Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir: I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. Assinale a alternativa CORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) As sentenças I, II e III estão corretas. b) As sentenças I e IV estão corretas. c) As sentenças II e IV estão corretas. d) Somente a sentença III está correta. 2. A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários: a) Identificação das necessidades e requisitos. b) Tratamento. c) Uso. d) Obtenção. 3. A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa um risco concreto e uma ameaça para qualquer organização. É nesse enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano de continuidade de negócios é manter as operações de uma organização funcionando no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de continuidade de negócios, assinale a alternativa CORRETA: a) As atualizações no plano de continuidade de negócios ocorrem somente após um evento de falha de segurança. b) O plano de continuidade de negócios objetiva manter todas as operações da organização em funcionamento, no caso da ocorrência de um evento de falha de segurança. c) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_1%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_2%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_3%20aria-label= d) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga maior impacto para a organização. 4. A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses princípios, analise as sentenças a seguir: I- Na aplicação do princípio da confidencialidade, pode-se usar a criptografia. II- Na aplicação do princípio da integridade, pode-se usar dispositivos biométricos. III- Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão (IDS). IV- Na aplicação do princípio do não repúdio, pode-se usar cópias de segurança. Assinale a alternativa CORRETA: a) As sentenças I e III estão corretas. b) As sentenças I e II estão corretas. c) Somente a sentença I está correta. d) As sentenças III e IV estão corretas. 5. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade especifica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Questões que se referem aos objetivos de auditoria de controle de aquisição, desenvolvimento, manutenção e documentação de sistemas aplicativos, devem ser respondidas. Sobre quais são essas questões, classifique V para as sentenças verdadeiras e F para as falsas: ( ) As definições são realizadas de forma diligente, confrontando os conhecimentos dos usuários com os de analista de sistema, visando dar suporte aos projetos? ( ) As realizações de testes e instalação na produção são feitos sem impactos para os usuários? ( ) Os usuários são quem decidem pela compra, baseados na deficiência interna de desenvolvimento? ( ) Perguntas básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e de análise de custo e benefícios, por exemplo, são respondidas quando decide-se pelas compras externas? FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - V - V - F. b) F - F - V - V. c) V - F - F - V. d) V - V - F - V. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_4%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_5%20aria-label= 6. A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir: I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos. II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de aprovações gerenciais nem atualizações. III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas. Assinale a alternativa CORRETA: FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi- laboratorio-e-arrasa-muitos-anos-pesquisa-para.html.Acesso em: 14 fev. 2020. a) As afirmativas II e III estão corretas. b) Somente a afirmativa I está correta. c) As afirmativas I e III estão corretas. d) Somente a afirmativa III está correta. 7. Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas desvantagens destes tipos de softwares, assinale a alternativa CORRETA: a) Quando precisa processar arquivos em formatos diversos. b) Em situações em que exijam cálculos complexos. c) O auditor não precisa ser um especialista em informatica. d) Quando precisa processar vários arquivos. 8. O controle de auditoria organizacional possui a finalidade de garantir que todos os dados e as informações referentes ao fluxo e às transações financeiras da organização estejam em plena segurança. O controle organizacional possui a configuração específica para cada atividade que precisa ser realizada através de ferramentas e sistemas de informação. Todos os processos de alteração ou inclusão de dados ficam registrados neste controle, o que permite que os gestores tenham total controle das economias da organização. Sobre as responsabilidades dos controles organizacionais, classifique V para as opções verdadeiras e F para as falsas: ( ) Planejamento, aquisição e restruturação dos sistemas de informação seguras. ( ) Responsabilidades operacionais delineadas conforme políticas de segurança. ( ) Manutenção realizada de forma planejada, com controle de documentação e versões do sistema. ( ) Desenvolvimento e implementação de políticas de segurança e capacitação dos usuários. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - F. b) F - V - V - F. c) V - F - F - V. d) F - V - F - V. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_6%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_7%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_8%20aria-label= 9. Os ativos de informações são considerados como os principais itens que devem ser preservados com a segurança da informação em uma organização. Estes ativos devem estar sempre disponíveis. No entanto, devem seguir alguns princípios, como ser íntegros, precisam ser verdadeiros, fidedignos; devem estar sempre disponíveis para seus usuários que possuem acesso; precisam ser confiáveis, garantindo que apenas usuários permitidos possam acessar os dados e as informações. Segundo Fontes (2006), proteger as informações vai além da confidencialidade, integridade e disponibilidade. Sobre o que envolve proteger as informações, analise as opções a seguir: I- Auditoria e legalidade. II- Processamento e obtenção. III- Requisitos e descarte. IV- Armazenamento e distribuição. Agora, assinale a alternativa CORRETA: FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. a) As opções I e III estão corretas. b) As opções II e III estão corretas. c) Somente a opção I está correta. d) Somente a opção IV está correta. 10.Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019. a) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel. b) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica. c) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação. d) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_9%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_10%20aria-label= 11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) I e II. b) II, III e IV. c) I, II e III. d) III e IV. 12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerência de riscos. b) Plano de negócio de gerenciamento de projetos. c) Plano de contingência. d) Plano de negócio. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_11%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_12%20aria-label=
Compartilhar