Segurança em Tecnologia da Informação Final

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação
	Avaliação:
	Avaliação Final (Objetiva) -
	
	
	
	
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	Dentro do ciclo de vida das informações de uma organização, a etapa do descarte pode representar um risco para os objetivos de segurança quando não são observados os devidos cuidados. Neste contexto, analise as sentenças a seguir:
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, pois estes podem conter informações valiosas que não foram devidamente apagadas de seus dispositivos de armazenamento.
II- Informações armazenadas em meio analógico (documentos em papel, atas de reuniões, contratos etc.) devem seguir critérios rígidos de destruição segura para evitar a recuperação de informações confidenciais.
III- A simples exclusão de informações confidenciais de um microcomputador cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações não podem ser recuperadas através do uso de utilitários de recuperação de dados.
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma vez que os objetivos de confidencialidade, integridade e disponibilidade têm prioridade sobre os demais.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças I, II e III estão corretas.
	 b)
	As sentenças I e II estão corretas.
	 c)
	As sentenças III e IV estão corretas.
	 d)
	As sentenças I, II e IV estão corretas.
	2.
	A auditoria no desenvolvimento e na manutenção dos sistemas de informação é essencial e garante que qualquer alteração não torne todo o sistema ou a rede vulnerável e insegura. Esses processos de desenvolvimento e manutenção envolvem profissionais de TI que possuem conhecimento suficiente, para assegurar que as novas versões dos sistemas sejam seguras. Estes procedimentos devem atender especificamente às políticas de segurança e disponibilizar o pleno funcionamento do negócio da organização. É preciso implementar certos procedimentos de desenvolvimento, manutenção e documentação dos sistemas para garantir a segurança das tecnologias da informação. Sobre esses processos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Capacitação, treinamentos e desenvolvimento dos usuários.
(    ) Conscientizar, implantar cursos e palestras para divulgar a segurança.
(    ) Aquisição, planejamento e manutenções preventivas.
(    ) Modificação, documentação e especificação dos programas.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - F.
	 b)
	V - F - F - V.
	 c)
	V - V - V - F.
	 d)
	F - F - V - V.
	3.
	A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir:
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos.
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de aprovações gerenciais nem atualizações.
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas.
Assinale a alternativa CORRETA:
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020.
	 a)
	As afirmativas I e III estão corretas.
	 b)
	Somente a afirmativa I está correta.
	 c)
	As afirmativas II e III estão corretas.
	 d)
	Somente a afirmativa III está correta.
	4.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
(    ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
(    ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
(    ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	V - F - F - F.
	 b)
	F - F - F - V.
	 c)
	F - V - V - V.
	 d)
	V - V - V - F.
	5.
	A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de todos os usuários de informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste manancial informativo. O documento desta política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por cada integrante na organização às informações.
(    ) A política estabelece seus controles, padrões e procedimentos.
(    ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros documentos subordinados em hierarquia à política, que são definidos pelo Security Officer. 
(    ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por padrões e procedimentos. 
(    ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - V - F.
	 b)
	V - F - F - V - F.
	 c)
	F - V - F - F - F.
	 d)
	F - F - V - F - V.
	6.
	Devido a sua importância, os sistemas de informações de uma empresa devem ser muito bem protegidos. Para avaliar se os controles são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor focará na avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. Para facilitar o trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas em algumas tarefas. Sobreessas tarefas, assinale a alternativa CORRETA:
	 a)
	Testes de controles específicos, testes geral de transações, analítico e substantivo e amostragem.
	 b)
	Testes de controles específicos e amostragem.
	 c)
	Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e amostragem.
	 d)
	Testes geral de transações, analítico e amostragem.
	7.
	A auditoria é uma atividade que inclui a análise das operações, processos, sistemas e responsabilidades gerenciais de uma entidade. Ela busca verificar sua conformidade com certos objetivos e padrões. A auditoria para sistema aplicativo deve fazer algumas verificações. Com base nessa auditoria, classifique V para as sentenças verdadeiras e F para as falsas:
I- As operações apontadas nos sistemas são derivadas das operações habituais da empresa.
II- Os princípios são de maneira uniforme empregados nos sistemas, subsistemas e sistemas consolidadores das contas ou grupos de contas contábeis, em relação aos exercícios anteriores.
III- As operações estão perfeitamente contabilizadas nos sistemas, independente das legislações vigentes.
IV- Os controles independentes introduzidos nos sistemas aplicativos são plenamente aplicados para garantir as consistências dos lançamentos, garantia dos processamentos e a geração de relatórios que espelham o resultado das operações.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças II, III e IV estão corretas.
	 b)
	Somente a sentença III está correta.
	 c)
	As sentenças I, III e IV estão corretas.
	 d)
	As sentenças I, II e IV estão corretas.
	8.
	Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações confidenciais, quebra de criptografia, ataque a sites por hackers. Quando falamos em segurança da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a disponibilidade da informação. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses princípios, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O princípio da integridade busca garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal.
(    ) O princípio da confidencialidade tem como objetivo garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta. 
(    ) Na aplicação do princípio da disponibilidade, somente pode-se usar sistemas de detecção de intrusão (IDS).
(    ) Na aplicação do princípio do não repúdio, busca-se garantir que a pessoa não negue ter assinado ou criado a informação, ele fornece provas de que um usuário realizou uma determinada ação, como transferir dinheiro, autorizar uma compra, ou enviar uma mensagem.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V - F.
	 b)
	F - F - F - V.
	 c)
	F - F - V - V.
	 d)
	V - V - F - F.
	9.
	A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma política de segurança de tecnologia da informação, possibilitando o estabelecimento de prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto na organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se concretizar ou minimizam o grau de vulnerabilidade de determinado ativo.
(    ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em caso de mudança de algum recurso computacional de hardware ou software.
(    ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios a relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com medidas de segurança para o mesmo.
(    ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: gravidade do impacto e probabilidade de ocorrência do incidente, representa um método qualitativo de avaliação de riscos.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	F - V - F - V.
	 c)
	V - F - V - V.
	 d)
	V - F - V - F.
	10.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as opções verdadeiras e F para as falsas:
(    ) Política de mesa limpa e tela limpa.
(    ) Segurança para micros, terminais e estações.
(    ) Proteção de documentos em papel.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V.
	 b)
	V - F - V.
	 c)
	F - F - V.
	 d)
	F - V - F.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	II, III e IV.
	 b)
	I e II.
	 c)
	I, II e III.
	 d)
	III e IV.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio.
	 b)
	Plano de contingência.
	 c)
	Plano de negócio de gerência de riscos.
	 d)
	Plano de negócio de gerenciamento de projetos.
Parte inferior do formulário