Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( peso.:3,00) Nota da Prova: 8,00 Legenda: Resposta Certa Sua Resposta Errada 1. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que: I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema. II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade. III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres. IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários. Assinale a alternativa CORRETA: a) Todas as sentenças estão corretas. b) As sentenças I e III estão corretas. c) As sentenças II e IV estão corretas. d) As sentenças I e II estão corretas. 2. Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas: I- Os backups devem ser realizados visando a diminuir os riscos da continuidade. II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos dados originais. III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados. IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore. Assinale a alternativa CORRETA: a) As sentenças I, II e III estão corretas. b) As sentenças I e III estão corretas. c) Somente a sentença I está correta. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_1%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_2%20aria-label= d) As senteças II e IV estão corretas. 3. Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que possibilitem confiabilidade nos testes realizados nos ativos de sistemas de informação, garantindo que os processos, as atividades e os sistemas estejam em total segurança. Cabe ao auditor examinar os sistemas de informações que possuem falhas no controle da segurança, verificando os níveis com falhas e que estão associados com as aplicações organizacionais. Diante dessa afirmação, assinale a alternativa CORRETA que apresenta esta abordagem do auditor: a) Abordagem de máquina e hardware. b) Abordagem de manutenção do computador. c) Abordagem ao redor do computador. d) Abordagem de controles organizacionais. 4. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria tradicional. As abordagens mais comuns são dependentes da sofisticação do sistema computadorizado e se classificam em abordagem ao redor do computador, através do computador e com o computador. Com relação às abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças a seguir: I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação. II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior parte das atividades de rotina é executada manualmente. III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a conhecimentos sobre processamento eletrônico de dados. IV- A abordagem através do computador é uma melhoria da abordagem com o computador. V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na auditoria, de acordo com as necessidades específicas. Agora, assinale a alternativa CORRETA: a) As sentenças I e IV estão corretas. b) As sentenças II e III estão corretas. c) As sentenças III e IV estão corretas. d) As sentenças I, II e V estão corretas. 5. Os administradores de sistemas, analistas e programadores sempre buscam evitar que imprevistos ocorram e que os sistemas, servidores e aplicações não tenham problemas de acesso. Para evitar esses problemas, as organizações desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos que devem ser adotados, assinale a alternativa CORRETA: a) Servidores atualizados, substituição de equipamentos de rede. b) Divulgação dos problemas de rede e conscientização dos funcionários. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_3%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_4%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_5%20aria-label= c) Manutenção periódica, backups e restauração das redes. d) Treinamento dos programas incorporados e utilização de hardware. 6. As ameaças aos processos significam que geralmente os invasores conseguem acessar todos os computadores, podem danificar os seus arquivos, o banco de dados, que na maioria das vezes não possuem backup e danificar todas as informações existentes da organização. O invasor tem a possibilidade e a habilidade de não deixar nenhum rastro, como endereços de Mac Address ou IP. Essa origem não identificada pode ameaçar o funcionamento de alguns serviços. Sobre esses serviços, classifique V para as opções verdadeiras e F para as falsas: ( ) Tratamento e armazenamento. ( ) Distribuição e transporte. ( ) Servidores e clientes. ( ) Hardware e descarte. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - V - V - F. b) F - V - F - V. c) V - V - F - F. d) F - F - V - F. 7. As ferramentas generalistas de auditoria são programas que podem ser utilizados pelo auditor para, entre outras funções, simular, analisar amostras, processar, gerar dados estatísticos, sumarizar, apontar duplicidade. Além disso, esses softwares têm como vantagens a capacidade de processar diversos arquivos ao mesmo tempo, além de poder processar vários tipos de arquivos em vários formatos. Existem diversos programas para essas finalidades, com base nesses sistemas, classifique V para as sentençasverdadeiras e F para as falsas: ( ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e análise de dados. ( ) Audit Command Language (ACL) é um software que auxilia auditores internos e externos na realização de testes em arquivos de dados. ( ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de dados. ( ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) V - V - F - V. b) F - V - V - F. c) F - F - V - V. d) V - F - F - V. 8. A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma política de segurança de tecnologia da informação, possibilitando o https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_6%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_7%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_8%20aria-label= estabelecimento de prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto na organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se concretizar ou minimizam o grau de vulnerabilidade de determinado ativo. ( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em caso de mudança de algum recurso computacional de hardware ou software. ( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios a relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com medidas de segurança para o mesmo. ( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: gravidade do impacto e probabilidade de ocorrência do incidente, representa um método qualitativo de avaliação de riscos. Assinale a alternativa que apresenta a sequência CORRETA: a) V - F - V - V. b) F - V - F - V. c) V - F - F - V. d) V - F - V - F. 9. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os salários de todos os funcionários que estava armazenada em um computador (o servidor de arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste caso, um princípio da segurança da informação comprometido com esse incidente. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. ( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. ( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. ( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) V - F - F - V. b) F - F - V - V. c) F - V - V - F. d) V - V - F - F. 10. A auditoria no desenvolvimento e na manutenção dos sistemas de informação é essencial e garante que qualquer alteração não torne todo o sistema ou a rede vulnerável e insegura. Esses processos de desenvolvimento e manutenção envolvem profissionais de TI que possuem conhecimento suficiente, para assegurar que as novas versões dos sistemas sejam seguras. Estes procedimentos devem atender especificamente às políticas de segurança e disponibilizar o pleno funcionamento do https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_9%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_10%20aria-label= negócio da organização. É preciso implementar certos procedimentos de desenvolvimento, manutenção e documentação dos sistemas para garantir a segurança das tecnologias da informação. Sobre esses processos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Capacitação, treinamentos e desenvolvimento dos usuários. ( ) Conscientizar, implantar cursos e palestras para divulgar a segurança. ( ) Aquisição, planejamento e manutenções preventivas. ( ) Modificação, documentação e especificação dos programas. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - V. b) F - V - F - F. c) V - V - V - F. d) V - F - F - V. 11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) III e IV. b) I e II. c) I, II e III. d) II, III e IV. 12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_11%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_12%20aria-label= b) Plano de negócio de gerenciamento de projetos. c) Plano de contingência. d) Plano de negócio de gerência de riscos.
Compartilhar