Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:637457) ( peso.:3,00) Prova: 19244862 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada 1. Ter um Plano de Continuidade de Negócios - PCN -(do termo inglês Business Continuity Plan - BCP) é definir todos os possíveis riscos inerentes ao negócio, em todas as áreas da empresa e formalizar as medidas contingenciais cabíveis de serem executadas no caso de concretização de eventos danosos, ou seja, em qualquer situação que afete a normal condução dos negócios. Com base no Plano de Continuidade de Negócios (BCP), classifique V para as sentenças verdadeiras e F para as falsas: ( ) O BCP auxilia na preparação para enfrentar incidentes dos processos operacionais, que poderiam colocar a missão e a saúde financeira da organização em risco. ( ) É recomendável no BCP, a utilização de um plano de reinicialização de negócios (Business Resumption Planning - BRP). ( ) Devido às suas características de construção da documentação do BCP, ele não possui uma fase de testes. ( ) Na fase de documentação e desenvolvimento do plano BCP, encontra-se a etapa conhecida por Gestão de Crises (Crisis Management - CM). Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - V - F - F. b) V - F - F - V. c) V - F - V - F. d) V - V - F - V. 2. A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica. ( ) A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico. ( ) A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica. ( ) A estrutura de controle da segurança da informação pode ser centralizada ou https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_1%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_2%20aria-label= descentralizada. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. a) F - V - F - V. b) F - V - V - V. c) V - F - F - V. d) V - F- V - F. 3. A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa um risco concreto e uma ameaça para qualquer organização. É nesse enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano de continuidade de negócios é manter as operações de uma organização funcionando no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de continuidade de negócios, assinale a alternativa CORRETA: a) O plano de continuidade de negócios objetiva manter todas as operações da organização em funcionamento, no caso da ocorrência de um evento de falha de segurança. b) As atualizações no plano de continuidade de negócios ocorrem somente após um evento de falha de segurança. c) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio. d) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga maior impacto para a organização. 4. Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais usuários com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede. ( ) Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede. ( ) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico. ( ) Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo desnecessária. Assinale a alternativa que apresenta a sequência CORRETA: https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_3%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_4%20aria-label= FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017. a) V - V - F - V. b) V - V - V - F. c) F - V - F - V. d) V - F - V - F. 5. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019. a) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados. b) Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained). c) A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente. d) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários na utilização do ambiente apenas. 6. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes deseu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas: I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_5%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_6%20aria-label= efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações. III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança. Assinale a alternativa CORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) As afirmativas II e III estão corretas. b) As afirmativas I e III estão corretas. c) As afirmativas I e II estão corretas. d) Somente a afirmativa II está correta. 7. Vivemos em uma época que, quando uma empresa tem sua estrutura física destruída por alguma catástrofe, a sua recuperação é mais fácil, pois ela simplesmente pode reabrir uma nova sede e continuar suas atividades desde que seus dados estejam protegidos. Já em uma situação inversa, em que os dados da empresa foram perdidos, com certeza será uma perda irreparável. Hoje, a informação tem um valor muito grande para as empresas e alguns objetivos devem ser considerados para a preservação das informações. Com base no exposto, assinale a alternativa CORRETA: a) As características básicas da segurança da informação são confidencialidade, integridade e risco, e esses atributos não são exclusivos dos sistemas computacionais. b) Disponibilidade: é a garantia de que a informação seja íntegra e disponível a todos no momento em que desejar. c) Integridade: é a garantia de que a informação foi manuseada para atender aos objetivos. d) Confidencialidade: é a garantia de que a informação será acessada somente por quem tem a autorização para o acesso. 8. A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles? a) Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação. b) Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte. c) Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_7%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_8%20aria-label= d) Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação. 9. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles ocasionam perdas ou degradações ao ambiente, ou ambos, sendo que seus efeitos são percebidos através da avaliação dos impactos causados. Estes impactos, por sua vez, são classificados com relação à influência exercida sobre os aspectos de confidencialidade, integridade e disponibilidade. Avalie os efeitos relacionados a seguir: I- Perda significante dos principais ativos e recursos. II- Impossibilidade de continuar com as atividades de negócio. III- Perda dos principais ativos e recursos. IV- Perda de alguns dos principais ativos e recursos. Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a classificação dos impactos dos efeitos citados: a) Alto, Médio, Médio, Baixo. b) Alto, Alto, Médio e Baixo. c) Médio, Alto, Médio e Médio. d) Médio, Médio, Baixo e Baixo. 10. A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Verificar se os ativos estão preservados adequadamente. ( ) Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios financeiros nele produzidos. ( ) Verificar se os recursos estão sendo empregados em função da análise de custo e benefício. ( ) Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo inutilizado. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao- introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019. a) F - F - V - F. b) V - F - F - F. c) V - V - V - F. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_9%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_10%20aria-label= d) F - V - V - V. 11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidadede ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio. b) Plano de contingência. c) Plano de negócio de gerência de riscos. d) Plano de negócio de gerenciamento de projetos. 12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) II, III e IV. b) I e II. c) III e IV. d) I, II e III. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_11%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_12%20aria-label=
Compartilhar