3º Prova de Segurança em Tecnologia da Informação

Prévia do material em texto

Gabarito da Prova: Resposta Certa Sua Resposta Errada 
 
 
 
1. Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas devem ser tomadas 
para minimizar os danos provocados por desastres ou ataques, que colocam em risco as informações e geram perdas 
dos dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser medidos quantitativamente e 
categorizados. Quais são essas categorias? 
a) Necessário, prioritário e urgente. 
b) Incêndio, greve e sabotagem. 
c) Alto, médio e baixo. 
d) Ataques, falta de luz e sabotagem. 
 
2. Um dos contextos a serem considerados na elaboração de uma política de segurança de tecnologia da informação é a 
segurança lógica. A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à 
disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. Com base 
no exposto, analise as sentenças a seguir: 
 
I- A administração da segurança pode ser definida tanto de forma centralizada quanto descentralizada, dependendo das 
características particulares do ambiente onde a segurança será implementada. 
II- A etapa de inventário é a mais trabalhosa na implantação da segurança, consistindo no levantamento dos usuários e 
recursos com o objetivo de determinar se as responsabilidades e perfis utilizados atualmente nos sistemas 
computacionais estão de acordo com as reais necessidades da organização. 
III- O estabelecimento de um perímetro de segurança físico totalmente isolado e, portanto, protegido de ameaças 
externas representa um desafio, principalmente devido à dificuldade em se identificar todas as vulnerabilidades que as 
redes de computadores são suscetíveis. 
 
Assinale a alternativa CORRETA: 
a) As sentenças I e II estão corretas. 
b) As sentenças I e III estão corretas. 
c) As sentenças II e III estão corretas. 
d) Somente a sentença III está correta. 
 
3. Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. 
O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais 
importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais 
incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas: 
 
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade. 
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos 
dados originais. 
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou 
externo estejam seguros e em perfeito estado para serem utilizados. 
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore. 
 
Assinale a alternativa CORRETA: 
a) As sentenças I e III estão corretas. 
b) Somente a sentença I está correta. 
c) As sentenças I, II e III estão corretas. 
d) As senteças II e IV estão corretas. 
 
4. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria tradicional. 
As abordagens mais comuns são dependentes da sofisticação do sistema computadorizado e se classificam em 
abordagem ao redor do computador, através do computador e com o computador. Com relação às abordagens utilizadas 
pela auditoria de sistemas de informação, analise as sentenças a seguir: 
 
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação. 
II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior parte das 
atividades de rotina é executada manualmente. 
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a conhecimentos 
sobre processamento eletrônico de dados. 
IV- A abordagem através do computador é uma melhoria da abordagem com o computador. 
V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na auditoria, de 
acordo com as necessidades específicas. 
 
Agora, assinale a alternativa CORRETA: 
a) As sentenças I, II e V estão corretas. 
b) As sentenças III e IV estão corretas. 
c) As sentenças I e IV estão corretas. 
d) As sentenças II e III estão corretas. 
 
5. A intensificação do uso da computação e das redes de computadores trouxeram para as organizações a capacidade de 
produzir e consultar informações com uma velocidade e alcance nunca antes imaginados. Ao mesmo tempo, essas 
tecnologias apresentam vulnerabilidades e fragilidades que exigem medidas de prevenção, objetivando evitar o acesso 
não autorizado a estas informações. Assinale a alternativa CORRETA que denomina o objetivo de segurança referente a 
garantir que a informação seja acessada somente por usuários autorizados: 
a) Legalidade. 
b) Disponibilidade. 
c) Integridade. 
d) Confidencialidade. 
 
6. Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se estão ou não vulneráveis, 
uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que 
possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar 
dados estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas desvantagens destes tipos de 
softwares, assinale a alternativa CORRETA: 
a) Quando precisa processar arquivos em formatos diversos. 
b) O auditor não precisa ser um especialista em informatica. 
c) Quando precisa processar vários arquivos. 
d) Em situações em que exijam cálculos complexos. 
 
7. A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como 
atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e 
disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma 
ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos 
princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles? 
a) Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação. 
b) Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação. 
c) Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte. 
d) Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação. 
 
8. Devido à sua importância, os sistemas de informações de uma empresa devem ser muito bem protegidos. Para avaliar 
se os controles são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser 
utilizada é a auditoria. O auditor focará na avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. 
Para facilitar o trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas em 
algumas tarefas. Quais são essas tarefas? 
a) Testes de controles específicos, testes geral de transações, analítico e substantivo e amostragem. 
b) Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e amostragem. 
c) Testes de controles específicos e amostragem. 
d) Testes geral de transações, analítico e amostragem. 
 
9. ?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a processos, produtos e serviços, 
constituem recursos cada vez mais críticos para o alcance da missão e dos objetivosorganizacionais? (BEAL, 2008, p. 
96). No trecho citado, a autora destaca a importância que a informação vem assumindo para as organizações como 
ativo, principalmente devido à evolução dos computadores e da internet. No que se refere à utilização da informação 
como um ativo organizacional, analise as sentenças a seguir: 
 
I- A etapa mais importante em todo o processo de gestão da informação é a de aquisição, pois é nesta etapa que a 
organização delimita quais são suas necessidades e requisitos em termos de informação. 
II- A preocupação com a proteção da informação restringe-se às informações armazenadas em mídias digitais. 
III- A etapa de tratamento da informação consiste em um ou n processos, com a finalidade de torná-la mais organizada 
e, consequentemente, mais acessível aos usuários. 
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se separar as informações em duas 
categorias: as informações obtidas sem custo para a organização e as informações obtidas com custo para a 
organização, priorizando sempre estas últimas na alocação dos recursos disponíveis. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de 
informação nas organizações. São Paulo: Atlas, 2008. 
a) As sentenças I e IV estão corretas. 
b) Somente a sentença III está correta. 
c) As sentenças I, II e III estão corretas. 
d) As sentenças I e II estão corretas. 
 
10. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de 
continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das 
organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, 
possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, 
podemos afirmar que: 
 
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar 
sem o sistema. 
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de 
backup e sua periodicidade. 
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós- 
desastres. 
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também 
uma equipe de funcionários. 
 
Assinale a alternativa CORRETA: 
a) As sentenças II e IV estão corretas. 
b) As sentenças I e III estão corretas. 
c) As sentenças I e II estão corretas. 
d) Todas as sentenças estão corretas. 
 
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir 
autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a 
seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave 
pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura 
física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política 
de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
a) III e IV. 
b) I e II. 
c) II, III e IV. 
d) I, II e III. 
 
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de 
meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma 
dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer 
paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os 
impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por 
conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a 
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
a) Plano de contingência. 
b) Plano de negócio de gerência de riscos. 
c) Plano de negócio de gerenciamento de projetos. 
d) Plano de negócio.