Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIASSELVI Segurança em Tecnologia da Informação Peso 3,0 Segurança em Tecnologia da Informação Terceira Prova Final - Objetiva 1. Os riscos de segurança da informação estão atrelados a vários fatores, como vulnerabilidade dos sistemas de proteção, integridade, disponibilidade e acessibilidade às informações da organização. Podem ser definidos como ações que podem ocorrer e existe probabilidade de acontecer em algum momento um problema relacionado a riscos de segurança. Com relação às etapas da gestão de riscos, analise as opções a seguir: I- Medidas de proteção, impacto e análise de incidentes. II- Estabelecimento do contexto, identificação e análise de riscos. III- Avaliação, tratamento e aceitação de riscos. IV- Analise das projeções, distribuição e análise do uso dos dados. Agora, assinale a alternativa CORRETA: correta a)As opções II e III estão corretas. b)Somente a opção I está correta. c) As opções II e IV estão corretas. d)Somente a opção III está correta. 2. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial enorme de causar danos irreparáveis e de grande prejuízo às organizações. Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir: ELABORADO EM 02/06/2020 "1 I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos, entre outros. II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases anteriores. III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da informação disponíveis. IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação em uma organização a partir dos riscos identificados. V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos danos gerados. Assinale a alternativa CORRETA: a) As sentenças I, III e IV estão corretas. correta b)As sentenças I, II e IV estão corretas. c) As sentenças II, IV e V estão corretas. d)As sentenças I, II e V estão corretas. 3. É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área etc. É uma forma de entrar em organizações que não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. Como é o nome dessa prática? FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019. a) Invasão de privacidade. b)Crackers. correta c)Engenharia social. d)Hackers. ELABORADO EM 02/06/2020 "2 4. A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as falsas: ( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da proatividade das equipes de segurança. ( ) A abordagem proativa define claramente as responsabilidades individuais, ( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização, ( ) A política proativa trata da questão da segurança das informações com a visão ? Será que o sistema será atacado??. ( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - V - V. b)V - F - F - V - V. c) V - V - F - V - F. correta d)F - V - V - F - V. 5. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que: I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este contingenciamento. II- Deve-se manter uma relação completa e atualizada dos aplicativos. ELABORADO EM 02/06/2020 "3 III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades. IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua importância no contexto geral. Assinale a alternativa CORRETA: a) Somente a sentença IV está correta. correta b)As sentenças II e IV estão corretas. c) As sentenças I, II e III estão corretas. d)As sentenças III e IV estão corretas. 6. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir: I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e ELABORADO EM 02/06/2020 "4 publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. Assinale a alternativa CORRETA: FONTE: KIM, David. Fundamentos de segurança desistemas de informação. Rio de Janeiro: LTC, 2014. a) As sentenças II e IV estão corretas. b)Somente a sentença III está correta. c) As sentenças I e IV estão corretas. correta d)As sentenças I, II e III estão corretas. 7. Toda atividade organizacional, independente do ramo de atuação ou o porte da empresa, está eventualmente sujeita a interrupções ou situações adversas que dificultem ou impeçam suas operações. Essas situações que podem causar paralisações, embora raras, podem acontecer a qualquer momento e quando menos se esperam, causadas por diversos tipos de ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a alternativa CORRETA: FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso em: 30 out. 2019. a) BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito dimensionamento das demais fases de construção do plano de continuidade. b)PCO - define os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio. c) BCP - define o que deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as operações pós-desastres. correta d)PRR- plano de retorno e recuperação, garante a sequência de processos para retorno e recuperação dos dados. 8. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. ELABORADO EM 02/06/2020 "5 Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas: ( ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente. ( ) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada. ( ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados. ( ) A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. a) V - V - F - F. b)F - F - F - V. correta c)F - V - V - V. d)V - F - V - F. 9. Em um passado não muito distante, muitas instituições financeiras sofreram grandes prejuízos oriundos de roubos virtuais ocorridos através do internet banking. A fim de mitigar estas vulnerabilidades, foram implementados os sistemas de Gestão de Segurança da Informação, os quais visam a garantir a segurança e a integridade às informações das organizações. Acerca da Gestão da Segurança da Informação, analise as sentenças a seguir: I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes transparência na gestão financeira das organizações e a credibilidade de suas informações. ELABORADO EM 02/06/2020 "6 II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de requisitos, processos e controles com a finalidade de gerir de forma adequada os riscos às suas informações. III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de gestão de segurança da informação (SGSI), sendo que adoção desta poderá garantir à organização a certificação ISO 17799. IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a segurança dos recursos tecnológicos. Assinale a alternativa CORRETA: a) As sentenças I, II e IV estão corretas. b)Somente a sentença III está correta. correta c)As sentenças I e II estão corretas. d)As sentenças III e IV estão corretas. 10. O interesse em guardar informações é muito antigo. Desde o início dos tempos, o ser humano sentiu necessidade de registrar os fatos e as informações, seja em paredes ou papiros. Hoje, o valor da informação é quase imensurável para as empresas. Apesar de toda essa evolução e da importância, nem tudo é perfeito e imprevistos acontecem. Para isso, as empresas devem estar preparadas e evitar ao máximo a inoperância. Qual o plano que visa minimizar esses impactos? a) Plano de impacto de incidentes. correta b)Plano de continuidade de produção. c) Plano de recuperação emergencial. d)Plano de gerenciamento de risco. 11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por ELABORADO EM 02/06/2020 "7 conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio. correta b)Plano de contingência. c) Plano de negócio de gerência de riscos. d)Plano de negócio de gerenciamento de projetos. 12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) I e II. b)III e IV. c) II, III e IV. correta d)I, II e III. ELABORADO EM 02/06/2020 "8
Compartilhar