prova final objetiva seguranca em tecnologia da informacao

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:432085) ( peso.:3,00)
	Prova:
	7623924
	Nota da Prova:
	9,00
Gabarito da Prova:  Resposta Certa   Sua Resposta Errada
Parte superior do formulário
	1.
	Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir:
I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância.
II- A postura é a conduta com relação à segurança, refere-se ao elemento postura.
III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças.
IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças I, II e IV estão corretas.
	 b)
	Somente a sentença III está correta.
	 c)
	As sentenças I, III e IV estão corretas.
	 d)
	As sentenças II, III e IV estão corretas.
	2.
	Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
(    ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
(    ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
(    ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
(    ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - V - V.
	 b)
	F - V - F - V - F.
	 c)
	F - F - V - F - V.
	 d)
	V - V - F - F - V.
	3.
	A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA:
	 a)
	A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função da utilização dos mesmos.
	 b)
	As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e através do computador.
	 c)
	A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem implantados.
	 d)
	Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela mesma.
	4.
	A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
	 a)
	As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
	 b)
	Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
	 c)
	No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
	 d)
	O plano de continuidade deve ser revisado e testado periodicamente.
	5.
	O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
	 a)
	A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se espera deles no caso de um evento de falha de segurança.
	 b)
	A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no projeto interno.
	 c)
	O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a conscientização.
	 d)
	Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua definição.
	6.
	A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários:
	 a)
	Obtenção.
	 b)
	Uso.
	 c)
	Tratamento.
	 d)
	Identificação das necessidades e requisitos.
	7.
	Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que possibilitem confiabilidade nos testes realizados nos ativos de sistemas de informação, garantindo que os processos, as atividades e os sistemas estejam em total segurança. Cabe ao auditor examinar os sistemas de informações que possuem falhas no controle da segurança, verificando os níveis com falhas e que estão associados com as aplicações organizacionais. Diante dessa afirmação, assinale a alternativa CORRETA que apresenta esta abordagem do auditor:
	 a)
	Abordagem de controles organizacionais.
	 b)
	Abordagem de manutenção do computador.
	 c)
	Abordagem ao redor do computador.
	 d)
	Abordagem de máquina e hardware.
	8.
	O advento da tecnologia da informação tem proporcionado grandes mudanças aos sistemas de informação das organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificaras ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
(    ) A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de hardware e software.
(    ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
(    ) A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - F - V.
	 b)
	V - F - V - F.
	 c)
	F - V - V - F.
	 d)
	F - F - F - V.
	9.
	Os ativos de informações são considerados como os principais itens que devem ser preservados com a segurança da informação em uma organização. Estes ativos devem estar sempre disponíveis. No entanto, devem seguir alguns princípios, como ser íntegros, precisam ser verdadeiros, fidedignos; devem estar sempre disponíveis para seus usuários que possuem acesso; precisam ser confiáveis, garantindo que apenas usuários permitidos possam acessar os dados e as informações. Segundo Fontes (2006), proteger as informações vai além da confidencialidade, integridade e disponibilidade. Sobre o que envolve proteger as informações, analise as opções a seguir:
I- Auditoria e legalidade.
II- Processamento e obtenção.
III- Requisitos e descarte.
IV- Armazenamento e distribuição.
Agora, assinale a alternativa CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	Somente a opção I está correta.
	 b)
	As opções II e III estão corretas.
	 c)
	Somente a opção IV está correta.
	 d)
	As opções I e III estão corretas.
	10.
	Para a implementação da política de segurança de uma organização, devem ser adotados padrões e normas de segurança que estejam alinhados com os objetivos de negócio da organização. Diante disso, assinale a alternativa CORRETA que apresenta o padrão que define alguns termos da Gestão de Riscos:
	 a)
	ISO GUIDE 73.
	 b)
	COBIT.
	 c)
	ISO/IEC 17799.
	 d)
	ITIL.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	II, III e IV.
	 b)
	I, II e III.
	 c)
	III e IV.
	 d)
	I e II.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de contingência.
	 b)
	Plano de negócio de gerenciamento de projetos.
	 c)
	Plano de negócio de gerência de riscos.
	 d)
	Plano de negócio.
Parte inferior do formulário