Segurança em TI: Política, PCN e Backup

Prévia do material em texto

Acadêmico:
Maria de Lourdes Ferreira (1560785)
Disciplina:
Segurança em Tecnologia da Informação (GTI08)
Avaliação:
Avaliação II - Individual Semipresencial ( Cod.:432083) ( peso.:1,50)
Prova Objetiva:
8390226
1.	A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as falsas:
( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da proatividade das equipes de segurança.
( ) A abordagem proativa define claramente as responsabilidades individuais,
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
( ) A política proativa trata da questão da segurança das informações com a visão ?Será que o sistema será atacado??.
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a)	F - V - V - F - V.
 b)	V - V - F - V - F.
 c)	F - F - V - V - V.
 d)	V - F - F - V - V.
 
 
2.	A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes tarefas para que sua composição atenda plenamente aos requisitos de segurança e retomada de atividades. É fundamental que os processos críticos sejam identificados, que a análise e a classificação dos impactos sejam devidamente realizadas, que a documentação necessária seja gerada, assim como o treinamento e a conscientização de pessoal. Sobre a análise e a classificação dos impactos, assinale a alternativa CORRETA que apresenta o nome da ferramenta de apoio para esta atividade:
 a)	EP.
 b)	BIA.
 c)	BRP.
 d)	CM.
 
 
3.	A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
 a)	As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
 b)	Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
 c)	O plano de continuidade deve ser revisado e testado periodicamente.
 d)	No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
 
 
4.	A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Temos como características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade. Com base nessas características e objetivando reduzir os riscos, classifique V para as sentenças verdadeiras e F para as falsas:
( ) A empresa deve criar processos confiáveis para a seleção de funcionários, independente do cargo.
( ) A empresa deve promover maneiras de informar e conscientizar os funcionários com relação à importância da segurança.
( ) Caso a empresa demita um funcionário, deve-se imediatamente proibir o seu acesso às informações, de maneira física e lógica.
( ) Deve-se haver a centralização de autoridade e ter apenas uma pessoa responsável por todas as etapas de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a)	V - F - V - V.
 b)	F - V - V - F.
 c)	V - V - V - F.
 d)	V - F - F - V.
 
 
5.	Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas:
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade.
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos dados originais.
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados.
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore.
Assinale a alternativa CORRETA:
 a)	As senteças II e IV estão corretas.
 b)	As sentenças I e III estão corretas.
 c)	As sentenças I, II e III estão corretas.
 d)	Somente a sentença I está correta.
 
 
6.	No momento atual, a política de segurança da informação é adotada em grande parte das organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às mudanças.
( ) A comunicação com os funcionários pode ser feita através de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento específico.
( ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de segurança.
( ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a)	F - F - V - V.
 b)	V - F - F - V.
 c)	V - V - V - F.
 d)	F - V - V - F.
 
 
7.	O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
 a)	O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a conscientização.
 b)	Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua definição.
 c)	A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se espera deles no caso de um evento de falha de segurança.
 d)	A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no projeto interno.
 
 
8.	Qualquer processo, regra ou metodologianecessita de atualizações e continuidade da sua manutenção, principalmente quando se fala em tecnologias da informação. Esses procedimentos são essenciais para a continuidade dos negócios e segurança dos dados e informações. A atualização e a manutenção do plano de continuidade devem ser organizadas formalmente, devem ser realizadas em períodos como uma ou duas vezes por ano. Não existe algo predefinido, pois, a cada momento que surgir a necessidade de atualizar e realizar a manutenção do plano de continuidade dos negócios, esses procedimentos devem ocorrer conforme a necessidade identificada. Segundo Ferreira e Araújo (2008), o processo de revisão do plano deve ocorrer seguindo alguns itens. Sobre esses itens, análise as seguintes opções:
I- Perda da credibilidade no mercado e irregularidades dos recursos.
II- Eventuais riscos identificados e incidentes de segurança.
III- Ocorrências de inatividade dos ativos e imagem do negócio.
IV- Vulnerabilidades encontradas e alterações na legislação.
Agora, assinale a alternativa CORRETA:
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação ? guia prático para elaboração e implementação. 2. ed. revisada. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008.
 a)	Somente a opção III está correta.
 b)	Somente a opção II está correta.
 c)	As opções I e IV estão corretas.
 d)	As opções II e IV estão corretas.
 
 
9.	Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir:
I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância.
II- A postura é a conduta com relação à segurança, refere-se ao elemento postura.
III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças.
IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização.
Agora, assinale a alternativa CORRETA:
 a)	As sentenças I, II e IV estão corretas.
 b)	As sentenças II, III e IV estão corretas.
 c)	Somente a sentença III está correta.
 d)	As sentenças I, III e IV estão corretas.
 
 10.	Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas devem ser tomadas para minimizar os danos provocados por desastres ou ataques, que colocam em risco as informações e geram perdas dos dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser medidos quantitativamente e categorizados. Quais são essas categorias?
 a)	Necessário, prioritário e urgente.
 b)	Incêndio, greve e sabotagem.
 c)	Ataques, falta de luz e sabotagem.
 d)	Alto, médio e baixo.