Avaliação II - Individual FLEX Segurança em Tecnologia da Informação (GTI08)

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: Avaliação II - Individual FLEX (peso.:1,50) 
Nota da Prova: 10,00 
 
Legenda: Resposta Certa Sua Resposta Errada 
1. A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça para qualquer organização. É nesse 
enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano 
de continuidade de negócios é manter as operações de uma organização funcionando 
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de 
continuidade de negócios, assinale a alternativa CORRETA: 
 a) O plano de continuidade de negócios deve priorizar as operações cuja paralisação 
traga maior impacto para a organização. 
 b) O plano de continuidade de negócios objetiva manter todas as operações da 
organização em funcionamento, no caso da ocorrência de um evento de falha de 
segurança. 
 c) O plano de continuidade de negócios tem sua atuação restrita a processos de 
negócio. 
 d) As atualizações no plano de continuidade de negócios ocorrem somente após um 
evento de falha de segurança. 
 
2. A construção de um PCN, em sua fase de planejamento, deve compreender algumas 
importantes tarefas para que sua composição atenda plenamente aos requisitos de 
segurança e retomada de atividades. É fundamental que os processos críticos sejam 
identificados, que a análise e a classificação dos impactos sejam devidamente 
realizadas, que a documentação necessária seja gerada, assim como o treinamento e a 
conscientização de pessoal. Sobre a análise e a classificação dos impactos, assinale a 
alternativa CORRETA que apresenta o nome da ferramenta de apoio para esta 
atividade: 
 a) EP. 
 b) BRP. 
 c) CM. 
 d) BIA. 
 
3. Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, 
como também criar normas para a utilização das ferramentas e das informações 
existentes em uma organização. A documentação dos processos é outro fator muito 
importante para a área de sistemas de informações. Para que a empresa esteja segura 
com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os 
processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos 
negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções: 
 
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação. 
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade. 
III- Plano de reinicialização de negócios, teste de emergência e recuperação. 
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_2%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_3%20aria-label=
Agora, assinale a alternativa CORRETA: 
 a) As opções II e III estão corretas. 
 b) Somente a opção II está correta. 
 c) As opções III e IV estão corretas. 
 d) As opções I e II estão corretas. 
 
4. A tecnologia da informação, em função de sua natureza complexa, necessita 
constantemente de novos planejamentos e revisões periódicas em seus processos, 
visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de 
Continuidade de Negócio alcance os seus objetivos, algumas características devem 
ser observadas. Assinale a alternativa CORRETA que não corresponde a esta 
expectativa: 
 a) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal 
da TI, pois se trata de um processo sigiloso. 
 b) O plano de continuidade deve ser revisado e testado periodicamente. 
 c) Deve-se fazer a avaliação de risco e impacto no negócio (BIA). 
 d) No PCN, devem ser criados os procedimentos corretivos e de recuperação 
desenhados para trazer os negócios de volta à posição em que se encontravam 
antes do incidente ou desastre. 
 
5. Quanto maior a dependência das organizações com relação à tecnologia da 
informação, maior a necessidade da elaboração de um plano de continuidade de 
negócios (PCN). Em qualquer PCN, o elo mais fraco são os recursos humanos e há a 
necessidade de se tratar essa situação. Com relação ao exposto, analise as sentenças a 
seguir: 
 
I- O descumprimento das políticas de segurança é um dos principais riscos que o 
fator humano traz para as organizações no que se refere à utilização de recursos de 
Tecnologia da Informação. 
II- A padronização dos procedimentos relacionados à utilização dos recursos de 
Tecnologia da Informação é um dos métodos mais eficientes para minimizar 
incidentes de segurança causados por falha humana. 
III- Campanhas de conscientização com relação à política de segurança da 
organização são essenciais para o envolvimento das pessoas e consequente 
minimização da probabilidade de ocorrência de falha humana. 
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é 
homogêneo para todos os profissionais envolvidos. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças I, II e IV estão corretas. 
 b) As sentenças I, II e III estão corretas. 
 c) As sentenças III e IV estão corretas. 
 d) As sentenças II, III e IV estão corretas. 
 
6. Qualquer processo, regra ou metodologia necessita de atualizações e continuidade da 
sua manutenção, principalmente quando se fala em tecnologias da informação. Esses 
procedimentos são essenciais para a continuidade dos negócios e segurança dos 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_5%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_6%20aria-label=
dados e informações. A atualização e a manutenção do plano de continuidade devem 
ser organizadas formalmente, devem ser realizadas em períodos como uma ou duas 
vezes por ano. Não existe algo predefinido, pois, a cada momento que surgir a 
necessidade de atualizar e realizar a manutenção do plano de continuidade dos 
negócios, esses procedimentos devem ocorrer conforme a necessidade identificada. 
Segundo Ferreira e Araújo (2008), o processo de revisão do plano deve ocorrer 
seguindo alguns itens. Sobre esses itens, análise as seguintes opções: 
 
I- Perda da credibilidade no mercado e irregularidades dos recursos. 
II- Eventuais riscos identificados e incidentes de segurança. 
III- Ocorrências de inatividade dos ativos e imagem do negócio. 
IV- Vulnerabilidades encontradas e alterações na legislação. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. 
Política de segurança da informação ? guia prático para elaboração e implementação. 
2. ed. revisada. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008. 
 a) Somente a opção III está correta. 
 b) As opções II e IV estão corretas. 
 c) As opções I e IV estão corretas. 
 d) Somente a opção II estácorreta. 
 
7. O plano de contingência deve ser parte da política de segurança de uma organização, 
complementando assim, o planejamento estratégico desta. Neste documento são 
especificados procedimentos preestabelecidos a serem observados nas tarefas de 
recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto 
causado por incidentes que não poderão ser evitados pelas medidas de segurança em 
vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser 
verificados. Sobre esses itens, analise as sentenças a seguir: 
 
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil 
recuperação. 
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram 
eventualidades. 
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, 
confidencialidade e disponibilidade. 
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há 
necessidade de relatórios gerenciais. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças I, II e III estão corretas. 
 b) As sentenças II, III e IV estão corretas. 
 c) As sentenças I, III e IV estão corretas. 
 d) Somente a sentença II está correta. 
 
8. Em geral, os planos de contingenciamento das organizações estabelecem uma rápida 
ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_8%20aria-label=
serviços essenciais devem ser apontados pelos próprios departamentos da empresa, 
no tocante à sua importância nos processos operacionais de negócio. Estas 
informações são avaliadas pelos comitês de segurança, os quais devem validar o 
escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa 
INCORRETA: 
 a) Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, 
lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre 
outros. 
 b) Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos. 
 c) É fundamental que todos os departamentos que possuem funções críticas aos 
negócios sejam contingenciados. 
 d) Se uma das atividades de uma função de negócio, considerada crítica, for avaliada 
como risco moderado, esta não deverá ser contingenciada. 
 
9. Dada a importância que a elaboração de um plano de continuidade de negócios 
(PCN) tem atualmente para as organizações, é essencial que este plano seja auditado 
e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de 
PCN, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os testes do PCN devem avaliar se as responsabilidades atribuídas às pessoas e 
às equipes de contingência estão de acordo com o perfil e as habilidades das mesmas. 
( ) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão 
desempenhar as funções que se espera deles no caso de um evento de falha de 
segurança. 
( ) Visto que a alta diretoria não desempenhará nenhum papel operacional na 
execução de um PCN, seu envolvimento somente ocorrerá na etapa de definição do 
mesmo. 
( ) A auditoria de PCN deve verificar se os contratos de fornecedores externos 
atendem aos requisitos definidos no plano. 
( ) O PCN deve ser divulgado para todos os colaboradores da organização, no 
sentido de aumentar a conscientização. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - V - F - V - F. 
 b) V - V - F - F - V. 
 c) F - V - F - V - F. 
 d) V - F - V - V - F. 
 
10. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os 
processos, as atividades e as funcionalidades são dependentes das tecnologias, pois 
todos eles precisam ser processados pelos sistemas informatizados. Outro fator que 
deve ser analisado é que toda a informação da organização possui um custo, tanto as 
informações quanto a estrutura que este setor precisa ter para disponibilizar a 
segurança dos dados. De acordo com Caruso e Steffen (1999), existem duas classes 
principais de materiais e atividades em processo. Sobre essas classes, análise as 
seguintes afirmativas: 
 
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_9%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjg5&action4=MjAxOS8y&action5=MjAxOS0wOS0xOVQxOTowMDoyMS4wMDBa&prova=MTI4NjcwODE=#questao_10%20aria-label=
e desastres de processamento. 
II- Acervo de informações destinadas a confeccionar as ferramentas de 
processamento de informação. 
III- Sistemas de programas de aplicações ou de controle da atividade e informações 
relacionadas. 
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo 
normas de processo de informação. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em 
informática e de informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São 
Paulo, 1999. 
 a) Somente a afirmativa III está correta. 
 b) As afirmativas II e III estão corretas. 
 c) As afirmativas I e II estão corretas. 
 d) Somente a afirmativa IV está correta.