Segurança em Tecnologia da Informação (GTI08) Avaliação Final (Objetiva) Individual FLEX Cod (405344) Prova (7088984)

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:405344) ( peso.:3,00)
Prova: 7088984
Nota da Prova: 10,00
Gabarito da Prova: Resposta Certa Sua Resposta Errada
1. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de
novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções
decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os
seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA
que não corresponde a esta expectativa:
 a) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para
trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
 b) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois
se trata de um processo sigiloso.
 c) O plano de continuidade deve ser revisado e testado periodicamente.
 d) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
2. Por hipótese, considere que, durante um processo de auditoria interna em uma empresa, foi
encontrada uma documentação sobre registros de verbas de campanha publicitária com clara
identificação de perda de parte do material. Essa constatação fere qual princípio da segurança da
informação?
 a) Integridade.
 b) Confidencialidade.
 c) Irretratabilidade.
 d) Disponibilidade.
3. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a
integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever
claramente o comprometimento da alta direção. Além disso, os elementos de uma política de
segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos
essenciais para a definição da PSI, analise as sentenças a seguir:
 
I- Os funcionários da organização devem compreender a importância da sua segurança, essa
atitude refere-se ao elemento vigilância.
 II- A postura é a conduta com relação à segurança, refere-se ao elemento postura.
 III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da
política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças.
 IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as
necessidades estratégicas da organização.
 
Agora, assinale a alternativa CORRETA:
 a) As sentenças I, III e IV estão corretas.
 b) As sentenças I, II e IV estão corretas.
 c) Somente a sentença III está correta.
 d) As sentenças II, III e IV estão corretas.
4. Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações
confidenciais, quebra de criptografia, ataque a sites por hackers. Quando falamos em segurança
da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a
disponibilidade da informação. Para alcançar esse objetivo, alguns princípios da segurança da
informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não
repúdio. Com base nesses princípios, classifique V para as sentenças verdadeiras e F para as
falsas:
 
( ) O princípio da integridade busca garantir que a informação não será conhecida por pessoas
que não estejam autorizadas para tal.
 ( ) O princípio da confidencialidade tem como objetivo garantir que a informação armazenada ou
transferida está correta e é apresentada corretamente para quem a consulta. 
 ( ) Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão
(IDS).
 ( ) Na aplicação do princípio do não repúdio, busca-se garantir que a pessoa não negue ter
assinado ou criado a informação, ele fornece provas de que um usuário realizou uma determinada
ação, como transferir dinheiro, autorizar uma compra, ou enviar uma mensagem.
 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - V.
 b) F - F - F - V.
 c) F - V - V - F.
 d) V - V - F - F.
5. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com
visão de auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão
em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar
as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser
percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a
serviço dos negócios da empresa. Então, é correto afirmar que:
 
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos
principais, pois compromete este contingenciamento.
 II- Deve-se manter uma relação completa e atualizada dos aplicativos.
 III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas
responsabilidades.
 IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos
sistemas com relação à sua importância no contexto geral.
 
Assinale a alternativa CORRETA:
 a) As sentenças II e IV estão corretas.
 b) As sentenças I, II e III estão corretas.
 c) Somente a sentença IV está correta.
 d) As sentenças III e IV estão corretas.
6. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação
à auditoria tradicional. As abordagens mais comuns são dependentes da sofisticação do sistema
computadorizado e se classificam em abordagem ao redor do computador, através do computador
e com o computador. Com relação às abordagens utilizadas pela auditoria de sistemas de
informação, analise as sentenças a seguir:
 
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia
da informação.
 II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em
que a maior parte das atividades de rotina é executada manualmente.
 III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação
a conhecimentos sobre processamento eletrônico de dados.
 IV- A abordagem através do computador é uma melhoria da abordagem com o computador.
 V- Na abordagem com o computador, é possível customizar programas específicos para serem
usados na auditoria, de acordo com as necessidades específicas.
 
Agora, assinale a alternativa CORRETA:
 a) As sentenças II e III estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças III e IV estão corretas.
 d) As sentenças I, II e V estão corretas.
7. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das
organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação
(SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os
resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão
reconhecido internacionalmente. Assinale a alternativa CORRETA:
 a) BS 7799-2.
 b) ISO 4217.
 c) ISO/IEC 13335.
 d) BS/ISO 9001.
8. Gerência de riscos é o processo de planejar, organizar, dirigir e controlar os recursos humanos e
materiais de uma organização, no sentido de minimizar os efeitos dos riscos sobre essa
organização ao mínimo possível. É um conjunto de técnicas que visa a reduzir ao mínimo os
efeitos das perdas acidentais, enfocando o tratamento aos riscos que possam causar danos
pessoais, ao meio ambiente e à imagem da empresa. Com relação aos principais benefícios de
uma adequada gestão de riscos, analise as seguintes sentenças:
 
I- Gerenciar riscos também significa maximizar a probabilidade de evento incerto e futuro que
pode ampliar o sucesso de um projeto.
 II- Os riscos desconhecidos podem ser gerenciados de forma proativa, e uma resposta prudente
da equipe do projeto seria definir umplano de prevenção contra esses riscos.
 III- Os riscos conhecidos são aqueles que foram identificados e analisados, mas, para alguns
destes, pode não ser econômico ou possível desenvolver uma resposta proativa.
 IV- É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes à
premiação que pode ser obtida ao se assumir esses riscos.
 V- Qualquer estrutura analítica de riscos deve incluir sempre os riscos técnicos, externos,
organizacionais e de gerenciamento.
 
Assinale a alternativa CORRETA:
 a) As sentenças I, III e V estão corretas.
 b) As sentenças I, III e IV estão corretas.
 c) As sentenças II e IV estão corretas.
 d) As sentenças IV e V estão corretas.
9. A auditoria dos sistemas de informação trata-se de uma atividade que visa a realizar o exame de
operações, processos, sistemas e responsabilidades gerenciais de uma organização, tendo por
objetivo verificar a sua conformidade com a política de segurança, padrões ou normas. Esta
auditoria pode assumir três abordagens distintas, ou seja, ao redor do computador, através do
computador ou com o computador. Acerca da abordagem ao redor do computador, analise as
sentenças a seguir:
 
I- O auditor analisará os documentos fonte, conferindo as saídas conhecidas por meio de entradas
específicas.
 II- Esta abordagem somente é recomendada para grandes organizações, devido aos altos custos
de aplicação.
 III- Exige um vasto conhecimento na tecnologia da informação, já que faz uso dos variados
recursos que o computador fornece.
 IV- Por não possuir parâmetros bem definidos gera uma maior dificuldade aos auditores e
consequentemente menor eficiência no resultado final.
 
Assinale a alternativa CORRETA:
 a) As sentenças II e IV estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças I e III estão corretas.
 d) As sentenças II, III e IV estão corretas.
10.A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização
dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria
através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a
alternativa CORRETA:
 a) As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o
computador e através do computador.
 b) Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados
por ela mesma.
 c) A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares
a serem implantados.
 d) A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de
TI em função da utilização dos mesmos.
11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação
a esse contexto, avalie as afirmações a seguir:
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma
privada.
 II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou
entidade a uma chave pública.
 III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como
análogo à assinatura física em papel.
 IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em:
 a) I, II e III.
 b) III e IV.
 c) I e II.
 d) II, III e IV.
12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade
e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse
crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das
TIC.
 Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode
ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
 a) Plano de negócio de gerenciamento de projetos.
 b) Plano de negócio de gerência de riscos.
 c) Plano de contingência.
 d) Plano de negócio.