Avaliação Final (Objetiva) - Individual FLEX

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( peso.:3,00) 
Nota da Prova: 8,00 
 
Legenda: Resposta Certa Sua Resposta Errada 
1. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com 
relação ao escopo das políticas de continuidade dos negócios, deve prover 
alternativas para o processamento de transações econômicas e financeiras das 
organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, 
no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve 
haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar 
que: 
 
I- A gerência deve identificar suas informações críticas, níveis de serviços 
necessários e o maior tempo que poderia ficar sem o sistema. 
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa 
determinar as necessidades de backup e sua periodicidade. 
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções 
atualizadas, para garantir as operações pós-desastres. 
IV- São considerados objetos da contingência uma aplicação, um processo de 
negócio, um ambiente físico e também uma equipe de funcionários. 
 
Assinale a alternativa CORRETA: 
 a) Todas as sentenças estão corretas. 
 b) As sentenças I e III estão corretas. 
 c) As sentenças II e IV estão corretas. 
 d) As sentenças I e II estão corretas. 
 
2. Os procedimentos de backup são ações e mecanismos de importância capital no 
contexto da segurança da informação. O ato de fazer cópias de segurança do 
ambiente informacional é uma forma de salvaguardar um dos ativos mais 
importantes e essenciais das organizações e que visam a dar a sustentação para a 
pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes 
procedimentos devem ter base nas seguintes premissas: 
 
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade. 
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico 
próximo do armazenamento dos dados originais. 
III- Realizar testes nas mídias que armazenam os backups para assegurar que os 
mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado 
para serem utilizados. 
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de 
backup e restore. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças I, II e III estão corretas. 
 b) As sentenças I e III estão corretas. 
 c) Somente a sentença I está correta. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_2%20aria-label=
 d) As senteças II e IV estão corretas. 
 
3. Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que 
possibilitem confiabilidade nos testes realizados nos ativos de sistemas de 
informação, garantindo que os processos, as atividades e os sistemas estejam em 
total segurança. Cabe ao auditor examinar os sistemas de informações que possuem 
falhas no controle da segurança, verificando os níveis com falhas e que estão 
associados com as aplicações organizacionais. Diante dessa afirmação, assinale a 
alternativa CORRETA que apresenta esta abordagem do auditor: 
 a) Abordagem de máquina e hardware. 
 b) Abordagem de manutenção do computador. 
 c) Abordagem ao redor do computador. 
 d) Abordagem de controles organizacionais. 
 
4. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada 
com relação à auditoria tradicional. As abordagens mais comuns são dependentes da 
sofisticação do sistema computadorizado e se classificam em abordagem ao redor do 
computador, através do computador e com o computador. Com relação às 
abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças 
a seguir: 
 
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso 
de tecnologia da informação. 
II- A abordagem ao redor do computador é apropriada para organizações e sistemas 
menores, em que a maior parte das atividades de rotina é executada manualmente. 
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor 
com relação a conhecimentos sobre processamento eletrônico de dados. 
IV- A abordagem através do computador é uma melhoria da abordagem com o 
computador. 
V- Na abordagem com o computador, é possível customizar programas específicos 
para serem usados na auditoria, de acordo com as necessidades específicas. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças I e IV estão corretas. 
 b) As sentenças II e III estão corretas. 
 c) As sentenças III e IV estão corretas. 
 d) As sentenças I, II e V estão corretas. 
 
5. Os administradores de sistemas, analistas e programadores sempre buscam evitar que 
imprevistos ocorram e que os sistemas, servidores e aplicações não tenham 
problemas de acesso. Para evitar esses problemas, as organizações desenvolvem 
estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. 
Alguns procedimentos devem ser realizados quando servidores, switchs e 
equipamentos de rede deixam de funcionar. Sobre esses procedimentos que devem 
ser adotados, assinale a alternativa CORRETA: 
 a) Servidores atualizados, substituição de equipamentos de rede. 
 b) Divulgação dos problemas de rede e conscientização dos funcionários. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_5%20aria-label=
 c) Manutenção periódica, backups e restauração das redes. 
 d) Treinamento dos programas incorporados e utilização de hardware. 
 
6. As ameaças aos processos significam que geralmente os invasores conseguem 
acessar todos os computadores, podem danificar os seus arquivos, o banco de dados, 
que na maioria das vezes não possuem backup e danificar todas as informações 
existentes da organização. O invasor tem a possibilidade e a habilidade de não deixar 
nenhum rastro, como endereços de Mac Address ou IP. Essa origem não identificada 
pode ameaçar o funcionamento de alguns serviços. Sobre esses serviços, classifique 
V para as opções verdadeiras e F para as falsas: 
 
( ) Tratamento e armazenamento. 
( ) Distribuição e transporte. 
( ) Servidores e clientes. 
( ) Hardware e descarte. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - V - F. 
 b) F - V - F - V. 
 c) V - V - F - F. 
 d) F - F - V - F. 
 
7. As ferramentas generalistas de auditoria são programas que podem ser utilizados 
pelo auditor para, entre outras funções, simular, analisar amostras, processar, gerar 
dados estatísticos, sumarizar, apontar duplicidade. Além disso, esses softwares têm 
como vantagens a capacidade de processar diversos arquivos ao mesmo tempo, além 
de poder processar vários tipos de arquivos em vários formatos. Existem diversos 
programas para essas finalidades, com base nesses sistemas, classifique V para as 
sentençasverdadeiras e F para as falsas: 
 
( ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e 
análise de dados. 
( ) Audit Command Language (ACL) é um software que auxilia auditores internos 
e externos na realização de testes em arquivos de dados. 
( ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de 
dados. 
( ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que 
desenvolve consultoria e dá suporte sobre o produto. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - V - F - V. 
 b) F - V - V - F. 
 c) F - F - V - V. 
 d) V - F - F - V. 
 
8. A gestão do risco representa uma das etapas mais importantes no estabelecimento de 
uma política de segurança de tecnologia da informação, possibilitando o 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_8%20aria-label=
estabelecimento de prioridades de segurança com base em fatores como 
probabilidade de ocorrência e impacto na organização. Com relação à gestão de 
riscos, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça 
se concretizar ou minimizam o grau de vulnerabilidade de determinado ativo. 
( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista 
em caso de mudança de algum recurso computacional de hardware ou software. 
( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência 
de um evento ou para tratá-lo após sua ocorrência deve considerar como um dos 
principais critérios a relação custo/benefício. Por via de regra, não se gasta um valor 
superior ao do ativo com medidas de segurança para o mesmo. 
( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: 
gravidade do impacto e probabilidade de ocorrência do incidente, representa um 
método qualitativo de avaliação de riscos. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - F - V - V. 
 b) F - V - F - V. 
 c) V - F - F - V. 
 d) V - F - V - F. 
 
9. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma 
planilha com os salários de todos os funcionários que estava armazenada em um 
computador (o servidor de arquivos) tenha sido acessada por usuários que não 
tinham autorização. Eles apenas visualizaram as informações contidas nesta planilha, 
mas não as modificaram. Neste caso, um princípio da segurança da informação 
comprometido com esse incidente. Sobre o exposto, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. 
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. 
( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. 
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao 
usuário devido. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - F - F - V. 
 b) F - F - V - V. 
 c) F - V - V - F. 
 d) V - V - F - F. 
 
10. A auditoria no desenvolvimento e na manutenção dos sistemas de informação é 
essencial e garante que qualquer alteração não torne todo o sistema ou a rede 
vulnerável e insegura. Esses processos de desenvolvimento e manutenção envolvem 
profissionais de TI que possuem conhecimento suficiente, para assegurar que as 
novas versões dos sistemas sejam seguras. Estes procedimentos devem atender 
especificamente às políticas de segurança e disponibilizar o pleno funcionamento do 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_9%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_10%20aria-label=
negócio da organização. É preciso implementar certos procedimentos de 
desenvolvimento, manutenção e documentação dos sistemas para garantir a 
segurança das tecnologias da informação. Sobre esses processos, classifique V para 
as sentenças verdadeiras e F para as falsas: 
 
( ) Capacitação, treinamentos e desenvolvimento dos usuários. 
( ) Conscientizar, implantar cursos e palestras para divulgar a segurança. 
( ) Aquisição, planejamento e manutenções preventivas. 
( ) Modificação, documentação e especificação dos programas. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - V. 
 b) F - V - F - F. 
 c) V - V - V - F. 
 d) V - F - F - V. 
 
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) III e IV. 
 b) I e II. 
 c) I, II e III. 
 d) II, III e IV. 
 
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTMwMw==&action2=R1RJMDg=&action3=NDU2Mjkx&action4=MjAxOS8y&action5=MjAxOS0wOS0yNFQwMzowMDowMC4wMDBa&prova=MTMwMjU3OTU=#questao_12%20aria-label=
 b) Plano de negócio de gerenciamento de projetos. 
 c) Plano de contingência. 
 d) Plano de negócio de gerência de riscos.