avaliação final objetiva - segurança em tecnologia da informação

Prévia do material em texto

(
10,00
Prova:
Nota da
 
Prova:
Segurança 
em Tecnologia da Informação 
Avaliação
 
Final
 
(Objetiva)
 
-
 
Individual
 
Semipresencial
Acadêmico:
Disciplina: Avaliação:
)
 (
Legenda:
Resposta
 
Certa
Sua Resposta
 
Errada
)
1. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a alternativa CORRETA:
a) ISO/IEC 13335.
b) BS/ISO 9001.
c) BS 7799-2.
d) ISO 4217.
 (
UNIASSELVI
)
 (
1
/8
)
2. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial enorme de causar danos irreparáveis e de grande prejuízo às organizações.
Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos, entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases anteriores. III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos danos gerados.
Assinale a alternativa CORRETA:
a) As sentenças II, IV e V estão corretas.
b) As sentenças I, III e IV estão corretas.
c) As sentenças I, II e IV estão corretas.
d) As sentenças I, II e V estão corretas.
3. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
a) Somente a sentença III está correta.
b) As sentenças I e IV estão corretas.
c) As sentenças I, II e III estão corretas.
d) As sentenças II e IV estão corretas.
4. O advento da tecnologia da informação tem proporcionado grandes mudanças aos sistemas de informação das organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
(	) A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de hardware e software.
(	) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
(	) A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva.
Assinale a alternativa que apresenta a sequência CORRETA:
a) V - V - F - V.
b) F - F - F - V.
c) F - V - V - F.
d) V - F - V - F.
5. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está
ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das
informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
 a) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
 b) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
 c) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
d) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
6. Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades auditadas. De maneira geral, eles se classificam em dois grandes grupos, os que servem para as necessidades da auditoria interna e os que são encaminhados para a consecução dos objetivos da auditora. A geração desses relatórios pode ocorrer em diversos momentos. Com base no nestes momentos, analise as sentenças a seguir:
I- Relatórios são gerados antes da execução do procedimento de auditoria e constatação de fatos relevantes indicam áreas que dão prejuízo.
II- Relatórios interinos do processo de auditoria relatarão a situação inteira da auditoria, e são gerados somente ao final do processo.
III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria de sistemas.
IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para oauditor verificar a situação.
Agora, assinale a alternativa CORRETA:
a) As sentenças I, II e IV estão corretas.
b) As sentenças II, III e IV estão corretas.
c) Somente a sentença III está correta.
d) As sentenças I, III e IV estão corretas.
7. A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. Acerca do COBIT, classifique V para as sentenças verdadeiras e F para as falsas:
(	) O COBIT atua em quatro domínios distintos: planejar e organizar, adquirir e implementar, entregar e dar suporte, e monitorar e avaliar.
(	) No processo de gerenciamento de continuidade, o COBIT define algumas práticas para a elaboração de um plano de continuidade do negócio.
(	) Um dos benefícios que esta ferramenta pode trazer é o alinhamento da tecnologia da informação com os objetivos da organização.
(	) Apesar de ser uma ferramenta com alto potencial para a elaboração de uma política de segurança, há ainda muitas restrições quanto à sua utilização.
(	) É uma ferramenta desenvolvida exclusivamente aos gestores, a fim de apoiar suas avaliações sobre o nível da gestão de TI.
Assinale a alternativa que apresenta a sequência CORRETA:
a) F - F - V - F - V.
b) V - V - V - F - F.
c) V - F - F - V - F.
d) F - V - V - V - F.
8. O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em conformidade com estes planos:
a) O PCN visa a prover meios da continuidade operacional.
b) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é o seu alto custo.
 c) Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem indisponíveis recursos que possibilitam seu uso.
 d) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados.
9. A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação,
independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, analise as afirmativas a seguir:
I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica. II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
IV- A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada. Assinale a alternativa CORRETA
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
a) As afirmativas I, II e IV estão corretas.
b) As afirmativas II, III e IV estão corretas.
c) As afirmativas I, II e III estão corretas.
d) Somente a afirmativas IV está correta.
 (
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php
) (
6/8
)
10. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir:
I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância.
II- A postura é a conduta com relação à segurança, refere-se ao elemento postura.
III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças.
IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização.
Agora, assinale a alternativa CORRETA:
a) As sentenças II, III e IV estão corretas.
b) Somente a sentença III está correta.
c) As sentenças I, II e IV estão corretas.
d) As sentenças I, III e IV estão corretas.
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
a) III e IV.
b) I, II e III.
c) I e II.
d) II, III e IV.
 (
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php
) (
7/8
)
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
a) Plano de negócio.
b) Plano de negócio de gerência de riscos.
c) Plano de negócio de gerenciamento de projetos.
d) Plano de contingência.
 (
Prova finalizada com 
12 acertos 
e 
0 questões erradas
.
)
 (
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php
) (
8/8
)