Segurança em Tecnologia da Informação - Avaliação Final (Objetiva)

Prévia do material em texto

Disciplina:  Segurança em Tecnologia da Informação (GTI08)     
Avaliação:  Avaliação Final (Objetiva) - Individual FLEX ( peso.:3,00)     
Prova:  16905009 
Nota da Prova:  10,00     
Legenda: ​ ​Resposta Certa​ ​Sua Resposta Errada​ ​Questão Cancelada 
1.Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos 
que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo 
funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido 
como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema 
e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma 
vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a 
qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o 
Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) O objetivo destas normas é fornecer recomendações para gestão da segurança da informação 
para os responsáveis pela segurança em suas empresas.  
( ) Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas 
voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre 
as organizações. 
( ) O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança 
da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para 
segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da 
segurança. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 
2014. 
 
 a) V - V - F. 
 b) F - V - V. 
 c)  F - F - V. 
 d) V - F - F. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_1%20aria-label=
2.É comum que os executivos das organizações tenham uma visão distorcida com relação à 
segurança das informações da organização. Segurança significa corrigir as falhas no ambiente de 
tecnologia. Precisamos estar com o antivírus atualizado, firewall bem configurado etc. Essa 
associação da segurança com a tecnologia é bastante utilizada pelo simples fato de que, 
realmente, a área de TI da empresa é a responsável pelo suporte e manutenção dos processos de 
negócio existentes. No entanto, a segurança não envolve somente o ambiente de tecnologia. Existe 
outra preocupação, que nem sempre é tratada com a devida importância, que é a segurança física 
dos ambientes. Com relação à segurança ambiental todos fazer parte, assinale a alternativa 
INCORRETA: 
 
FONTE: https://www.portaleducacao.com.br/conteudo/artigos/conteudo/seguranca/19075. 
Acesso em: 30 out. 2019. 
 
 a) Energia alternativa. 
 b) Armazenamento em nuvem. 
 c)  Climatização. 
 d) Localização. 
 
3.A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem a 
sua aplicação, construção e funcionamento, sendo que cada momento do processo de 
desenvolvimento possui artefatos com características específicas e voltados para profissionais 
com habilidades específicas. Com base neste pressuposto, analise as afirmativas a seguir: 
 
I- A documentação utilizada para desenvolver um sistema, embora importante para os profissionais 
de desenvolvimento, não é relevante para os auditores, uma vez que estes terão acesso irrestrito ao 
software pronto. 
II- A documentação do usuário descreve de que forma este deve usar o sistema, informando 
procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios. 
III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser objeto 
de auditoria, visando a garantir a integridade dos artefatos gerados. 
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve de que forma 
o usuário deve operar o sistema, informando procedimentos para entrada de dados e posterior 
correção, bem como o uso de relatórios. 
 
Agora, assinale a alternativa CORRETA: 
 
 a) As afirmativas I e IV estão corretas. 
 b) As afirmativas I, III e IV estão corretas. 
 c)  As afirmativas I, II e III estão corretas. 
 d) As afirmativas II e III estão corretas. 
 
4.A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de 
informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. 
As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os 
custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados 
emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores 
internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como 
a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_2%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_4%20aria-label=
que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, assinale a 
alternativa INCORRETA: 
 
FONTE: 
https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organi
zacionais-e-operacionais. Acesso em: 30 out. 2019. 
 
 
a) 
Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios 
financeiros nele produzidos. 
 
b) 
Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo 
inutilizado. 
 
c) 
Verificar se os recursos estão sendo empregados em função da análise de custo e benefício. 
 
d) 
Verificar se os ativos estão preservados adequadamente. 
 
5.Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os 
salários de todos os funcionários que estava armazenada em um computador (o servidor de 
arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas visualizaram 
as informações contidas nesta planilha, mas não as modificaram. Neste caso, um princípio da 
segurança da informação comprometido com esse incidente. Sobre o exposto, classifique V para 
as sentenças verdadeiras e F para as falsas: 
 
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. 
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. 
( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem.  
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 
 a) V - V - F - F. 
 b) V - F - F - V. 
 c)  F - F - V - V. 
 d) F - V - V - F. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_5%20aria-label=
6.Qualquer processo, regra ou metodologia necessita de atualizaçõese continuidade da sua 
manutenção, principalmente quando se fala em tecnologias da informação. Esses procedimentos 
são essenciais para a continuidade dos negócios e segurança dos dados e informações. A 
atualização e a manutenção do plano de continuidade devem ser organizadas formalmente, devem 
ser realizadas em períodos como uma ou duas vezes por ano. Não existe algo predefinido, pois, a 
cada momento que surgir a necessidade de atualizar e realizar a manutenção do plano de 
continuidade dos negócios, esses procedimentos devem ocorrer conforme a necessidade 
identificada. Segundo Ferreira e Araújo (2008), o processo de revisão do plano deve ocorrer 
seguindo alguns itens. Sobre esses itens, análise as seguintes opções: 
 
I- Perda da credibilidade no mercado e irregularidades dos recursos. 
II- Eventuais riscos identificados e incidentes de segurança. 
III- Ocorrências de inatividade dos ativos e imagem do negócio. 
IV- Vulnerabilidades encontradas e alterações na legislação. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da 
informação ? guia prático para elaboração e implementação. 2. ed. revisada. Rio de Janeiro: Editora 
Ciência Moderna Ltda., 2008. 
 
 a) As opções I e IV estão corretas. 
 b) Somente a opção III está correta. 
 c)  Somente a opção II está correta. 
 d) As opções II e IV estão corretas. 
 
Dada a importância que a elaboração de um plano de continuidade de negócios (PCN) tem 
atualmente para as organizações, é essencial que este plano seja auditado e testado antes de sua 
implantação efetiva. Com relação ao teste e à auditoria de PCN, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) Os testes do PCN devem avaliar se as responsabilidades atribuídas às pessoas e às equipes de
contingência estão de acordo com o perfil e as habilidades das mesmas. 
( ) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar 
as funções que se espera deles no caso de um evento de falha de segurança. 
( ) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um 
PCN, seu envolvimento somente ocorrerá na etapa de definição do mesmo. 
( ) A auditoria de PCN deve verificar se os contratos de fornecedores externos atendem aos 
requisitos definidos no plano. 
( ) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de 
aumentar a conscientização. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 
 a) F - V - F - V - F. 
 b) V - V - F - F - V. 
 c)  V - V - F - V - F. 
 d) V - F - V - V - F. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_6%20aria-label=
 *  Observação: A questão número 7 foi Cancelada. 
 
8.Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que nenhum 
intermediário consiga interceptar as mensagens e entendê-las, uma das alternativas é a utilização 
de criptografia. Com relação à criptografia, analise as afirmativas a seguir: 
 
I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia (chave) e 
somente pode ser desencriptada com a utilização do mesmo algoritmo. 
II- A combinação da autenticação e da criptografia constituem os chamados canais seguros, que 
fornecem serviços de segurança para as tecnologias de comunicação existentes. 
III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na criptografia de 
mensagens. 
IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na utilização de 
informações de login e senha por parte dos usuários que quiserem se comunicar. 
 
Assinale a alternativa CORRETA: 
 
 a) As afirmativas I, II e IV estão corretas. 
 b) As afirmativas I e II estão corretas. 
 c)  As afirmativas II, III e IV estão corretas. 
 d) As afirmativas I e IV estão corretas. 
 
9.A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de 
todos os usuários de informações e dos sistemas de informações nos aspectos da 
confidencialidade, integridade e disponibilidade deste manancial informativo. O documento desta 
política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que 
não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer 
também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por 
cada integrante na organização às informações. 
( ) A política estabelece seus controles, padrões e procedimentos. 
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros 
documentos subordinados em hierarquia à política, que são definidos pelo Security Officer.  
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por
padrões e procedimentos.  
( ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, 
portanto, assina e exige seu cumprimento. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
 a) F - F - V - F - V. 
 b) F - V - F - F - F. 
 c)  V - V - V - V - F. 
 d) V - F - F - V - F. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_9%20aria-label=
1
0. 
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e 
uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito 
de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da 
informação. O conceito de segurança de processamento está ligado à disponibilidade e operação 
da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a
disponibilidade das informações das organizações. O impacto da perda e/ou violação de 
informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à 
segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas: 
 
( ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente 
na utilização do ambiente. 
( ) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para 
o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo 
compacto (self-contained) ou de central de água gelada. 
( ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, 
devem ser constantemente verificados e treinados. 
( ) A retirada do descarte e do transporte são fatores ambientais que devem ter controles 
específicos, evitando que informações sejam acessadas indevidamente. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. 
 
 a) F - F - F - V. 
 b) V - F - V - F. 
 c)  F - V - V - V. 
 d) V - V - F - F. 
 
1
1. 
(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e 
inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse 
crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência fortedas 
TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios 
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser 
afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se 
cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar 
possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de 
ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 
 a) Plano de negócio de gerência de riscos. 
 b) Plano de negócio de gerenciamento de projetos. 
 c)  Plano de negócio. 
 d) Plano de contingência. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_11%20aria-label=
1
2. 
(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança 
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a 
esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma 
privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou 
entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como 
análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual 
se aplica uma política de segurança a determinado ponto da rede.  
 
É correto apenas o que se afirma em: 
 
 a)  III e IV. 
 b)  I e II. 
 c)  I, II e III. 
 d)  II, III e IV. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_12%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTY5Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&action5=MjAyMC0wNC0yM1QwMzowMDowMC4wMDBa&prova=MTY5MDUwMDk=#questao_12%20aria-label=