Segurança da Informação: Conceitos e Medidas

Prévia do material em texto

07/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/4
Acadêmico: Cleane Silva Pinheiro (2624143)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
Prova: 18711195
Nota da Prova: 8,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura,
gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O
conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares
e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as
opções verdadeiras e F para as falsas:
( ) Política de mesa limpa e tela limpa.
( ) Segurança para micros, terminais e estações.
( ) Proteção de documentos em papel.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V.
 b) F - F - V.
 c) F - V - V.
 d) F - V - F.
2. As ferramentas generalistas de auditoria são programas que podem ser utilizados pelo auditor para, entre outras funções, simular, analisar amostras,
processar, gerar dados estatísticos, sumarizar, apontar duplicidade. Além disso, esses softwares têm como vantagens a capacidade de processar diversos
arquivos ao mesmo tempo, além de poder processar vários tipos de arquivos em vários formatos. Existem diversos programas para essas finalidades, com
base nesses sistemas, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e análise de dados.
( ) Audit Command Language (ACL) é um software que auxilia auditores internos e externos na realização de testes em arquivos de dados.
( ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de dados.
( ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto. 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - F - V.
 b) F - V - V - F.
 c) V - F - F - V.
 d) F - F - V - V.
3. A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um
indivíduo ou uma organização. Com relação aos principais atributos da segurança da informação, classifique V para as sentenças verdadeiras e F para as
falsas:
( ) Confidencialidade: deve limitar o acesso à informação tão somente às entidades legítimas, ou seja, aquelas autorizadas pelo proprietário da informação.
( ) Autenticidade: deve garantir que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação,
incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
( ) Disponibilidade: essa propriedade garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados
pelo proprietário da informação.
( ) Integridade: é a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V - F.
 b) F - V - V - V.
 c) V - V - V - F.
 d) V - F - F - F.
07/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/4
4. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem ocorridos na internet, ainda não compreenderam a eminente
necessidade da segurança da informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial enorme de causar danos
irreparáveis e de grande prejuízo às organizações. Desta forma, faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da
segurança da informação. No que tange ao tratamento do risco, analise as sentenças a seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a instituição de uma política de segurança, a definição de controles
de acesso físicos e lógicos, entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos identificados nas fases anteriores.
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de segurança da informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação, estabelecendo uma diretriz e os princípios gerais para gestão da
segurança da informação em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as consequências dos danos gerados.
Assinale a alternativa CORRETA:
 a) As sentenças I, III e IV estão corretas.
 b) As sentenças I, II e V estão corretas.
 c) As sentenças II, IV e V estão corretas.
 d) As sentenças I, II e IV estão corretas.
5. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve
prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres.
Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência.
Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
 a) As sentenças I e II estão corretas.
 b) As sentenças II e IV estão corretas.
 c) As sentenças I e III estão corretas.
 d) Todas as sentenças estão corretas.
6. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um dos objetivos averiguar se o
seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações
tecnológicas promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos
aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que:
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este contingenciamento.
II- Deve-se manter uma relação completa e atualizada dos aplicativos.
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades.
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua importância no contexto geral.
Assinale a alternativa CORRETA:
 a) As sentenças I, II e III estão corretas.
 b) As sentenças II e IV estão corretas.
 c) As sentenças III e IV estão corretas.
 d) Somente a sentença IV está correta.
7. A auditoriade sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria tradicional. As abordagens mais comuns são
dependentes da sofisticação do sistema computadorizado e se classificam em abordagem ao redor do computador, através do computador e com o
computador. Com relação às abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças a seguir:
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação.
II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior parte das atividades de rotina é executada
manualmente.
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a conhecimentos sobre processamento eletrônico de
dados.
IV- A abordagem através do computador é uma melhoria da abordagem com o computador.
V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na auditoria, de acordo com as necessidades
específicas.
Agora, assinale a alternativa CORRETA:
 a) As sentenças I, II e V estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças II e III estão corretas.
 d) As sentenças III e IV estão corretas.
07/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/4
8. Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os
princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as
falsas:
( ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a
fim de aumentar a eficiência no gerenciamento da segurança de TI.
( ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
( ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
( ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
( ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante
que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - F - V.
 b) V - V - F - F - V.
 c) V - F - V - V - V.
 d) F - V - F - V - F.
9. ?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a processos, produtos e serviços, constituem recursos cada vez mais
críticos para o alcance da missão e dos objetivos organizacionais? (BEAL, 2008, p. 96). No trecho citado, a autora destaca a importância que a informação
vem assumindo para as organizações como ativo, principalmente devido à evolução dos computadores e da internet. No que se refere à utilização da
informação como um ativo organizacional, analise as sentenças a seguir:
I- A etapa mais importante em todo o processo de gestão da informação é a de aquisição, pois é nesta etapa que a organização delimita quais são suas
necessidades e requisitos em termos de informação.
II- A preocupação com a proteção da informação restringe-se às informações armazenadas em mídias digitais.
III- A etapa de tratamento da informação consiste em um ou n processos, com a finalidade de torná-la mais organizada e, consequentemente, mais
acessível aos usuários.
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se separar as informações em duas categorias: as informações obtidas sem
custo para a organização e as informações obtidas com custo para a organização, priorizando sempre estas últimas na alocação dos recursos disponíveis.
Agora, assinale a alternativa CORRETA:
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações. São Paulo:
Atlas, 2008.
 a) As sentenças I e II estão corretas.
 b) Somente a sentença III está correta.
 c) As sentenças I, II e III estão corretas.
 d) As sentenças I e IV estão corretas.
10. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema,
ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de
sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de
linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se
tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o
Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas:
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a
confiança nos relacionamentos entre as organizações.
III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de
auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
 a) As afirmativas I e III estão corretas.
 b) Somente a afirmativa II está correta.
 c) As afirmativas II e III estão corretas.
 d) As afirmativas I e II estão corretas.
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e
integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto
da rede. 
É correto apenas o que se afirma em:
 a) I, II e III.
 b) III e IV.
 c) I e II.
 d) II, III e IV.
07/06/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/4
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior
produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma
parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No
entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos
processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano paraeliminar ou
reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
 a) Plano de negócio de gerência de riscos.
 b) Plano de negócio.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de contingência.
Prova finalizada com 8 acertos e 4 questões erradas.