Baixe o app para aproveitar ainda mais
Prévia do material em texto
Acadêmico: Antonio Jardel da Silva Pereira (2158393) Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00) Prova: 19178572 Nota da Prova: 8,00 Legenda: Resposta Certa Sua Resposta Errada 1. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial enorme de causar danos irreparáveis e de grande prejuízo às organizações. Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir: I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos, entre outros. II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases anteriores. III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da informação disponíveis. IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação em uma organização a partir dos riscos identificados. V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos danos gerados. Assinale a alternativa CORRETA: a) As sentenças I, II e IV estão corretas. b) As sentenças I, II e V estão corretas. c) As sentenças I, III e IV estão corretas. d) As sentenças II, IV e V estão corretas. 2. Em um passado não muito distante, muitas instituições financeiras sofreram grandes prejuízos oriundos de roubos virtuais ocorridos através do internet banking. A fim de mitigar estas vulnerabilidades, foram implementados os sistemas de Gestão de Segurança da Informação, os quais visam a garantir a segurança e a integridade às informações das organizações. Acerca da Gestão da Segurança da Informação, analise as sentenças a seguir: I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes transparência na gestão financeira das organizações e a credibilidade de suas informações. II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de requisitos, processos e controles com a finalidade de gerir de forma adequada os riscos às suas informações. III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de gestão de segurança da informação (SGSI), sendo que adoção desta poderá garantir à organização a certificação ISO 17799. IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a segurança dos recursos tecnológicos. Assinale a alternativa CORRETA: a) Somente a sentença III está correta. b) As sentenças I e II estão corretas. c) As sentenças III e IV estão corretas. d) As sentenças I, II e IV estão corretas. Jardel Retângulo Jardel Retângulo Jardel Retângulo Jardel Retângulo 3. Os riscos de segurança da informação estão atrelados a vários fatores, como vulnerabilidade dos sistemas de proteção, integridade, disponibilidade e acessibilidade às informações da organização. Podem ser definidos como ações que podem ocorrer e existe probabilidade de acontecer em algum momento um problema relacionado a riscos de segurança. Com relação às etapas da gestão de riscos, analise as opções a seguir: I- Medidas de proteção, impacto e análise de incidentes. II- Estabelecimento do contexto, identificação e análise de riscos. III- Avaliação, tratamento e aceitação de riscos. IV- Analise das projeções, distribuição e análise do uso dos dados. Agora, assinale a alternativa CORRETA: a) As opções II e III estão corretas. b) Somente a opção III está correta. c) As opções II e IV estão corretas. d) Somente a opção I está correta. 4. O advento da tecnologia da informação tem proporcionado grandes mudanças aos sistemas de informação das organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente, gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual possibilitará identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de ocorrência e os impactos ao negócio. ( ) A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas, procedimentos, estruturas organizacionais e infraestruturas de hardware e software. ( ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos. ( ) A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento, execução, avaliação e ação corretiva. Assinale a alternativa que apresenta a sequência CORRETA: a) F - V - V - F. b) V - F - V - F. c) V - V - F - V. d) F - F - F - V. 5. A rotina da geração das cópias de segurança em ambiente de informação é um ponto muito importante e que deve ser amplamente planejado. A frequência com que estas cópias serão geradas, normalmente, pode seguir a frequência com que as informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de um sistema de informação de uma organização recebe atualizações constantes e diárias, também diária deverá ser a geração das cópias de segurança. Entretanto, tão importante quanto gerar as cópias de segurança é poder utilizá- las para a pronta restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, com o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração das cópias de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Nos testes deve ser verificada a integridade da informação armazenada. ( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos. ( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da equipe. ( ) Nos testes, mesmo que tenha sido identificado algum procedimento desatualizado ou ineficaz, o mais importante é que a cópia seja gerada. ( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a solução será fazer novas cópias. Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - F - F. b) F - V - F - V - F. c) V - V - V - F - F. d) V - F - V - V - V. 6. A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem a sua aplicação, construção e funcionamento, sendo que cada momento do processo de desenvolvimento possui artefatos com características específicas e voltados para profissionais com habilidades específicas. Com base neste pressuposto, analise as afirmativas a seguir: I- A documentação utilizada para desenvolver um sistema, embora importante para os profissionais de desenvolvimento, não é relevante para os auditores, uma vez que estes terão acesso irrestrito ao software pronto. II- A documentação do usuário descreve de que forma este deve usar o sistema, informando procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios. III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser objeto de auditoria, visando a garantir a integridade dos artefatos gerados. IV- A documentação operacional refere-se à utilização do software, ou seja, descreve de que forma o usuário deve operar o sistema, informando procedimentos para entrada de dados e posterior correção,bem como o uso de relatórios. Agora, assinale a alternativa CORRETA: a) As afirmativas I, II e III estão corretas. b) As afirmativas I, III e IV estão corretas. c) As afirmativas II e III estão corretas. d) As afirmativas I e IV estão corretas. 7. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. b) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. c) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. d) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. 8. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir: I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente. II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada. III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados. IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente. Assinale a alternativa CORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. a) As afirmativas I e II estão corretas. b) As afirmativas I e III estão corretas. c) As afirmativas II, III e IV estão corretas. d) As afirmativas I e IV estão corretas. 9. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as atividades e as funcionalidades são dependentes das tecnologias, pois todos eles precisam ser processados pelos sistemas informatizados. Outro fator que deve ser analisado é que toda a informação da organização possui um custo, tanto as informações quanto a estrutura que este setor precisa ter para disponibilizar a segurança dos dados. De acordo com Caruso e Steffen (1999), existem duas classes principais de materiais e atividades em processo. Sobre essas classes, análise as seguintes afirmativas: I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes e desastres de processamento. II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de informação. III- Sistemas de programas de aplicações ou de controle da atividade e informações relacionadas. IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas de processo de informação. Agora, assinale a alternativa CORRETA: FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São Paulo, 1999. a) As afirmativas II e III estão corretas. b) Somente a afirmativa III está correta. c) As afirmativas I e II estão corretas. d) Somente a afirmativa IV está correta. 10. A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles? a) Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação. b) Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação. c) Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte. d) Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação. 11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) III e IV. b) I, II e III. c) II, III e IV. d) I e II. 12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerenciamentode projetos. b) Plano de negócio. c) Plano de negócio de gerência de riscos. d) Plano de contingência. Prova finalizada com 8 acertos e 4 questões erradas.
Compartilhar