Segurança em tecnologia da informação - Avaliação Final (Objetiva) 2020

Prévia do material em texto

1.
	O auditor que atua com os sistemas de informação possui a formação como qualquer outro auditor, o que diferencia as funções são as ferramentas tecnológicas utilizadas para auditar os equipamentos e os sistemas de informação. O principal controle da auditoria está em controles internos, verificar e analisar se os controles internos estão implementados de forma correta. A auditoria possui alguns princípios e objetivos que o tornam mais competitivos. Sobre esses princípios, análise as seguintes opções:
I- Níveis de riscos reduzidos e melhor eficiência com custos reduzidos.
II- Serviços automatizados, com qualidade e reconhecidos no mercado.
III- Disponibilizar serviços lógicos, físicos e auditar os registros de cálculos.
IV- Utilização de variáveis estatísticas e matemáticas nas amostras encontradas.
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a opção IV está correta.
	 b)
	Somente a opção III está correta.
	 c)
	As opções II e IV estão corretas.
	 d)
	As opções I e II estão corretas.
	2.
	A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Verificar se os ativos estão preservados adequadamente.
(    ) Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios financeiros nele produzidos.
(    ) Verificar se os recursos estão sendo empregados em função da análise de custo e benefício.
(    ) Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo inutilizado.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019.
	 a)
	V - V - V - F.
	 b)
	V - F - F - F.
	 c)
	F - V - V - V.
	 d)
	F - F - V - F.
	3.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas:
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	As afirmativas II e III estão corretas.
	 b)
	As afirmativas I e II estão corretas.
	 c)
	As afirmativas I e III estão corretas.
	 d)
	Somente a afirmativa II está correta.
	4.
	As ameaças aos processos significam que geralmente os invasores conseguem acessar todos os computadores, podem danificar os seus arquivos, o banco de dados, que na maioria das vezes não possuem backup e danificar todas as informações existentes da organização. O invasor tem a possibilidade e a habilidade de não deixar nenhum rastro, como endereços de Mac Address ou IP. Essa origem não identificada pode ameaçar o funcionamento de alguns serviços. Sobre esses serviços, classifique V para as opções verdadeiras e F para as falsas:
(    ) Tratamento e armazenamento.
(    ) Distribuição e transporte.
(    ) Servidores e clientes.
(    ) Hardware e descarte.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - F - F.
	 b)
	F - V - F - V.
	 c)
	F - V - V - F.
	 d)
	F - F - V - F.
	5.
	O plano de contingência deve ser parte da política de segurança de uma organização, complementando assim, o planejamento estratégico desta. Neste documento são especificados procedimentos preestabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser verificados. Sobre esses itens, analise as sentenças a seguir:
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil recuperação.
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram eventualidades.
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, confidencialidade e disponibilidade.
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há necessidade de relatórios gerenciais.
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a sentença II está correta.
	 b)
	As sentenças I, III e IV estão corretas.
	 c)
	As sentenças II, III e IV estão corretas.
	 d)
	As sentenças I, II e III estão corretas.
	6.
	A segurança da informação envolve toda a estrutura de uma organização, como, por exemplo, as informações lógicas, como a base de dados, arquivos, mídias e informações. Estas estruturas precisam ser asseguradas. Alguns componentes da tecnologia da informação são essenciais, como aqueles que disponibilizam serviços íntegros e funcionais; toda a infraestrutura, como hardware e software, deve ser estável; a segurança com o vazamento de informações; e sistemas que sejam desenvolvidos de forma planejada e segura. A segurança da informação deve preocupar-se com quatro razões principais. Sobre essas razões, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Instalação e divulgação dos dados e sistemas sensíveis.
(    ) Dependência e segurança da tecnologia da informação.
(    ) Manutenibilidade e acesso aos recursos de espionagem.
(    ) Vulnerabilidade da infraestrutura e dos dados armazenados.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - F.
	 b)
	V - F - F - V.
	 c)
	F - V - F - V.
	 d)
	V - V - F - F.
	7.
	Um dos contextos a serem considerados na elaboração de uma política de segurança de tecnologia da informação é a segurança lógica. A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. Com base no exposto, analise as sentenças a seguir:
I- A administração da segurança pode ser definida tanto de forma centralizada quanto descentralizada, dependendo das características particulares do ambiente onde a segurança será implementada.
II- A etapa de inventário é amais trabalhosa na implantação da segurança, consistindo no levantamento dos usuários e recursos com o objetivo de determinar se as responsabilidades e perfis utilizados atualmente nos sistemas computacionais estão de acordo com as reais necessidades da organização.
III- O estabelecimento de um perímetro de segurança físico totalmente isolado e, portanto, protegido de ameaças externas representa um desafio, principalmente devido à dificuldade em se identificar todas as vulnerabilidades que as redes de computadores são suscetíveis.
Assinale a alternativa CORRETA:
	 a)
	As sentenças II e III estão corretas.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças I e III estão corretas.
	 d)
	Somente a sentença III está correta.
	8.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
	 a)
	Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
	 b)
	A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
	 c)
	Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
	 d)
	Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
	9.
	O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em conformidade com estes planos:
	 a)
	A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados.
	 b)
	Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é o seu alto custo.
	 c)
	O PCN visa a prover meios da continuidade operacional.
	 d)
	Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem indisponíveis recursos que possibilitam seu uso.
	10.
	Para avaliar se os controles de segurança da informação são eficazes e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos e diversas outras funções que o auditor pode desejar. Com base nesses softwares generalistas, analise as sentenças a seguir:
I- Galileo: é um software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna.
II- Pentana: software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklist e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação.
III- Audition: é um software para extração e análise de dados, desenvolvido no Canadá
IV- Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças I, III e IV estão corretas.
	 b)
	Somente a sentença II está correta.
	 c)
	As sentenças II, III e IV estão corretas.
	 d)
	As sentenças I, II e IV estão corretas.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	I e II.
	 b)
	II, III e IV.
	 c)
	I, II e III.
	 d)
	III e IV.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerenciamento de projetos.
	 b)
	Plano de negócio de gerência de riscos.
	 c)
	Plano de contingência.
	 d)
	Plano de negócio.