Segurança em Tecnologia da Informação - Avaliação Final (Objetiva)

Prévia do material em texto

1. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela
Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do
projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os
quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) As sentenças I, II e III estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças II e IV estão corretas.
 d) Somente a sentença III está correta.
2. A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem
aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações
seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão
presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação,
assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um
conjunto de processos, a fim de torná-la mais exequível aos usuários:
 a) Identificação das necessidades e requisitos.
 b) Tratamento.
 c) Uso.
 d) Obtenção.
3. A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa
um risco concreto e uma ameaça para qualquer organização. É nesse enfoque que atua o
plano de continuidade de negócios. O objetivo principal do plano de continuidade de negócios é
manter as operações de uma organização funcionando no caso da ocorrência de um evento de
falha de segurança. Com relação ao plano de continuidade de negócios, assinale a alternativa
CORRETA:
 a) As atualizações no plano de continuidade de negócios ocorrem somente após um evento de
falha de segurança.
 b) O plano de continuidade de negócios objetiva manter todas as operações da organização
em funcionamento, no caso da ocorrência de um evento de falha de segurança.
 c) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_2%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_3%20aria-label=
 d) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga
maior impacto para a organização.
4. A segurança da informação está relacionada com a proteção de um conjunto de informações,
no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para
alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos,
como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses
princípios, analise as sentenças a seguir:
I- Na aplicação do princípio da confidencialidade, pode-se usar a criptografia.
II- Na aplicação do princípio da integridade, pode-se usar dispositivos biométricos.
III- Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão
(IDS).
IV- Na aplicação do princípio do não repúdio, pode-se usar cópias de segurança.
Assinale a alternativa CORRETA:
 a) As sentenças I e III estão corretas.
 b) As sentenças I e II estão corretas.
 c) Somente a sentença I está correta.
 d) As sentenças III e IV estão corretas.
5. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos,
sistemas e responsabilidades gerenciais de uma entidade especifica, com o objetivo de verificar
sua conformidade com certos objetivos e padrões. Questões que se referem aos objetivos de
auditoria de controle de aquisição, desenvolvimento, manutenção e documentação de sistemas
aplicativos, devem ser respondidas. Sobre quais são essas questões, classifique V para as
sentenças verdadeiras e F para as falsas:
( ) As definições são realizadas de forma diligente, confrontando os conhecimentos dos
usuários com os de analista de sistema, visando dar suporte aos projetos?
( ) As realizações de testes e instalação na produção são feitos sem impactos para os
usuários?
( ) Os usuários são quem decidem pela compra, baseados na deficiência interna de
desenvolvimento?
( ) Perguntas básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e de
análise de custo e benefícios, por exemplo, são respondidas quando decide-se pelas compras
externas?
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:
Axcel Books do Brasil, 2000.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) F - F - V - V.
 c) V - F - F - V.
 d) V - V - F - V.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_5%20aria-label=
6. A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo
provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável
curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que
consumiram décadas de análises e catalogação de espécies, deixando desesperados seus
pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações
para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles
irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir:
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser
temporários ou totalmente perdidos.
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade
de aprovações gerenciais nem atualizações.
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram
implementadas e testadas.
Assinale a alternativa CORRETA:
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-
laboratorio-e-arrasa-muitos-anos-pesquisa-para.html.Acesso em: 14 fev. 2020.
 a) As afirmativas II e III estão corretas.
 b) Somente a afirmativa I está correta.
 c) As afirmativas I e III estão corretas.
 d) Somente a afirmativa III está correta.
7. Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se
estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O
auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar,
analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados
estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas
desvantagens destes tipos de softwares, assinale a alternativa CORRETA:
 a) Quando precisa processar arquivos em formatos diversos.
 b) Em situações em que exijam cálculos complexos.
 c) O auditor não precisa ser um especialista em informatica.
 d) Quando precisa processar vários arquivos.
8. O controle de auditoria organizacional possui a finalidade de garantir que todos os dados e as
informações referentes ao fluxo e às transações financeiras da organização estejam em plena
segurança. O controle organizacional possui a configuração específica para cada atividade que
precisa ser realizada através de ferramentas e sistemas de informação. Todos os processos de
alteração ou inclusão de dados ficam registrados neste controle, o que permite que os gestores
tenham total controle das economias da organização. Sobre as responsabilidades dos controles
organizacionais, classifique V para as opções verdadeiras e F para as falsas:
( ) Planejamento, aquisição e restruturação dos sistemas de informação seguras.
( ) Responsabilidades operacionais delineadas conforme políticas de segurança.
( ) Manutenção realizada de forma planejada, com controle de documentação e versões do
sistema.
( ) Desenvolvimento e implementação de políticas de segurança e capacitação dos usuários.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - F.
 b) F - V - V - F.
 c) V - F - F - V.
 d) F - V - F - V.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_8%20aria-label=
9. Os ativos de informações são considerados como os principais itens que devem ser
preservados com a segurança da informação em uma organização. Estes ativos devem estar
sempre disponíveis. No entanto, devem seguir alguns princípios, como ser íntegros, precisam
ser verdadeiros, fidedignos; devem estar sempre disponíveis para seus usuários que possuem
acesso; precisam ser confiáveis, garantindo que apenas usuários permitidos possam acessar
os dados e as informações. Segundo Fontes (2006), proteger as informações vai além da
confidencialidade, integridade e disponibilidade. Sobre o que envolve proteger as informações,
analise as opções a seguir:
I- Auditoria e legalidade.
II- Processamento e obtenção.
III- Requisitos e descarte.
IV- Armazenamento e distribuição.
Agora, assinale a alternativa CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2006.
 a) As opções I e III estão corretas.
 b) As opções II e III estão corretas.
 c) Somente a opção I está correta.
 d) Somente a opção IV está correta.
10.Segurança da informação significa proteger seus dados e sistemas de informação de acessos
e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O
conceito de segurança da informação está ligado à confidencialidade, à integridade e à
disponibilidade da informação. O conceito de segurança de processamento está ligado à
disponibilidade e operação da infraestrutura computacional. Esses conceitos são
complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das
informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
 a) Com relação à energia alternativa para a segurança da informação, temos: sistema short
break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente
alternada e um grupo gerador diesel.
 b) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação
elétrica.
 c) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o
acesso devido e restrito à informação.
 d) Fontes de energias alternativas, como no-breaks e geradores, são importantes para
empresas que possuem aplicações on-line.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_9%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_10%20aria-label=
11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com
relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa
ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I e II.
 b) II, III e IV.
 c) I, II e III.
 d) III e IV.
12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir
a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso
elaborar:
 a) Plano de negócio de gerência de riscos.
 b) Plano de negócio de gerenciamento de projetos.
 c) Plano de contingência.
 d) Plano de negócio.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMDM3Mg==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjE3MDIyODk=#questao_12%20aria-label=