Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)

Prévia do material em texto

1.
	É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área etc. É uma forma de entrar em organizações que não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. Como é o nome dessa prática?
FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019.
	 a)
	Engenharia social.
	 b)
	Hackers.
	 c)
	Crackers.
	 d)
	Invasão de privacidade.
	2.
	A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. Acerca do COBIT, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O COBIT atua em quatro domínios distintos: planejar e organizar, adquirir e implementar, entregar e dar suporte, e monitorar e avaliar.
(    ) No processo de gerenciamento de continuidade, o COBIT define algumas práticas para a elaboração de um plano de continuidade do negócio.
(    ) Um dos benefícios que esta ferramenta pode trazer é o alinhamento da tecnologia da informação com os objetivos da organização.
(    ) Apesar de ser uma ferramenta com alto potencial para a elaboração de uma política de segurança, há ainda muitas restrições quanto à sua utilização.
(    ) É uma ferramenta desenvolvida exclusivamente aos gestores, a fim de apoiar suas avaliações sobre o nível da gestão de TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V - F - V.
	 b)
	F - V - V - V - F.
	 c)
	V - V - V - F - F.
	 d)
	V - F - F - V - F.
	3.
	Um dos contextos a serem considerados na elaboração de uma política de segurança de tecnologia da informação é a segurança lógica. A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. Com base no exposto, analise as sentenças a seguir:
I- A administração da segurança pode ser definida tanto de forma centralizada quanto descentralizada, dependendo das características particulares do ambiente onde a segurança será implementada.
II- A etapa de inventário é a mais trabalhosa na implantação da segurança, consistindo no levantamento dos usuários e recursos com o objetivo de determinar se as responsabilidades e perfis utilizados atualmente nos sistemas computacionais estão de acordo com as reais necessidades da organização.
III- O estabelecimento de um perímetro de segurança físico totalmente isolado e, portanto, protegido de ameaças externas representa um desafio, principalmente devido à dificuldade em se identificar todas as vulnerabilidades que as redes de computadores são suscetíveis.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e II estão corretas.
	 b)
	As sentenças I e III estão corretas.
	 c)
	Somente a sentença III está correta.
	 d)
	As sentenças II e III estão corretas.
	4.
	Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
	 a)
	Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
	 b)
	É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.
	 c)
	Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser contingenciada.
	 d)
	Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
	5.
	Toda atividade organizacional, independente do ramo de atuação ou o porte da empresa, está eventualmente sujeita a interrupções ou situações adversas que dificultem ou impeçam suas operações. Essas situações que podem causar paralisações, embora raras, podem acontecer a qualquer momento e quando menos se esperam, causadas por diversos tipos de ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a alternativa CORRETA:
FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso em: 30 out. 2019.
	 a)
	BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito dimensionamento das demais fases de construção do plano de continuidade.
	 b)
	PRR- plano de retorno e recuperação, garante a sequência de processos para retorno e recuperação dos dados.
	 c)
	PCO - define os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio.
	 d)
	BCP - define o que deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as operações pós-desastres.
	6.
	O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e III estão corretas.
	 b)
	Todas as sentenças estão corretas.
	 c)
	As sentenças I e II estão corretas.
	 d)
	As sentenças II e IV estão corretas.
	7.
	O advento da tecnologia da informação tem proporcionado grandes mudanças aos sistemas de informação das organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio.
(    ) A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de hardware e software.
(    ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
(    ) A redução dos riscosà segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - F.
	 b)
	V - V - F - V.
	 c)
	F - F - F - V.
	 d)
	F - V - V - F.
	8.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
	 b)
	A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
	 c)
	A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
	 d)
	O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
	9.
	Os ativos de informações são considerados como os principais itens que devem ser preservados com a segurança da informação em uma organização. Estes ativos devem estar sempre disponíveis. No entanto, devem seguir alguns princípios, como ser íntegros, precisam ser verdadeiros, fidedignos; devem estar sempre disponíveis para seus usuários que possuem acesso; precisam ser confiáveis, garantindo que apenas usuários permitidos possam acessar os dados e as informações. Segundo Fontes (2006), proteger as informações vai além da confidencialidade, integridade e disponibilidade. Sobre o que envolve proteger as informações, analise as opções a seguir:
I- Auditoria e legalidade.
II- Processamento e obtenção.
III- Requisitos e descarte.
IV- Armazenamento e distribuição.
Agora, assinale a alternativa CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	Somente a opção IV está correta.
	 b)
	Somente a opção I está correta.
	 c)
	As opções I e III estão corretas.
	 d)
	As opções II e III estão corretas.
	10.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	 a)
	As afirmativas II, III e IV estão corretas.
	 b)
	As afirmativas I e III estão corretas.
	 c)
	As afirmativas I e IV estão corretas.
	 d)
	As afirmativas I e II estão corretas.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerência de riscos.
	 b)
	Plano de negócio de gerenciamento de projetos.
	 c)
	Plano de contingência.
	 d)
	Plano de negócio.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	II, III e IV.
	 b)
	I e II.
	 c)
	I, II e III.
	 d)
	III e IV.