3 AVALIAÇÃO SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Acadêmico:
	
	
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX peso.:3,00)
	Prova:
	
	Nota da Prova:
	10,00
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria tradicional. As abordagens mais comuns são dependentes da sofisticação do sistema computadorizado e se classificam em abordagem ao redor do computador, através do computador e com o computador. Com relação às abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças a seguir:
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação.
II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior parte das atividades de rotina é executada manualmente.
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a conhecimentos sobre processamento eletrônico de dados.
IV- A abordagem através do computador é uma melhoria da abordagem com o computador.
V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na auditoria, de acordo com as necessidades específicas.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças III e IV estão corretas.
	 b)
	As sentenças II e III estão corretas.
	 c)
	As sentenças I, II e V estão corretas.
	 d)
	As sentenças I e IV estão corretas.
	2.
	Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
(    ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
(    ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
(    ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
(    ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - V - V.
	 b)
	F - F - V - F - V.
	 c)
	V - V - F - F - V.
	 d)
	F - V - F - V - F.
	3.
	Por hipótese, considere que, durante um processo de auditoria interna em uma empresa, foi encontrada uma documentação sobre registros de verbas de campanha publicitária com clara identificação de perda de parte do material. Essa constatação fere qual princípio da segurança da informação?
	 a)
	Disponibilidade.
	 b)
	Irretratabilidade.
	 c)
	Confidencialidade.
	 d)
	Integridade.
	4.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
(    ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
(    ) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
(    ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	 a)
	F - V - V - F.
	 b)
	V - F - V - V.
	 c)
	F - F - F - V.
	 d)
	V - V - V - F.
	5.
	O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
	 a)
	As sentenças II e IV estão corretas.
	 b)
	As sentenças I e II estão corretas.
	 c)
	Todas as sentenças estão corretas.
	 d)
	As sentenças I e III estão corretas.
	6.
	Os ativos de informações são considerados como os principais itens que devem ser preservados com a segurança da informação em uma organização. Estes ativos devem estar sempre disponíveis. No entanto, devem seguir alguns princípios, como ser íntegros, precisam ser verdadeiros, fidedignos; devem estar sempre disponíveis para seus usuários que possuem acesso; precisam ser confiáveis, garantindo que apenas usuários permitidos possam acessar os dados e as informações. Segundo Fontes (2006), proteger as informações vai além da confidencialidade, integridade e disponibilidade. Sobre o que envolve proteger as informações, analise as opções a seguir:
I- Auditoria e legalidade.
II- Processamento e obtenção.
III- Requisitos e descarte.
IV- Armazenamento e distribuição.
Agora, assinale a alternativa CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	Somente a opção I está correta.
	 b)
	Somente a opção IV está correta.
	 c)
	As opções I e III estão corretas.
	 d)
	As opções II e III estão corretas.
	7.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O CicloPDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	As sentenças I e IV estão corretas.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As sentenças II e IV estão corretas.
	 d)
	Somente a sentença III está correta.
	8.
	A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica.
(    ) A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
(    ) A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
(    ) A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	F - V - V - V.
	 b)
	V - F - F - V.
	 c)
	F - V - F - V.
	 d)
	V - F- V - F.
	9.
	O controle de auditoria organizacional possui a finalidade de garantir que todos os dados e as informações referentes ao fluxo e às transações financeiras da organização estejam em plena segurança. O controle organizacional possui a configuração específica para cada atividade que precisa ser realizada através de ferramentas e sistemas de informação. Todos os processos de alteração ou inclusão de dados ficam registrados neste controle, o que permite que os gestores tenham total controle das economias da organização. Sobre as responsabilidades dos controles organizacionais, classifique V para as opções verdadeiras e F para as falsas:
(    ) Planejamento, aquisição e restruturação dos sistemas de informação seguras.
(    ) Responsabilidades operacionais delineadas conforme políticas de segurança.
(    ) Manutenção realizada de forma planejada, com controle de documentação e versões do sistema.
(    ) Desenvolvimento e implementação de políticas de segurança e capacitação dos usuários.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V - F.
	 b)
	F - V - F - V.
	 c)
	F - V - V - F.
	 d)
	V - F - F - V.
	10.
	Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, assinale a alternativa INCORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
	 a)
	Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
	 b)
	Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico.
	 c)
	Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede.
	 d)
	Quando a empresa define um acesso físico, a segurança lógica acaba sendo desnecessária.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerenciamento de projetos.
	 b)
	Plano de contingência.
	 c)
	Plano de negócio.
	 d)
	Plano de negócio de gerência de riscos.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	III e IV.
	 b)
	I, II e III.
	 c)
	I e II.
	 d)
	II, III e IV.
Pr
Parte inferior do formulário