Segurança em Tecnologia da Informação Avaliação II (GTI08)

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: Avaliação II - Individual e sem Consulta ( Cod.:402557) ( peso.:1,50) 
Prova: 6257673 
Nota da Prova: 8,00 
Gabarito da Prova: Resposta Certa Sua Resposta Errada 
1. Em sistemas de informação, existe grande possibilidade de que sistemas, servidores 
e aplicações, por algum momento, ficarem desativados. Os administradores de 
sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. 
As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para 
suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar 
sistemas de backup e possuir configurado sempre mais do que um servidor em 
funcionamento; estes são os itens mais importantes para o funcionamento de uma 
estrutura de um Datacenter. Alguns procedimentos devem ser realizados quando 
servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses 
procedimentos, classifique V para as opções verdadeiras e F para as falsas: 
 
( ) Servidores atualizados, substituição de equipamentos de rede. 
( ) Divulgação dos problemas de rede e conscientização dos funcionários. 
( ) Manutenção da estrutura de rede e restauração dos backups. 
( ) Treinamento dos programas incorporados e utilização de hardware. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - V. 
 b) F - V - V - F. 
 c) V - F - V - F. 
 d) V - V - F - F. 
 
2. O contexto empresarial é altamente dependente da informação e implicitamente à 
tecnologia da informação. Diante de tal dependência, não é possível imaginar que os 
ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os 
sistemas de informação, possam não estar disponíveis para uso nos momentos em 
que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as 
organizações empreendem esforços e desenvolvem planos que venham a garantir a 
continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja 
elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está 
em conformidade com estes planos: 
 a) O PCN visa a prover meios da continuidade operacional. 
 b) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar 
situações e incidentes de segurança que não puderem ser evitados. 
 c) Cada organização deve estar preparada para enfrentar situações de contingência e 
de desastre que tornem indisponíveis recursos que possibilitam seu uso. 
 d) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao 
menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é 
o seu alto custo. 
 
3. A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça para qualquer organização. É nesse 
enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano 
de continuidade de negócios é manter as operações de uma organização funcionando 
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de 
continuidade de negócios, assinale a alternativa CORRETA: 
 a) O plano de continuidade de negócios deve priorizar as operações cuja paralisação 
traga maior impacto para a organização. 
 b) As atualizações no plano de continuidade de negócios ocorrem somente após um 
evento de falha de segurança. 
 c) O plano de continuidade de negócios tem sua atuação restrita a processos de 
negócio. 
 d) O plano de continuidade de negócios objetiva manter todas as operações da 
organização em funcionamento, no caso da ocorrência de um evento de falha de 
segurança. 
 
4. A política de segurança da informação visa a comunicar e a estabelecer a 
responsabilidade de todos os usuários de informações e dos sistemas de informações 
nos aspectos da confidencialidade, integridade e disponibilidade deste manancial 
informativo. O documento desta política deve ser muito claro na sua forma de 
declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua 
interpretação. Todos para os quais forem destinados devem conhecer também as 
sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a 
serem dados por cada integrante na organização às informações. 
( ) A política estabelece seus controles, padrões e procedimentos. 
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em 
outros documentos subordinados em hierarquia à política, que são definidos pelo 
Security Officer. 
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, 
sustentada por padrões e procedimentos. 
( ) O Security Officer auxilia estrategicamente na definição e manutenção da 
política e que, portanto, assina e exige seu cumprimento. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - F - V. 
 b) V - V - V - V - F. 
 c) V - F - F - V - F. 
 d) F - V - F - F - F. 
 
5. Para o sucesso da implementação do plano de contingência em uma empresa, é de 
suma importância que sejam observadas as funções críticas dos negócios, as quais 
podem estar enquadradas como de alto, médio ou baixo risco. Com esta avaliação 
feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os planos 
de contingência de uma empresa devem garantir que: 
 
I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, 
de propriedades intelectuais, de pessoas, transacionais, entre outros. 
II- No momento da ocorrência de algum sinistro, a equipe deve realizar o 
planejamento da solução e da sua recuperação. 
III- Estejam previstos testes periódicos destes planos. 
IV- Na existência de backups com diversas periodicidades, os backups mensais 
estejam atualizados. 
V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças I, III e V estão corretas. 
 b) As sentenças I, II e III estão corretas. 
 c) As sentenças I, III, IV e V estão corretas. 
 d) As sentenças II, IV e V estão corretas. 
 
6. Quanto maior a dependência das organizações com relação à tecnologia da 
informação, maior a necessidade da elaboração de um plano de continuidade de 
negócios (PCN). Em qualquer PCN, o elo mais fraco são os recursos humanos e há a 
necessidade de se tratar essa situação. Com relação ao exposto, analise as sentenças a 
seguir: 
 
I- O descumprimento das políticas de segurança é um dos principais riscos que o 
fator humano traz para as organizações no que se refere à utilização de recursos de 
Tecnologia da Informação. 
II- A padronização dos procedimentos relacionados à utilização dos recursos de 
Tecnologia da Informação é um dos métodos mais eficientes para minimizar 
incidentes de segurança causados por falha humana. 
III- Campanhas de conscientização com relação à política de segurança da 
organização são essenciais para o envolvimento das pessoas e consequente 
minimização da probabilidade de ocorrência de falha humana. 
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é 
homogêneo para todos os profissionais envolvidos. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças I, II e III estão corretas. 
 b) As sentenças III e IV estão corretas. 
 c) As sentenças II, III e IV estão corretas. 
 d) As sentenças I, II e IV estão corretas. 
 
7. Em geral, os planos de contingenciamento das organizações estabelecem uma rápida 
ação para quese consiga restaurar o mais breve possível os serviços essenciais. Estes 
serviços essenciais devem ser apontados pelos próprios departamentos da empresa, 
no tocante à sua importância nos processos operacionais de negócio. Estas 
informações são avaliadas pelos comitês de segurança, os quais devem validar o 
escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa 
INCORRETA: 
 a) Se uma das atividades de uma função de negócio, considerada crítica, for avaliada 
como risco moderado, esta não deverá ser contingenciada. 
 b) Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, 
lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre 
outros. 
 c) Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos. 
 d) É fundamental que todos os departamentos que possuem funções críticas aos 
negócios sejam contingenciados. 
 
8. Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, 
como também criar normas para a utilização das ferramentas e das informações 
existentes em uma organização. A documentação dos processos é outro fator muito 
importante para a área de sistemas de informações. Para que a empresa esteja segura 
com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os 
processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos 
negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções: 
 
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação. 
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade. 
III- Plano de reinicialização de negócios, teste de emergência e recuperação. 
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
 
Agora, assinale a alternativa CORRETA: 
 a) As opções I e II estão corretas. 
 b) As opções II e III estão corretas. 
 c) Somente a opção II está correta. 
 d) As opções III e IV estão corretas. 
 
9. Dada a importância que a elaboração de um plano de continuidade de negócios 
(PCN) tem atualmente para as organizações, é essencial que este plano seja auditado 
e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de 
PCN, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os testes do PCN devem avaliar se as responsabilidades atribuídas às pessoas e 
às equipes de contingência estão de acordo com o perfil e as habilidades das mesmas. 
( ) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão 
desempenhar as funções que se espera deles no caso de um evento de falha de 
segurança. 
( ) Visto que a alta diretoria não desempenhará nenhum papel operacional na 
execução de um PCN, seu envolvimento somente ocorrerá na etapa de definição do 
mesmo. 
( ) A auditoria de PCN deve verificar se os contratos de fornecedores externos 
atendem aos requisitos definidos no plano. 
( ) O PCN deve ser divulgado para todos os colaboradores da organização, no 
sentido de aumentar a conscientização. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - V - F. 
 b) V - V - F - V - F. 
 c) V - V - F - F - V. 
 d) V - F - V - V - F. 
 
10. A rotina da geração das cópias de segurança em ambiente de informação é um ponto 
muito importante e que deve ser amplamente planejado. A frequência com que estas 
cópias serão geradas, normalmente, pode seguir a frequência com que as 
informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de 
um sistema de informação de uma organização recebe atualizações constantes e 
diárias, também diária deverá ser a geração das cópias de segurança. Entretanto, tão 
importante quanto gerar as cópias de segurança é poder utilizá-las para a pronta 
restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, 
com o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração 
das cópias de segurança, classifique V para as sentenças verdadeiras e F para as 
falsas: 
 
( ) Nos testes deve ser verificada a integridade da informação armazenada. 
( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos. 
( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da 
equipe. 
( ) Nos testes, mesmo que tenha sido identificado algum procedimento 
desatualizado ou ineficaz, o mais importante é que a cópia seja gerada. 
( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a 
solução será fazer novas cópias. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - F - F. 
 b) V - V - V - F - F. 
 c) V - F - V - V - V. 
 d) F - V - F - V - F.