Segurança em Tecnologia da Informação (GTI08) - Avalição Final Objetiva 2020

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:637457) 
( peso.:3,00) 
Prova: 19244862 
Nota da 
Prova: 
10,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. Ter um Plano de Continuidade de Negócios - PCN -(do termo inglês Business 
Continuity Plan - BCP) é definir todos os possíveis riscos inerentes ao negócio, em 
todas as áreas da empresa e formalizar as medidas contingenciais cabíveis de serem 
executadas no caso de concretização de eventos danosos, ou seja, em qualquer 
situação que afete a normal condução dos negócios. Com base no Plano de 
Continuidade de Negócios (BCP), classifique V para as sentenças verdadeiras e F 
para as falsas: 
 
( ) O BCP auxilia na preparação para enfrentar incidentes dos processos 
operacionais, que poderiam colocar a missão e a saúde financeira da organização em 
risco. 
( ) É recomendável no BCP, a utilização de um plano de reinicialização de 
negócios (Business Resumption Planning - BRP). 
( ) Devido às suas características de construção da documentação do BCP, ele não 
possui uma fase de testes. 
( ) Na fase de documentação e desenvolvimento do plano BCP, encontra-se a etapa 
conhecida por Gestão de Crises (Crisis Management - CM). 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - F. 
 b) V - F - F - V. 
 c) V - F - V - F. 
 d) V - V - F - V. 
 
2. A informação utilizada pela organização é um bem valioso e necessita ser protegido 
e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a 
confidencialidade, a legalidade e a auditabilidade da informação, independentemente 
do meio de armazenamento, de processamento ou de transmissão utilizado. Toda 
informação também deve ser protegida para que não seja alterada, acessada e 
destruída indevidamente. Com relação aos possíveis ataques à segurança, classifique 
V para as sentenças verdadeiras e F para as falsas: 
 
( ) O roubo de dados armazenados em arquivos magnéticos é um problema para a 
segurança lógica. 
( ) A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque 
físico. 
( ) A limitação de acessos aos arquivos, através da disponibilidade limitada de 
acesso, é uma forma de segurança lógica. 
( ) A estrutura de controle da segurança da informação pode ser centralizada ou 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_2%20aria-label=
descentralizada. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. 
São Paulo: Saraiva, 2006. 
 a) F - V - F - V. 
 b) F - V - V - V. 
 c) V - F - F - V. 
 d) V - F- V - F. 
 
3. A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça para qualquer organização. É nesse 
enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano 
de continuidade de negócios é manter as operações de uma organização funcionando 
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de 
continuidade de negócios, assinale a alternativa CORRETA: 
 a) O plano de continuidade de negócios objetiva manter todas as operações da 
organização em funcionamento, no caso da ocorrência de um evento de falha de 
segurança. 
 b) As atualizações no plano de continuidade de negócios ocorrem somente após um 
evento de falha de segurança. 
 c) O plano de continuidade de negócios tem sua atuação restrita a processos de 
negócio. 
 d) O plano de continuidade de negócios deve priorizar as operações cuja paralisação 
traga maior impacto para a organização. 
 
4. Os sistemas de informação computadorizados e o acesso às dependências onde eles 
se encontram são em muitos casos negligenciados. Muito se ouve falar de 
criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para 
dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco 
sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas 
estão funcionando. Quando o assunto é colocado em pauta, as informações não são 
divulgadas como deveriam. Os profissionais usuários com pouco conhecimento de 
segurança em informática acabam por desacreditar da possibilidade de ocorrência de 
graves prejuízos para a empresa. Com relação ao acesso ao físico, classifique V para 
as sentenças verdadeiras e F para as falsas: 
 
( ) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no 
computador ou na rede. 
( ) Como exemplo de uma barreira física, podemos citar uma simples parede ou até 
mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede. 
( ) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou 
roletas de controle de acesso físico. 
( ) Quando a empresa define um acesso físico restrito, a segurança lógica acaba 
sendo desnecessária. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_4%20aria-label=
 
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente 
de TI: Segurança física da informação em pequenas empresas e estudo de caso em 
Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 
2017. 
 a) V - V - F - V. 
 b) V - V - V - F. 
 c) F - V - F - V. 
 d) V - F - V - F. 
 
5. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação à segurança ambiental das informações, assinale a alternativa 
INCORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2019. 
 a) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de 
incêndio, devem ser constantemente verificados e treinados. 
 b) Em decorrência da necessidade do controle das condições ambientais e de 
confiabilidade para o sistema de condicionamento de ar, é recomendável a 
instalação de condicionadores do tipo compacto (self-contained). 
 c) A retirada do descarte e do transporte são fatores ambientais que devem ter 
controles específicos, evitando que informações sejam acessadas indevidamente. 
 d) A parte de climatização na segurança ambiental refere-se ao bem-estar dos 
usuários na utilização do ambiente apenas. 
 
6. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes 
de determinar se algo funcionou, primeiramente será preciso definir como se 
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento 
onde você avalia todos os componentes deseu sistema e determina como cada um 
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha 
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para 
garantir a qualidade do sistema de gestão da segurança da informação, utilizamos 
normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, analise as seguintes afirmativas: 
 
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da 
informação para os responsáveis pela segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_5%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_6%20aria-label=
efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos 
relacionamentos entre as organizações. 
III- O Comercial Computer Security Centre (CCSC), criadora da norma 
Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de 
auxiliar a comercialização de produtos para segurança de Tecnologia da Informação 
(TI) através da criação de critérios para avaliação da segurança. 
 
Assinale a alternativa CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de 
Janeiro: LTC, 2014. 
 a) As afirmativas II e III estão corretas. 
 b) As afirmativas I e III estão corretas. 
 c) As afirmativas I e II estão corretas. 
 d) Somente a afirmativa II está correta. 
 
7. Vivemos em uma época que, quando uma empresa tem sua estrutura física destruída 
por alguma catástrofe, a sua recuperação é mais fácil, pois ela simplesmente pode 
reabrir uma nova sede e continuar suas atividades desde que seus dados estejam 
protegidos. Já em uma situação inversa, em que os dados da empresa foram perdidos, 
com certeza será uma perda irreparável. Hoje, a informação tem um valor muito 
grande para as empresas e alguns objetivos devem ser considerados para a 
preservação das informações. Com base no exposto, assinale a alternativa 
CORRETA: 
 a) As características básicas da segurança da informação são confidencialidade, 
integridade e risco, e esses atributos não são exclusivos dos sistemas 
computacionais. 
 b) Disponibilidade: é a garantia de que a informação seja íntegra e disponível a 
todos no momento em que desejar. 
 c) Integridade: é a garantia de que a informação foi manuseada para atender aos 
objetivos. 
 d) Confidencialidade: é a garantia de que a informação será acessada somente por 
quem tem a autorização para o acesso. 
 
8. A auditoria de sistema de informação visa a avaliar as funções e as operações dos 
sistemas de informação, assim como atestar se os dados e as demais informações 
neles contidos correspondem aos princípios de integridade, precisão e 
disponibilidade, sendo considerado um instrumento para a gestão de segurança. 
Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos 
padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente 
citados. O COBIT está dividido em quatro domínios. Quais são eles? 
 a) Planejamento e organização, aquisição e implementação, monitoração e suporte, 
entrega e avaliação. 
 b) Organização e aquisição, implementação e programação, entrega e monitoração, 
avaliação e suporte. 
 c) Planejamento e organização, aquisição e implementação, entrega e suporte, 
monitoração e avaliação. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_8%20aria-label=
 d) Planejamento e implementação, aquisição e organização, entrega e suporte, 
monitoração e avaliação. 
 
9. É de conhecimento que os incidentes geram prejuízos financeiros para as 
organizações. Eles ocasionam perdas ou degradações ao ambiente, ou ambos, sendo 
que seus efeitos são percebidos através da avaliação dos impactos causados. Estes 
impactos, por sua vez, são classificados com relação à influência exercida sobre os 
aspectos de confidencialidade, integridade e disponibilidade. Avalie os efeitos 
relacionados a seguir: 
 
I- Perda significante dos principais ativos e recursos. 
II- Impossibilidade de continuar com as atividades de negócio. 
III- Perda dos principais ativos e recursos. 
IV- Perda de alguns dos principais ativos e recursos. 
 
Com relação a categoria, assinale a alternativa CORRETA que apresenta, 
respectivamente, a classificação dos impactos dos efeitos citados: 
 a) Alto, Médio, Médio, Baixo. 
 b) Alto, Alto, Médio e Baixo. 
 c) Médio, Alto, Médio e Médio. 
 d) Médio, Médio, Baixo e Baixo. 
 
10. A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à 
tecnologia de informação, em 1950, em que mudanças foram provocadas em todos 
os ambientes de negócios. As instituições e as empresas comerciais começaram a 
expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do 
sistema de processamento eletrônico de dados emanados do uso difundido de 
Tecnologia de Informação geraram a necessidade de os auditores internos e 
independentes possuírem habilidade em processamento eletrônico de dados, bem 
como a necessidade de aumentar as técnicas e as ferramentas de avaliação de 
sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos 
objetivos da auditoria, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) Verificar se os ativos estão preservados adequadamente. 
( ) Examinar a integridade, a confiabilidade e a eficiência do sistema de informação 
e dos relatórios financeiros nele produzidos. 
( ) Verificar se os recursos estão sendo empregados em função da análise de custo 
e benefício. 
( ) Garantir a alteração dos controles do sistema que está sendo implementado e 
que está sendo inutilizado. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-
introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019. 
 a) F - F - V - F. 
 b) V - F - F - F. 
 c) V - V - V - F. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_9%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_10%20aria-label=
 d) F - V - V - V. 
 
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidadede ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio. 
 b) Plano de contingência. 
 c) Plano de negócio de gerência de riscos. 
 d) Plano de negócio de gerenciamento de projetos. 
 
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) II, III e IV. 
 b) I e II. 
 c) III e IV. 
 d) I, II e III. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDQxNQ==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MTkyNDQ4NjI=#questao_12%20aria-label=