Prévia do material em texto
Ir para o menuIr para o conteúdoIr para o cabeçalho Acadêmico: Cheila Thaís Selke (2615909) Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00) Prova: 18460108 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada 1. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, analise as afirmativas a seguir: I- Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica. II- Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line. III- Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada. IV- A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação. Assinale a alternativa CORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. a) Somente a afirmativa IV está correta. b) As afirmativas I e IV estão corretas. c) As afirmativas II, III e IV estão corretas. d) As afirmativas I, II e III estão corretas. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#menu https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#conteudo https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#cabecalho https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_1%20aria-label= 2. De uma maneira bem simples, podemos dizer que risco é a "exposição à chance de perdas ou danos", por isso devemos fazer um correto gerenciamento. O gerenciamento de riscos significa identificar riscos e traçar planos para minimizar seus efeitos sobre o projeto. No entanto, é necessário conhecer o correto fluxo de análise e ameaças e riscos. Com relação ao exposto, ordene os itens a seguir: I- Estabelecimento de prioridades de proteção. II- Determinação dos pesos dos riscos. III- Avaliação do risco. IV- Identificação das ameaças. V- Adoção de medidas de proteção. VI- Determinação das probabilidades dos riscos. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) IV - VI - II - III - I - V. b) I - VI - II - III - IV - V. c) II - IV - VI - III - I - V. d) V - III - I - VI - II - IV. 3 . O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a alternativa CORRETA: FONTE: Disponível em: <http://iso27000.com.br/index.php?option=com_content&view=article&id=52:importpcn&c atid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017. a) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua definição. b) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no projeto interno. c) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se espera deles no caso de um evento de falha de segurança. d) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a conscientização. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_2%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_3%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_3%20aria-label= 4. A auditoria é uma atividade que inclui a análise das operações, processos, sistemas e responsabilidades gerenciais de uma entidade. Ela busca verificar sua conformidade com certos objetivos e padrões. A auditoria para sistema aplicativo deve fazer algumas verificações. Com base nessa auditoria, classifique V para as sentenças verdadeiras e F para as falsas: I- As operações apontadas nos sistemas são derivadas das operações habituais da empresa. II- Os princípios são de maneira uniforme empregados nos sistemas, subsistemas e sistemas consolidadores das contas ou grupos de contas contábeis, em relação aos exercícios anteriores. III- As operações estão perfeitamente contabilizadas nos sistemas, independente das legislações vigentes. IV- Os controles independentes introduzidos nos sistemas aplicativos são plenamente aplicados para garantir as consistências dos lançamentos, garantia dos processamentos e a geração de relatórios que espelham o resultado das operações. Agora, assinale a alternativa CORRETA: a) As sentenças II, III e IV estão corretas. b) As sentenças I, III e IV estão corretas. c) As sentenças I, II e IV estão corretas. d) Somente a sentença III está correta. 5. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O objetivo destas normas é fornecer recomendações para gestãoda segurança da informação para os responsáveis pela segurança em suas empresas. ( ) Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações. ( ) O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_4%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_5%20aria-label= Assinale a alternativa que apresenta a sequência CORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) V - F - F. b) F - F - V. c) F - V - V. d) V - V - F. 6. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que: I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este contingenciamento. II- Deve-se manter uma relação completa e atualizada dos aplicativos. III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades. IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua importância no contexto geral. Assinale a alternativa CORRETA: a) As sentenças I, II e III estão corretas. b) As sentenças III e IV estão corretas. c) Somente a sentença IV está correta. d) As sentenças II e IV estão corretas. 7. Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades auditadas. De maneira geral, eles se classificam em dois grandes grupos, os que servem para as necessidades da auditoria interna e os que são encaminhados para a consecução dos objetivos da auditora. A geração desses relatórios pode ocorrer em diversos momentos. Com base no nestes momentos, analise as sentenças a seguir: I- Relatórios são gerados antes da execução do procedimento de auditoria e constatação de fatos relevantes indicam áreas que dão prejuízo. II- Relatórios interinos do processo de auditoria relatarão a situação inteira da auditoria, e https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_6%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_7%20aria-label= são gerados somente ao final do processo. III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria de sistemas. IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para o auditor verificar a situação. Agora, assinale a alternativa CORRETA: a) As sentenças I, II e IV estão corretas. b) Somente a sentença III está correta. c) As sentenças I, III e IV estão corretas. d) As sentenças II, III e IV estão corretas. 8. A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Com relação aos principais atributos da segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Confidencialidade: deve limitar o acesso à informação tão somente às entidades legítimas, ou seja, aquelas autorizadas pelo proprietário da informação. ( ) Autenticidade: deve garantir que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). ( ) Disponibilidade: essa propriedade garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. ( ) Integridade: é a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) V - F - V - F. b) V - F - F - F. c) V - V - V - F. d) F - V - V - V. 9. A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, analise as afirmativas a seguir: https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_8%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_9%20aria-label= I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica. II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico. III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica. IV- A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada. Assinale a alternativa CORRETA FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. a) As afirmativas II, III e IV estão corretas. b) As afirmativas I, II e IV estão corretas. c) As afirmativas I, II e III estão corretas. d) Somente a afirmativas IV está correta. 10. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade específica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Para realizar essa tarefa, existem vários tipos de auditoria, um exemplo é a auditoria de controles organizacionais. Neste tipo de auditoria, a responsabilidade de controles acontece em algumas tarefas. Sobre quais são essas tarefas, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Gerenciamento de orçamento do capital de informática e bases. ( ) Criação e implementação das políticas globais de informática. ( ) Intermediação com funcionários e cliente (networking). ( ) Geração de plano de capacitação. Agora, assinale a alternativa que apresenta a sequência CORRETA: FONTE: DIAS,Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000. a) F - F - V - V. b) F - V - V - F. c) V - V - F - V. d) V - F - F - V. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_10%20aria-label= 11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) I, II e III. b) I e II. c) III e IV. d) II, III e IV. 12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerência de riscos. b) Plano de negócio de gerenciamento de projetos. c) Plano de contingência. d) Plano de negócio. Prova finalizada com 12 acertos e 0 questões erradas. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_11%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDU0NQ==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNS0yMlQwMzowMDowMC4wMDBa&prova=MTg0NjAxMDg=#questao_12%20aria-label=