Segurança em Tecnologia da InformaçãoII

Prévia do material em texto

16/11/2018 Segurança em Tecnologia da Informação - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/trilha_aprendizagem/trilha_aprendizagem.php 1/3
1. Para o sucesso da implementação do plano de contingência em uma empresa, é de suma importância que sejam
observadas as funções críticas dos negócios, as quais podem estar enquadradas como de alto, médio ou baixo risco.
Com esta avaliação feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os planos de
contingência de uma empresa devem garantir que:
 
I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de
pessoas, transacionais, entre outros.
 II- No momento da ocorrência de algum sinistro, a equipe deve realizar o planejamento da solução e da sua
recuperação.
 III- Estejam previstos testes periódicos destes planos.
 IV- Na existência de backups com diversas periodicidades, os backups mensais estejam atualizados.
 V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade.
 
Assinale a alternativa CORRETA:
 a) As sentenças I, III, IV e V estão corretas.
 b) As sentenças I, III e V estão corretas.
 c) As sentenças II, IV e V estão corretas.
 d) As sentenças I, II e III estão corretas.
2. O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante
de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de
hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes se
fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e
desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas
prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em
conformidade com estes planos:
 a) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de
segurança que não puderem ser evitados.
 b) O PCN visa a prover meios da continuidade operacional.
 c) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de
segurança. Outro aspecto negativo a ser considerado é o seu alto custo.
 d) Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem
indisponíveis recursos que possibilitam seu uso.
3. A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de todos os usuários de
informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste
manancial informativo. O documento desta política deve ser muito claro na sua forma de declarar sobre a
responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados
devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças
verdadeiras e F para as falsas:
 
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por cada integrante
na organização às informações.
 ( ) A política estabelece seus controles, padrões e procedimentos.
 ( ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros documentos subordinados em
hierarquia à política, que são definidos pelo Security Officer. 
 ( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por padrões e
procedimentos. 
 ( ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, portanto, assina e exige
seu cumprimento.
 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - F - F - F.
 b) V - V - V - V - F.
 c) V - F - F - V - F.
 d) F - F - V - F - V.
4. Os administradores de sistemas, analistas e programadores sempre buscam evitar que imprevistos ocorram e que os
sistemas, servidores e aplicações não tenham problemas de acesso. Para evitar esses problemas, as organizações
desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Alguns
procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre
esses procedimentos que devem ser adotados, assinale a alternativa CORRETA:
 a) Treinamento dos programas incorporados e utilização de hardware.
 b) Manutenção periódica, backups e restauração das redes.
 c) Divulgação dos problemas de rede e conscientização dos funcionários.
Servidores atualizados, substituição de equipamentos de rede.
16/11/2018 Segurança em Tecnologia da Informação - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/trilha_aprendizagem/trilha_aprendizagem.php 2/3
 d)
5. A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes tarefas para que
sua composição atenda plenamente aos requisitos de segurança e retomada de atividades. É fundamental que os
processos críticos sejam identificados, que a análise e a classificação dos impactos sejam devidamente realizadas,
que a documentação necessária seja gerada, assim como o treinamento e a conscientização de pessoal. Sobre a
análise e a classificação dos impactos, assinale a alternativa CORRETA que apresenta o nome da ferramenta de
apoio para esta atividade:
 a) EP.
 b) CM.
 c) BRP.
 d) BIA.
6. Dada a importância que a elaboração de um plano de continuidade de negócios (PCN) tem atualmente para as
organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao
teste e à auditoria de PCN, classifique V para as sentenças verdadeiras e F para as falsas:
 
( ) Os testes do PCN devem avaliar se as responsabilidades atribuídas às pessoas e às equipes de contingência
estão de acordo com o perfil e as habilidades das mesmas.
 ( ) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se
espera deles no caso de um evento de falha de segurança.
 ( ) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu
envolvimento somente ocorrerá na etapa de definição do mesmo.
 ( ) A auditoria de PCN deve verificar se os contratos de fornecedores externos atendem aos requisitos definidos no
plano.
 ( ) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a
conscientização.
 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - F - F - V.
 b) V - F - V - V - F.
 c) F - V - F - V - F.
 d) V - V - F - V - F.
7. O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que
auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade,
segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as
organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao
teste e à auditoria de PCN, assinale a alternativa CORRETA:
 
FONTE: Disponível em: <http://iso27000.com.br/index.php?
option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
 a) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a
conscientização.
 b) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no
projeto interno.
 c) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funçõesque se
espera deles no caso de um evento de falha de segurança.
 d) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu
envolvimento somente ocorrerá na etapa de sua definição.
8. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles ocasionam perdas ou
degradações ao ambiente, ou ambos, sendo que seus efeitos são percebidos através da avaliação dos impactos
causados. Estes impactos, por sua vez, são classificados com relação à influência exercida sobre os aspectos de
confidencialidade, integridade e disponibilidade. Avalie os efeitos relacionados a seguir:
 
I- Perda significante dos principais ativos e recursos.
 II- Impossibilidade de continuar com as atividades de negócio.
 III- Perda dos principais ativos e recursos.
 IV- Perda de alguns dos principais ativos e recursos.
 
Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a classificação dos
impactos dos efeitos citados:
 a) Médio, Alto, Médio e Médio.
 b) Médio, Médio, Baixo e Baixo.
16/11/2018 Segurança em Tecnologia da Informação - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/trilha_aprendizagem/trilha_aprendizagem.php 3/3
 c) Alto, Médio, Médio, Baixo.
 d) Alto, Alto, Médio e Baixo.
9. Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também criar normas para
a utilização das ferramentas e das informações existentes em uma organização. A documentação dos processos é
outro fator muito importante para a área de sistemas de informações. Para que a empresa esteja segura com seus
dados e os sistemas sempre em funcionamento, devem ser utilizados os processos do Plano de Continuidade dos
Negócios - BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes
opções:
 
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
 II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
 III- Plano de reinicialização de negócios, teste de emergência e recuperação.
 IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
 
Agora, assinale a alternativa CORRETA:
 a) As opções I e II estão corretas.
 b) Somente a opção II está correta.
 c) As opções II e III estão corretas.
 d) As opções III e IV estão corretas.
10. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos
planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada
frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características
devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
 a) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um
processo sigiloso.
 b) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
 c) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios
de volta à posição em que se encontravam antes do incidente ou desastre.
 d) O plano de continuidade deve ser revisado e testado periodicamente.