidencialidade da informação.
	
	E
	- Riscos de negócios, para a BIA, referem-se à possibilidade de perdas de recursos requeridos para a entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, fornecedores e tecnologia.
Questão 4/10- Segurança em Sistemas de Informação
A organização deve dispor de um a Política de Segurança que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação. E, atenção: é de primordial importância que todos, na organização, tenham conhecimento dessa Política de Segurança, comprometam-se e atuem para colocá-la em prática e torná-la efetiva.
Considere as afirmações a seguir quanto à Política de Segurança da Informação:
( ) A política de segurança da informação é uma forma de legislação própria, na qual a Organização estabelece de forma soberana, autônoma e totalmente independente, as regras e obrigações – e até as punições - às quais estarão todos submetidos, a despeito de qualquer outra legislação vigente e aplicável.
( ) Um modelo de governança corporativo somente será efetivo caso seja definido na política de segurança da informação, e que estabeleça claramente os objetivos a serem alcançados, o grau de tolerância ao risco aceitável para o negócio, e que oriente e norteie todas as iniciativas da organização relativas à segurança da informação.
( ) Compliance ou conformidade refere-se ao fato de a política de segurança da informação estar submetida à legislação, alinhada com as práticas de governança corporativa e adequada às normas e regulamentos aos quais a organização está sujeita.
( ) A política de segurança da informação também estabelece a hierarquia e as responsabilidades pela segurança da informação da organização, levando em conta que a segurança da informação não é responsabilidade exclusiva da área de tecnologia da informação, comunicação e sistemas (TICS) e tampouco restrita aos aspectos tecnológicos
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado em aula:
A – V-F-F-V
B – F-V-V-F
C – F-V-V-V
D – V-V-V-F
E – F-F-V-V
Questão 5/10- Segurança em Sistemas de Informação
A segurança da informação e dos sistemas que fazem uso da internet está ligada à segurança das redes – locais e d e longa distância. Os diversos serviços colocados à disposição, entre eles o correio eletrônico - o e-mail, as redes sociais, os serviços de mensagem instantânea e os serviços de comércio eletrônico dependem da infraestrutura de rede e de seus recursos associados. 
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às redes e à Internet, classificando-as como (F) falsas ou (V) verdadeiras: 
( ) O IP Sec. ou IPS security tem como objetivo oferecer segurança para pacotes de dados na rede, provendo confidencialidade e autenticação no protocolo TC P . 
( ) Uma VP N oferece comunicação segura ponto a ponto por meio da internet, constituindo um a rede criptografada dentro da internet. 
( ) Uma das mais importantes funções de um firewall é aplicar as regras da política de segurança da organização, visando proteger e controlar o acesso a sistemas e informações. 
( ) O S SL / TLS são protocolos que oferecem segurança ponto-a-ponto para aplicações que necessitam segurança na camada de transporte de dados do protocolo IP . 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula :
A – V- F- F- V 
B – F- V- V- F Você acertou
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informaçãoe de Sistemas, da Aula 4, páginas 9 e10 da Rota de Aprendizagem (versão impressa ). 
C – F- F- V- V 
D – F- V- V- V 
E – V- V- F- F 
Questão 6/10- Segurança em Sistemas de Informação
Nos ambientes de computação móvel e Internet das Coisas (IoT) a responsabilidade de cada um dos atores é específica, e os objetivos de segurança podem ser alcançados com abordagens distintas quanto à prevenção a ataques e contramedidas de segurança.  Avalie as afirmativas sobre a segurança da informação e dos sistemas nesses ambientes, assinalando-as como (F) falsas ou (V) verdadeiras:
(  ) Desenvolvedores devem ser informados dos possíveis problemas, orientados e educados a utilizarem seus dispositivos corretamente e de modo seguro.
(  ) Usuários devem adotar medidas de proteção à segurança da informação, as mais atualizadas possíveis e que permeiem todo o ciclo de vida do software, tendo como referência as vulnerabilidades e os ataques já conhecidos.
(  ) Operadoras devem reforçar os mecanismos de identificação e defesa das redes, e adotar medidas preventivas contra os ataques.
(   ) Fabricantes devem ser ágeis na identificação de falhas e na atualização do hardware, sistemas operacionais e bibliotecas com o intuito de reduzir ou eliminar falhas e vulnerabilidades que possam motivar ataques.
Assinale a alternativa que corresponde à correta classificação das afirmações:
	
	A
	F-F-F-V
	
	B
	F-F-V-V
	
	C
	V-V-F-F
	
	D
	V-F-V-V
	
	E
	V-F-F-V
Questão 7/10 - Segurança em Sistemas de Informação
A GCN - Gestão da Continuidade dos Negócios é um processo diretamente relacionado com a segurança da informação e dos sistemas. Seu objetivo é evitar a interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas informações vitais para a preservação da organização e de seus negócios. Para isso, a GCN contempla os seguintes aspectos:
I - Resposta a incidentes.
II - A gestão de crises.
III – Análise de Sistemas.
IV – Desenvolvimento e Testes.
Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em aula:
	
	A
	Somente as afirmações I e II são corretas.
	
	B
	Somente as afirmações I, II e III são corretas.
	
	C
	Somente as afirmações I, II e IV são corretas.
	
	D
	Somente as afirmações II, III e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Questão 8/10 - Segurança em Sistemas de Informação
Os negócios feitos por meio da comunicação eletrônica e dos computadores, conhecido como e-commerce, não estão restritas à Internet, pois existem outras soluções como o uso de bancos e cartões, compras e negociações feitas por terminais e dispositivos de comunicação específicos, como tablets, celulares, totens e outros.
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as como (F) falsas ou (V) verdadeiras:
(  ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o não-repúdio é um aspecto de suma importância, pois evita que falsos compradores assumam outra identidade, comprando em nome de outros.
(  ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por meio dos sites de compra, venda e troca, e requer especial atenção ao aspecto de identidade dos participantes, uma vez que é difícil comprovar, por meio eletrônico, quem realmente está do “outro lado”.
(  ) O B2B – Business to Business, como as operações financeiras, de logística e suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já que trata especificamente de comunicação entre organizações confiáveis.
(  ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o comportamento humano é fator essencial para que as defesas e a proteção sejam efetivas.
Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula:
	
	A
	V-F-F-V
	
	B
	F-V-V-F
	
	C
	F-F-V-V
	
	D
	F-V-F-V
Você acertou!
Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da  Aula 4, páginas de 11 a 13 da Rota de Aprendizagem (versão impressa).
	
	E
	V-V-F-F
Questão 9/10 - Segurança em Sistemas de Informação
Crise é uma ocorrência que impede ou dificulta que a organização atinja seus objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de crises é um plano ou conjunto de medidas estratégicas que, em situações de anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa ocorrência.
No que se refere à gestão de crises é correto afirmar que:
	
	A
	Em situações de crise a tomada de decisões individuais e improvisadas dificulta o trabalho em equipe e colaborativo, podendo aumentar a crise e até mesmo colocar em risco a sobrevivência da organização, por isso deve ser evitada.
	
	B
	A primeira providência perante a ocorrência que gera uma situação de crise deve ser fazer a declaração de desastre e ativar o BCP. Em seguida deve-se preservar as evidências da ocorrência que possibilitem identificar os culpados.
	
	C
	A gestão de crise tem por objetivo ativar o procedimento operacional de contingência da organização, com o intuito de proteger seus empregados, o seu negócio, os seus ativos e a sua imagem.
	
	D
	Durante a ocorrência de uma crise todos os envolvidos devem estar totalmente informados e preparados, sendo capazes de prover informações, especialmente para a mídia, pois isso reduz o impacto da crise na opinião pública.
	
	E
	Como as situações de crise seguem um determinado padrão, as informações a respeito da situação devem ser fornecidas ao público em geral, em grande quantidade e o mais rapidamente possível, exceto para as autoridades e órgãos de segurança, os quais exigem formalidade.
Questão 10/10 - Segurança em Sistemas de Informação
Marcos regulatório é leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para a gestão financeira, transparência e publicidade dos dados contábeis.É  consequência de prejuízos causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da informação e dos sistemas por todo o mundo.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das informações dos usuários desse segmento.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas.
Assinale a única alternativa que confere com o material e com o que foi apresentado na aula:
	
	A
	Somente as afirmações I, II e III são corretas.
	
	B
	Somenteas afirmações I, II e IV são corretas.
	
	C
	Somente as afirmações I, III e IV são corretas.
	
	D
	Somente as afirmações II, III e IV são corretas.
	
	E
	Todas as afirmações são corretas.
Você acertou!
Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa).