AV II Uniasselvi Segurança da Informação

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação II - Individual FLEX ( Cod.:514751) ( peso.:1,50)
	Prova:
	18097083
	Nota da Prova:
	9,00
	
	
	1.
	Para o sucesso da implementação do plano de contingência em uma empresa, é de suma importância que sejam observadas as funções críticas dos negócios, as quais podem estar enquadradas como de alto, médio ou baixo risco. Com esta avaliação feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os planos de contingência de uma empresa devem garantir que:
I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
II- No momento da ocorrência de algum sinistro, a equipe deve realizar o planejamento da solução e da sua recuperação.
III- Estejam previstos testes periódicos destes planos.
IV- Na existência de backups com diversas periodicidades, somente um backup semestral precisa estar atualizado.
V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I, III, IV e V estão corretas.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As sentenças II, IV e V estão corretas.
	 d)
	As sentenças I, III e V estão corretas.
	2.
	Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários, com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, analise as sentenças a seguir:
I- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo desnecessária.
II- Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico.
III- Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
IV- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede.
Assinale a alternativa CORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
	 a)
	As sentenças I e IV estão corretas.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As sentenças II, III e IV estão corretas.
	 d)
	Somente a sentença IV está correta.
	3.
	As questões da segurança da informação envolvem também recursos de hardware, que igualmente devem ser salvaguardados quanto a possíveis ações de mal uso. A destruição ou danificação destes equipamentos também devem ser pontos a considerar. As informações necessitam dos meios para suportá-las, e sua pronta recuperação deve ser possível. Portanto, se foi realizado um backup, deverá ser possível fazer o seu restore. Sobre as cópias de segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O conceito de volatilidade da informação se refere ao tempo que ela permanece ativa e necessária para a organização.
(    ) O conceito de velocidade da informação se refere a como estas podem ser recuperadas a partir de uma mídia.
(    ) Para todos os backups devem existir registros das operações envolvidas na ação de realizar a cópia. Sugere-se constar as informações da frequência, como diários, semanais, mensais e anuais.
(    ) Deve-se especificar o recurso de mídia utilizado (CD, DVD, fita DAT, disquete etc.).
(    ) Deve-se especificar o período de tempo em que as informações constantes na mídia devem ficar retidas para assegurar uma maior proteção ao negócio.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V - F.
	 b)
	F - V - F - V - F.
	 c)
	V - V - F - F - V.
	 d)
	F - F - V - V - V.
	4.
	Qualquer processo, regra ou metodologia necessita de atualizações e continuidade da sua manutenção, principalmente quando se fala em tecnologias da informação. Esses procedimentos são essenciais para a continuidade dos negócios e segurança dos dados e informações. A atualização e a manutenção do plano de continuidade devem ser organizadas formalmente, devem ser realizadas em períodos como uma ou duas vezes por ano. Não existe algo predefinido, pois, a cada momento que surgir a necessidade de atualizar e realizar a manutenção do plano de continuidade dos negócios, esses procedimentos devem ocorrer conforme a necessidade identificada. Segundo Ferreira e Araújo (2008), o processo de revisão do plano deve ocorrer seguindo alguns itens. Sobre esses itens, análise as seguintes opções:
I- Perda da credibilidade no mercado e irregularidades dos recursos.
II- Eventuais riscos identificados e incidentes de segurança.
III- Ocorrências de inatividade dos ativos e imagem do negócio.
IV- Vulnerabilidades encontradas e alterações na legislação.
Agora, assinale a alternativa CORRETA:
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação ? guia prático para elaboração e implementação. 2. ed. revisada. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008.
	 a)
	As opções II e IV estão corretas.
	 b)
	Somente a opção II está correta.
	 c)
	Somente a opção III está correta.
	 d)
	As opções I e IV estão corretas.
	5.
	Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas:
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade.
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos dados originais.
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados.
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore.
Assinale a alternativa CORRETA:
	 a)
	Somente a sentença I está correta.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As senteças II e IV estão corretas.
	 d)
	As sentenças I e III estão corretas.
	6.
	A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes tarefas para que sua composição atenda plenamente aos requisitos de segurança e retomada de atividades. É fundamental que os processos críticos sejam identificados, que a análise e a classificação dos impactos sejam devidamente realizadas, que a documentação necessária seja gerada, assim como o treinamento e a conscientização de pessoal. Sobre a análise e a classificação dos impactos, assinale a alternativa CORRETA que apresenta o nome da ferramenta de apoio para esta atividade:
	 a)
	CM.
	 b)
	BIA.
	 c)
	EP.
	 d)
	BRP.
	7.
	O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as organizações,é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
	 a)
	Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua definição.
	 b)
	O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a conscientização.
	 c)
	A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se espera deles no caso de um evento de falha de segurança.
	 d)
	A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no projeto interno.
	8.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as opções verdadeiras e F para as falsas:
(    ) Política de mesa limpa e tela limpa.
(    ) Segurança para micros, terminais e estações.
(    ) Proteção de documentos em papel.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V.
	 b)
	F - V - F.
	 c)
	F - F - V.
	 d)
	V - F - V.
	9.
	Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. Apresenta uma estrutura estratégica e operativa que ajudará a controlar uma situação de emergência e a minimizar as suas consequências negativas. O plano de contingência propõe uma série de procedimentos alternativos ao funcionamento normal de uma organização, sempre que alguma das suas funções usuais se vê prejudicada por uma contingência interna ou externa. Com base na avaliação do plano de contingência, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Os planos devem ser específicos para cobrir apenas os aspectos lógicos, os demais aspectos não são considerados no plano de contingência.
(    ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e sejam de fácil recuperação.
(    ) Os planos de contingências são apenas teóricos, não havendo necessidade de testes ou revisões periódicas.
(    ) O acompanhamento dos procedimentos pode ser facilitado através de relatórios de produção.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - F.
	 b)
	V - V - V - F.
	 c)
	V - F - V - F.
	 d)
	F - V - F - V.
	10.
	No momento atual, a política de segurança da informação é adotada em grande parte das organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às mudanças.
(    ) A comunicação com os funcionários pode ser feita através de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento específico.
(    ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de segurança.
(    ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V - V.
	 b)
	V - F - F - V.
	 c)
	V - V - V - F.
	 d)
	F - V - V - F.