Segurança em tecnologia da informação III

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( 
peso.:3,00) 
Prova: 17522039 
Nota da 
Prova: 
9,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e à operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação aos itens que devem ser observados na segurança ambiental das 
informações, analise as afirmativas a seguir: 
 
I- Para-raios e iluminação de emergência devem ser observados no projeto de uma 
instalação elétrica. 
II- Fontes de energias alternativas, como no-breaks e geradores, são importantes para 
empresas que possuem aplicações on-line. 
III- Com relação à energia alternativa para a segurança da informação, temos: 
sistema short break, sistema motor/alternador - síncrono, sistema elétrico 
ininterrupto de corrente alternada. 
IV- A escolha da localização não é uma medida que precise de atenção, uma vez 
respeitado o acesso devido e restrito à informação. 
 
Assinale a alternativa CORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2018. 
 a) As afirmativas II, III e IV estão corretas. 
 b) As afirmativas I, II e III estão corretas. 
 c) As afirmativas I e IV estão corretas. 
 d) Somente a afirmativa IV está correta. 
 
2. Por hipótese, considere que, durante um processo de auditoria interna em uma 
empresa, foi encontrada uma documentação sobre registros de verbas de campanha 
publicitária com clara identificação de perda de parte do material. Essa constatação 
fere qual princípio da segurança da informação? 
 a) Confidencialidade. 
 b) Disponibilidade. 
 c) Irretratabilidade. 
 d) Integridade. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_2%20aria-label=
 
3. A documentação de um sistema em desenvolvimento é um conjunto de artefatos que 
descrevem a sua aplicação, construção e funcionamento, sendo que cada momento 
do processo de desenvolvimento possui artefatos com características específicas e 
voltados para profissionais com habilidades específicas. Com base neste pressuposto, 
analise as afirmativas a seguir: 
 
I- A documentação utilizada para desenvolver um sistema, embora importante para 
os profissionais de desenvolvimento, não é relevante para os auditores, uma vez que 
estes terão acesso irrestrito ao software pronto. 
II- A documentação do usuário descreve de que forma este deve usar o sistema, 
informando procedimentos para entrada de dados e posterior correção, bem como o 
uso de relatórios. 
III- Em uma empresa de desenvolvimento de software, o acesso à documentação 
deve ser objeto de auditoria, visando a garantir a integridade dos artefatos gerados. 
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve 
de que forma o usuário deve operar o sistema, informando procedimentos para 
entrada de dados e posterior correção, bem como o uso de relatórios. 
 
Agora, assinale a alternativa CORRETA: 
 a) As afirmativas I, II e III estão corretas. 
 b) As afirmativas I, III e IV estão corretas. 
 c) As afirmativas I e IV estão corretas. 
 d) As afirmativas II e III estão corretas. 
 
4. As ameaças aos processos significam que geralmente os invasores conseguem 
acessar todos os computadores, podem danificar os seus arquivos, o banco de dados, 
que na maioria das vezes não possuem backup e danificar todas as informações 
existentes da organização. O invasor tem a possibilidade e a habilidade de não deixar 
nenhum rastro, como endereços de Mac Address ou IP. Essa origem não identificada 
pode ameaçar o funcionamento de alguns serviços. Sobre esses serviços, classifique 
V para as opções verdadeiras e F para as falsas: 
 
( ) Tratamento e armazenamento. 
( ) Distribuição e transporte. 
( ) Servidores e clientes. 
( ) Hardware e descarte. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - V - F. 
 b) F - F - V - F. 
 c) V - V - F - F. 
 d) F - V - F - V. 
 
5. Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. 
Apresenta uma estrutura estratégica e operativa que ajudará a controlar uma situação 
de emergência e a minimizar as suas consequências negativas. O plano de 
contingência propõe uma série de procedimentos alternativos ao funcionamento 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_5%20aria-label=
normal de uma organização, sempre que alguma das suas funções usuais se vê 
prejudicada por uma contingência interna ou externa. Com base na avaliação do 
plano de contingência, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Os planos devem ser específicos para cobrir apenas os aspectos lógicos, os 
demais aspectos não são considerados no plano de contingência. 
( ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e 
sejam de fácil recuperação. 
( ) Os planos de contingências são apenas teóricos, não havendo necessidade de 
testes ou revisões periódicas. 
( ) O acompanhamento dos procedimentos pode ser facilitado através de relatórios 
de produção. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) V - F - V - F. 
 b) F - V - F - F. 
 c) V - V - V - F. 
 d) F - V - F - V. 
 
6. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes 
de determinar se algo funcionou, primeiramente será preciso definir como se 
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento 
onde você avalia todos os componentes de seu sistema e determina como cada um 
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha 
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para 
garantir a qualidade do sistema de gestão da segurança da informação, utilizamos 
normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da 
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de 
facilitar o gerenciamento do projeto de Segurança da Informação. 
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo 
o mundo passaram a investir muito mais em segurança da informação, muitas vezes 
sem orientação.Devido a sua notoriedade, a norma ISO 17799 passou a ser 
referenciada como sinônimo de segurança da informação. 
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é 
necessária a adoção de todos, além disso, é necessária a integração de outros padrões 
e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá 
apresentar algumas características para ser aprovada pelos colaboradores, divulgada 
e publicada de forma ampla para todos da direção e, por último, a criação do comitê 
de segurança. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_6%20aria-label=
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de 
Janeiro: LTC, 2014. 
 a) V - F - F - F. 
 b) F - V - V - V. 
 c) F - F - F - V. 
 d) V - V - V - F. 
 
7. A rotina da geração das cópias de segurança em ambiente de informação é um ponto 
muito importante e que deve ser amplamente planejado. A frequência com que estas 
cópias serão geradas, normalmente, pode seguir a frequência com que as 
informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de 
um sistema de informação de uma organização recebe atualizações constantes e 
diárias, também diária deverá ser a geração das cópias de segurança. Entretanto, tão 
importante quanto gerar as cópias de segurança é poder utilizá-las para a pronta 
restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, 
com o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração 
das cópias de segurança, classifique V para as sentenças verdadeiras e F para as 
falsas: 
 
( ) Nos testes deve ser verificada a integridade da informação armazenada. 
( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos. 
( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da 
equipe. 
( ) Nos testes, mesmo que tenha sido identificado algum procedimento 
desatualizado ou ineficaz, o mais importante é que a cópia seja gerada. 
( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a 
solução será fazer novas cópias. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - V - F. 
 b) V - V - V - F - F. 
 c) F - F - V - F - F. 
 d) V - F - V - V - V. 
 
8. A auditoria em ambiente de tecnologia de informação não muda a formação exigida 
para a profissão de auditor, apenas percebe que as informações até então disponíveis 
em forma de papel são agora guardadas em forma eletrônica e que o enfoque de 
auditoria teria que mudar para se assegurar de que essas informações em forma 
eletrônica sejam confiáveis antes de emitir sua opinião. A filosofia de auditoria em 
tecnologia de informação está calcada em confiança e em controles internos. Estes 
visam confirmar se os controles internos foram implementados e se existem; caso 
afirmativo, se são efetivos. Sobre a relação da organização dos trabalhos de auditoria 
em TI, associe os itens, utilizando o código a seguir: 
 
I- Execução de trabalhos e supervisão. 
II- Revisão dos papéis de trabalhos. 
III- Atualização do conhecimento permanente. 
IV- Avaliação da equipe. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_8%20aria-label=
 
( ) A manutenção em forma eletrônica, a documentação da descrição e a avaliação 
do ambiente de controle interno, controles gerais e dos sistemas aplicativos e 
processos de negócios contribuirão para a redução das horas de auditoria do período 
seguinte. 
( ) As tarefas deverão ser realizadas por auditores que tenham formação, 
experiência e treinamento adequados no ramo de especialização. 
( ) Para cada trabalho no qual um profissional é programado, o sistema que 
controla a programação deve emitir eletronicamente uma avaliação de desempenho 
já preenchida pelo superior, isto é fundamental para nortear a promoção ou não do 
profissional. 
( ) Eventualmente, em decorrência dos trabalhos de auditoria, falhas ou 
recomendações para melhorias são identificadas e limitam a conclusão do auditor, 
assim como determinados procedimentos que não tenham sido cumpridos por 
restrições do próprio cliente 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-
introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2018. 
 a) IV - II - I - III. 
 b) III - IV - II - I. 
 c) I - II - IV - III. 
 d) III - I - IV - II. 
 
9. A academia Companhia Athletica está processando a academia Reebok por suposto 
roubo de mala direta, o que caracteriza crime de concorrência desleal. Foi 
apresentado um laudo comprovando que a maioria dos nomes de clientes da Cia. 
Athletica consta de forma idêntica no arquivo da Reebok apreendido pela polícia. A 
briga começou quando a Reebok inaugurou sua unidade na Vila Olímpia, a cerca de 
500 metros da Cia. Athletica do Brooklin. Vários clientes da Cia. Athletica 
reclamaram do fato de terem recebido correspondência da concorrente e queriam 
saber se a academia teria vendido seus dados cadastrais. Muitas vezes, a organização 
se preocupa apenas com situações sofisticadas, mas é bom estar atento aos 
acontecimentos simples que possibilitam o vazamento de informação. Sobre a forma 
correta de armazenamento e descarte desse tipo de informação, assinale a alternativa 
CORRETA: 
 
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. 
São Paulo: Saraiva, 2006. 
 a) Armazenamento: os locais onde as informações estão armazenadas devem possuir 
acessos controlados, havendo uma concessão formal e por meio de procedimento 
que envolva o proprietário da informação. Descarte: deve ser efetuado por meio 
de procedimentos e ferramentas que destruam a informação por completo. 
 b) Armazenamento: devem ser armazenadas com a utilização de recursos 
considerando o menor investimento, sem a preocupação com confidencialidade. 
Descarte: pode-se proceder de forma simples, sem o uso de recursos e 
procedimentos. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_9%20aria-label=
 c) Armazenamento: as informações com tal classificação devem ser armazenadas de 
acordo com a necessidade, em áreas de acesso reservado. Descarte: tais 
informações devem ser descartadas utilizando-se recursos e procedimentos 
específicos. As informações confidenciais devem servir de base para o 
desenvolvimento do processo e aquisição dos recursos. 
 d) Armazenamento: devem ser armazenadas com a utilização de recursos 
considerando o menor investimento, sem a preocupação com confidencialidade. 
Descarte: deve ser efetuado por meio de procedimentos e ferramentas que 
destruam a informação por completo. 
 
10. No e-mail corporativo, você recebe uma mensagem onde o remetente é o gerente ou 
alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz 
que o serviço de Internet Banking está apresentando algum problema e que tal 
problema pode ser corrigido se você executar o aplicativo que está anexado à 
mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você 
utiliza para ter acesso à conta bancária, aguardando que você digite sua senha. Na 
verdade, este aplicativoestá preparado para furtar sua senha de acesso à conta 
bancária e enviá-la para o atacante. Com base no seguinte cenário hipotético 
apresentado, qual ataque à segurança da informação provocado por terceiros está 
sendo aplicado? 
 
FONTE: https://forum.fsocietybrasil.org/topic/527-. Acesso em: 30 out. 2018. 
 a) Acordos de confidencialidade. 
 b) Treinamento de prestadores de serviços. 
 c) Engenharia social. 
 d) Segregação de funções. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio de gerência de riscos. 
 b) Plano de negócio de gerenciamento de projetos. 
 c) Plano de contingência. 
 d) Plano de negócio. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDYyOA==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MTc1MjIwMzk=#questao_12%20aria-label=
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) II, III e IV. 
 b) III e IV. 
 c) I, II e III. 
 d) I e II.