SEGURANÇA EM TECNOLLOGIA DA INFORMACAO

Prévia do material em texto

Acadêmico: ASHURA. 
Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:456291) ( 
peso.:3,00) 
Prova: 13051797 
Nota da 
Prova: 
1,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades 
auditadas. De maneira geral, eles se classificam em dois grandes grupos, os que 
servem para as necessidades da auditoria interna e os que são encaminhados para a 
consecução dos objetivos da auditora. A geração desses relatórios pode ocorrer em 
diversos momentos. Com base no nestes momentos, analise as sentenças a seguir: 
 
I- Relatórios são gerados antes da execução do procedimento de auditoria e 
constatação de fatos relevantes indicam áreas que dão prejuízo. 
II- Relatórios interinos do processo de auditoria relatarão a situação inteira da 
auditoria, e são gerados somente ao final do processo. 
III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria 
de sistemas. 
IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para o auditor 
verificar a situação. 
 
Agora, assinale a alternativa CORRETA: 
 a) Somente a sentença III está correta. 
 b) As sentenças I, III e IV estão corretas. 
 c) As sentenças II, III e IV estão corretas. 
 d) As sentenças I, II e IV estão corretas. 
 
2
. 
O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo 
principal ser um documento que auxilia a organização no tratamento de desastres, 
tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade 
na TI para que suporte com valor e qualidade o negócio da organização. Dada a 
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem 
atualmente para as organizações, é essencial que este plano seja auditado e testado 
antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a 
alternativa CORRETA: 
 
FONTE: Disponível em: 
<http://iso27000.com.br/index.php?option=com_content&view=article&id=52:import
pcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017. 
 a) A auditoria de PCN deve verificar se os contatos de fornecedores externos 
atendem aos requisitos definidos no projeto interno. 
 b) Visto que a alta diretoria não desempenhará nenhum papel operacional na 
execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua 
definição. 
 c) O PCN deve ser divulgado para todos os colaboradores da organização, no 
sentido de aumentar a conscientização. 
 d) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão 
desempenhar as funções que se espera deles no caso de um evento de falha de 
segurança. 
 
3. A política de segurança e auditoria em sistemas de informação deve descrever 
processos contínuos que garantam a confidencialidade, a integridade e a 
disponibilidade da informação, sendo que, em caso de algum incidente de segurança, 
deve prever medidas operacionais que deverão ser executadas para a retomada do 
funcionamento da organização. Assinale a alternativa CORRETA que apresenta este 
conjunto de medidas operacionais: 
 a) Plano de Continuidade. 
 b) Política de Recuperação. 
 c) Plano de Recuperação Urgente. 
 d) Auditoria de Sistemas. 
 
4. Em um passado não muito distante, muitas instituições financeiras sofreram grandes 
prejuízos oriundos de roubos virtuais ocorridos através do internet banking. A fim de 
mitigar estas vulnerabilidades, foram implementados os sistemas de Gestão de 
Segurança da Informação, os quais visam a garantir a segurança e a integridade às 
informações das organizações. Acerca da Gestão da Segurança da Informação, 
analise as sentenças a seguir: 
 
I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes 
transparência na gestão financeira das organizações e a credibilidade de suas 
informações. 
II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de 
requisitos, processos e controles com a finalidade de gerir de forma adequada os 
riscos às suas informações. 
III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de 
gestão de segurança da informação (SGSI), sendo que adoção desta poderá garantir à 
organização a certificação ISO 17799. 
IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a 
segurança dos recursos tecnológicos. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças I, II e IV estão corretas. 
 b) As sentenças I e II estão corretas. 
 c) Somente a sentença III está correta. 
 d) As sentenças III e IV estão corretas. 
 
5. O interesse em guardar informações é muito antigo. Desde o início dos tempos, o ser 
humano sentiu necessidade de registrar os fatos e as informações, seja em paredes ou 
papiros. Hoje, o valor da informação é quase imensurável para as empresas. Apesar 
de toda essa evolução e da importância, nem tudo é perfeito e imprevistos 
acontecem. Para isso, as empresas devem estar preparadas e evitar ao máximo a 
inoperância. Qual o plano que visa minimizar esses impactos? 
 a) Plano de impacto de incidentes. 
 b) Plano de continuidade de produção. 
 c) Plano de recuperação emergencial. 
 d) Plano de gerenciamento de risco. 
 
6. Dentro do ciclo de vida das informações de uma organização, a etapa do descarte 
pode representar um risco para os objetivos de segurança quando não são observados 
os devidos cuidados. Neste contexto, analise as sentenças a seguir: 
 
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, 
pois estes podem conter informações valiosas que não foram devidamente apagadas 
de seus dispositivos de armazenamento. 
II- Informações armazenadas em meio analógico (documentos em papel, atas de 
reuniões, contratos etc.) devem seguir critérios rígidos de destruição segura para 
evitar a recuperação de informações confidenciais. 
III- A simples exclusão de informações confidenciais de um microcomputador 
cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações 
não podem ser recuperadas através do uso de utilitários de recuperação de dados. 
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma 
vez que os objetivos de confidencialidade, integridade e disponibilidade têm 
prioridade sobre os demais. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças III e IV estão corretas. 
 b) As sentenças I, II e IV estão corretas. 
 c) As sentenças I e II estão corretas. 
 d) As sentenças I, II e III estão corretas. 
 
7. Muitas organizações, mesmo tendo conhecimento de vários escândalos de 
espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade 
da segurança da informação. Os riscos de acessos indevidos são uma ameaça 
constante e com um potencial enorme de causar danos irreparáveis e de grande 
prejuízo às organizações. Desta forma, faz-se necessário a análise e a adoção de 
medidas que visem a minimizar os riscos da segurança da informação. No que tange 
ao tratamento do risco, analise as sentenças a seguir: 
 
I- O tratamento de risco pode ser implementado através de medidas preventivas, 
como a instituição de uma política de segurança, a definição de controles de acesso 
físicos e lógicos, entre outros. 
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos 
identificados nas fases anteriores. 
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e 
práticas de segurança da informação disponíveis. 
IV- A ISO 17799 dispõe sobre os controlese práticas de segurança da informação, 
estabelecendo uma diretriz e os princípios gerais para gestão da segurança da 
informação em uma organização a partir dos riscos identificados. 
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de 
minimizar as consequências dos danos gerados. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças I, III e IV estão corretas. 
 b) As sentenças II, IV e V estão corretas. 
 c) As sentenças I, II e IV estão corretas. 
 d) As sentenças I, II e V estão corretas. 
 
8. A auditoria de sistemas de informação visa verificar a conformidade não dos 
aspectos contábeis da organização, mas, sim, do próprio ambiente informatizado, 
garantindo a integridade dos dados manipulados pelo computador. Assim, ela 
estabelece e mantém procedimentos documentados para planejamento e utilização 
dos recursos computacionais da empresa, verificando aspectos de segurança e 
qualidade. Baseado nas atividades da auditoria, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) Garantir que os custos sejam diminuídos e a eficiência seja aumentada. 
( ) Garantir a utilização dos sistemas de controle já implantados na empresa. 
( ) Garantir que os livros fiscais estejam de acordo com as leis e os tributos. 
( ) A formação do auditor em tecnologia da informação deve ser específica, pois é 
uma área com características bem definidas. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - V - F - V. 
 b) F - F - V - V. 
 c) F - V - V - F. 
 d) V - V - F - F. 
 
9. Para o sucesso da implementação do plano de contingência em uma empresa, é de 
suma importância que sejam observadas as funções críticas dos negócios, as quais 
podem estar enquadradas como de alto, médio ou baixo risco. Com esta avaliação 
feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os planos 
de contingência de uma empresa devem garantir que: 
 
I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, 
de propriedades intelectuais, de pessoas, transacionais, entre outros. 
II- No momento da ocorrência de algum sinistro, a equipe deve realizar o 
planejamento da solução e da sua recuperação. 
III- Estejam previstos testes periódicos destes planos. 
IV- Na existência de backups com diversas periodicidades, os backups mensais 
estejam atualizados. 
V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças II, IV e V estão corretas. 
 b) As sentenças I, III e V estão corretas. 
 c) As sentenças I, III, IV e V estão corretas. 
 d) As sentenças I, II e III estão corretas. 
 
10. A classificação da informação em categorias distintas, de acordo com sua 
confidencialidade, é essencial para uma correta definição dos níveis de segurança 
aplicados a cada categoria. Uma das classificações mais utilizadas compreende os 
níveis público, interno e confidencial. No que tange à classificação da informação, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Informações públicas são aquelas que não necessitam de sigilo, tendo acesso 
livre para os colaboradores e/ou fora da organização, pois sua divulgação não tem 
impacto para os negócios. 
( ) Informações confidenciais são aquelas acessíveis por todos os seus 
colaboradores. Entretanto, caso sejam divulgadas, podem acarretar prejuízo para os 
negócios. 
( ) Os direitos e os privilégios de acesso às informações pelos usuários devem ser 
revisados constantemente para assegurar que estejam de acordo com as necessidades 
e os objetivos da organização. 
( ) O descarte de informações confidenciais deve garantir, por meio de 
procedimentos e/ou ferramentas, que a informação não possa ser recuperada sob 
hipótese alguma. 
( ) Informações de Classe 1 devem ser protegidas de qualquer acesso externo e, 
mesmo dentro da organização, seu acesso somente é liberado a alguns colaboradores. 
Como exemplo, podemos citar a folha de pagamento da organização. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - V - V. 
 b) V - F - V - V - F. 
 c) V - V - F - F - F. 
 d) V - F - F - V - V. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de contingência. 
 b) Plano de negócio. 
 c) Plano de negócio de gerenciamento de projetos. 
 d) Plano de negócio de gerência de riscos. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) I, II e III. 
 b) II, III e IV. 
 c) I e II. 
 d) III e IV.