Questões resolvidas
A segurança da informação é a área de conhecimento humano que tem por finalidade planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover a devida proteção à informação, mas não somente isso: devem preservar seu valor.
No que se refere à definição de segurança da informação, é correto afirmar que:
A A segurança da informação pode ser traduzida do termo security da língua inglesa, que refere-se aos sistemas confiáveis, construídos para reagir perante as falhas do software, do hardware ou dos usuários.
B Intrusões, ataques, perda e roubo de informações são abordados pela segurança da informação, tradução do termo reliability, em inglês.
C A área do conhecimento humano designada como segurança da informação não abrange a utilização correta da informação, desde que essa informação seja adequada aos propósitos específicos para os quais se destina.
D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham impacto nas pessoas ou representem risco à vida referem-se às questões de segurança (em inglês, safety) abrangidos pela segurança da informação.
E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a segurança da informação implica em controlar a tecnologia da informação para estabelecer, implementar, monitorar, analisar criticamente e melhorar, quando necessário, os objetivos do negócio.
Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas.
Com relação a esses referenciais, pode-se afirmar que:
A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades.
B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos.
C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação.
D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações.
E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação.
Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas.
Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que:
I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas.
II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países.
III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro.
IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas.
A Somente as afirmações I e III são corretas.
B Somente as afirmações II e IV são corretas.
C Somente as afirmações III e IV são corretas.
D Somente as afirmações I e IV são corretas.
E Todas as afirmações são corretas.
Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação produzida, disponível e transportada ganhou tamanha proporção.
Avalie as afirmações sobre os conceitos de informação a seguir:
I – A informação é restrita a um conjunto de nomes, números, imagens e sons.
II – No mundo moderno a informação somente pode existir com o uso da tecnologia.
III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na separação entre a informação e os dados.
IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua utilidade e seu valor.
V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos.
A Somente as afirmações I e II estão corretas.
B Somente as afirmações II e IV estão corretas.
C Somente as afirmações III e IV estão corretas.
D Todas as afirmações são corretas.
E Nenhuma das afirmações é correta.
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, podem causar impactos indesejados em suas características.
Quanto à essas características pode-se afirmar que:
I – A confidencialidade refere-se à manutenção do valor e das características originais da informação.
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração durante o seu ciclo de vida.
III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer informação disponível não é confidencial.
IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligadas à segurança da informação, segundo alguns autores.
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio da Internet.
A Somente as afirmações I e II estão corretas.
B Somente as afirmações IV e V estão corretas.
C Somente as afirmações III e IV estão corretas.
D Todas as afirmações são corretas.
E Nenhuma das afirmações é correta.
A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos requisitados e devidamente concedidos.
Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com esse intuito.
A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza criptografia simétrica.
B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabilização de acessos para controlar os computadores que se conectarão e usarão um determinado serviço de rede.
C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego.
D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com navegadores e servidores web.
E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL.
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Entretanto alguns dispositivos desta infraestrutura têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão.
Avalie as afirmativas a seguir, referentes a estes dispositivos.
I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal firewall, combate ao spam, ao keylogging e ao pishing, entre outras.
II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança que impede a identificação de endereços da rede interna aos elementos da rede externa.
III - Os tipos de firewalls mais empregados podem ser classificados em filtros de pacotes, stateful inspection e application proxy gateway.
IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das redes – fronteiras ou bordas, e, dependendo da configuração, podem transformarem-se em gargalos para a comunicação.
A Somente as afirmacoes I, II e III são corretas.
B Somente as afirmações I, II e IV são corretas.
C Somente as afirmações I, III e IV são corretas.
D Somente as afirmações II, III e IV são corretas.
E Todas as afirmações são corretas.
A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se.
Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como (F)alsa ou (V)erdadeira.
( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão.
( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes ambientes.
( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos (NAT).
( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente desconhecido e inseguro.
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-V-F
A segurança da informação e dos sistemas que fazem uso da internet está ligada à segurança das redes – locais e de longa distância. Os diversos serviços colocados à disposição, entre eles o correio eletrônico - o e-mail, as redes sociais, os serviços de mensagem instantânea e os serviços de comércio eletrônico dependem da infraestrutura de rede e de seus recursos associados.
Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às redes e à Internet, classificando-as como (F)alsas ou (V)erdadeiras:
( F ) O IPSec ou IP Security tem como objetivo oferecer segurança para pacotes de dados na rede, provendo confidencialidade e autenticação no protocolo TCP.
(F ) O SSL / TLS são protocolos que oferecem segurança ponto-a-ponto para aplicações que necessitam segurança na camada de transporte de dados do protocolo IP.
(V ) Uma VPN oferece comunicação segura ponto a ponto por meio da internet, constituindo uma rede criptografada dentro da internet.
( V ) Uma das mais importantes funções de um firewall é aplicar as regras da política de segurança da organização, visando proteger e controlar o acesso a sistemas e informações.
A V-F-F-V
B F-V-V-F
C F-F-V-V
D F-V-V-V
E V-V-F-F
O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização.
O processo de identificação precisa ser completado com a verificação, com base em:
I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece.
II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática do solicitante.
III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, alguma coisa que o solicitante possui no momento da autorização.
IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação.
A Somente as afirmações I e III são corretas.
B Somente as afirmações II e IV são corretas.
C Somente as afirmações III e IV são corretas.
D Somente as afirmações I e IV são corretas.
E Todas as afirmações são corretas.
A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, passa necessariamente pela segurança do sistema operacional, um dos principais componentes de praticamente todo sistema computacional.
Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que:
A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o Windows na posição de sistema operacional mais seguro entre todos.
B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, tornou-o mais vulnerável que os demais sistemas operacionais.
C Sistemas operacionais proprietários e voltados para hardware específico geralmente contemplam características que reforçam a segurança da informação.
D Computadores de grande porte – os mainframes – geralmente voltados para operações recorrentes e de grande capacidade de processamento, apresentam mais problemas de segurança, devido ao alto volume e à complexidade das operações executadas.
E Os sistemas operacionais dos dispositivos móveis são mais confiáveis e seguros, uma vez que estes dispositivos necessitam de maior robustez e proteção, já que são atualmente os mais ameaçados.
Após a implantação do software é necessário manter a avaliação da segurança da informação do software. Além da função de suporte operacional, a continuidade da operação visa realimentar a base de conhecimento por meio do registro de ocorrências de segurança da informação pelas equipes de suporte.
Avalie as afirmativas sobre a segurança na operação e na manutenção dos sistemas, assinalando-as como (F)alsas ou (V)erdadeiras:
(V ) O registro de ocorrências serve para avaliar o comportamento do sistema e a efetividade das contramedidas, sinalizando sobre novas ameaças ou mudanças.
(F ) O registro de ocorrências por meio do próprio software deve ser encaminhado para a equipe de desenvolvimento e da segurança da informação, mesmo sem o consentimento do usuário, pois trata-se de um importante relato das ocorrências e exceções.
(V ) O relato de problemas por parte dos próprios usuários por meio de canais de atendimento, que permite identificar as particularidades das ocorrências e também novas ameaças.
(V ) O feedback dos usuários sobre o sistema pode ser obtido por meio da inclusão de uma funcionalidade de tratamento de erros que permita o registro da opinião e das considerações do usuário de forma anônima.
A F-F-F-V
B F-F-V-V
C V-V-F-F
D V-F-V-V
E V-F-F-V
A gestão de configuração (ou Configuration Management) e a gestão de mudanças (ou change management) são partes do processo da qualidade de software baseado em padrões que tem por objetivo manter o controle e a confiabilidade do software.
Sobre estes processos é correto afirmar que:
A A gestão de configuração limita-se à utilização de software que possibilite a rastreabilidade das alterações e ao controle de versão do sistema.
B Não faz parte do escopo de atividades da gestão de configuração o acompanhamento das mudanças, seja do ambiente, seja do próprio sistema, uma vez que isso compete a gestão de mudanças.
C Diferentemente da gestão de configuração, a gestão de mudanças é suportada por ferramentas de automação para o uso adequado e aderente aos padrões, como o IEEE 828-1983, a ISO 9000 e o CMMI, do SEI.
D A gestão de configuração é um processo que tem por finalidade reduzir o impacto das alterações e evoluções do software, uma vez que é sabido que estas intervenções tendem a gerar problemas, falhas e interrupções.
E A gestão de configuração e a gestão de mudança fazem parte do framework ITIL, e tem importância significativa na segurança da informação e dos sistemas, uma vez que atuam para a prevenção de falhas e na manutenção da qualidade do software.
A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos.
Com relação ao DRP – Disaster Recovery Plan, pode-se afirmar que:
I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do ambiente e da infraestrutura de tecnologia da informação.
II – A política de segurança da informação e a BIA – Business Impact Analysis são documentos necessários para elaboração do DRP.
III – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a segurança das informações e dos sistemas.
IV – Faz parte do DRP a decisão sobre a caracterização da gravidade do incidente e a ativação do regime de operação em contingência.
A Somente as afirmações I e II são corretas.
B Somente as afirmações I e III são corretas.
C Somente as afirmações II e IV são corretas.
D Somente as afirmações II, III e IV são corretas.
E Todas as afirmações são corretas.
Crise é uma ocorrência que impede ou dificulta que a organização atinja seus objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de crises é um plano ou conjunto de medidas estratégicas que, em situações de anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa ocorrência.
No que se refere à gestão de crises é correto afirmar que:
A Em situações de crise a tomada de decisões individuais e improvisadas dificulta o trabalho em equipe e colaborativo, podendo aumentar a crise e até mesmo colocar em risco a sobrevivência da organização, por isso deve ser evitada.
B A primeira providência perante a ocorrência que gera uma situação de crise deve ser fazer a declaração de desastre e ativar o BCP. Em seguida deve-se preservar as evidências da ocorrência que possibilitem identificar os culpados.
C A gestão de crise tem por objetivo ativar o procedimento operacional de contingência da organização, com o intuito de proteger seus empregados, o seu negócio, os seus ativos e a sua imagem.
D Durante a ocorrência de uma crise todos os envolvidos devem estar totalmente informados e preparados, sendo capazes de prover informações, especialmente para a mídia, pois isso reduz o impacto da crise na opinião pública.
E Como as situações de crise seguem um determinado padrão, as informações a respeito da situação devem ser fornecidas ao público em geral, em grande quantidade e o mais rapidamente possível, exceto para as autoridades e órgãos de segurança, os quais exigem formalidade.
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Prévia do material em texto
APOL 1 Questão 1/5 - Segurança em Sistemas de Informação A segurança da informação é a área de conhecimento humano que tem por finalidade planejar e operar processos, técnicas, ferramentas e mecanismos que possam prover a devida proteção à informação, mas não somente isso: devem preservar seu valor. No que se refere à definição de segurança da informação, é correto afirmar que: A A segurança da informação pode ser traduzida do termo security da língua inglesa, que refere-se aos sistemas confiáveis, construídos para reagir perante as falhas do software, do hardware ou dos usuários. B Intrusões, ataques, perda e roubo de informações são abordados pela segurança da informação, tradução do termo reliability, em inglês. C A área do conhecimento humano designada como segurança da informação não abrange a utilização correta da informação, desde que essa informação seja adequada aos propósitos específicos para os quais se destina. D Problemas causados aos negócios, ao meio ambiente, à infraestrutura ou até mesmo acidentes que tenham impacto nas pessoas ou representem risco à vida referem-se às questões de segurança (em inglês, safety) abrangidos pela segurança da informação. E De acordo com a norma ABNT NBR ISO/IEC 27002:2103 a segurança da informação implica em controlar a tecnologia da informação para estabelecer, implementar, monitorar, analisar criticamente e melhorar, quando necessário, os objetivos do negócio. Questão 2/5 - Segurança em Sistemas de Informação Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas. Com relação a esses referenciais, podemos considerar que: A O ITIL é um padrão para o gerenciamento de serviços e infraestrutura de TI e por isso auxilia na identificação de vulnerabilidades. B O COBIT tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI e por isso é importante para classificar os riscos. C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação. D As normas ISO são destinadas apenas à certificação e por isso empregadas apenas em organizações globais. E Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. Questão 3/5 - Segurança em Sistemas de Informação Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas. Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas. II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países. III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: A Somente as afirmações I e III são corretas. B Somente as afirmações II e IV são corretas. C Somente as afirmações III e IV são corretas. D Somente as afirmações I e IV são corretas. E Todas as afirmações são corretas. Questão 4/5 - Segurança em Sistemas de Informação Vivemos na Era da Informação e produzimos, armazenamos e movemos diariamente uma quantidade incalculável de informação. Apesar da quantidade de informação ter passado por um grande impulso, a partir da invenção da imprensa, por Gutemberg, foi a partir do final do século XVIII, com a invenção da fotografia, seguida do telégrafo – que inaugurou a era das telecomunicações – que a quantidade de informação produzida, disponível e transportada ganhou tamanha proporção. Avalie as afirmações sobre os conceitos de informação a seguir: I – A informação é restrita a um conjunto de nomes, números, imagens e sons. II – No mundo moderno a informação somente pode existir com o uso da tecnologia. III – Para a tecnologia da informação há uma diferenciação no conceito de informação, com base na separação entre a informação e os dados. IV - Dados ou informações têm um valor intrínseco, requerendo um tratamento pelo qual possam manter sua utilidade e seu valor. V – Os dados são os resultados da análise ou processamento que, mediante processos e regras definidas, tornam-se inteligíveis e utilizáveis pelos seres humanos. Assinale a única alternativa coerente com o conteúdo apresentado na disciplina: A Somente as afirmações I e II estão corretas. B Somente as afirmações II e IV estão corretas. C Somente as afirmações III e IV estão corretas. D Todas as afirmações são corretas. E Nenhuma das afirmações é correta. Questão 5/5 - Segurança em Sistemas de Informação Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em ocorrências, podem causar impactos indesejados em suas características. Quanto à essas características pode-se afirmar que: I – A confidencialidade refere-se à manutenção do valor e das características originais da informação. II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração durante o seu ciclo de vida. III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer informação disponível não é confidencial. IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligadas à segurança da informação, segundo alguns autores. V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio da Internet. Assinale a única alternativa que confere com o que foi apresentado na aula: A Somente as afirmações I e II estão corretas. B Somente as afirmações IV e V estão corretas. C Somente as afirmações III e IV estão corretas. D Todas as afirmações são corretas. E Nenhuma das afirmações é correta. APOL 2 Questão 1/5 - Segurança em Sistemas de Informação A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aosrecursos requisitados e devidamente concedidos. Assinale a única afirmação abaixo que representa a correta relação entre os serviços utilizados com esse intuito. A O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza criptografia simétrica. B O Kerberos é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabilização de acessos para controlar os computadores que se conectarão e usarão um determinado serviço de rede. C O HTTPS é uma combinação do HTTP com o SSL, utilizado para a navegação segura na internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. D O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com navegadores e servidores web. E O SSL é um protocolo de segurança simples e ágil que permite a conexão e logon remoto seguro. O HTTPS, por exemplo, é uma combinação do HTTP com o SSL. Questão 2/5 - Segurança em Sistemas de Informação A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Entretanto alguns dispositivos desta infraestrutura têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão. Avalie as afirmativas a seguir, referentes a estes dispositivos. I – Softwares antivírus podem incluir um conjunto de funcionalidades como personal firewall, combate ao spam, ao keylogging e ao pishing, entre outras. II - A tradução de endereços, principal função de um Proxy, é uma medida de segurança que impede a identificação de endereços da rede interna aos elementos da rede externa. III - Os tipos de firewalls mais empregados podem ser classificados em filtros de pacotes, stateful inspection e application proxy gateway. IV – Proxies, Firewalls e IDSs são geralmente instalados em pontos críticos das redes – fronteiras ou bordas, e, dependendo da configuração, podem transformarem-se em gargalos para a comunicação. Assinale a única alternativa que confere com o conteúdo que foi apresentado: A Somente as afirmações I, II e III são corretas. B Somente as afirmações I, II e IV são corretas. C Somente as afirmações I, III e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 3/5 - Segurança em Sistemas de Informação Para as TICs – Tecnologias da Informação e da Comunicação existem dois frameworks ou conjuntos de práticas voltadas para a governança e o ompliance: o ITIL e o COBIT. E as normas do grupo ABNT ISO/IEC 27000, que, uma vez observadas e colocadas em prática, colaboraram para atingir as metas de segurança da informação e de sistemas. Com relação a esses referenciais, pode-se afirmar que: A O COBIT é um padrão para o gerenciamento de serviços e infraestrutura de TI e, portanto, não auxilia na identificação de vulnerabilidades. B O ITIL tem por objetivo ajudar a conhecer e administrar os serviços e ativos de TI. Entretanto, por não incorporar qualquer atividade voltada para a análise e gestão de riscos, não serve para identificar e classificar os riscos. C O ITIL é fundamental para a gestão dos processos de TI, isto é, do conjunto de serviços que a área de TI fornece, porém não tem qualquer influência na segurança da informação. D Ambos, ITIL e COBIT, são geralmente utilizados apenas para a elaboração da Política de Segurança da Informação de grandes organizações. E As normas ISO são importantes referenciais para a segurança da informação e dos sistemas, e também são guias e modelos que possibilitam a avaliação e a certificação de empresa, processos e profissionais quanto à segurança da informação. Questão 4/5 - Segurança em Sistemas de Informação A infraestrutura de segurança da informação está diretamente ligada à infraestrutura que suporta a informação em si, quer sejam os computadores e os componentes das redes de computadores, e determinadas funções destes dispositivos acabam mesclando-se. Avalie as afirmações a seguir, relativas à infraestrutura da segurança, assinalando cada uma delas como (F)alsa ou (V)erdadeira. ( ) Alguns dispositivos da infraestrutura de segurança da informação têm funções claramente definidas, como os proxies, os firewalls e os detectores de intrusão. ( ) É função de um Proxy monitorar o uso dos recursos para identificar e inibir ações indesejadas ou danosas à informação e aos sistemas, combatendo as ameaças e reduzindo a vulnerabilidade destes ambientes. ( ) Os IDS funcionam como intermediários entre usuários de uma rede interna e outra externa – normalmente a internet, executando operações de autenticação e identificação, filtragem de informações, log de acessos e tradução de endereços internos para externos (NAT). ( ) Os firewalls atuam entre a rede de computadores interna da organização - geralmente considerada como um ambiente conhecido e seguro – e a rede externa, geralmente considerada como um ambiente desconhecido e inseguro. Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula: A V-F-F-V B F-V-V-F C F-F-V-V D F-V-V-V E V-V-V-F Questão 5/5 - Segurança em Sistemas de Informação O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização. O processo de identificação precisa ser completado com a verificação, com base em: I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. II – Um token, cartão, chave física ou criptográfica, que se refere à biometria estática do solicitante. III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, alguma coisa que o solicitante possui no momento da autorização. IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: A Somente as afirmações I e III são corretas. B Somente as afirmações II e IV são corretas. C Somente as afirmações III e IV são corretas. D Somente as afirmações I e IV são corretas. E Todas as afirmações são corretas. APOL 3 Questão 1/5 - Segurança em Sistemas de Informação Um Sistema Gerenciador de Banco de Dados tem por objetivo possibilitar o armazenamento, a recuperação e a modificação da maneira mais rápida possível, além de preservar estes dados de maneira confiável e segura. A segurança das informações em um banco de dados é obtida por intermédio de mecanismos, componentes e operações, entre as quais: I - Controle de acesso e permissões, registro de atividades e histórico de modificações. II - Preservação por meio de cópias de segurança – os backups e redundância. III – O armazenamento dos dados em nuvem - o cloud computing – devido à sua capacidade quase inesgotável de processamento e armazenagem. IV – O uso de outros serviços vinculados aos bancos de dados, como o Data Warehouse- DW, o Business Inteligence – BI e o Big Data. Assinale a única alternativa que está de acordo com o conteúdo que foi apresentado: A Somente as afirmações I e II são corretas. B Somente as afirmações II e III são corretas. C Somente as afirmações II e IV são corretas. D Somente as afirmações III e IV são corretas. E Somente a afirmação IV é correta. Questão 2/5 - Segurança em Sistemas de Informação A segurançada informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, passa necessariamente pela segurança do sistema operacional, um dos principais componentes de praticamente todo sistema computacional. Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que: A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o Windows na posição de sistema operacional mais seguro entre todos. B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, tornou-o mais vulnerável que os demais sistemas operacionais. C Sistemas operacionais proprietários e voltados para hardware específico geralmente contemplam características que reforçam a segurança da informação. D Computadores de grande porte – os mainframes – geralmente voltados para operações recorrentes e de grande capacidade de processamento, apresentam mais problemas de segurança, devido ao alto volume e à complexidade das operações executadas. E Os sistemas operacionais dos dispositivos móveis são mais confiáveis e seguros, uma vez que estes dispositivos necessitam de maior robustez e proteção, já que são atualmente os mais ameaçados. Questão 3/5 - Segurança em Sistemas de Informação A segurança na rede começa com o processo de identificação e autorização, que provê o controle de acesso à rede. Neste processo é necessário que o requisitante de acesso (AR) seja submetido à um serviço de aplicação de políticas de segurança, que determina o tipo de acesso a ser concedido. Uma vez estabelecido o conjunto de regras a ser aplicado ao acesso, um outro serviço irá prover o acesso e o controle aos recursos requisitados e devidamente concedidos. Analise as afirmativas a seguir, relativas aos serviços utilizados com esse intuito. I - O Radius - Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede destinado a centralizar os serviços de autenticação, autorização e contabilização de acessos para controlar os computadores que se conectarão e usarão um determinado serviço de rede. II - O Kerberos é um protocolo de rede criado pelo MIT para a comunicação individual segura e devidamente identificada que utiliza criptografia simétrica. III - O HTTPS é uma combinação do HTTP com o SSH, utilizado para a navegação segura na internet que inclui a autenticação e identificação do requisitante e a criptografia do tráfego. IV - O SSH é um conjunto de serviços de comunicação criptográfica que opera sobre redes TCP, de forma especial para a comunicação na web, em conjunto com navegadores e servidores web. Assinale a única alternativa que contempla a avaliação correta das afirmativas apresentadas: A Somente as afirmações I e II são corretas. B Somente as afirmações I, II e IV são corretas. C Somente as afirmações II, III e IV são corretas. D Somente as afirmações III e IV são corretas. E Todas as afirmações são corretas. Questão 4/5 - Segurança em Sistemas de Informação A segurança da informação e dos sistemas que fazem uso da internet está ligada à segurança das redes – locais e de longa distância. Os diversos serviços colocados à disposição, entre eles o correio eletrônico - o e-mail, as redes sociais, os serviços de mensagem instantânea e os serviços de comércio eletrônico dependem da infraestrutura de rede e de seus recursos associados. Analise as afirmativas abaixo, sobre os recursos de segurança aplicáveis às redes e à Internet, classificando-as como (F)alsas ou (V)erdadeiras: ( F ) O IPSec ou IP Security tem como objetivo oferecer segurança para pacotes de dados na rede, provendo confidencialidade e autenticação no protocolo TCP. (F ) O SSL / TLS são protocolos que oferecem segurança ponto-a-ponto para aplicações que necessitam segurança na camada de transporte de dados do protocolo IP. (V ) Uma VPN oferece comunicação segura ponto a ponto por meio da internet, constituindo uma rede criptografada dentro da internet. ( V ) Uma das mais importantes funções de um firewall é aplicar as regras da política de segurança da organização, visando proteger e controlar o acesso a sistemas e informações. Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula: A V-F-F-V B F-V-V-F C F-F-V-V D F-V-V-V E V-V-F-F Questão 5/5 - Segurança em Sistemas de Informação O processo de identidade e autorização é parte importante da proteção, especialmente no que diz respeito à autenticação do usuário remoto – aquele que pleiteia o acesso à rede, aos recursos computacionais e à informação estando fora do perímetro de segurança da organização. O processo de identificação precisa ser completado com a verificação, com base em: I – Identificação e senhas, ou algo que o solicitante da autorização sabe ou conhece. II – Um token, cartão, chave física ou criptográfica, alguma coisa que o solicitante possui no momento da autorização. III – Informações biométricas como a impressão digital ou o mapa da íris, ou seja, que se refere à biometria estática do solicitante. IV - Algo que o indivíduo é capaz de fazer – a biometria dinâmica, como o padrão de voz, caligrafia e taxa de digitação. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: A Somente as afirmações I e III são corretas. B Somente as afirmações II e IV são corretas. C Somente as afirmações III e IV são corretas. D Somente as afirmações I e IV são corretas. E Todas as afirmações são corretas. APOL 4 Questão 1/5 - Segurança em Sistemas de Informação Os sistemas operacionais para ambientes de computação móvel são especialmente importantes para a segurança da informação nestes ambientes, uma vez que são profundamente adaptados aos recursos computacionais e à infraestrutura de serviços e funcionalidades específicas do ambiente e dos equipamentos. Quanto a estes ambientes, é correto afirmar que: A O Windows Phone, apesar dos avanços, ainda apresenta problemas como a autenticação do usuário, as permissões requeridas pelas aplicações e o tratamento de informações entre aplicações multitarefas. B A arquitetura do iOS apresenta características diferenciadas de segurança, que provê APIs de segurança na camada Core Services e a evolução dos security services. C O Google Android é um sistema operacional de código parcialmente aberto, pois algumas de suas interfaces são proprietárias, além de ter sido o primeiro SO para sistemas de computação móvel com interface gráfica, o que traz problemas para a segurança da informação. D A arquitetura específica do Android dificultou os ataques por algum tempo, porém este sistema operacional do consórcio entre as fabricantes Nokia, Sony Ericsson e a operadora NTT DoCoMo acabou sendo vítima do primeiro ataque por um worm – o Cabir – registrado em 2004. E Todos os sistemas operacionais dos dispositivos móveis são confiáveis e seguros, pois tem uma arquitetura robusta desenvolvida com base no sistema operacional Unix, exceto o Android. Questão 2/5 - Segurança em Sistemas de Informação A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A regra é retomar a normalidade o quanto antes e com o menor prejuízo possível. Com relação ao DRP – Disaster Recovery Plan, pode-se afirmar que: I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do ambiente e da infraestrutura de tecnologia da informação. II – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a segurança das informações e dos sistemas. III – A política de segurança da informação e a BIA – Business Impact Analysis são fundamentaispara a elaboração do DRP. IV – Faz parte do DRP a decisão sobre a caraterização da gravidade do incidente e a ativação do regime de operação em contingência. Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: A Somente as afirmações I e II são corretas. B Somente as afirmações I e III são corretas. C Somente as afirmações I, II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 3/5 - Segurança em Sistemas de Informação A GCN - Gestão da Continuidade dos Negócios é um processo diretamente relacionado com a segurança da informação e dos sistemas. Seu objetivo é evitar a interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas informações vitais para a preservação da organização e de seus negócios. Para isso, a GCN contempla os seguintes aspectos: I - Resposta a incidentes. II - A gestão de crises. III - O regime de contingência. IV - A recuperação de desastres. Avalie as afirmações a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: A Somente as afirmações I e II são corretas. B Somente as afirmações I, II e III são corretas. C Somente as afirmações I, II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 4/5 - Segurança em Sistemas de Informação A segurança da informação, entendida em um aspecto amplo, no qual impõe-se como condição a proteção de todos os recursos computacionais voltados para o provimento de serviços e, portanto, de informação, passa necessariamente pela segurança do sistema operacional, um dos principais componentes de praticamente todo sistema computacional. Quanto às características dos sistemas operacionais mais comuns, é correto afirmar que: A A iniciativa Microsoft TWC – TrustWorthy Computing, iniciada em 2002 colocou o Windows na posição de sistema operacional mais seguro entre todos. B O uso compartilhado de recursos, funcionalidade original do sistema operacional UNIX, tornou-o mais vulnerável que os demais sistemas operacionais. C Sistemas operacionais proprietários e voltados para hardware específico são geralmente mais vulneráveis devido à sua grande utilização e baixa velocidade de resposta às ameaças. D Computadores de grande porte – os mainframes – geralmente voltados para operações recorrentes e de grande capacidade de processamento, apresentam mais problemas de segurança, devido ao alto volume e à complexidade das operações executadas. E Os sistemas operacionais dos dispositivos móveis são mais vulneráveis, pois estes dispositivos são limitados em suas capacidades e, ao mesmo tempo, apresentam recursos, facilidades e opções de uso que aumentam as vulnerabilidades. Questão 5/5 - Segurança em Sistemas de Informação O Plano de Continuidade dos Negócios - PCN ou BCP - Business Continuity Plan é um documento ou conjunto de documentos que estabelece as estratégias e planos de ação para o enfrentamento de situações de emergência que afetem a operação normal da organização. Do ponto de vista da segurança da informação e dos sistemas o PCN aborda os sistemas críticos e seus componentes, além dos processos de negócio dos quais fazem parte. Analise as afirmações a seguir, relativas ao PCN, identificando-as como (F)alsas ou (V)erdadeiras: (V ) O objetivo do PCN é assegurar a continuidade das operações da organização após a ocorrência de um incidente, mantendo os seus negócios em funcionamento. ( F ) A elaboração e atualização do PNC é atribuição exclusiva da área de Tecnologia da Informação, devido a seu conhecimento dos processos críticos do negócio. ( F ) O procedimento operacional de contingência é ativado pelo modelo PDCA – Plan, Do, Check, Act. (V ) A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos negócios, e avança com a definição de estratégias de abordagem e elaboração dos planos de ação. Assinale a única alternativa que corresponde à classificação correta das afirmativas, de acordo com o conteúdo apresentado no material e em aula: A V-F-F-V B F-V-V-F C F-F-V-V D F-V-F-V E V-V-F-F APOL 5 Questão 1/5 - Segurança em Sistemas de Informação A análise de impacto nos negócios ou BIA – Business Impact Analysis - é uma ferramenta essencial para a gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto as possibilidades de incidentes que possam interrompê-los. No que se refere à BIA é correto afirmar que: I – A BIA serve para identificar todas as ameaças às quais os sistemas e as informações estão sujeitas e que demandam um tratamento preventivo. Por isso os dois insumos básicos da BIA são os relatórios de BCP – Business Continuity Plan e a análise de riscos. II – A avaliação de possíveis perdas ou interrupções da capacidade produtiva da organização é suportada pelo BPM – Business Process Management ou gerenciamento dos processos de negócio. III - A BIA é apoiada nas normas ISO/IEC 27005 e ISO/IEC 22301 e visa principalmente manter a confidencialidade da informação. IV - Riscos de negócios, para a BIA, referem-se à possibilidade de perda de recursos requeridos para a entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, fornecedores e tecnologia. Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em aula: A Somente as afirmações I e II são corretas. B Somente as afirmações I, II e III são corretas. C Somente as afirmações II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 2/5 - Segurança em Sistemas de Informação Após a implantação do software é necessário manter a avaliação da segurança da informação do software. Além da função de suporte operacional, a continuidade da operação visa realimentar a base de conhecimento por meio do registro de ocorrências de segurança da informação pelas equipes de suporte. Avalie as afirmativas sobre a segurança na operação e na manutenção dos sistemas, assinalando-as como (F)alsas ou (V)erdadeiras: (V ) O registro de ocorrências serve para avaliar o comportamento do sistema e a efetividade das contramedidas, sinalizando sobre novas ameaças ou mudanças. ( F ) O registro de ocorrências por meio do próprio software deve ser encaminhado para a equipe de desenvolvimento e da segurança da informação, mesmo sem o consentimento do usuário, pois trata-se de um importante relato das ocorrências e exceções. ( V ) O relato de problemas por parte dos próprios usuários por meio de canais de atendimento, que permite identificar as particularidades das ocorrências e também novas ameaças. ( V ) O feedback dos usuários sobre o sistema pode ser obtido por meio da inclusão de uma funcionalidade de tratamento de erros que permita o registro da opinião e das considerações do usuário de forma anônima. Assinale a alternativa que corresponde à correta classificação das afirmações. A F-F-F-V B F-F-V-V C V-V-F-F D V-F-V-V E V-F-F-V Questão 3/5 - Segurança em Sistemas de Informação A gestão de configuração (ou Configuration Management) e a gestão de mudanças (ou change management ) são partes do processo da qualidade de software baseado em padrões que tem por objetivo manter o controle e a confiabilidade do software. Sobre estes processos é correto afirmar que: A A gestão de configuração limita-se à utilização de software que possibilite a rastreabilidade das alterações e ao controle de versão do sistema. B Não faz parte do escopo de atividades da gestão de configuração o acompanhamento das mudanças, seja do ambiente, seja do próprio sistema, uma vez que isso compete a gestão de mudanças. C Diferentemente da gestão de configuração, a gestão de mudanças é suportada porferramentas de automação para o uso adequado e aderente aos padrões, como o IEEE 828-1983, a ISO 9000 e o CMMI, do SEI. D A gestão de configuração é um processo que tem por finalidade reduzir o impacto das alterações e evoluções do software, uma vez que é sabido que estas intervenções tendem a gerar problemas, falhas e interrupções. E A gestão de configuração e a gestão de mudança fazem parte do framework ITIL, e tem importância significativa na segurança da informação e dos sistemas, uma vez que atuam para a prevenção de falhas e na manutenção da qualidade do software. Questão 4/5 - Segurança em Sistemas de Informação A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A regra é retomar a normalidade o quanto antes e com o menor prejuízo possível. Com relação ao DRP – Disaster Recovery Plan, pode-se afirmar que: I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do ambiente e da infraestrutura de tecnologia da informação. II – A política de segurança da informação e a BIA – Business Impact Analysis são documentos necessários para elaboração do DRP. III – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a segurança das informações e dos sistemas. IV – Faz parte do DRP a decisão sobre a caracterização da gravidade do incidente e a ativação do regime de operação em contingência. Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: A Somente as afirmações I e II são corretas. B Somente as afirmações I e III são corretas. C Somente as afirmações II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 5/5 - Segurança em Sistemas de Informação Crise é uma ocorrência que impede ou dificulta que a organização atinja seus objetivos, colocando em risco sua reputação e até mesmo sua existência. A gestão de crises é um plano ou conjunto de medidas estratégicas que, em situações de anormalidade e alto risco, visa coordenar as ações imediatas de resposta à essa ocorrência. No que se refere à gestão de crises é correto afirmar que: A Em situações de crise a tomada de decisões individuais e improvisadas dificulta o trabalho em equipe e colaborativo, podendo aumentar a crise e até mesmo colocar em risco a sobrevivência da organização, por isso deve ser evitada. B A primeira providência perante a ocorrência que gera uma situação de crise deve ser fazer a declaração de desastre e ativar o BCP. Em seguida deve-se preservar as evidências da ocorrência que possibilitem identificar os culpados. C A gestão de crise tem por objetivo ativar o procedimento operacional de contingência da organização, com o intuito de proteger seus empregados, o seu negócio, os seus ativos e a sua imagem. D Durante a ocorrência de uma crise todos os envolvidos devem estar totalmente informados e preparados, sendo capazes de prover informações, especialmente para a mídia, pois isso reduz o impacto da crise na opinião pública. E Como as situações de crise seguem um determinado padrão, as informações a respeito da situação devem ser fornecidas ao público em geral, em grande quantidade e o mais rapidamente possível, exceto para as autoridades e órgãos de segurança, os quais exigem formalidade.
Mais conteúdos dessa disciplina
1AB0AA47-5059-4894-9CD2-EB9D575230D8- Segurança da Informação em Sistemas Críticos
- Segurança em Sistemas Proprietários
- Protocolos de Segurança em Sistemas
- Mapa Mental - ITIL 4 Foundation
- Controle de Navegação Segura
- 06 sistemas instrumentados de segurança
- Proxies e Firewalls na Segurança
- Acompanhamento de Métricas de Incidentes
- Controle de Navegação Segura
- Segurança em Sistemas de TI
- Como o DNP3 se compara ao Modbus em termos de protocolo?
a) Menos seguro
b) Mais seguro e confiável (X)
c) Idêntico
- O que se espera das organizações frente às novas ameaças cibernéticas?
a) Paralisação
b) Adaptação constante (X)
c) Ignorar as ameaças
- O que influencia a implementação de melhores práticas em segurança?
a) Interesse financeiro
b) Exigências de mercado (X)
c) Necessidade de inovação
- Como a cultura organizacional impacta a segurança cibernética?
a) Não tem relevância
b) Fundamental para conscientização (X)
c) Apenas um benefício...
- O que caracteriza a evolução dos protocolos de comunicação na indústria?
a) Conformidade com normas
b) Maior segurança (X)
c) Maior simplicidade
- Qual é uma consequência negativa do aumento da interconexão dos dispositivos?
a) Menor superfície de ataque
b) Maior vulnerabilidade a ciberataques...
- Qual aspecto da segurança deve ser uma prioridade para as empresas?
a) Manter baixo custo
b) Um aspecto cultural (X)
c) Ignorar treinamentos
- O protocolo Modbus se destaca por seu que?
a) Alto nível de segurança
b) Simplicidade de integração (X)
c) Complexidade
- Qual a importância da formação de profissionais em segurança cibernética?
a) Não é importante
b) Ajuda a prevenir riscos (X)
c) Apenas para pessoas...
- Quais tecnologias podem ajudar a mitigar o risco de ciberataques?
a) Tecnologias obsoletas
b) Novas tecnologias de segurança (X)
c) Falta de tecnol...
- Quais são as principais vantagens do DNP3?
a) Baixa confiabilidade
b) Alta velocidade
c) Segurança e confiabilidade (X)
- O OPC UA é ideal para sistemas que exigem que tipo de medida?
a) Baixa segurança
b) Altos níveis de segurança (X)
c) Nenhuma medida de segurança
- O que se entende por 'defesa em profundidade'?
a) Uso de um único firewall
b) Múltiplas camadas de segurança (X)
c) Uma abordagem passiva
- Avaliação I - Individual FLEX ( Cod 513003)INF14
- Lista 01 - 2018