Segurança em Tecnologia da Informação (GTI08) Avaliação II

Prévia do material em texto

22/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/4
Acadêmico: Everton de Assis Santos (1637368)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação II - Individual FLEX ( Cod.:514751) ( peso.:1,50)
Prova: 20211163
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria
tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as
necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas promovidas
nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura
quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que:
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois
compromete este contingenciamento.
II- Deve-se manter uma relação completa e atualizada dos aplicativos.
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades.
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com
relação à sua importância no contexto geral.
Assinale a alternativa CORRETA:
 a) Somente a sentença IV está correta.
 b) As sentenças I, II e III estão corretas.
 c) As sentenças III e IV estão corretas.
 d) As sentenças II e IV estão corretas.
2. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as atividades e as
funcionalidades são dependentes das tecnologias, pois todos eles precisam ser processados pelos sistemas
informatizados. Outro fator que deve ser analisado é que toda a informação da organização possui um custo, tanto
as informações quanto a estrutura que este setor precisa ter para disponibilizar a segurança dos dados. De acordo
com Caruso e Steffen (1999), existem duas classes principais de materiais e atividades em processo. Sobre essas
classes, análise as seguintes afirmativas:
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes e desastres de
processamento.
II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de informação.
III- Sistemas de programas de aplicações ou de controle da atividade e informações relacionadas.
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas de processo de
informação.
Agora, assinale a alternativa CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. 2. ed. rev. e
ampl. São Paulo: Editora SENAC São Paulo, 1999.
 a) Somente a afirmativa III está correta.
 b) Somente a afirmativa IV está correta.
 c) As afirmativas I e II estão corretas.
 d) As afirmativas II e III estão corretas.
22/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/4
3. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos
planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada
frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características
devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
 a) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
 b) O plano de continuidade deve ser revisado e testado periodicamente.
 c) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um
processo sigiloso.
 d) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios
de volta à posição em que se encontravam antes do incidente ou desastre.
4. Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas devem ser
tomadas para minimizar os danos provocados por desastres ou ataques, que colocam em risco as informações e
geram perdas dos dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser medidos
quantitativamente e categorizados. Quais são essas categorias?
 a) Necessário, prioritário e urgente.
 b) Ataques, falta de luz e sabotagem.
 c) Incêndio, greve e sabotagem.
 d) Alto, médio e baixo.
5. Para o sucesso da implementação do plano de contingência em uma empresa, é de suma importância que sejam
observadas as funções críticas dos negócios, as quais podem estar enquadradas como de alto, médio ou baixo
risco. Com esta avaliação feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os planos
de contingência de uma empresa devem garantir que:
I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais,
de pessoas, transacionais, entre outros.
II- No momento da ocorrência de algum sinistro, a equipe deve realizar o planejamento da solução e da sua
recuperação.
III- Estejam previstos testes periódicos destes planos.
IV- Na existência de backups com diversas periodicidades, somente um backup semestral precisa estar atualizado.
V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade.
Assinale a alternativa CORRETA:
 a) As sentenças I, III e V estão corretas.
 b) As sentenças I, III, IV e V estão corretas.
 c) As sentenças II, IV e V estão corretas.
 d) As sentenças I, II e III estão corretas.
6. O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante
de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de
hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes
se fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e
desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas
prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em
conformidade com estes planos:
 a) O PCN visa a prover meios da continuidade operacional.
 b) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de
segurança que não puderem ser evitados.
 c) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de
segurança. Outro aspecto negativo a ser considerado é o seu alto custo.
 d) Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem
indisponíveis recursos que possibilitam seu uso.
22/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/4
7. Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos
casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas
criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de
segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é
colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários, com pouco
conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves
prejuízos para a empresa. Com relação ao acesso ao físico, analise as sentenças a seguir:
I- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo desnecessária.
II- Um exemplo de barreirafísica que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico.
III- Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já
na estrutura lógica, um logon em uma rede.
IV- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede.
Assinale a alternativa CORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da
informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía
Latinoamericana, Brasil, mar. 2017.
 a) As sentenças I, II e III estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças II, III e IV estão corretas.
 d) Somente a sentença IV está correta.
8. O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento
que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade,
segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as
organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação
ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?
option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
 a) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no
projeto interno.
 b) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que
se espera deles no caso de um evento de falha de segurança.
 c) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a
conscientização.
 d) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu
envolvimento somente ocorrerá na etapa de sua definição.
22/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/4
9. A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e
abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades,
pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se
tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas
no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do
momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as
falsas:
( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da
proatividade das equipes de segurança.
( ) A abordagem proativa define claramente as responsabilidades individuais,
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
( ) A política proativa trata da questão da segurança das informações com a visão ?Será que o sistema será
atacado??.
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades. 
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - F - V - F.
 b) F - V - V - F - V.
 c) F - F - V - V - V.
 d) V - F - F - V - V.
10. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da
informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de
segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses
conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O
impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à
falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
 a) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser
constantemente verificados e treinados.
 b) A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que
informações sejam acessadas indevidamente.
 c) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de
condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained).
 d) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários na utilização do ambiente
apenas.
Prova finalizada com 10 acertos e 0 questões erradas.