Avaliação Final (Objetiva) - Individual FLEX

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	
	
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
	
	
	Prova:
	
	Nota da Prova:
	10,00
	
	
Legenda: Resposta Certa Sua Resposta Errada 
	1.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, analise as opções a seguir:
I- Definição de perímetros lógicos.
II- Energia alternativa.
III- Política de mesa limpa e tela limpa.
IV- Segurança para micros, terminais e estações.
V- Proteção de documentos em papel.
Assinale a alternativa CORRETA:
	 a)
	As opções I, III e IV estão corretas.
	 b)
	As opções II, III e V estão corretas.
	 c)
	As opções I, II e V estão corretas.
	 d)
	As opções II, III e IV estão corretas.
	2.
	Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade especifica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Questões que se referem aos objetivos de auditoria de controle de aquisição, desenvolvimento, manutenção e documentação de sistemas aplicativos, devem ser respondidas. Sobre quais são essas questões, classifique V para as sentenças verdadeiras e F para as falsas:
( ) As definições são realizadas de forma diligente, confrontando os conhecimentos dos usuários com os de analista de sistema, visando dar suporte aos projetos?
( ) As realizações de testes e instalação na produção são feitos sem impactos para os usuários?
( ) Os usuários são quem decidem pela compra, baseados na deficiência interna de desenvolvimento?
( ) Perguntas básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e de análise de custo e benefícios, por exemplo, são respondidas quando decide-se pelas compras externas?
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	F - F - V - V.
	 c)
	F - V - V - F.
	 d)
	V - V - F - V.
	3.
	A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as falsas:
( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da proatividade das equipes de segurança.
( ) A abordagem proativa define claramente as responsabilidades individuais,
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
( ) A política proativa trata da questão da segurança das informações com a visão ?Será que o sistema será atacado??.
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V - V.
	 b)
	F - F - V - V - V.
	 c)
	V - V - F - V - F.
	 d)
	F - V - V - F - V.
	4.
	Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas desvantagens destes tipos de softwares, assinale a alternativa CORRETA:
	 a)
	Quando precisa processar arquivos em formatos diversos.
	 b)
	Quando precisa processar vários arquivos.
	 c)
	Em situações em que exijam cálculos complexos.
	 d)
	O auditor não precisa ser um especialista em informatica.
	5.
	O interesse do ser humano em guardar informações é muito antigo, mas era feito de forma rudimentar apenas para registro pessoal. Hoje, o valor da informação é quase imensurável para as empresas, e todo seu ciclo deve ser controlado. Para auxiliar e obter melhor uso das informações, é necessário o gerenciamento da informação. Esse gerenciamento é um conjunto estruturado de atividades que reflete a forma pela qual uma organização captura, distribui e usa informação e conhecimento. Com base no exposto, quais são as etapas do ciclo de vida da informação?
	 a)
	Obtenção, identificação das necessidades e dos requisitos, tratamento, distribuição, uso, armazenamento e descarte.
	 b)
	Identificação das necessidades e dos requisitos, tratamento, distribuição, armazenamento e descarte.
	 c)
	Tratamento, identificação, obtenção, distribuição, uso, armazenamento e descarte.
	 d)
	Identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, uso, armazenamento e descarte.
	6.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. 
( ) Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
( ) O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	V - V - F.
	 b)
	V - F - F.
	 c)
	F - V - V.
	 d)
	F - F - V.
	7.
	A política de segurança e auditoria em sistemas de informação deve descrever processos contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação, sendo que, em caso de algum incidente de segurança, deve prever medidas operacionais que deverão ser executadas para a retomada do funcionamento da organização. Assinale a alternativa CORRETA que apresenta esteconjunto de medidas operacionais:
	 a)
	Plano de Continuidade.
	 b)
	Plano de Recuperação Urgente.
	 c)
	Política de Recuperação.
	 d)
	Auditoria de Sistemas.
	8.
	Um plano de contingência é um tipo de plano preventivo, preditivo e reativo. Apresenta uma estrutura estratégica e operativa que ajudará a controlar uma situação de emergência e a minimizar as suas consequências negativas. O plano de contingência propõe uma série de procedimentos alternativos ao funcionamento normal de uma organização, sempre que alguma das suas funções usuais se vê prejudicada por uma contingência interna ou externa. Com base na avaliação do plano de contingência, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Os planos devem ser específicos para cobrir apenas os aspectos lógicos, os demais aspectos não são considerados no plano de contingência.
( ) O plano deve garantir que as cópias de segurança (backup) estejam atualizadas e sejam de fácil recuperação.
( ) Os planos de contingências são apenas teóricos, não havendo necessidade de testes ou revisões periódicas.
( ) O acompanhamento dos procedimentos pode ser facilitado através de relatórios de produção.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F.
	 b)
	V - F - V - F.
	 c)
	F - V - F - V.
	 d)
	F - V - F - F.
	9.
	?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a processos, produtos e serviços, constituem recursos cada vez mais críticos para o alcance da missão e dos objetivos organizacionais? (BEAL, 2008, p. 96). No trecho citado, a autora destaca a importância que a informação vem assumindo para as organizações como ativo, principalmente devido à evolução dos computadores e da internet. No que se refere à utilização da informação como um ativo organizacional, analise as sentenças a seguir:
I- A etapa mais importante em todo o processo de gestão da informação é a de aquisição, pois é nesta etapa que a organização delimita quais são suas necessidades e requisitos em termos de informação.
II- A preocupação com a proteção da informação restringe-se às informações armazenadas em mídias digitais.
III- A etapa de tratamento da informação consiste em um ou n processos, com a finalidade de torná-la mais organizada e, consequentemente, mais acessível aos usuários.
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se separar as informações em duas categorias: as informações obtidas sem custo para a organização e as informações obtidas com custo para a organização, priorizando sempre estas últimas na alocação dos recursos disponíveis.
Agora, assinale a alternativa CORRETA:
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
	 a)
	As sentenças I e II estão corretas.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	Somente a sentença III está correta.
	 d)
	As sentenças I e IV estão corretas.
	10.
	No momento atual, a política de segurança da informação é adotada em grande parte das organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às mudanças.
( ) A comunicação com os funcionários pode ser feita através de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento específico.
( ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de segurança.
( ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V - V.
	 b)
	V - F - F - V.
	 c)
	V - V - V - F.
	 d)
	F - V - V - F.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	II, III e IV.
	 b)
	III e IV.
	 c)
	I, II e III.
	 d)
	I e II.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio.
	 b)
	Plano de negócio de gerência de riscos.
	 c)
	Plano de negócio de gerenciamento de projetos.
	 d)
	Plano de contingência.