Segurança em Tecnologia da Informação - Avaliação 02

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação II - Individual FLEX ( Cod.:444521) ( peso.:1,50)
Prova: 11262287
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações,
por algum momento, ficarem desativados. Os administradores de sistemas, analistas e 
programadores sempre buscam que os imprevistos não ocorram. As organizações e estes 
departamentos desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que 
venha a ocorrer. Exemplo disso é implantar sistemas de backup e possuir configurado sempre 
mais do que um servidor em funcionamento; estes são os itens mais importantes para o 
funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizados 
quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses 
procedimentos, classifique V para as opções verdadeiras e F para as falsas:
( ) Servidores atualizados, substituição de equipamentos de rede.
( ) Divulgação dos problemas de rede e conscientização dos funcionários.
( ) Manutenção da estrutura de rede e restauração dos backups.
( ) Treinamento dos programas incorporados e utilização de hardware.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) V - F - V - F.
 c) F - V - F - V.
 d) V - V - F - F.
2. Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. Apresenta uma 
estrutura estratégica e operativa que ajudará a controlar uma situação de emergência e a 
minimizar as suas consequências negativas. O plano de contingência propõe uma série de 
procedimentos alternativos ao funcionamento normal de uma organização, sempre que alguma 
das suas funções usuais se vê prejudicada por uma contingência interna ou externa. Com base na 
avaliação do plano de contingência, classifique V para as sentenças verdadeiras e F para as 
falsas:
( ) Os planos devem ser específicos para cobrir apenas os aspectos lógicos, os demais aspectos 
não são considerados no plano de contingência.
( ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e sejam de 
fácil recuperação.
( ) Os planos de contingências são apenas teóricos, não havendo necessidade de testes ou 
revisões periódicas.
( ) O acompanhamento dos procedimentos pode ser facilitado através de relatórios de 
produção.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V - F.
 b) F - V - F - F.
 c) V - V - V - F.
 d) F - V - F - V.
3. Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também
criar normas para a utilização das ferramentas e das informações existentes em uma organização. 
A documentação dos processos é outro fator muito importante para a área de sistemas de 
informações. Para que a empresa esteja segura com seus dados e os sistemas sempre em 
funcionamento, devem ser utilizados os processos do Plano de Continuidade dos Negócios - 
BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as 
seguintes opções:
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
III- Plano de reinicialização de negócios, teste de emergência e recuperação.
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
Agora, assinale a alternativa CORRETA:
 a) As opções I e II estão corretas.
 b) As opções III e IV estão corretas.
 c) As opções II e III estão corretas.
 d) Somente a opção II está correta.
4. Os procedimentos de backup são ações e mecanismos de importância capital no contexto da 
segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma 
forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam
a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes 
ambientes. Estes procedimentos devem ter base nas seguintes premissas:
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade.
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do 
armazenamento dos dados originais.
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em 
ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados.
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e 
restore.
Assinale a alternativa CORRETA:
 a) As senteças II e IV estão corretas.
 b) Somente a sentença I está correta.
 c) As sentenças I, II e III estão corretas.
 d) As sentenças I e III estão corretas.
5. No momento atual, a política de segurança da informação é adotada em grande parte das 
organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política 
efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de 
segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é 
fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste 
sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas 
políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço 
para que se adéquem às mudanças.
( ) A comunicação com os funcionários pode ser feita através de avisos, palestras de 
conscientização, elaboração de guias rápidos de consulta e treinamento específico.
( ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas 
de segurança.
( ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem
a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - V - F.
 b) F - V - V - F.
 c) V - F - F - V.
 d) F - F - V - V.
6. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao 
escopo das políticas de continuidade dos negócios, deve prover alternativas para o 
processamento de transações econômicas e financeiras das organizações em casos de falhas 
graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a 
garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta 
forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior 
tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar 
as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para 
garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um 
ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
 a) As sentenças I e II estão corretas.
 b) Todas as sentenças estão corretas.
 c) As sentenças I e III estão corretas.
 d) As sentenças II e IV estão corretas.
7. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles 
ocasionam perdas ou degradações ao ambiente, ou ambos, sendo que seus efeitos são percebidos 
através da avaliação dos impactos causados. Estes impactos, por sua vez, são classificados com 
relação à influência exercida sobre os aspectos de confidencialidade, integridade e 
disponibilidade. Avalie os efeitos relacionados a seguir:
I- Perda significante dos principais ativose recursos.
II- Impossibilidade de continuar com as atividades de negócio.
III- Perda dos principais ativos e recursos.
IV- Perda de alguns dos principais ativos e recursos.
Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a 
classificação dos impactos dos efeitos citados:
 a) Alto, Médio, Médio, Baixo.
 b) Médio, Médio, Baixo e Baixo.
 c) Alto, Alto, Médio e Baixo.
 d) Médio, Alto, Médio e Médio.
8. Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas
devem ser tomadas para minimizar os danos provocados por desastres ou ataques, que colocam 
em risco as informações e geram perdas dos dados. Segundo o BIA (Business Impact Analysis), 
alguns impactos podem ser medidos quantitativamente e categorizados. Quais são essas 
categorias?
 a) Necessário, prioritário e urgente.
 b) Ataques, falta de luz e sabotagem.
 c) Alto, médio e baixo.
 d) Incêndio, greve e sabotagem.
9. A fase do planejamento da política de segurança necessita por parte de seus agentes, um 
entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou 
lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e 
tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, 
está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e 
dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em 
que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as 
falsas:
( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de 
segurança e sim da proatividade das equipes de segurança.
( ) A abordagem proativa define claramente as responsabilidades individuais,
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
( ) A política proativa trata da questão da segurança das informações com a visão ?Será que o 
sistema será atacado??.
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - V - V.
 b) V - V - F - V - F.
 c) V - F - F - V - V.
 d) F - V - V - F - V.
10. A rotina da geração das cópias de segurança em ambiente de informação é um ponto muito 
importante e que deve ser amplamente planejado. A frequência com que estas cópias serão 
geradas, normalmente, pode seguir a frequência com que as informações sofrem as atualizações.
Assim, como exemplo, se um banco de dados de um sistema de informação de uma organização
recebe atualizações constantes e diárias, também diária deverá ser a geração das cópias de 
segurança. Entretanto, tão importante quanto gerar as cópias de segurança é poder utilizá-las 
para a pronta restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, 
com o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração das cópias de
segurança, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Nos testes deve ser verificada a integridade da informação armazenada.
( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos.
( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da equipe.
( ) Nos testes, mesmo que tenha sido identificado algum procedimento desatualizado ou 
ineficaz, o mais importante é que a cópia seja gerada.
( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a solução será
fazer novas cópias.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V - V - V.
 b) F - V - F - V - F.
 c) V - V - V - F - F.
 d) F - F - V - F - F.