APOLs SEGURANÇA EM SISTEMAS DE INFORMAÇÃO

Prévia do material em texto

-------------------------------------------------------------------------------------------------------------- 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o compliance: o 
ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas 
e colocadas em prática, colaboraram para atingir as metas de segurança da 
informação e de sistemas. 
 
Com relação a esses referenciais, podemos considerar que: 
-------------------------------------------------------------------------------------------------------------- 
A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso 
auxilia na identificação de vulnerabilidades. 
-------------------------------------------------------------------------------------------------------------- 
 
-------------------------------------------------------------------------------------------------------------- 
Marcos regulatórios são leis e acordos internacionais que governam e servem de 
base para a definição e a aplicação das práticas de segurança da informação e de 
sistemas. Isso também implica em um aspecto de grande importância: a legalidade 
dessas medidas. Essa questão é de tamanha importância que alguns autores chegam 
mesmo a considerar a legalidade como um dos pilares da segurança da informação e 
dos sistemas. 
 
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se 
considerar que: 
 
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é 
uma lei voltada para as finanças, decorrente de problemas financeiros causados à 
economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum 
impacto na segurança da informação e dos sistemas. 
 
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de 
Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a 
proteção das informações de usuários de planos de saúde nos Estados Unidos, sem 
impacto nos demais países. 
 
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para 
Relatórios Financeiros) é um conjunto de recomendações do IASB (International 
Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que 
estabelece padrões para o tratamento e publicação de informações financeiras e 
contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do 
mercado financeiro. 
 
IV - Os acordos de Basiléia são parte do complexo mecanismo de 
auto-regulamentação dos bancos centrais de diversos países, e estabelecem 
princípios de governança, transparência e auditoria, com impacto direto na segurança 
da informação e de sistemas. 
 
 
Assinale a única alternativa que confere com o material e com o que foi apresentado 
na aula: 
-------------------------------------------------------------------------------------------------------------- 
C Somente as afirmações III e IV são corretas. 
-------------------------------------------------------------------------------------------------------------- 
 
-------------------------------------------------------------------------------------------------------------- 
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez 
transformados em ocorrências, podem causar impactos indesejados em suas 
características. Quanto à essas características pode-se afirmar que: 
 
I – A confidencialidade refere-se à manutenção do valor e das características originais 
da informação. 
 
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração 
durante o seu ciclo de vida. 
 
III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer 
informação disponível não é confidencial. 
 
IV – A legalidade, a privacidade e a auditabilidade são também características da 
informação ligadas à segurança da informação, segundo alguns autores. 
 
V – A autenticidade, e a irretratabilidade ou não repúdio são características da 
informação indispensáveis ao uso atual da tecnologia da informação, como no caso 
do comércio por intermédio da Internet. 
 
 
Assinale a única alternativa que confere com o que foi apresentado na aula: 
-------------------------------------------------------------------------------------------------------------- 
B Somente as afirmações IV e V estão corretas. 
-------------------------------------------------------------------------------------------------------------- 
 
-------------------------------------------------------------------------------------------------------------- 
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares de defesa e 
foram validadas por sua aplicação por milhares de vezes no decorrer da história da 
humanidade. 
 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
 
 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um 
superior é um caso de aplicação do princípio do menor privilégio. 
 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são 
equivalentes pois sempre atuam em um mesmo nível de proteção. 
 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a 
obscuridade é necessário utilizar mecanismos muito complexos. 
 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. 
Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que 
pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se 
dimensionar 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no 
material e em aula: 
-------------------------------------------------------------------------------------------------------------- 
A V-F-F-F 
-------------------------------------------------------------------------------------------------------------- 
 
-------------------------------------------------------------------------------------------------------------- 
A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – 
isto é, bem, patrimônio – da organização, de grande importância e valor, e que por 
isso necessita de proteção adequada. Para isso, deve-se considerar a informação em 
suas diversas formas e nos diversos meios utilizados para obter, armazenar, 
transportar e modificar a informação. 
 
Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da 
informação: 
 
 
( ) O valor da informação é restrito ao que se pode representar com palavras escritas, 
números e imagens. 
 
( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da 
informação. 
 
( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm 
valor para o negócio da organização, necessitando, portanto, de proteção. 
 
 
( ) A necessidade de classificar a informação decorre da existência de uma grande 
diversidade de informações no ambiente pessoal e no ambiente corporativo, o que 
torna inviável a proteção total de todas essas informações. 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na 
disciplina: 
-------------------------------------------------------------------------------------------------------------- 
C F-V-F-V 
-------------------------------------------------------------------------------------------------------------- 
-------------------------------------------------------------------------------------------------------------------------Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e 
adequar a organização às estratégias de segurança da informação e de defesa. Essas 
estratégias, ou grande parte delas, são oriundas de estratégias militares, e foram 
validadas por sua aplicação por anos a fio no decorrer da história da humanidade. 
 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa: 
 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. 
Já o oposto, a black list, é a lista sem restrições ou com as permissões, isto é, do que 
pode¸ normalmente aplicada quando o universo de possibilidades é difícil de se 
dimensionar 
 
 ( ) O cancelamento ou estorno de uma operação que requer a aprovação de um 
superior é um caso de aplicação do princípio do menor privilégio. 
 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são 
convergentes, embora possam ser aplicados em diferentes níveis ou estágios da 
proteção. 
 
( ) Simplicidade e obscuridade são estratégias distintas, porém não contrárias entre 
si, uma vez que reforçar a obscuridade não requer, necessariamente, o uso de 
mecanismos de proteção complexos. 
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V 
para as Verdadeiras) as afirmativas, de acordo com o conteúdo apresentado no 
material e em aula: 
------------------------------------------------------------------------------------------------------------------------- 
D F-V-V-V 
------------------------------------------------------------------------------------------------------------------------- 
 
------------------------------------------------------------------------------------------------------------------------- 
Os controles de acesso geralmente operam em conjunto com os controles de 
verificação para estabelecer a devida autorização e garantir a autenticidade das 
operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha 
(PASSWORD), porém para muitas operações críticas e o uso de informações 
sensíveis estes controles não são suficientes. 
 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única 
correta. 
------------------------------------------------------------------------------------------------------------------------- 
C A independência do ambiente, a flexibilidade e a interatividade com diversas 
tecnologias e funcionalidades são requisitos dos controles de acesso e identidade. 
 
------------------------------------------------------------------------------------------------------------------------- 
 
------------------------------------------------------------------------------------------------------------------------- 
A informação é um bem, um ativo de valor muitas vezes intangível, mas geralmente 
de grande valor. Na era da informação na qual vivemos, o volume de informação que 
produzimos, manipulamos e armazenamos é muito elevado, dada a facilidade de 
fazê-lo através dos meios eletrônicos. Embora a informação possa manifestar-se em 
diversos meios – impressa ou eletrônica, analógica ou digital, etc., é no modelo 
digital e eletrônico que tem seu expoente em termos de volume, flexibilidade e 
facilidade de uso e acesso. Nesse contexto essa mesma informação está 
continuamente exposta a riscos de segurança, os quais atentam contra as suas 
características básicas: a confidencialidade, a integridade e a disponibilidade da 
informação. Estes riscos, quando concretizados, resultam no que se denomina 
incidente de segurança. 
 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando 
cada uma como (F)alsa ou (V)erdadeira: 
 
( ) Os serviços providos aos usuários de sistemas computacionais ou software 
através de suas interfaces estão sujeitos a falhas, erros e faltas. 
 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, 
exploits e spywares, geralmente referenciados genericamente como malwares. 
 
( ) As falhas físicas estão mais diretamente relacionadas a aspectos ambientais que 
interferem no hardware, tais como interferência eletromagnética, ruídos e problemas 
da alimentação elétrica ou de temperatura de operação, e portanto não podem ser 
consideradas como vulnerabilidades. 
 
( ) Algumas características de dispositivos e ambientes computacionais eliminam as 
vulnerabilidades, tais como a mobilidade, a flexibilidade, a capacidade de 
personalização, a conectividade, a convergência de tecnologias e capacidades 
reduzidas de armazenamento e processamento de informações. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
------------------------------------------------------------------------------------------------------------------------- 
E V-V-F-F 
------------------------------------------------------------------------------------------------------------------------- 
 
 
 
 
------------------------------------------------------------------------------------------------------------------------- 
O processo de identidade e autorização é parte importante da proteção, 
especialmente no que diz respeito à autenticação do usuário remoto – aquele que 
pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do 
perímetro de segurança da organização. 
 
O processo de identificação precisa ser completado com a verificação, com base em: 
 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
 
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática 
do solicitante. 
 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, 
alguma coisa que o solicitante possui no momento da autorização. 
 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de 
voz, caligrafia e taxa de digitação. 
 
Assinale a única alternativa que confere com o material e com o que foi apresentado 
na aula: 
------------------------------------------------------------------------------------------------------------------------- 
D Somente as afirmações I e IV são corretas. 
------------------------------------------------------------------------------------------------------------------------- 
 
------------------------------------------------------------------------------------------------------------------------- 
Para as TICs – Tecnologias da Informação e da Comunicação existem dois 
frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o 
ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas 
e colocadas em prática, colaboraram para atingir as metas de segurança da 
informação e de sistemas. 
 
Com relação a esses referenciais, pode-se afirmar que: 
------------------------------------------------------------------------------------------------------------------------- 
E As normas ISO são importantes referenciais para a segurança da informação e dos 
sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação 
de empresa, processos e profissionais quanto à segurança da informação. 
------------------------------------------------------------------------------------------------------------------------- 
---------------------------------------------------------------------------------------------------------------------- 
Embora a informação possa manifestar-se em diversos meios – impressa ou 
eletrônica, analógica ou digital, etc., é no modelo digital e eletrônico que tem seu 
expoente em termos de volume, flexibilidade e facilidade de uso e acesso. Nesse 
contexto essa mesma informação está continuamente exposta a riscos de segurança, 
os quais atentam contra as suas característicasbásicas: a confidencialidade, a 
integridade e a disponibilidade da informação. Estes riscos, quando concretizados, 
resultam no que se denomina incidente de segurança. 
 
Avalie as afirmações a seguir no contexto dos incidentes de segurança, assinalando 
cada uma como (F)alsa ou (V)erdadeira: 
 
( ) Os serviços providos aos usuários de sistemas computacionais ou software 
através de suas interfaces estão sujeitos a falhas, erros e faltas. A manifestação 
destes em eventos resulta em um incidente de segurança. 
 
( ) Entre as ameaças por causas intencionais estão incluídos os vírus, rootkits, 
exploits e spywares, geralmente referenciados genericamente como malwares. Essas 
ameaças não são naturais, pois geralmente há um agente malicioso relacionado ao 
incidente causado por essas ameaças 
 
( ) As falhas relacionadas a aspectos ambientais que interferem no hardware, tais 
como interferência eletromagnética, ruídos e problemas da alimentação elétrica ou de 
temperatura de operação são denominadas falhas físicas. 
 
( ) Dispositivos e ambientes computacionais com características de mobilidade, 
flexibilidade, capacidade de personalização, conectividade, convergência de 
tecnologias e capacidades reduzidas de armazenamento e processamento de 
informações, como os smartphones, são mais vulneráveis. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
---------------------------------------------------------------------------------------------------------------------- 
E V-V-V-V 
---------------------------------------------------------------------------------------------------------------------- 
 
---------------------------------------------------------------------------------------------------------------------- 
A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como 
condição a proteção de todos os recursos computacionais voltados para o 
provimento de serviços e, portanto, de informação, passa necessariamente pela 
segurança do sistema operacional, um dos principais componentes de praticamente 
todo sistema computacional. 
 
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar 
que: 
---------------------------------------------------------------------------------------------------------------------- 
C) Sistemas operacionais proprietarios e voltados para hardware especifico geralmente 
contemplam caracteristicas que reforçam a segurança da informação. 
---------------------------------------------------------------------------------------------------------------------- 
 
---------------------------------------------------------------------------------------------------------------------- 
A segurança na rede começa com o processo de identificação e autorização, que 
provê o controle de acesso à rede. Neste processo é necessário que o requisitante de 
acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que 
determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de 
regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle 
aos recursos requisitados e devidamente concedidos. 
 
Analise as afirmativas a seguir, relativas aos serviços utilizados com esse intuito. 
 
I - O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de 
rede destinado a centralizar os serviços de autenticação, autorização e contabilização 
de acessos para controlar os computadores que se conectarão e usarão um 
determinado serviço de rede. 
 
 II - O Kerberos é um protocolo de rede criado pelo MIT para a comunicação individual 
segura e devidamente identificada que utiliza criptografia simétrica. 
 
III - O HTTPS é uma combinação do HTTP com o SSH, utilizado para a navegação 
segura na internet que inclui a autenticação e identificação do requisitante e a 
criptografia do tráfego. 
 
IV - O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre 
redes TCP, de forma especial para a comunicação na web, em conjunto com 
navegadores e servidores web. 
 
Assinale a única alternativa que contempla a avaliação correta das afirmativas 
apresentadas: 
 
---------------------------------------------------------------------------------------------------------------------- 
A) Somente I e II estão corretas 
---------------------------------------------------------------------------------------------------------------------- 
 
---------------------------------------------------------------------------------------------------------------------- 
Os controles de acesso geralmente operam em conjunto com os controles de 
verificação para estabelecer a devida autorização e garantir a autenticidade das 
operações. A maioria dos sistemas baseia-se no conjunto identificação (ID) e senha 
(PASSWORD), porém para muitas operações críticas e o uso de informações 
sensíveis estes controles não são suficientes. 
 
Considerando esta necessidade, avalie as afirmativas a seguir e assinale a única 
correta. 
---------------------------------------------------------------------------------------------------------------------- 
A) Controles biométricos, certificados digitais e assinaturas eletrônicas são geralmente 
utilizados em conjunto com a identificação (ID) e senha (PASSWORD). 
---------------------------------------------------------------------------------------------------------------------- 
 
---------------------------------------------------------------------------------------------------------------------- 
O processo de identidade e autorização é parte importante da proteção, 
especialmente no que diz respeito à autenticação do usuário remoto – aquele que 
pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do 
perímetro de segurança da organização. 
 
O processo de identificação precisa ser completado com a verificação, com base em: 
 
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. 
 
II – Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante 
possui no momento da autorização. 
 
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que 
se refere à biometria estática do solicitante. 
 
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de 
voz, caligrafia e taxa de digitação. 
 
Assinale a única alternativa que confere com o material e com o que foi apresentado 
na aula: 
---------------------------------------------------------------------------------------------------------------------- 
D) Somente as afirmativas I e IV. 
---------------------------------------------------------------------------------------------------------------------- 
----------------------------------------------------------------------------------------------------------------- 
A GCN - Gestão da Continuidade dos Negócios é um processo diretamente 
relacionado com a segurança da informação e dos sistemas. Seu objetivo é evitar a 
interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas 
informações vitais para a preservação da organização e de seus negócios. Para isso, 
a GCN contempla os seguintes aspectos: 
 
 
I - Resposta a incidentes. 
 
 
II - A gestão de crises. 
 
 
III - O regime de contingência. 
 
 
IV - A recuperação de desastres. 
 
 
Avalie as afirmações a seguir e selecione a única que está de acordo com o conteúdo 
apresentado em aula: 
----------------------------------------------------------------------------------------------------------------- 
 
E Todas as afirmações são corretas. 
 
----------------------------------------------------------------------------------------------------------------- 
 
-----------------------------------------------------------------------------------------------------------------A segurança da informação e dos sistemas que fazem uso da internet está ligada à 
segurança das redes – locais e de longa distância. Os diversos serviços colocados à 
disposição, entre eles o correio eletrônico - o e-mail, as redes sociais, os serviços de 
mensagem instantânea e os serviços de comércio eletrônico dependem da 
infraestrutura de rede e de seus recursos associados. 
 
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às redes e à 
Internet, classificando-as como (F)alsas ou (V)erdadeiras: 
 
( ) O IPSec ou IP Security tem como objetivo oferecer segurança para pacotes de 
dados na rede, provendo confidencialidade e autenticação no protocolo TCP. 
 
 ( ) Uma VPN oferece comunicação segura ponto a ponto por meio da internet, 
constituindo uma rede criptografada dentro da internet. 
 
( ) Uma das mais importantes funções de um firewall é aplicar as regras da política de 
segurança da organização, visando proteger e controlar o acesso a sistemas e 
informações. 
 
 
( ) O SSL / TLS são protocolos que oferecem segurança ponto-a-ponto para 
aplicações que necessitam segurança na camada de transporte de dados do 
protocolo IP. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
 
----------------------------------------------------------------------------------------------------------------- 
 
B F-V-V-F 
 
----------------------------------------------------------------------------------------------------------------- 
 
----------------------------------------------------------------------------------------------------------------- 
Os negócios feitos por meio da comunicação eletrônica e dos computadores, 
conhecido como e-commerce, não estão restritas à Internet, pois existem outras 
soluções como o uso de bancos e cartões, compras e negociações feitas por 
terminais e dispositivos de comunicação específicos, como tablets, celulares, totens 
e outros. 
 
Analise as afirmações a seguir, relativas ao comércio eletrônico, identificando-as 
como (F)alsas ou (V)erdadeiras: 
 
( ) No modelo B2C – Business to Consumer, comércio pela internet no qual clientes 
adquirem seus produtos diretamente de fabricantes, distribuidores e revendedores, o 
não-repúdio é um aspecto de suma importância, pois evita que falsos compradores 
assumam outra identidade, comprando em nome de outros. 
 
( ) No serviço denominado banco eletrônico - o internet banking ou e-Banking, o 
comportamento humano é fator essencial para que as defesas e a proteção sejam 
efetivas. 
 
 ( ) O C2C – Customer to Customer, possibilita a negociação entre indivíduos por 
meio dos sites de compra, venda e troca, e requer especial atenção ao aspecto de 
identidade dos participantes, uma vez que é difícil comprovar, por meio eletrônico, 
quem realmente está do “outro lado”. 
 
( ) O B2B – Business to Business, como as operações financeiras, de logística e 
suprimentos, além dos serviços providos pelo governo, é um serviço mais seguro, já 
que trata especificamente de comunicação entre organizações confiáveis. 
 
Assinale a única alternativa que corresponde à classificação correta das afirmativas, 
de acordo com o conteúdo apresentado no material e em aula: 
----------------------------------------------------------------------------------------------------------------- 
 
B F-V-V-F 
 
----------------------------------------------------------------------------------------------------------------- 
 
----------------------------------------------------------------------------------------------------------------- 
Crise é uma ocorrência que impede ou dificulta que a organização atinja seus 
objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de 
crises é um plano ou conjunto de medidas estratégicas que, em situações de 
anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa 
ocorrência. 
 
 
No que se refere à gestão de crises é correto afirmar que: 
----------------------------------------------------------------------------------------------------------------- 
----------------------------------------------------------------------------------------------------------------- 
 
----------------------------------------------------------------------------------------------------------------- 
Um Sistema Gerenciador de Banco de Dados tem por objetivo possibilitar o 
armazenamento, a recuperação e a modificação da maneira mais rápida possível, 
além de preservar estes dados de maneira confiável e segura. A segurança das 
informações em um banco de dados é obtida por intermédio de mecanismos, 
componentes e operações, entre as quais: 
 
I – O uso de outros serviços vinculados aos bancos de dados, como o Data 
Warehouse- DW, o Business Inteligence – BI e o Big Data. 
 
II - Preservação por meio de cópias de segurança – os backups e redundância. 
 
III – O armazenamento dos dados em nuvem - o cloud computing – devido à sua 
capacidade quase inesgotável de processamento e armazenagem. 
 
IV - Controle de acesso e permissões, registro de atividades e histórico de 
modificações. 
 
Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado: 
 
----------------------------------------------------------------------------------------------------------------- 
 
C Somente as afirmações II e IV são corretas. 
 
----------------------------------------------------------------------------------------------------------------- 
--------------------------------------------------------------------------------------------------------------------- 
Crise é uma ocorrência que impede ou dificulta que a organização atinja seus 
objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de 
crises é um plano ou conjunto de medidas estratégicas que, em situações de 
anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa 
ocorrência. 
 
No que se refere à gestão de crises é correto afirmar que: 
--------------------------------------------------------------------------------------------------------------------- 
A Em situações de crise a tomada de decisões individuais e 
improvisadas dificulta o trabalho em equipe e colaborativo, podendo 
aumentar a crise e até mesmo colocar em risco a sobrevivência da 
organização, por isso deve ser evitada. 
--------------------------------------------------------------------------------------------------------------------- 
 
--------------------------------------------------------------------------------------------------------------------- 
No processo de desenvolvimento de software é necessário que haja uma especial 
atenção aos procedimentos que garantirão a qualidade do software – e de forma 
especial aos testes a serem realizados. Com relação ao teste de software é correto 
afirmar que: 
--------------------------------------------------------------------------------------------------------------------- 
 
C O início das atividades de teste deve ser o mais antecipado possível 
dentro do SDLC, independente do modelo e das técnicas empregadas. 
Quanto antes forem descobertos os problemas, menor é o custo da 
correção. 
 
--------------------------------------------------------------------------------------------------------------------- 
 
--------------------------------------------------------------------------------------------------------------------- 
A GCN - Gestão da Continuidade dos Negócios é um processo diretamente 
relacionado com a segurança da informação e dos sistemas. Seu objetivo é evitar a 
interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas 
informações vitais para a preservação da organização e de seus negócios. Para isso, 
a GCN contempla os seguintes aspectos:I - Resposta a incidentes. 
II - A gestão de crises. 
III – Análise de Sistemas. 
IV – Desenvolvimento e Testes. 
 
Avalie as afirmações e selecione a única alternativa a seguir que confere com o 
conteúdo apresentado em aula: 
 
--------------------------------------------------------------------------------------------------------------------- 
A Somente as afirmações I e II são corretas. 
--------------------------------------------------------------------------------------------------------------------- 
 
--------------------------------------------------------------------------------------------------------------------- 
Nos ambientes de computação móvel e Internet das Coisas (IoT) a responsabilidade 
de cada um dos atores é específica, e os objetivos de segurança podem ser 
alcançados com abordagens distintas quanto à prevenção a ataques e contramedidas 
de segurança. Avalie as afirmativas sobre a segurança da informação e dos sistemas 
nesses ambientes, assinalando-as como (F)alsas ou (V)erdadeiras: 
 
( ) Desenvolvedores devem ser informados dos possíveis problemas, orientados e 
educados a utilizarem seus dispositivos corretamente e de modo seguro. 
 
( ) Usuários devem adotar medidas de proteção à segurança da informação, as mais 
atualizadas possíveis e que permeiem todo o ciclo de vida do software, tendo como 
referência as vulnerabilidades e os ataques já conhecidos. 
 
( ) Operadoras devem reforçar os mecanismos de identificação e defesa das redes, e 
adotar medidas preventivas contra os ataques. 
 
( ) Fabricantes devem ser ágeis na identificação de falhas e na atualização do 
hardware, sistemas operacionais e bibliotecas com o intuito de reduzir ou eliminar 
falhas e vulnerabilidades que possam motivar ataques. 
 
Assinale a alternativa que corresponde à correta classificação das afirmações: 
--------------------------------------------------------------------------------------------------------------------- 
 
B F-F-V-V 
 
--------------------------------------------------------------------------------------------------------------------- 
 
--------------------------------------------------------------------------------------------------------------------- 
A recuperação de desastres é o conjunto de procedimentos que, após um incidente, 
visa restabelecer a normalidade da operação da organização no menor espaço de 
tempo possível e minimizando os danos. A regra é retomar a normalidade o quanto 
antes e com o menor prejuízo possível. Com relação ao DRP – Disaster Recovery 
Plan, pode-se afirmar que: 
 
I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e 
a recuperação do ambiente e da infraestrutura de tecnologia da informação. 
 
II – A política de segurança da informação e a BIA – Business Impact Analysis são 
documentos necessários para elaboração do DRP. 
 
III – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e 
preservar a segurança das informações e dos sistemas. 
 
IV – Faz parte do DRP a decisão sobre a caracterização da gravidade do incidente e a 
ativação do regime de operação em contingência. 
 
Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo 
apresentado em aula: 
 
--------------------------------------------------------------------------------------------------------------------- 
 
A Somente as afirmações I e II são corretas. 
 
---------------------------------------------------------------------------------------------------------------------