Segurança em Tecnologia da Informação Avaliação Final(objetiva) Uniasselvi

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual e sem Consulta ( Cod.:402559) ( peso.:3,00)
	Prova:
	6218591
	Nota da Prova:
	8,00
Gabarito da Prova:  Resposta Certa   Sua Resposta Errada
Parte superior do formulário
	1.
	A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA:
	 a)
	As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e através do computador.
	 b)
	A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem implantados.
	 c)
	A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função da utilização dos mesmos.
	 d)
	Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela mesma.
	2.
	Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também criar normas para a utilização das ferramentas e das informações existentes em uma organização. A documentação dos processos é outro fator muito importante para a área de sistemas de informações. Para que a empresa esteja segura com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções:
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
III- Plano de reinicialização de negócios, teste de emergência e recuperação.
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a opção II está correta.
	 b)
	As opções II e III estão corretas.
	 c)
	As opções I e II estão corretas.
	 d)
	As opções III e IV estão corretas.
	 *
	Esta questão não foi respondida ou mais de uma alternativa foi assinalada, portanto foi considerada incorreta.
	3.
	?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a processos, produtos e serviços, constituem recursos cada vez mais críticos para o alcance da missão e dos objetivos organizacionais? (BEAL, 2008, p. 96). No trecho citado, a autora destaca a importância que a informação vem assumindo para as organizações como ativo, principalmente devido à evolução dos computadores e da internet. No que se refere à utilização da informação como um ativo organizacional, analise as sentenças a seguir:
I- A etapa mais importante em todo o processo de gestão da informação é a de aquisição, pois é nesta etapa que a organização delimita quais são suas necessidades e requisitos em termos de informação.
II- A preocupação com a proteção da informação restringe-se às informações armazenadas em mídias digitais.
III- A etapa de tratamento da informação consiste em um ou n processos, com a finalidade de torná-la mais organizada e, consequentemente, mais acessível aos usuários.
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se separar as informações em duas categorias: as informações obtidas sem custo para a organização e as informações obtidas com custo para a organização, priorizando sempre estas últimas na alocação dos recursos disponíveis.
Agora, assinale a alternativa CORRETA:
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
	 a)
	Somente a sentença III está correta.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças I e IV estão corretas.
	 d)
	As sentenças I, II e III estão corretas.
	4.
	Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
(    ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
(    ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
(    ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
(    ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - V - F.
	 b)
	V - V - F - F - V.
	 c)
	F - F - V - F - V.
	 d)
	V - F - V - V - V.
	5.
	A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa um risco concreto e uma ameaça para qualquer organização. É nesse enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano de continuidade de negócios é manter as operações de uma organização funcionando no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de continuidade de negócios, assinale a alternativa CORRETA:
	 a)
	O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga maior impacto para a organização.
	 b)
	As atualizações no plano de continuidade de negócios ocorrem somente após um evento de falha de segurança.
	 c)
	O plano de continuidade de negócios objetiva manter todas as operações da organização em funcionamento, no caso da ocorrência de um evento de falha de segurança.
	 d)
	O plano de continuidade de negócios tem sua atuação restrita a processos de negócio.
	6.
	A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. Acerca do COBIT, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O COBIT atua em quatro domínios distintos: planejar e organizar, adquirir e implementar, entregar e dar suporte, e monitorar e avaliar.
(    ) No processo de gerenciamento de continuidade, o COBIT define algumas práticas para a elaboração de um plano de continuidade do negócio.
(    ) Um dos benefícios que esta ferramenta pode trazer é o alinhamento da tecnologia da informação com os objetivos da organização.
(    ) Apesar de ser uma ferramenta com alto potencial para a elaboração de uma política de segurança, há ainda muitas restrições quanto à sua utilização.
(    ) É uma ferramenta desenvolvida exclusivamente aos gestores, a fim de apoiar suas avaliações sobre o nível da gestão de TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F - F.
	 b)
	V - F - F - V - F.
	 c)
	F - V - V - V - F.
	 d)
	F - F - V - F - V.
	7.
	A classificação da informação em categorias distintas, de acordo com sua confidencialidade, é essencial para uma correta definição dos níveis de segurança aplicados a cada categoria.Uma das classificações mais utilizadas compreende os níveis público, interno e confidencial. No que tange à classificação da informação, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Informações públicas são aquelas que não necessitam de sigilo, tendo acesso livre para os colaboradores e/ou fora da organização, pois sua divulgação não tem impacto para os negócios.
(    ) Informações confidenciais são aquelas acessíveis por todos os seus colaboradores. Entretanto, caso sejam divulgadas, podem acarretar prejuízo para os negócios.
(    ) Os direitos e os privilégios de acesso às informações pelos usuários devem ser revisados constantemente para assegurar que estejam de acordo com as necessidades e os objetivos da organização.
(    ) O descarte de informações confidenciais deve garantir, por meio de procedimentos e/ou ferramentas, que a informação não possa ser recuperada sob hipótese alguma.
(    ) Informações de Classe 1 devem ser protegidas de qualquer acesso externo e, mesmo dentro da organização, seu acesso somente é liberado a alguns colaboradores. Como exemplo, podemos citar a folha de pagamento da organização.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - V - F.
	 b)
	F - F - V - V - V.
	 c)
	V - V - F - F - F.
	 d)
	V - F - F - V - V.
	8.
	A política de segurança da informação de uma organização deve considerar a informação um recurso de alto valor e, como tal, protegê-la de ameaças externas e internas. Neste sentido, é essencial considerar os aspectos referentes à segurança nos contextos lógico, físico e ambiental. Referente aos contextos de segurança da informação e suas particularidades, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. 
(    ) A segurança física diz respeito às áreas e aos ambientes físicos da organização que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de servidores deve estar sempre trancada e a chave desta sala somente acessível por usuários que estejam autorizados a trabalhar nos servidores.
(    ) Roubo de recursos computacionais (fitas, disquetes, discos rígidos etc.), acesso de pessoas não autorizadas em ambientes protegidos (sala de impressão, sala de servidores etc.) e sabotagem de equipamentos ou arquivos de dados são aspectos relacionados à segurança ambiental.
(    ) A segurança ambiental refere-se à colocação dos recursos computacionais em local adequado, ao controle da temperatura e umidade no ambiente onde estes recursos serão instalados e ainda com cuidados quanto à rede elétrica (correto aterramento, utilização de para-raios, iluminação de emergência) que alimentará os equipamentos.
(    ) A preocupação com a proteção da informação restringe-se a informações armazenadas em mídias digitais.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - F - V - F.
	 b)
	V - F - V - V - V.
	 c)
	F - V - V - F - F.
	 d)
	F - V - F - V - F.
	9.
	Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações, por algum momento, ficarem desativados. Os administradores de sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar sistemas de backup e possuir configurado sempre mais do que um servidor em funcionamento; estes são os itens mais importantes para o funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos, classifique V para as opções verdadeiras e F para as falsas:
(    ) Servidores atualizados, substituição de equipamentos de rede.
(    ) Divulgação dos problemas de rede e conscientização dos funcionários.
(    ) Manutenção da estrutura de rede e restauração dos backups.
(    ) Treinamento dos programas incorporados e utilização de hardware.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - F.
	 b)
	F - V - F - V.
	 c)
	V - V - F - F.
	 d)
	F - V - V - F.
	10.
	A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem a sua aplicação, construção e funcionamento, sendo que cada momento do processo de desenvolvimento possui artefatos com características específicas e voltados para profissionais com habilidades específicas. Com base neste pressuposto, analise as afirmativas a seguir:
I- A documentação utilizada para desenvolver um sistema, embora importante para os profissionais de desenvolvimento, não é relevante para os auditores, uma vez que estes terão acesso irrestrito ao software pronto.
II- A documentação do usuário descreve de que forma este deve usar o sistema, informando procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios.
III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser objeto de auditoria, visando a garantir a integridade dos artefatos gerados.
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve de que forma o usuário deve operar o sistema, informando procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios.
Agora, assinale a alternativa CORRETA:
	 a)
	As afirmativas I, II e III estão corretas.
	 b)
	As afirmativas I, III e IV estão corretas.
	 c)
	As afirmativas II e III estão corretas.
	 d)
	As afirmativas I e IV estão corretas.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de contingência.
	 b)
	Plano de negócio.
	 c)
	Plano de negócio de gerenciamento de projetos.
	 d)
	Plano de negócio de gerência de riscos.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	II, III e IV.
	 b)
	I e II.
	 c)
	III e IV.
	 d)
	I, II e III.
Parte inferior do formulário