Segurança em Tecnologia da Informação

Prévia do material em texto

Acadêmico:
	
	
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação I - Individual FLEX ( peso.:1,50)
	Prova:
	18240645
	Nota da Prova:
	8,00
	
	
A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, analise as afirmativas a seguir:
I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica.
II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
IV- A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada.
Assinale a alternativa CORRETA
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	As afirmativas II, III e IV estão corretas.
	 b)
	Somente a afirmativas IV está correta.
	 c)
	As afirmativas I, II e III estão corretas.
	 d)
	As afirmativas I, II e IV estão corretas.
	2.
	De uma maneira bem simples, podemos dizer que risco é a "exposição à chance de perdas ou danos", por isso devemos fazer um correto gerenciamento. O gerenciamento de riscos significa identificar riscos e traçar planos para minimizar seus efeitos sobre o projeto. No entanto, é necessário conhecer o correto fluxo de análise e ameaças e riscos. Com relação ao exposto, ordene os itens a seguir:
I- Estabelecimento de prioridades de proteção. 
II- Determinação dos pesos dos riscos. 
III- Avaliação do risco.
IV- Identificação das ameaças. 
V- Adoção de medidas de proteção.
VI- Determinação das probabilidades dos riscos.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	IV - VI - II - III - I - V.
	 b)
	V - III - I - VI - II - IV.
	 c)
	I - VI - II - III - IV - V.
	 d)
	II - IV - VI - III - I - V.
	3.
	Dentro do ciclo de vida das informações de uma organização, a etapa do descarte pode representar um risco para os objetivos de segurança quando não são observados os devidos cuidados. Neste contexto, analise as sentenças a seguir:
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, pois estes podem conter informações valiosas que não foram devidamente apagadas de seus dispositivos de armazenamento.
II- Informações armazenadas em meio analógico (documentos em papel, atas de reuniões, contratos etc.) devem seguir critérios rígidos de destruição segura para evitar a recuperação de informações confidenciais.
III- A simples exclusão de informações confidenciais de um microcomputador cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações não podem ser recuperadas através do uso de utilitários de recuperação de dados.
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma vez que os objetivos de confidencialidade, integridade e disponibilidade têm prioridade sobre os demais.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças I, II e III estão corretas.
	 b)
	As sentenças III e IV estão corretas.
	 c)
	As sentenças I, II e IV estão corretas.
	 d)
	As sentenças I e II estão corretas.
	4.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para falsas:
(    ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
(    ) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
(    ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
(    ) A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	 a)
	F - F - F - V.
	 b)
	V - F - V - F.
	 c)
	V - V - F - F.
	 d)
	F - V - V - V.
	5.
	Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial enorme de causar danos irreparáveis e de grande prejuízo às organizações. Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos, entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases anteriores.
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos danos gerados.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I, II e V estão corretas.
	 b)
	As sentenças I, II e IV estão corretas.
	 c)
	As sentenças I, III e IV estão corretas.
	 d)
	As sentenças II, IV e V estão corretas.
	6.
	A intensificação do uso da computação e das redes de computadores trouxeram para as organizações a capacidade de produzir e consultar informações com uma velocidade e alcance nunca antes imaginados. Ao mesmo tempo, essas tecnologias apresentam vulnerabilidades e fragilidades que exigem medidas de prevenção, objetivando evitar o acesso não autorizado a estas informações. Assinale a alternativa CORRETA que denomina o objetivo de segurança referente a garantir que a informação seja acessada somente por usuários autorizados:
	 a)
	Disponibilidade.
	 b)
	Confidencialidade.
	 c)
	Integridade.
	 d)
	Legalidade.
	7.
	Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as seguintes afirmativas:
I- Um hacker envia um e-mail para um usuário, apresentando-se comoadministrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços.
II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de uma empresa para obter dados.
III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. 
IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo.
Assinale a alternativa CORRETA:
	 a)
	As afirmativas I, II e IV estão corretas.
	 b)
	Somente a afirmativas IV está correta.
	 c)
	As afirmativas II, III e IV estão corretas.
	 d)
	Somente a afirmativa I está correta.
	8.
	A análise dos riscos à segurança da informação consiste na avaliação e verificação dos procedimentos de controle e segurança da informação no campo lógico, físico e ambiental, visando a garantir a integridade, a confidencialidade e a disponibilidade dos dados. Diante disso, assinale a alternativa CORRETA que apresenta um risco de segurança ambiental que deve ser analisado pelo gestor da segurança da informação:
	 a)
	Acessos indevidos ao sistema.
	 b)
	Climatização dos servidores de dados.
	 c)
	Exclusão de arquivos importantes.
	 d)
	Desmazelo com as mídias magnéticas com conteúdo importante.
	9.
	Entende-se por informação baseada em Tecnologia da Informação, ?a informação residente em base de dados, arquivos informatizados, mídias magnéticas ou outras que exijam soluções de informática para acessá-las? (BEAL, 2008, p. 33). Sobre os motivos pelos quais as organizações tomam medidas relacionadas à segurança dos componentes de TI e da informação neles contida, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A maioria das organizações depende intensamente dos recursos de tecnologia da informação para manter a continuidade de suas operações.
(    ) A infraestrutura tecnológica é vulnerável a diversos tipos de ameaças, podendo estas ser de origem lógica, física ou ambiental.
(    ) A segurança, como requisito não funcional, não recebe a devida atenção em projetos de desenvolvimento de software, seja ele interno ou externo.
(    ) A obscuridade apresenta características suficientes para garantir a segurança das informações baseadas em Tecnologia da Informação.
(    ) A simples exclusão de informações confidenciais de um microcomputador não cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações podem ser recuperadas através do uso de utilitários de recuperação de dados.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
	 a)
	F - F - V - V - F.
	 b)
	V - V - V - F - V.
	 c)
	V - F - V - F - V.
	 d)
	F - V - F - V - V.
	10.
	A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Com relação aos conceitos da segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O conceito que garante que a informação seja acessada, alterada e distribuída, por pessoas autorizadas é a comunicabilidade.
(    ) Quando dizemos que uma informação não deve ser alterada ou excluída sem autorização, estamos falando do conceito de integridade.
(    ) O conceito de disponibilidade diz respeito à divulgação das normas de segurança para todos.
(    ) Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://seguranca-da-informacao.info/. Acesso em: 28 mar. 2018.
	 a)
	V - F - V - F.
	 b)
	F - V - F - V.
	 c)
	V - F - F - V.
	 d)
	V - V - F - F.