Segurança em Tecnologia da Informação - final

Prévia do material em texto

Acadêmico: Antonio Jardel da Silva Pereira (2158393)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
Prova: 19178572
Nota da Prova: 8,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet,
ainda não compreenderam a eminente necessidade da segurança da informação. Os riscos de acessos indevidos
são uma ameaça constante e com um potencial enorme de causar danos irreparáveis e de grande prejuízo às
organizações. Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da
segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política
de segurança, a definição de controles de acesso físicos e lógicos, entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases
anteriores.
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da
informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os
princípios gerais para gestão da segurança da informação em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos
danos gerados.
Assinale a alternativa CORRETA:
 a) As sentenças I, II e IV estão corretas.
 b) As sentenças I, II e V estão corretas.
 c) As sentenças I, III e IV estão corretas.
 d) As sentenças II, IV e V estão corretas.
2. Em um passado não muito distante, muitas instituições financeiras sofreram grandes prejuízos oriundos de roubos
virtuais ocorridos através do internet banking. A fim de mitigar estas vulnerabilidades, foram implementados os
sistemas de Gestão de Segurança da Informação, os quais visam a garantir a segurança e a integridade às
informações das organizações. Acerca da Gestão da Segurança da Informação, analise as sentenças a seguir:
I- A lei Sarbanes-Oxley visa a proteger os investidores financeiros, garantindo-lhes transparência na gestão
financeira das organizações e a credibilidade de suas informações.
II- A certificação ISO 27001 demonstra que a organização adotou um conjunto de requisitos, processos e controles
com a finalidade de gerir de forma adequada os riscos às suas informações.
III- A NBR ISO/IEC 17799 estabelece métricas e relatórios para um sistema de gestão de segurança da informação
(SGSI), sendo que adoção desta poderá garantir à organização a certificação ISO 17799.
IV- A Gestão da Segurança da Informação preocupa-se exclusivamente com a segurança dos recursos
tecnológicos.
Assinale a alternativa CORRETA:
 a) Somente a sentença III está correta.
 b) As sentenças I e II estão corretas.
 c) As sentenças III e IV estão corretas.
 d) As sentenças I, II e IV estão corretas.
Jardel
Retângulo
Jardel
Retângulo
Jardel
Retângulo
Jardel
Retângulo
3. Os riscos de segurança da informação estão atrelados a vários fatores, como vulnerabilidade dos sistemas de
proteção, integridade, disponibilidade e acessibilidade às informações da organização. Podem ser definidos como
ações que podem ocorrer e existe probabilidade de acontecer em algum momento um problema relacionado a
riscos de segurança. Com relação às etapas da gestão de riscos, analise as opções a seguir:
I- Medidas de proteção, impacto e análise de incidentes.
II- Estabelecimento do contexto, identificação e análise de riscos.
III- Avaliação, tratamento e aceitação de riscos.
IV- Analise das projeções, distribuição e análise do uso dos dados.
Agora, assinale a alternativa CORRETA:
 a) As opções II e III estão corretas.
 b) Somente a opção III está correta.
 c) As opções II e IV estão corretas.
 d) Somente a opção I está correta.
4. O advento da tecnologia da informação tem proporcionado grandes mudanças aos sistemas de informação das
organizações, permitindo a obtenção das informações relevantes de forma mais eficaz e, consequentemente,
gerando um aumento de produtividade e competividade no mercado. Em contrapartida, destaca-se os problemas
de segurança que a tecnologia traz, já que estas informações estão vulneráveis e podem ser objeto de furto ou
destruição. Diante disso, no que tange à segurança da informação nos meios tecnológicos, classifique V para as
sentenças verdadeiras e F para as falsas:
( ) Para um controle de segurança eficaz deve haver um processo reiterado de avaliação de riscos, o qual
possibilitará identificar as ameaças aos ativos, as vulnerabilidades com suas respectivas probabilidades de
ocorrência e os impactos ao negócio.
( ) A segurança da informação é obtida com a utilização de controles de segurança, como: políticas, práticas,
procedimentos, estruturas organizacionais e infraestruturas de hardware e software.
( ) As ameaças à segurança da informação se concentram apenas em dois aspectos: naturais e lógicos.
( ) A redução dos riscos à segurança da informação passa por um processo contínuo de planejamento,
execução, avaliação e ação corretiva.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) V - F - V - F.
 c) V - V - F - V.
 d) F - F - F - V.
5. A rotina da geração das cópias de segurança em ambiente de informação é um ponto muito importante e que deve
ser amplamente planejado. A frequência com que estas cópias serão geradas, normalmente, pode seguir a
frequência com que as informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de um
sistema de informação de uma organização recebe atualizações constantes e diárias, também diária deverá ser a
geração das cópias de segurança. Entretanto, tão importante quanto gerar as cópias de segurança é poder utilizá-
las para a pronta restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, com o
objetivo de garantir a qualidade dos backups. Sobre os testes de restauração das cópias de segurança, classifique
V para as sentenças verdadeiras e F para as falsas:
( ) Nos testes deve ser verificada a integridade da informação armazenada.
( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos.
( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da equipe.
( ) Nos testes, mesmo que tenha sido identificado algum procedimento desatualizado ou ineficaz, o mais
importante é que a cópia seja gerada.
( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a solução será fazer novas
cópias.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - F - F.
 b) F - V - F - V - F.
 c) V - V - V - F - F.
 d) V - F - V - V - V.
6. A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem a sua aplicação,
construção e funcionamento, sendo que cada momento do processo de desenvolvimento possui artefatos com
características específicas e voltados para profissionais com habilidades específicas. Com base neste pressuposto,
analise as afirmativas a seguir:
I- A documentação utilizada para desenvolver um sistema, embora importante para os profissionais de
desenvolvimento, não é relevante para os auditores, uma vez que estes terão acesso irrestrito ao software pronto.
II- A documentação do usuário descreve de que forma este deve usar o sistema, informando procedimentos para
entrada de dados e posterior correção, bem como o uso de relatórios.
III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser objeto de auditoria,
visando a garantir a integridade dos artefatos gerados.
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve de que forma o usuário deve
operar o sistema, informando procedimentos para entrada de dados e posterior correção,bem como o uso de
relatórios.
Agora, assinale a alternativa CORRETA:
 a) As afirmativas I, II e III estão corretas.
 b) As afirmativas I, III e IV estão corretas.
 c) As afirmativas II e III estão corretas.
 d) As afirmativas I e IV estão corretas.
7. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que
estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou,
primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de
sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve
funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme
planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e
padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
 a) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além
disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC
13335 e IEC 61508.
 b) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total,
sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
 c) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir
muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO
17799 passou a ser referenciada como sinônimo de segurança da informação.
 d) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características
para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por
último, a criação do comitê de segurança.
8. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da
informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de
segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses
conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O
impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à
falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do
ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de
condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de
central de água gelada.
III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser
constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que
informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
 a) As afirmativas I e II estão corretas.
 b) As afirmativas I e III estão corretas.
 c) As afirmativas II, III e IV estão corretas.
 d) As afirmativas I e IV estão corretas.
9. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as atividades e as
funcionalidades são dependentes das tecnologias, pois todos eles precisam ser processados pelos sistemas
informatizados. Outro fator que deve ser analisado é que toda a informação da organização possui um custo, tanto
as informações quanto a estrutura que este setor precisa ter para disponibilizar a segurança dos dados. De acordo
com Caruso e Steffen (1999), existem duas classes principais de materiais e atividades em processo. Sobre essas
classes, análise as seguintes afirmativas:
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes e desastres de
processamento.
II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de informação.
III- Sistemas de programas de aplicações ou de controle da atividade e informações relacionadas.
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas de processo de
informação.
Agora, assinale a alternativa CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. 2. ed. rev. e
ampl. São Paulo: Editora SENAC São Paulo, 1999.
 a) As afirmativas II e III estão corretas.
 b) Somente a afirmativa III está correta.
 c) As afirmativas I e II estão corretas.
 d) Somente a afirmativa IV está correta.
10. A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim
como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade,
precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o
COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes,
adequando-se aos princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles?
 a) Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação.
 b) Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação.
 c) Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte.
 d) Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação.
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir
autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações
a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma
chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à
assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma
política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) III e IV.
 b) I, II e III.
 c) II, III e IV.
 d) I e II.
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca
de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da
informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios
tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem
qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto
financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio
sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um
plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de negócio de gerenciamentode projetos.
 b) Plano de negócio.
 c) Plano de negócio de gerência de riscos.
 d) Plano de contingência.
Prova finalizada com 8 acertos e 4 questões erradas.