Avaliação Final - Segurança em Tecnologia da Informação UNIASSELVI - Objetiva

Prévia do material em texto

UNIASSELVI 
Segurança em Tecnologia da Informação 
Peso 3,0 
Segurança em Tecnologia da 
Informação 
Terceira Prova Final - Objetiva 
1.	 Os riscos de segurança da informação estão atrelados a vários fatores, como 
vulnerabilidade dos sistemas de proteção, integridade, disponibilidade e acessibilidade às 
informações da organização. Podem ser definidos como ações que podem ocorrer e existe 
probabilidade de acontecer em algum momento um problema relacionado a riscos de 
segurança. Com relação às etapas da gestão de riscos, analise as opções a seguir: 
I- Medidas de proteção, impacto e análise de incidentes. 
II- Estabelecimento do contexto, identificação e análise de riscos. 
III- Avaliação, tratamento e aceitação de riscos. 
IV- Analise das projeções, distribuição e análise do uso dos dados. 
Agora, assinale a alternativa CORRETA: 
correta a)As opções II e III estão corretas. 
b)Somente a opção I está correta. 
c)	As opções II e IV estão corretas. 
d)Somente a opção III está correta. 
2.	 Muitas organizações, mesmo tendo conhecimento de vários escândalos de 
espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade da 
segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com 
um potencial enorme de causar danos irreparáveis e de grande prejuízo às organizações. 
Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os 
riscos da segurança da informação. No que tange ao tratamento do risco, analise as sentenças 
a seguir: 
ELABORADO EM 02/06/2020 "1
I- O tratamento de risco pode ser implementado através de medidas preventivas, como 
a instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos, 
entre outros. 
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos 
identificados nas fases anteriores. 
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e 
práticas de segurança da informação disponíveis. 
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, 
estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação em 
uma organização a partir dos riscos identificados. 
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar 
as consequências dos danos gerados. 
Assinale a alternativa CORRETA: 
a)	As sentenças I, III e IV estão corretas. 
correta b)As sentenças I, II e IV estão corretas. 
c)	As sentenças II, IV e V estão corretas. 
d)As sentenças I, II e V estão corretas. 
3.	 É uma prática utilizada para obter acesso a informações importantes ou 
sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das 
pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, 
fingir que é um profissional de determinada área etc. É uma forma de entrar em organizações 
que não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança 
das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente 
manipuladas. Como é o nome dessa prática? 
FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019. 
a)	Invasão de privacidade. 
b)Crackers. 
correta c)Engenharia social. 
d)Hackers. 
ELABORADO EM 02/06/2020 "2
4.	 A fase do planejamento da política de segurança necessita por parte de seus 
agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam 
eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, 
compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à 
segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas 
no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão 
muda a partir do momento em que é criada uma política de segurança. Classifique V para as 
sentenças verdadeiras e F para as falsas: 
( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política 
de segurança e sim da proatividade das equipes de segurança. 
( ) A abordagem proativa define claramente as responsabilidades individuais, 
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a 
organização, 
( ) A política proativa trata da questão da segurança das informações com a visão ?
Será que o sistema será atacado??. 
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA: 
a)	F - F - V - V - V. 
b)V - F - F - V - V. 
c)	V - V - F - V - F. 
correta d)F - V - V - F - V. 
5.	 Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. 
Esta ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto e 
aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é 
necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas 
atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto 
nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que: 
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente 
iguais aos principais, pois compromete este contingenciamento. 
II- Deve-se manter uma relação completa e atualizada dos aplicativos. 
ELABORADO EM 02/06/2020 "3
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre 
suas responsabilidades. 
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de 
ativação dos sistemas com relação à sua importância no contexto geral. 
Assinale a alternativa CORRETA: 
a)	Somente a sentença IV está correta. 
correta b)As sentenças II e IV estão corretas. 
c)	As sentenças I, II e III estão corretas. 
d)As sentenças III e IV estão corretas. 
6.	 Muito antes que se possa auditar um sistema, você precisará criar as políticas e 
os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de 
determinar se algo funcionou, primeiramente será preciso definir como se esperava que 
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia 
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define 
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você 
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo 
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança 
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 
17799. Sobre o exposto, analise as sentenças a seguir: 
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da 
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o 
gerenciamento do projeto de Segurança da Informação. 
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o 
mundo passaram a investir muito mais em segurança da informação, muitas vezes sem 
orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como 
sinônimo de segurança da informação. 
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é 
necessária a adoção de todos, além disso, é necessária a integração de outros padrões e 
normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá 
apresentar algumas características para ser aprovada pelos colaboradores, divulgada e 
ELABORADO EM 02/06/2020 "4
publicada de forma ampla para todos da direção e, por último, a criação do comitê de 
segurança. 
Assinale a alternativa CORRETA: 
FONTE: KIM, David. Fundamentos de segurança desistemas de informação. Rio de 
Janeiro: LTC, 2014. 
a)	As sentenças II e IV estão corretas. 
b)Somente a sentença III está correta. 
c)	As sentenças I e IV estão corretas. 
correta d)As sentenças I, II e III estão corretas. 
7.	 Toda atividade organizacional, independente do ramo de atuação ou o porte 
da empresa, está eventualmente sujeita a interrupções ou situações adversas que dificultem ou 
impeçam suas operações. Essas situações que podem causar paralisações, embora raras, 
podem acontecer a qualquer momento e quando menos se esperam, causadas por diversos 
tipos de ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a 
alternativa CORRETA: 
FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso 
em: 30 out. 2019. 
a)	BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito 
dimensionamento das demais fases de construção do plano de continuidade. 
b)PCO - define os procedimentos para contingenciamento dos ativos que suportam 
cada processo de negócio. 
c)	BCP - define o que deve ser desenvolvido e documentado e ter as manutenções 
atualizadas para garantir as operações pós-desastres. 
correta d)PRR- plano de retorno e recuperação, garante a sequência de 
processos para retorno e recuperação dos dados. 
8.	 Segurança da informação significa proteger seus dados e sistemas de 
informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, 
inspeção e destruição. O conceito de segurança da informação está ligado à 
confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança 
de processamento está ligado à disponibilidade e operação da infraestrutura computacional. 
ELABORADO EM 02/06/2020 "5
Esses conceitos são complementares e asseguram a proteção e a disponibilidade das 
informações das organizações. O impacto da perda e/ou violação de informações para 
empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança 
ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas: 
( ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários 
somente na utilização do ambiente. 
( ) Em decorrência da necessidade do controle das condições ambientais e de 
confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de 
condicionadores do tipo compacto (self-contained) ou de central de água gelada. 
( ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de 
incêndio, devem ser constantemente verificados e treinados. 
( ) A retirada do descarte e do transporte são fatores ambientais que devem ter 
controles específicos, evitando que informações sejam acessadas indevidamente. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2018. 
a)	V - V - F - F. 
b)F - F - F - V. 
correta c)F - V - V - V. 
d)V - F - V - F. 
9.	 Em um passado não muito distante, muitas instituições financeiras sofreram 
grandes prejuízos oriundos de roubos virtuais ocorridos através do internet banking. A fim de 
mitigar estas vulnerabilidades, foram implementados os sistemas de Gestão de Segurança da 
Informação, os quais visam a garantir a segurança e a integridade às informações das 
organizações. Acerca da Gestão da Segurança da Informação, analise as sentenças a seguir: 
I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes 
transparência na gestão financeira das organizações e a credibilidade de suas informações. 
ELABORADO EM 02/06/2020 "6
II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de 
requisitos, processos e controles com a finalidade de gerir de forma adequada os riscos às suas 
informações. 
III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de gestão 
de segurança da informação (SGSI), sendo que adoção desta poderá garantir à organização a 
certificação ISO 17799. 
IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a 
segurança dos recursos tecnológicos. 
Assinale a alternativa CORRETA: 
a)	As sentenças I, II e IV estão corretas. 
b)Somente a sentença III está correta. 
correta c)As sentenças I e II estão corretas. 
d)As sentenças III e IV estão corretas. 
10.	 O interesse em guardar informações é muito antigo. Desde o início dos 
tempos, o ser humano sentiu necessidade de registrar os fatos e as informações, seja em 
paredes ou papiros. Hoje, o valor da informação é quase imensurável para as empresas. 
Apesar de toda essa evolução e da importância, nem tudo é perfeito e imprevistos acontecem. 
Para isso, as empresas devem estar preparadas e evitar ao máximo a inoperância. Qual o 
plano que visa minimizar esses impactos? 
a)	Plano de impacto de incidentes. 
correta b)Plano de continuidade de produção. 
c)	Plano de recuperação emergencial. 
d)Plano de gerenciamento de risco. 
11.	 (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse 
pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) 
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma 
dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar 
o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na 
reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por 
ELABORADO EM 02/06/2020 "7
conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para 
eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa 
situação, é preciso elaborar: 
a)	Plano de negócio. 
correta b)Plano de contingência. 
c)	Plano de negócio de gerência de riscos. 
d)Plano de negócio de gerenciamento de projetos. 
12.	 (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos 
de segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma 
pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente 
tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por 
meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em: 
a)	I e II. 
b)III e IV. 
c)	II, III e IV. 
correta d)I, II e III. 
ELABORADO EM 02/06/2020 "8