prova

Prévia do material em texto

1. O COBIT - Control Objectives for Information end Related (Objetivo de Controle para Tecnologia da Informação e áreas Relacionadas) - é definido por ser formado por um conjunto de diretrizes, com objetivo de dar suporte para a gestão e auditoria de processos. Disponibiliza um modelo de processos para a tecnologia da informação através de práticas, principalmente de como realizar todo o planejamento, desenvolvimento e implantação dos processos de TI. Essas diretrizes são muito utilizadas por gestores, empresas e por auditores que atuam com os sistemas e os processos de tecnologia da informação. O COBIT possui quatro domínios: PLANEJAMENTO E ORGANIZAÇÃO; AQUISIÇÃO E IMPLEMENTAÇÃO; ENTREGA E SUPORTE; MONITORAÇÃO E AVALIAÇÃO. Disserte sobre as funcionalidades dos quatro domínios. ( * Máximo 1000 caracteres )
O planejamento e Organização envolve as táticas que preocupando-se com a identificação da jeito pelo qual a TI pode colaborar para alcançar os finalidades do negócio.
A aquisição e Implementação tem modificações em um
Sistema aplicativo existente que são acobertadas por este comando para garantir que a solução permaneça a atendendo os fins de negócio.
A entrega e Suporte tomar cuidado com a entrega dos serviços requeridos, a gestão da segurança da informação, o suporte aos usuários, entre outros. 
A monitoramento e Avaliação tem métodos de TI que devem ser acompanhados regularmente, em sua qualidade e ajustamento e com as solicitações de controle. 
	2.
	Vários processos e procedimentos devem ser estipulados e implementados para a estruturação da administração da segurança. Por exemplo, devem ser verificados o tipo de estrutura da segurança, onde será localizada a estrutura física e lógica, quem serão os profissionais e quais devem ser suas qualificações. Além disso, devem ser criadas as diretrizes de segurança e implantadas, quais equipamentos e sistemas serão utilizados, responsáveis pela implementação do projeto e quais padrões de segurança devem ser utilizados. Como percebemos, vários procedimentos devem ser aplicados para a administração da segurança. Disserte sobre quais serão os impactos com relação à confidencialidade dos dados caso ocorra uma falha no hardware e no software. ( * Máximo 1000 caracteres )
O hardware deteriorado pode ser enviado para o concerto compondo-se de informações confidenciais.
 Já o software tendo a falha dos controles de acesso pode levar à exposição imprópria dos dados e informações
	1.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas:
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	
	a) As afirmativas I e III estão corretas.
	
	b) Somente a afirmativa II está correta.
	
	c) As afirmativas I e II estão corretas.
	
	d) As afirmativas II e III estão corretas.
	 
	 
	2.
	Os procedimentos de backup são ações e mecanismos de importância capital no contexto da segurança da informação. O ato de fazer cópias de segurança do ambiente informacional é uma forma de salvaguardar um dos ativos mais importantes e essenciais das organizações e que visam a dar a sustentação para a pronta recuperação de eventuais incidentes ou desastres com estes ambientes. Estes procedimentos devem ter base nas seguintes premissas:
I- Os backups devem ser realizados visando a diminuir os riscos da continuidade.
II- Para o pronto restabelecimento, os backups devem ser mantidos em local físico próximo do armazenamento dos dados originais.
III- Realizar testes nas mídias que armazenam os backups para assegurar que os mantidos em ambiente interno e/ou externo estejam seguros e em perfeito estado para serem utilizados.
IV- Sempre que possível, manter atualizada a documentação dos procedimentos de backup e restore.
Assinale a alternativa CORRETA:
	
	a) As senteças II e IV estão corretas.
	
	b) Somente a sentença I está correta.
	
	c) As sentenças I, II e III estão corretas.
	
	d) As sentenças I e III estão corretas.
	 
	 
	3.
	A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, analise as afirmativas a seguir:
I- Verificar se os ativos estão preservados adequadamente.
II- Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios financeiros nele produzidos.
III- Verificar se os recursos estão sendo empregados em função da análise de custo e benefício.
IV- Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo inutilizado.
Assinale a alternativa CORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019.
	
	a) As afirmativas II e IV estão corretas.
	
	b) Somente a afirmativa II está correta.
	
	c) As afirmativas I, II e III estão corretas.
	
	d) As afirmativas I e III estão corretas.
	 
	 
	4.
	A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Com relação aos conceitos da segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O conceito que garante que a informação seja acessada, alterada e distribuída, por pessoas autorizadas é a comunicabilidade.
(    ) Quando dizemos que uma informação não deve ser alterada ou excluída sem autorização, estamos falando do conceito de integridade.
(    ) O conceito de disponibilidade diz respeito à divulgação das normas de segurança para todos.
(    ) Toda vulnerabilidadede um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://seguranca-da-informacao.info/. Acesso em: 28 mar. 2018.
	
	a) V - F - F - V.
	
	b) V - V - F - F.
	
	c) F - V - F - V.
	
	d) V - F - V - F.
	 
	 
	5.
	A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a profissão de auditor, apenas percebe que as informações até então disponíveis em forma de papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar para se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de emitir sua opinião. A filosofia de auditoria em tecnologia de informação está calcada em confiança e em controles internos. Estes visam confirmar se os controles internos foram implementados e se existem; caso afirmativo, se são efetivos. Sobre a relação da organização dos trabalhos de auditoria em TI, associe os itens, utilizando o código a seguir:
I- Execução de trabalhos e supervisão.
II- Revisão dos papéis de trabalhos.
III- Atualização do conhecimento permanente.
IV- Avaliação da equipe.
(     ) A manutenção em forma eletrônica, a documentação da descrição e a avaliação do ambiente de controle interno, controles gerais e dos sistemas aplicativos e processos de negócios contribuirão para a redução das horas de auditoria do período seguinte.
(     ) As tarefas deverão ser realizadas por auditores que tenham formação, experiência e treinamento adequados no ramo de especialização.  
(     ) Para cada trabalho no qual um profissional é programado, o sistema que controla a programação deve emitir eletronicamente uma avaliação de desempenho já preenchida pelo superior, isto é fundamental para nortear a promoção ou não do profissional.
(    ) Eventualmente, em decorrência dos trabalhos de auditoria, falhas ou recomendações para melhorias são identificadas e limitam a conclusão do auditor, assim como determinados procedimentos que não tenham sido cumpridos por restrições do próprio cliente
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2018.
	
	a) III - IV - II - I.
	
	b) IV - II - I - III.
	
	c) III - I - IV - II.
	
	d) I - II - IV - III.
	 
	 
	6.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas:
(    ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
(    ) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
(    ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
(    ) A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	
	a) F - V - V - V.
	
	b) V - V - F - F.
	
	c) V - F - V - F.
	
	d) F - F - F - V.
	 
	 
	7.
	Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
	
	a) É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.
	
	b) Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser contingenciada.
	
	c) Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
	
	d) Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
	 
	 
	8.
	Quanto maior a dependência das organizações com relação à tecnologia da informação, maior a necessidade da elaboração de um plano de continuidade de negócios (PCN). Em qualquer PCN, o elo mais fraco são os recursos humanos e há a necessidade de se tratar essa situação. Com relação ao exposto, analise as sentenças a seguir:
I- O descumprimento das políticas de segurança é um dos principais riscos que o fator humano traz para as organizações no que se refere à utilização de recursos de Tecnologia da Informação.
II- A padronização dos procedimentos relacionados à utilização dos recursos de Tecnologia da Informação é um dos métodos mais eficientes para minimizar incidentes de segurança causados por falha humana.
III- Campanhas de conscientização com relação à política de segurança da organização são essenciais para o envolvimento das pessoas e consequente minimização da probabilidade de ocorrência de falha humana.
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é homogêneo para todos os profissionais envolvidos.
Agora, assinale a alternativa CORRETA:
	
	a) As sentenças I, II e IV estão corretas.
	
	b) As sentenças II, III e IV estão corretas.
	
	c) As sentenças I, II e III estão corretas.
	
	d) As sentenças III e IV estão corretas.
	 
	 
	9.
	É uma prática utilizada para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área etc. É uma forma de entrar em organizações que não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas. Como é o nome dessa prática?
FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019.
	
	a) Hackers.
	
	b) Engenharia social.
	
	c) Crackers.
	
	d) Invasão de privacidade.
	 
	 
	10.
	A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica.
(    ) A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
(    ) A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
(    ) A estruturade controle da segurança da informação pode ser centralizada ou descentralizada.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	
	a) V - F- V - F.
	
	b) F - V - V - V.
	
	c) V - F - F - V.
	
	d) F - V - F - V.
	 
	 
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	
	a) II, III e IV.
	
	b) I e II.
	
	c) III e IV.
	
	d) I, II e III.
	 
	 
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	
	a) Plano de contingência.
	
	b) Plano de negócio de gerenciamento de projetos.
	
	c) Plano de negócio de gerência de riscos.
	
	d) Plano de negócio.