Segurança em Tecnologia da Informação - Avaliação Final (Objetiva) - (GTI08)

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual e sem Consulta ( Cod.:402559) ( 
peso.:3,00) 
Prova: 6218591 
Nota da 
Prova: 
9,00 
Gabarito da Prova: Resposta Certa Sua Resposta Errada 
1. A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a 
auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização 
dos processos de auditoria através destes recursos. Com relação à auditoria de TI em 
ambiente empresarial, assinale a alternativa CORRETA: 
 a) As abordagens para auditoria de TI mais comuns são: ao redor do computador, 
sobre o computador e através do computador. 
 b) A auditoria de TI não se envolve diretamente na atividade de escolha de softwares 
e hardwares a serem implantados. 
 c) A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos 
recursos de TI em função da utilização dos mesmos. 
 d) Não é foco da auditoria de TI a verificação da adequação dos controles internos 
implantados por ela mesma. 
 
2. Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, 
como também criar normas para a utilização das ferramentas e das informações 
existentes em uma organização. A documentação dos processos é outro fator muito 
importante para a área de sistemas de informações. Para que a empresa esteja segura 
com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os 
processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos 
negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções: 
 
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação. 
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade. 
III- Plano de reinicialização de negócios, teste de emergência e recuperação. 
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
 
Agora, assinale a alternativa CORRETA: 
 a) Somente a opção II está correta. 
 b) As opções II e III estão corretas. 
 c) As opções I e II estão corretas. 
 d) As opções III e IV estão corretas. 
 
3. ?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a 
processos, produtos e serviços, constituem recursos cada vez mais críticos para o 
alcance da missão e dos objetivos organizacionais? (BEAL, 2008, p. 96). No trecho 
citado, a autora destaca a importância que a informação vem assumindo para as 
organizações como ativo, principalmente devido à evolução dos computadores e da 
internet. No que se refere à utilização da informação como um ativo organizacional, 
analise as sentenças a seguir: 
 
I- A etapa mais importante em todo o processo de gestão da informação é a de 
aquisição, pois é nesta etapa que a organização delimita quais são suas necessidades 
e requisitos em termos de informação. 
II- A preocupação com a proteção da informação restringe-se às informações 
armazenadas em mídias digitais. 
III- A etapa de tratamento da informação consiste em um ou n processos, com a 
finalidade de torná-la mais organizada e, consequentemente, mais acessível aos 
usuários. 
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se 
separar as informações em duas categorias: as informações obtidas sem custo para a 
organização e as informações obtidas com custo para a organização, priorizando 
sempre estas últimas na alocação dos recursos disponíveis. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas 
para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. 
 a) Somente a sentença III está correta. 
 b) As sentenças I e II estão corretas. 
 c) As sentenças I e IV estão corretas. 
 d) As sentenças I, II e III estão corretas. 
 
4. Com o objetivo de guiar a análise, o planejamento e a implementação da política de 
segurança de uma organização, deve-se levar em consideração os princípios da 
integridade, confidencialidade e disponibilidade das informações. Neste sentido, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias 
organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar 
a eficiência no gerenciamento da segurança de TI. 
( ) O plano de continuidade visa a estabelecer exclusivamente critérios para a 
recuperação das atividades que envolvem os recursos tecnológicos. 
( ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no 
aspecto físico e lógico. 
( ) Entre os principais objetivos de um sistema geral de controle interno é a 
manutenção da integridade das informações. 
( ) Avaliação dos controles internos em ambientes informatizados é uma atividade 
decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor 
tenha conhecimento na área TI. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - V - F. 
 b) V - V - F - F - V. 
 c) F - F - V - F - V. 
 d) V - F - V - V - V. 
 
5. A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça para qualquer organização. É nesse 
enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano 
de continuidade de negócios é manter as operações de uma organização funcionando 
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de 
continuidade de negócios, assinale a alternativa CORRETA: 
 a) O plano de continuidade de negócios deve priorizar as operações cuja paralisação 
traga maior impacto para a organização. 
 b) As atualizações no plano de continuidade de negócios ocorrem somente após um 
evento de falha de segurança. 
 c) O plano de continuidade de negócios objetiva manter todas as operações da 
organização em funcionamento, no caso da ocorrência de um evento de falha de 
segurança. 
 d) O plano de continuidade de negócios tem sua atuação restrita a processos de 
negócio. 
 
6. A auditoria de sistema de informação visa a avaliar as funções e as operações dos 
sistemas de informação, assim como atestar se os dados e as demais informações 
neles contidos correspondem aos princípios de integridade, precisão e 
disponibilidade, sendo considerado um instrumento para a gestão de segurança. 
Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos 
padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente 
citados. Acerca do COBIT, classifique V para as sentenças verdadeiras e F para as 
falsas: 
 
( ) O COBIT atua em quatro domínios distintos: planejar e organizar, adquirir e 
implementar, entregar e dar suporte, e monitorar e avaliar. 
( ) No processo de gerenciamento de continuidade, o COBIT define algumas 
práticas para a elaboração de um plano de continuidade do negócio. 
( ) Um dos benefícios que esta ferramenta pode trazer é o alinhamento da 
tecnologia da informação com os objetivos da organização. 
( ) Apesar de ser uma ferramenta com alto potencial para a elaboração de uma 
política de segurança, há ainda muitas restrições quanto à sua utilização. 
( ) É uma ferramenta desenvolvida exclusivamente aos gestores, a fim de apoiar 
suas avaliações sobre o nível da gestão de TI. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - V - V - F - F. 
 b) V - F - F - V - F. 
 c) F - V - V - V - F. 
 d) F - F - V - F - V. 
 
7. A classificação da informação em categorias distintas,de acordo com sua 
confidencialidade, é essencial para uma correta definição dos níveis de segurança 
aplicados a cada categoria. Uma das classificações mais utilizadas compreende os 
níveis público, interno e confidencial. No que tange à classificação da informação, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Informações públicas são aquelas que não necessitam de sigilo, tendo acesso 
livre para os colaboradores e/ou fora da organização, pois sua divulgação não tem 
impacto para os negócios. 
( ) Informações confidenciais são aquelas acessíveis por todos os seus 
colaboradores. Entretanto, caso sejam divulgadas, podem acarretar prejuízo para os 
negócios. 
( ) Os direitos e os privilégios de acesso às informações pelos usuários devem ser 
revisados constantemente para assegurar que estejam de acordo com as necessidades 
e os objetivos da organização. 
( ) O descarte de informações confidenciais deve garantir, por meio de 
procedimentos e/ou ferramentas, que a informação não possa ser recuperada sob 
hipótese alguma. 
( ) Informações de Classe 1 devem ser protegidas de qualquer acesso externo e, 
mesmo dentro da organização, seu acesso somente é liberado a alguns colaboradores. 
Como exemplo, podemos citar a folha de pagamento da organização. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - F - V - V - F. 
 b) F - F - V - V - V. 
 c) V - V - F - F - F. 
 d) V - F - F - V - V. 
 
8. A política de segurança da informação de uma organização deve considerar a 
informação um recurso de alto valor e, como tal, protegê-la de ameaças externas e 
internas. Neste sentido, é essencial considerar os aspectos referentes à segurança nos 
contextos lógico, físico e ambiental. Referente aos contextos de segurança da 
informação e suas particularidades, classifique V para as sentenças verdadeiras e F 
para as falsas: 
 
( ) A segurança lógica compreende os aspectos relacionados à integridade, à 
confidencialidade e à disponibilidade das informações armazenadas em dispositivos 
computacionais e nas redes que os interligam. 
( ) A segurança física diz respeito às áreas e aos ambientes físicos da organização 
que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a 
sala de servidores deve estar sempre trancada e a chave desta sala somente acessível 
por usuários que estejam autorizados a trabalhar nos servidores. 
( ) Roubo de recursos computacionais (fitas, disquetes, discos rígidos etc.), acesso 
de pessoas não autorizadas em ambientes protegidos (sala de impressão, sala de 
servidores etc.) e sabotagem de equipamentos ou arquivos de dados são aspectos 
relacionados à segurança ambiental. 
( ) A segurança ambiental refere-se à colocação dos recursos computacionais em 
local adequado, ao controle da temperatura e umidade no ambiente onde estes 
recursos serão instalados e ainda com cuidados quanto à rede elétrica (correto 
aterramento, utilização de para-raios, iluminação de emergência) que alimentará os 
equipamentos. 
( ) A preocupação com a proteção da informação restringe-se a informações 
armazenadas em mídias digitais. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - V - F - V - F. 
 b) V - F - V - V - V. 
 c) F - V - V - F - F. 
 d) F - V - F - V - F. 
 
9. Em sistemas de informação, existe grande possibilidade de que sistemas, servidores 
e aplicações, por algum momento, ficarem desativados. Os administradores de 
sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. 
As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para 
suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar 
sistemas de backup e possuir configurado sempre mais do que um servidor em 
funcionamento; estes são os itens mais importantes para o funcionamento de uma 
estrutura de um Datacenter. Alguns procedimentos devem ser realizados quando 
servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses 
procedimentos, classifique V para as opções verdadeiras e F para as falsas: 
 
( ) Servidores atualizados, substituição de equipamentos de rede. 
( ) Divulgação dos problemas de rede e conscientização dos funcionários. 
( ) Manutenção da estrutura de rede e restauração dos backups. 
( ) Treinamento dos programas incorporados e utilização de hardware. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - F - V - F. 
 b) F - V - F - V. 
 c) V - V - F - F. 
 d) F - V - V - F. 
 
10. A documentação de um sistema em desenvolvimento é um conjunto de artefatos que 
descrevem a sua aplicação, construção e funcionamento, sendo que cada momento 
do processo de desenvolvimento possui artefatos com características específicas e 
voltados para profissionais com habilidades específicas. Com base neste pressuposto, 
analise as afirmativas a seguir: 
 
I- A documentação utilizada para desenvolver um sistema, embora importante para 
os profissionais de desenvolvimento, não é relevante para os auditores, uma vez que 
estes terão acesso irrestrito ao software pronto. 
II- A documentação do usuário descreve de que forma este deve usar o sistema, 
informando procedimentos para entrada de dados e posterior correção, bem como o 
uso de relatórios. 
III- Em uma empresa de desenvolvimento de software, o acesso à documentação 
deve ser objeto de auditoria, visando a garantir a integridade dos artefatos gerados. 
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve 
de que forma o usuário deve operar o sistema, informando procedimentos para 
entrada de dados e posterior correção, bem como o uso de relatórios. 
 
Agora, assinale a alternativa CORRETA: 
 a) As afirmativas I, II e III estão corretas. 
 b) As afirmativas I, III e IV estão corretas. 
 c) As afirmativas II e III estão corretas. 
 d) As afirmativas I e IV estão corretas. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de contingência. 
 b) Plano de negócio. 
 c) Plano de negócio de gerenciamento de projetos. 
 d) Plano de negócio de gerência de riscos. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinaturafísica em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) II, III e IV. 
 b) I e II. 
 c) III e IV. 
 d) I, II e III.