gabaritos avaliações II segurança em tecnologia da informação

Prévia do material em texto

Acadêmico:
	João Legal
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação II - Individual FLEX ( Cod.:405342) ( peso.:1,50)
	Prova Objetiva:
	
	Nota da Prova:
	10
Parte superior do formulário
	1.
	Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
	 a)
	Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
	 b)
	É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.
	 c)
	Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser contingenciada.
	 d)
	Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
	2.
	Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que:
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este contingenciamento.
II- Deve-se manter uma relação completa e atualizada dos aplicativos.
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades.
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua importância no contexto geral.
Assinale a alternativa CORRETA:
	 a)
	Somente a sentença IV está correta.
	 b)
	As sentenças III e IV estão corretas.
	 c)
	As sentenças I, II e III estão corretas.
	 d)
	As sentenças II e IV estão corretas.
	3.
	O plano de contingência deve ser parte da política de segurança de uma organização, complementando assim, o planejamento estratégico desta. Neste documento são especificados procedimentos preestabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser verificados. Sobre esses itens, analise as sentenças a seguir:
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil recuperação.
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram eventualidades.
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, confidencialidade e disponibilidade.
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há necessidade de relatórios gerenciais.
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a sentença II está correta.
	 b)
	As sentenças II, III e IV estão corretas.
	 c)
	As sentenças I, III e IV estão corretas.
	 d)
	As sentenças I, II e III estão corretas.
	4.
	A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Temos como características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade. Com base nessas características e objetivando reduzir os riscos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A empresa deve criar processos confiáveis para a seleção de funcionários, independente do cargo.
(    ) A empresa deve promover maneiras de informar e conscientizar os funcionários com relação à importância da segurança.
(    ) Caso a empresa demita um funcionário, deve-se imediatamente proibir o seu acesso às informações, de maneira física e lógica.
(    ) Deve-se haver a centralização de autoridade e ter apenas uma pessoa responsável por todas as etapas de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	F - V - V - F.
	 c)
	V - V - V - F.
	 d)
	V - F - V - V.
	5.
	Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas:
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade.
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos dados originais.
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados.
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e III estão corretas.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As senteças II e IV estão corretas.
	 d)
	Somente a sentença I está correta.
	6.
	A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da proatividade das equipes de segurança.
(    ) A abordagem proativa define claramente as responsabilidades individuais,
(    ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
(    ) A política proativa trata da questão da segurança das informações com a visão “Será que o sistema será atacado?”.
(    ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V - F - V.
	 b)
	V - F - F - V - V.
	 c)
	F - F - V - V - V.
	 d)
	V - V - F - V - F.
	7.
	O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderiaficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e III estão corretas.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças II e IV estão corretas.
	 d)
	Todas as sentenças estão corretas.
	8.
	Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também criar normas para a utilização das ferramentas e das informações existentes em uma organização. A documentação dos processos é outro fator muito importante para a área de sistemas de informações. Para que a empresa esteja segura com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções:
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
III- Plano de reinicialização de negócios, teste de emergência e recuperação.
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
Agora, assinale a alternativa CORRETA:
	 a)
	As opções I e II estão corretas.
	 b)
	Somente a opção II está correta.
	 c)
	As opções III e IV estão corretas.
	 d)
	As opções II e III estão corretas.
	9.
	Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as atividades e as funcionalidades são dependentes das tecnologias, pois todos eles precisam ser processados pelos sistemas informatizados. Outro fator que deve ser analisado é que toda a informação da organização possui um custo, tanto as informações quanto a estrutura que este setor precisa ter para disponibilizar a segurança dos dados. De acordo com Caruso e Steffen (1999), existem duas classes principais de materiais e atividades em processo. Sobre essas classes, análise as seguintes afirmativas:
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes e desastres de processamento.
II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de informação.
III- Sistemas de programas de aplicações ou de controle da atividade e informações relacionadas.
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas de processo de informação.
Agora, assinale a alternativa CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São Paulo, 1999.
	 a)
	As afirmativas I e II estão corretas.
	 b)
	As afirmativas II e III estão corretas.
	 c)
	Somente a afirmativa III está correta.
	 d)
	Somente a afirmativa IV está correta.
	10.
	Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas devem ser tomadas para minimizar os danos provocados por desastres ou ataques, que colocam em risco as informações e geram perdas dos dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser medidos quantitativamente e categorizados. Quais são essas categorias?
	 a)
	Necessário, prioritário e urgente.
	 b)
	Alto, médio e baixo.
	 c)
	Incêndio, greve e sabotagem.
	 d)
	Ataques, falta de luz e sabotagem
Parte inferior do formulário