Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:405344) ( peso.:3,00) Prova: 7088984 Nota da Prova: 10,00 Gabarito da Prova: Resposta Certa Sua Resposta Errada 1. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa: a) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre. b) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso. c) O plano de continuidade deve ser revisado e testado periodicamente. d) Deve-se fazer a avaliação de risco e impacto no negócio (BIA). 2. Por hipótese, considere que, durante um processo de auditoria interna em uma empresa, foi encontrada uma documentação sobre registros de verbas de campanha publicitária com clara identificação de perda de parte do material. Essa constatação fere qual princípio da segurança da informação? a) Integridade. b) Confidencialidade. c) Irretratabilidade. d) Disponibilidade. 3. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir: I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância. II- A postura é a conduta com relação à segurança, refere-se ao elemento postura. III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças. IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização. Agora, assinale a alternativa CORRETA: a) As sentenças I, III e IV estão corretas. b) As sentenças I, II e IV estão corretas. c) Somente a sentença III está correta. d) As sentenças II, III e IV estão corretas. 4. Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações confidenciais, quebra de criptografia, ataque a sites por hackers. Quando falamos em segurança da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a disponibilidade da informação. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses princípios, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O princípio da integridade busca garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal. ( ) O princípio da confidencialidade tem como objetivo garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta. ( ) Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão (IDS). ( ) Na aplicação do princípio do não repúdio, busca-se garantir que a pessoa não negue ter assinado ou criado a informação, ele fornece provas de que um usuário realizou uma determinada ação, como transferir dinheiro, autorizar uma compra, ou enviar uma mensagem. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - V. b) F - F - F - V. c) F - V - V - F. d) V - V - F - F. 5. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que: I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este contingenciamento. II- Deve-se manter uma relação completa e atualizada dos aplicativos. III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades. IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua importância no contexto geral. Assinale a alternativa CORRETA: a) As sentenças II e IV estão corretas. b) As sentenças I, II e III estão corretas. c) Somente a sentença IV está correta. d) As sentenças III e IV estão corretas. 6. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria tradicional. As abordagens mais comuns são dependentes da sofisticação do sistema computadorizado e se classificam em abordagem ao redor do computador, através do computador e com o computador. Com relação às abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças a seguir: I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação. II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior parte das atividades de rotina é executada manualmente. III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a conhecimentos sobre processamento eletrônico de dados. IV- A abordagem através do computador é uma melhoria da abordagem com o computador. V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na auditoria, de acordo com as necessidades específicas. Agora, assinale a alternativa CORRETA: a) As sentenças II e III estão corretas. b) As sentenças I e IV estão corretas. c) As sentenças III e IV estão corretas. d) As sentenças I, II e V estão corretas. 7. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a alternativa CORRETA: a) BS 7799-2. b) ISO 4217. c) ISO/IEC 13335. d) BS/ISO 9001. 8. Gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa organização ao mínimo possível. É um conjunto de técnicas que visa a reduzir ao mínimo os efeitos das perdas acidentais, enfocando o tratamento aos riscos que possam causar danos pessoais, ao meio ambiente e à imagem da empresa. Com relação aos principais benefícios de uma adequada gestão de riscos, analise as seguintes sentenças: I- Gerenciar riscos também significa maximizar a probabilidade de evento incerto e futuro que pode ampliar o sucesso de um projeto. II- Os riscos desconhecidos podem ser gerenciados de forma proativa, e uma resposta prudente da equipe do projeto seria definir umplano de prevenção contra esses riscos. III- Os riscos conhecidos são aqueles que foram identificados e analisados, mas, para alguns destes, pode não ser econômico ou possível desenvolver uma resposta proativa. IV- É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes à premiação que pode ser obtida ao se assumir esses riscos. V- Qualquer estrutura analítica de riscos deve incluir sempre os riscos técnicos, externos, organizacionais e de gerenciamento. Assinale a alternativa CORRETA: a) As sentenças I, III e V estão corretas. b) As sentenças I, III e IV estão corretas. c) As sentenças II e IV estão corretas. d) As sentenças IV e V estão corretas. 9. A auditoria dos sistemas de informação trata-se de uma atividade que visa a realizar o exame de operações, processos, sistemas e responsabilidades gerenciais de uma organização, tendo por objetivo verificar a sua conformidade com a política de segurança, padrões ou normas. Esta auditoria pode assumir três abordagens distintas, ou seja, ao redor do computador, através do computador ou com o computador. Acerca da abordagem ao redor do computador, analise as sentenças a seguir: I- O auditor analisará os documentos fonte, conferindo as saídas conhecidas por meio de entradas específicas. II- Esta abordagem somente é recomendada para grandes organizações, devido aos altos custos de aplicação. III- Exige um vasto conhecimento na tecnologia da informação, já que faz uso dos variados recursos que o computador fornece. IV- Por não possuir parâmetros bem definidos gera uma maior dificuldade aos auditores e consequentemente menor eficiência no resultado final. Assinale a alternativa CORRETA: a) As sentenças II e IV estão corretas. b) As sentenças I e IV estão corretas. c) As sentenças I e III estão corretas. d) As sentenças II, III e IV estão corretas. 10.A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA: a) As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e através do computador. b) Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela mesma. c) A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem implantados. d) A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função da utilização dos mesmos. 11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) I, II e III. b) III e IV. c) I e II. d) II, III e IV. 12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerenciamento de projetos. b) Plano de negócio de gerência de riscos. c) Plano de contingência. d) Plano de negócio.
Compartilhar