Segurança da Informação e Continuidade de Negócios

Prévia do material em texto

04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/6
1. A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de
todos os usuários de informações e dos sistemas de informações nos aspectos da
confidencialidade, integridade e disponibilidade deste manancial informativo. O documento
desta política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada
um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados
devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V
para as sentenças verdadeiras e F para as falsas:
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados
por cada integrante na organização às informações.
( ) A política estabelece seus controles, padrões e procedimentos.
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros
documentos subordinados em hierarquia à política, que são definidos pelo Security Officer. 
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação,
sustentada por padrões e procedimentos. 
( ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que,
portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F - V - F.
 b) F - F - V - F - V.
 c) F - V - F - F - F.
 d) V - V - V - V - F.
2. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e
uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O
conceito de segurança da informação está ligado à confidencialidade, à integridade e à
disponibilidade da informação. O conceito de segurança de processamento está ligado à
disponibilidade e operação da infraestrutura computacional. Esses conceitos são
complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na
segurança ambiental das informações, analise as opções a seguir:
I- Definição de perímetros lógicos.
II- Energia alternativa.
III- Política de mesa limpa e tela limpa.
IV- Segurança para micros, terminais e estações.
V- Proteção de documentos em papel.
Assinale a alternativa CORRETA:
 a) As opções II, III e V estão corretas.
 b) As opções I, II e V estão corretas.
 c) As opções I, III e IV estão corretas.
 d) As opções II, III e IV estão corretas.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_2%20aria-label=
04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/6
3. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao
escopo das políticas de continuidade dos negócios, deve prover alternativas para o
processamento de transações econômicas e financeiras das organizações em casos de falhas
graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar
a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência.
Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o
maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa
determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para
garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um
ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
 a) Todas as sentenças estão corretas.
 b) As sentenças I e III estão corretas.
 c) As sentenças II e IV estão corretas.
 d) As sentenças I e II estão corretas.
4. Quanto maior a dependência das organizações com relação à tecnologia da informação, maior
a necessidade da elaboração de um plano de continuidade de negócios (PCN). Em qualquer
PCN, o elo mais fraco são os recursos humanos e há a necessidade de se tratar essa situação.
Com relação ao exposto, analise as sentenças a seguir:
I- O descumprimento das políticas de segurança é um dos principais riscos que o fator humano
traz para as organizações no que se refere à utilização de recursos de Tecnologia da
Informação.
II- A padronização dos procedimentos relacionados à utilização dos recursos de Tecnologia da
Informação é um dos métodos mais eficientes para minimizar incidentes de segurança
causados por falha humana.
III- Campanhas de conscientização com relação à política de segurança da organização são
essenciais para o envolvimento das pessoas e consequente minimização da probabilidade de
ocorrência de falha humana.
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é homogêneo
para todos os profissionais envolvidos.
Agora, assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças I, II e III estão corretas.
 c) As sentenças II, III e IV estão corretas.
 d) As sentenças I, II e IV estão corretas.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_4%20aria-label=
04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/6
5. Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades auditadas.
De maneira geral, eles se classificam em dois grandes grupos, os que servem para as
necessidades da auditoria interna e os que são encaminhados para a consecução dos objetivos
da auditora. A geração desses relatórios pode ocorrer em diversos momentos. Com base no
nestes momentos, analise as sentenças a seguir:
I- Relatórios são gerados antes da execução do procedimento de auditoria e constatação de
fatos relevantes indicam áreas que dão prejuízo.
II- Relatórios interinos do processo de auditoria relatarão a situação inteira da auditoria, e são
gerados somente ao final do processo.
III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria de sistemas.
IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para o auditor verificar a
situação.
Agora, assinale a alternativa CORRETA:
 a) Somente a sentença III está correta.
 b) As sentenças I, III e IV estão corretas.
 c) As sentenças I, II e IV estão corretas.
 d) As sentenças II, III e IV estão corretas.
6. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos,
sistemas e responsabilidades gerenciais de uma entidade especifica, com o objetivo de verificar
sua conformidade com certos objetivos e padrões. Questões que se referem aos objetivos de
auditoria de controle de aquisição, desenvolvimento, manutenção e documentação de sistemas
aplicativos, devem ser respondidas. Sobre quais são essas questões, classifique V para as
sentenças verdadeiras e F para as falsas:
( ) As definições são realizadas de forma diligente, confrontando os conhecimentos dos
usuários com os de analista de sistema, visando dar suporte aos projetos?
( ) As realizações de testes e instalação na produção são feitos sem impactos para os
usuários?
( ) Os usuários são quem decidem pela compra, baseados na deficiência interna de
desenvolvimento?
( )Perguntas básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e de
análise de custo e benefícios, por exemplo, são respondidas quando decide-se pelas compras
externas?
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:
Axcel Books do Brasil, 2000.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F - V.
 b) V - V - F - V.
 c) F - V - V - F.
 d) F - F - V - V.
7. A política de segurança e auditoria em sistemas de informação deve descrever processos
contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação,
sendo que, em caso de algum incidente de segurança, deve prever medidas operacionais que
deverão ser executadas para a retomada do funcionamento da organização. Assinale a
alternativa CORRETA que apresenta este conjunto de medidas operacionais:
 a) Auditoria de Sistemas.
 b) Plano de Continuidade.
 c) Plano de Recuperação Urgente.
 d) Política de Recuperação.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_5%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_7%20aria-label=
04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/6
8. O engenheiro de software da AOL Jason Smathers, 24 anos, foi preso em West Virgínia,
próximo à sede do provedor. Promotores entraram com processo na Justiça Federal americana
acusando Smathers e Sean Dunaway, 21 anos e suposto comprador da lista de endereços de
e-mail, por conspiração ao enviar uma enorme quantidade de mensagens comerciais não
solicitadas para milhões de clientes da AOL. Os advogados alegam que Smathers usou seu
conhecimento como membro do quadro de funcionários da AOL para roubar o banco de dados
com os nomes de assinantes do provedor em maio de 2003. A AOL demitiu Smathers, e se
condenados, ele poderá passar até cinco anos na prisão e pagar multas de até 250 mil dólares.
Além das propriedades de confidencialidade, integridade e disponibilidade que foram violadas,
qual foi a outra violação?
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2006.
 a) Auditabilidade.
 b) Legalidade.
 c) Não repúdio de auditoria.
 d) Confirmação de propriedade.
9. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com
os salários de todos os funcionários que estava armazenada em um computador (o servidor de
arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas
visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste caso, um
princípio da segurança da informação comprometido com esse incidente. Sobre o exposto,
classifique V para as sentenças verdadeiras e F para as falsas:
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível.
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação.
( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. 
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário
devido.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) F - F - V - V.
 c) V - F - F - V.
 d) V - V - F - F.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_9%20aria-label=
04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/6
10.Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração
pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do
projeto de Segurança da Informação.
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação.
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os
quais podem ser destacados ISO/IEC 13335 e IEC 61508.
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) V - F - F - F.
 b) F - F - F - V.
 c) F - V - V - V.
 d) V - V - V - F.
11.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir
a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso
elaborar:
 a) Plano de contingência.
 b) Plano de negócio.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de negócio de gerência de riscos.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_11%20aria-label=
04/08/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 6/6
12.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com
relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa
ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informaçãodigital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I, II e III.
 b) III e IV.
 c) I e II.
 d) II, III e IV.
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php#questao_12%20aria-label=