Segurança da Informação - Questionário Unidade III (2018/1)

Prévia do material em texto

 Pergunta 1 
0,25 em 0,25 pontos 
 
A adoção de controles internos aufere custos à organização. Sobre esses custos é 
correto afirmar que: 
I - Quanto mais investimento, mais êxito os controles internos terão. 
II - A simples introdução de investimentos não garante a eficácia dos controles internos. 
III - É necessária uma avaliação para conhecermos a faixa que maximiza os 
investimentos e a eficácia do processo de controles internos. 
IV - Os controles internos são a base para processo de auditoria, que pode ser 
representado pelas palavras: exame, investigação e perícia. 
 
Resposta Selecionada: d. II, III e IV estão corretas. 
 
Respostas: a. I e II estão corretas. 
 
b. III e IV estão corretas. 
 
c. I, II e III estão corretas. 
 
d.II, III e IV estão corretas. 
 
e. I, II, III e IV estão corretas. 
Feedback 
da 
resposta: 
Resposta: D 
Comentário: nem sempre o excesso de investimento resolve a situação. 
No caso dos controles internos, essa afirmação é uma realidade; como foi 
mencionado, a introdução das ferramentas de controles internos requer 
investimentos, porém as organizações devem estar atentas a "curva de 
eficácia do investimento em controles internos", que nada mais é do que 
comparar o valor do ativo com o controle a ser investido, achando o que 
chamamos de faixa aceitável de investimento. 
 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
A segurança em redes sempre foi considerada uma alternativa à segurança em estações 
de trabalho. O argumento sempre foi a praticidade e a facilidade. Achava-se que se a 
rede estivesse protegida, as máquinas estariam seguras, mesmo porque quando a 
informação está trafegando na rede é onde ela corre mais risco. 
Sobre a tipificação das ameaças, podemos afirmar que: 
I - As ameaças podem ser de interceptação, modificação, interrupção ou fabricação. 
II - No ataque de interceptação, o atacante se posiciona entre dois dispositivos que estão 
se comunicando e faz com que essa comunicação passe por ele. Dessa forma, o 
atacante consegue copiar as informações que estão sendo transmitidas. 
III - O ataque de modificação visa a alterar a comunicação entre duas partes, atacando a 
integridade das informações comunicadas naquele canal. 
IV - Um exemplo de ataque de interrupção é o ataque de IP Spoofing. 
 
V - Um exemplo de ataque de fabricação é o ataque de DOS – Denial of Service. 
Resposta Selecionada: c. I, II e III estão corretas. 
 
Respostas: a. I e II estão corretas. 
 
b. III e IV estão corretas. 
 
 
c. I, II e III estão corretas. 
 
d. II, III e IV estão corretas. 
 
e. I, III e V estão corretas. 
Feedback da 
resposta: 
Resposta: C 
Comentário: os ataques de IP Spoofing e DOS – Denial of Service 
são, respectivamente, ataques de fabricação e interrupção. 
 
 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
A segurança física cuida da proteção de todos os ativos valiosos da organização, por 
essa razão sua abrangência é extensa e vai desde as instalações físicas, internas e 
externas em todas as localidades da organização. A essência da segurança física reside 
na prevenção, por esse motivo é correto afirmar que: 
I. Uma barreira de segurança é adicionada como um obstáculo para prevenir um ataque. 
II. A segurança física não requer preocupação por parte da segurança da informação. 
Esse assunto deve ser tratado pela segurança patrimonial da empresa. 
III. Compreender o ambiente físico da organização é o primeiro passo para a identificação 
das vulnerabilidades. 
IV. São exemplos de ameaças à segurança física da organização; roubos e furtos, 
sabotagem e vandalismos. 
 
Resposta Selecionada: e. I, III e IV estão corretas. 
 
Respostas: a. I e II estão corretas. 
 
b. III e IV estão corretas. 
 
c. I, II e III estão corretas. 
 
d. II, III e IV estão corretas. 
 
e. I, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: E 
Comentário: a Segurança da Informação é responsável também pela 
segurança física, isso inclui desde o controle de acesso por 
biométrica, extintores de incêndio e altura dos muros. 
 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Diante de uma auditoria após a análise, cabe ao auditor emitir um relatório chamado de 
parecer que é um documento no qual o auditor expressa sua opinião, de forma clara e 
objetiva, se os resultados apurados, em todos os aspectos relevantes, estão 
representados, adequadamente ou não, na data do levantamento e para o período 
 
correspondente. Quando o auditor emite um parecer com ressalva, isso quer dizer que: 
Resposta 
Selecionada: 
b. 
O auditor conclui que o efeito de qualquer discordância ou restrição 
na extensão de um trabalho não é de tal magnitude que requeira 
parecer adverso ou abstenção de opinião. Trata-se de exceções. 
 
Respostas: a. 
O auditor está convencido de que as demonstrações foram 
elaboradas consoante as disposições contidas nos controles internos 
ou nas normas, em todos os aspectos relevantes. 
 
b. 
O auditor conclui que o efeito de qualquer discordância ou restrição 
na extensão de um trabalho não é de tal magnitude que requeira 
parecer adverso ou abstenção de opinião. Trata-se de exceções. 
 
c. 
O auditor emite opinião de que as demonstrações não estão 
adequadamente representadas, nas datas e nos períodos indicados, 
de acordo com as disposições contidas nos controles internos ou nas 
normas. 
 
d. 
O auditor deixa de emitir opinião sobre as demonstrações, por não ter 
obtido comprovação suficiente para fundamentá-la. 
 
e. 
O auditor adiciona um parágrafo de ênfase em seu parecer, após o 
parágrafo de opinião, fazendo referência à nota explicativa da 
administração, que deve descrever de forma mais extensa a natureza 
e, quando possível, o efeito da incerteza. 
Feedback 
da 
resposta: 
Resposta: B 
Comentário: quando um auditor emite um parecer com ressalva significa 
que apenas alguns pontos específicos não estão em conformidade, 
porém, apesar de compor o processo, não altera significativamente o 
resultado final. Um parecer com ressalva requer em sequência um plano 
de ação para solucioná-lo, a fim que no próximo processo de auditoria ele 
esteja sanado. 
 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
Marco Antônio estava com problemas com invasões na rede corporativa da qual era 
responsável. Foi chamado pelo executivo de TI para uma conversa e foi intimado a 
minimizar esses ataques. Desesperado com risco de perder seu emprego, Marco Antônio 
decidiu procurar ajuda, foi quando recebeu instruções para implantar estratégias de 
proteção. Sobre as possíveis estratégias de proteção que Marco pode implantar é correto 
afirmar que: 
I - A estratégia de confiança se assemelha à situação em que uma pessoa passa o cartão 
em uma loja e ela está confiando os dados do cartão ao estabelecimento. 
II - A estratégia de defesa em profundidade tem como objetivo implantar diversos tipos de 
controles. 
III - A estratégia de privilégio mínimo parte da ideia de que os usuários tenham apenas os 
privilégios necessários para desempenhar suas tarefas. 
IV - Deve-se escolher apenas um tipo de estratégia, a implantação de mais de um tipo 
pode causar conflito, invalidando uma a outra. 
 
 
Resposta Selecionada: c. 
I, II e III estão corretas. 
Respostas: a. 
I e II estão corretas. 
 
b. 
III e IV estão corretas. 
 
 
 
c. 
I, II e III estão corretas. 
 
d. 
II, III e IV estão corretas. 
 
e. 
I, III e IV estão corretas. 
Feedback da 
resposta: 
Resposta: C 
Comentário: exatamente o contrário, a implantação de mais de um tipo 
de estratégia de proteção leva ao que chamamos de segurança em 
profundidade, o que é altamenterecomendado em segurança da 
informação. 
 
 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
O conceito de prevenção criminal por meio do desenho ambiental vem sendo 
desenvolvido por trinta e cinco anos e ainda está em evolução. Após a sua elaboração 
inicial na década de sessenta, foi em 1972 que Oscar Newman estabeleceu as bases do 
assunto com o livro “Defensible Space”. A teoria de Newman é baseada: 
 
Resposta 
Selecionada: 
c. 
Na possibilidade de reduzir o crime e o medo por meio de certas 
medidas de planejamento e projeto de áreas. 
Respostas: a. 
Na necessidade de estabelecer os conceitos de segurança em 
todos os funcionários. 
 
b. 
Na prospecção de ataques que a empresa pode sofrer. 
 
c. 
Na possibilidade de reduzir o crime e o medo por meio de certas 
medidas de planejamento e projeto de áreas. 
 
d. 
Na percepção das vulnerabilidades, identificando as possíveis 
ameaças. 
 
e. 
No estabelecimento de uma norma corporativa de segurança 
física. 
Feedback 
da 
resposta: 
Resposta: C 
Comentário: a teoria de Oscar Newman prevê que é possível desenhar 
ambientes que reduzem as oportunidades para que um crime possa 
ocorrer e na redução do medo do crime pelo aumento da sensação de 
segurança pessoal, melhorando a qualidade de vida das pessoas e o seu 
relacionamento com medidas necessárias de segurança. 
 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
O processo de auditoria de Segurança da Informação não diferencia em nada dos outros 
processos e auditorias administrativas, isso quer dizer que está ligado às necessidades 
de auxiliar a alta administração a atingir os objetivos da organização de uma maneira 
geral. Sobre os processos de auditoria é correto afirmar que: 
I - O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o 
resultado. 
II - A auditoria interna é realizada por departamento interno responsável pela verificação e 
pela avaliação de sistemas e procedimentos internos de uma entidade. 
III - A auditoria externa é realizada por instituição externa e independente da entidade 
auditada, com o objetivo de assegurar aos proprietários e/ou acionistas ao conselho de 
administração e ao mercado em geral. 
IV - A auditoria articulada é realizada em conjunto pelas auditorias internas e externas, 
devido à superposição de responsabilidades dos órgãos fiscalizadores. 
 
Resposta Selecionada: e. 
I, II, III e IV estão corretas. 
Respostas: a. 
I e II estão corretas. 
 
b. 
III e IV estão corretas. 
 
c. 
I, II e III estão corretas. 
 
d. 
II, III e IV estão corretas. 
 
e. 
I, II, III e IV estão corretas. 
Feedback 
da resposta: 
Resposta: E 
Comentário: o processo de auditoria deve ser realizado por órgãos 
idôneos, podendo ser interno, externo e articulado que visa, de uma 
forma geral, a auxiliar as empresas a atingirem seus objetivos ou manter 
controles em virtude de legislação, certificações ou normas internas. 
 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Os mecanismos para controle de acesso lógico contribuem para a segurança da 
informação, preservando os pilares da segurança da informação com os objetivos de: 
confidencialidade, integridade e disponibilidade. Os métodos de autenticação podem ser 
divididos em três grandes grupos de acordo com a técnica utilizada, em que é correto 
afirmar que: 
I - O método de autenticação, baseado no que você sabe, refere-se a que os usuários 
sabem utilizar. O meio mais comum dessa técnica é o uso de senhas para a autenticação. 
II - O método de autenticação, que utiliza o que você tem, é baseado em dispositivos 
 
físicos como tokens ou smartcards, que são entregues aos usuários que devem guardar 
para uso no momento em que o sistema faça a requisição. 
III - É recomendada a implantação de apenas um método de autenticação por 
autenticação. 
IV - O método de autenticação, pelo que você é, baseia-se em características físicas 
(reconhecimento biométrico) como o uso de impressão digital para o acesso a sistemas. 
Resposta Selecionada: e. I, II e IV estão corretas. 
Respostas: a. I e II estão corretas. 
 
b. III e IV estão corretas. 
 
c. I, II e III estão corretas. 
 
d. II, III e IV estão corretas. 
 
e. I, II e IV estão corretas. 
Feedback da 
resposta: 
Resposta: E 
Comentário: exatamente o contrário, a implantação de mais de uma 
técnica de autenticação é recomendada, pois assegura ainda 
autenticação seguro do acesso. 
 
 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Os processos de auditoria devem receber atenção em todas as áreas da empresa, porém 
em todos os processos existem personagens que estão diretamente envolvidos que são: 
I - Cliente, fornecedor e auditado. 
II - Fornecedor, auditor e auditado. 
III - Cliente, auditado e auditor. 
IV - Auditado, auditor e validador. 
 
 
Resposta Selecionada: b. Apenas a afirmativa III está correta. 
 
Respostas: a. Apenas a afirmativa II está correta. 
 
 
 
b. Apenas a afirmativa III está correta. 
 
 
c. Apenas a afirmativa I está correta. 
 
d. Apenas a afirmativa IV está correta. 
 
e. I e II estão corretas. 
Feedback 
da 
resposta: 
Resposta: B 
Comentário: os personagens envolvidos nos processos de auditoria são: 
cliente é aquele que solicita ou contrata a auditoria e sua função é 
determinar o propósito da auditoria. Auditado é aquele que é avaliado na 
auditoria, sua responsabilidade é de cooperar, apresentando as 
 
informações e os documentos solicitados pelo auditor. Auditor é aquele 
que coordena e/ou realiza os trabalhos de auditoria, responsável pelo 
trabalho de auditoria, organiza e propõe o plano de auditoria, cumpre e 
comunica os requisitos de auditoria. 
 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Sobre os controles internos é correto afirmar: 
I - São ferramentas que visam a minimizar problemas que podem causar impacto nas 
operações e no cotidiano das organizações. 
II - Os controles internos podem ou não utilizar recursos computacionais, podem ser 
preventivos quando visam a evitar erros, falhas e promover boas práticas; detectivos 
quando identificam ou corrigem problemas; e corretivos quando visam a sanar o problema 
ocorrido. 
III - O controle interno pode ser definido como um plano de organização e todos os 
métodos e as medidas coordenadas aplicadas em uma organização a fim de proteger 
seus bens, conferir a exatidão e a fidelidade de seus dados. 
IV - Alguns parâmetros de controle interno devem ser compreendidos na esfera 
administrativa para a formação dos padrões que serão definidos pela organização e logo 
após auditados e, consequentemente, protegidos nos quesitos relacionados à Segurança 
da Informação. 
 
Resposta Selecionada: e. I, II, III e IV estão corretas. 
 
Respostas: a. I e II estão corretas. 
 
b. III e IV estão corretas. 
 
c. I, II e III estão corretas. 
 
d. II, III e IV estão corretas. 
 
e. I, II, III e IV estão corretas. 
 
Feedback da 
resposta: 
Resposta: E 
Comentário: os controles internos são ferramentas desenvolvidas para 
conferir e auxiliar na melhoria de todos os processos organizacionais 
desde da área contábil, passando pelas áreas de tecnologia, chegando 
à segurança da informação.