UNIP - SEGURANÇA DA INFORMAÇÃO - QUESTIONÁRIO UNIDADE III

Prévia do material em texto

· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	A adoção de controles internos aufere custos à organização. Sobre esses custos é correto afirmar que:
I- Quanto mais investimento, mais êxito os controles internos terão.
II- A simples introdução de investimentos não garante a eficácia dos controles internos.
III- É necessária uma avaliação para conhecermos a faixa que maximiza os investimentos e a eficácia do processo de controles internos.
IV- Os controles internos são a base para processo de auditoria, que pode ser representado pelas palavras: exame, investigação e perícia.
	
	
	
	
		Resposta Selecionada:
	d. 
II, III e IV estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: D
Comentário: nem sempre o excesso de investimento resolve a situação. No caso dos controles internos, essa afirmação é uma realidade; como foi mencionado, a introdução das ferramentas de controles internos requer investimentos, porém as organizações devem estar atentas à "curva de eficácia do investimento em controles internos", que nada mais é do que comparar o valor do ativo com o controle a ser investido, achando o que chamamos de faixa aceitável de investimento.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. O argumento sempre foi a praticidade e a facilidade. Achava-se que, se a rede estivesse protegida, as máquinas estariam seguras, mesmo porque quando a informação está trafegando na rede é onde ela corre mais risco.
Sobre a tipificação das ameaças, podemos afirmar que:
I- As ameaças podem ser de interceptação, modificação, interrupção ou fabricação.
II- No ataque de interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele. Dessa forma, o atacante consegue copiar as informações que estão sendo transmitidas.
III- O ataque de modificação visa a alterar a comunicação entre duas partes, atacando a integridade das informações comunicadas naquele canal.
IV- Um exemplo de ataque de interrupção é o ataque de IP Spoofing.
V- Um exemplo de ataque de fabricação é o ataque de DOS – Denial of Service.
	
	
	
	
		Resposta Selecionada:
	c. 
I, II e III estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, III e V estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: os ataques de IP Spoofing e DOS – Denial of Service são, respectivamente, ataques de fabricação e interrupção.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa e vai desde as instalações físicas, internas e externas em todas as localidades da organização. A essência da segurança física reside na prevenção, por esse motivo é correto afirmar que:
I- Uma barreira de segurança é adicionada como um obstáculo para prevenir um ataque.
II- A segurança física não requer preocupação por parte da segurança da informação. Esse assunto deve ser tratado pela segurança patrimonial da empresa.
III- Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades.
IV- São exemplos de ameaças à segurança física da organização; roubos e furtos, sabotagem e vandalismos.
	
	
	
	
		Resposta Selecionada:
	e. 
I, III e IV estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: a Segurança da Informação é responsável também pela segurança física, isso inclui desde o controle de acesso por biometria, extintores de incêndio e altura dos muros.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Diante de uma auditoria após a análise, cabe ao auditor emitir um relatório chamado de parecer, que é um documento no qual o auditor expressa sua opinião, de forma clara e objetiva, se os resultados apurados, em todos os aspectos relevantes, estão representados, adequadamente ou não, na data do levantamento e para o período correspondente. Quando o auditor emite um parecer com ressalva, isso quer dizer que:
	
	
	
	
		Resposta Selecionada:
	b. 
O auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. Trata-se de exceções.
	Respostas:
	a. 
O auditor está convencido de que as demonstrações foram elaboradas consoante as disposições contidas nos controles internos ou nas normas, em todos os aspectos relevantes.
	
	b. 
O auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. Trata-se de exceções.
	
	c. 
O auditor emite opinião de que as demonstrações não estão adequadamente representadas, nas datas e nos períodos indicados, de acordo com as disposições contidas nos controles internos ou nas normas.
	
	d. 
O auditor deixa de emitir opinião sobre as demonstrações, por não ter obtido comprovação suficiente para fundamentá-la.
	
	e. 
O auditor adiciona um parágrafo de ênfase em seu parecer, após o parágrafo de opinião, fazendo referência à nota explicativa da administração, que deve descrever de forma mais extensa a natureza e, quando possível, o efeito da incerteza.
	Feedback da resposta:
	Resposta: B
Comentário: quando um auditor emite um parecer com ressalva significa que apenas alguns pontos específicos não estão em conformidade; porém, apesar de compor o processo, não altera significativamente o resultado final. Um parecer com ressalva requer em sequência um plano de ação para solucioná-lo, a fim de que no próximo processo de auditoria ele esteja sanado.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Marco Antônio estava com problemas com invasões na rede corporativa da qual era responsável. Foi chamado pelo executivo de TI para uma conversa e foi intimado a minimizar esses ataques. Desesperado com risco de perder seu emprego, Marco Antônio decidiu procurar ajuda; foi quando recebeu instruções para implantar estratégias de proteção. Sobre as possíveis estratégias de proteção que Marco pode implantar é correto afirmar que:
I- A estratégia de confiança se assemelha à situação em que uma pessoa passa o cartão em uma loja e ela está confiando os dados do cartão ao estabelecimento.
II- A estratégia de defesa em profundidade tem como objetivo implantar diversos tipos de controles.
III- A estratégia de privilégio mínimo parte da ideia de que os usuários tenham apenas os privilégios necessários para desempenhar suas tarefas.
IV- Deve-se escolher apenas um tipo de estratégia, a implantação de mais de um tipo pode causar conflito, invalidando uma a outra.
	
	
	
	
		Resposta Selecionada:
	c. 
I, II e III estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, III e IV estão corretas.
	Feedback da resposta:
	Resposta: C
Comentário: exatamente o contrário, a implantação de mais de um tipo de estratégia de proteção leva ao que chamamos de segurança em profundidade, o que é altamente recomendado em segurança da informação.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	O conceito de prevenção criminal por meio do desenho ambiental vem sendo desenvolvido por trinta e cinco anos e ainda está em evolução. Após a sua elaboração inicial na década de sessenta, foi em 1972 que Oscar Newman estabeleceu as bases do assunto com o livro “Defensible Space”. A teoria de Newman é baseada:
	
	
	
	
		Resposta Selecionada:
	c. 
Na possibilidadede reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas.
	Respostas:
	a. 
Na necessidade de estabelecer os conceitos de segurança em todos os funcionários.
	
	b. 
Na prospecção de ataques que a empresa pode sofrer.
	
	c. 
Na possibilidade de reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas.
	
	d. 
Na percepção das vulnerabilidades, identificando as possíveis ameaças.
	
	e. 
No estabelecimento de uma norma corporativa de segurança física.
	Feedback da resposta:
	Resposta: C
Comentário: a teoria de Oscar Newman prevê que é possível desenhar ambientes que reduzem as oportunidades para que um crime possa ocorrer e na redução do medo do crime pelo aumento da sensação de segurança pessoal, melhorando a qualidade de vida das pessoas e o seu relacionamento com medidas necessárias de segurança.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O processo de auditoria de Segurança da Informação não diferencia em nada dos outros processos e auditorias administrativas; isso quer dizer que está ligado às necessidades de auxiliar a alta administração a atingir os objetivos da organização de uma maneira geral. Sobre os processos de auditoria é correto afirmar que:
I- O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o resultado.
II- A auditoria interna é realizada por departamento interno responsável pela verificação e pela avaliação de sistemas e procedimentos internos de uma entidade.
III- A auditoria externa é realizada por instituição externa e independente da entidade auditada, com o objetivo de assegurar aos proprietários e/ou acionistas ao conselho de administração e ao mercado em geral.
IV- A auditoria articulada é realizada em conjunto pelas auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: o processo de auditoria deve ser realizado por órgãos idôneos, podendo ser interno, externo e articulado que visa, de uma forma geral, a auxiliar as empresas a atingirem seus objetivos ou manter controles em virtude de legislação, certificações ou normas internas.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Os mecanismos para controle de acesso lógico contribuem para a segurança da informação, preservando os pilares da segurança da informação com os objetivos de: confidencialidade, integridade e disponibilidade. Os métodos de autenticação podem ser divididos em três grandes grupos de acordo com a técnica utilizada, em que é correto afirmar que:
I- O método de autenticação, baseado no que você sabe, refere-se a que os usuários sabem utilizar. O meio mais comum dessa técnica é o uso de senhas para a autenticação.
II- O método de autenticação, que utiliza o que você tem, é baseado em dispositivos físicos como tokens ou smartcards, que são entregues aos usuários que devem guardar para uso no momento em que o sistema faça a requisição.
III- É recomendada a implantação de apenas um método de autenticação por autenticação.
IV- O método de autenticação, pelo que você é, baseia-se em características físicas (reconhecimento biométrico) como o uso de impressão digital para o acesso a sistemas.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II e IV estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, II e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: exatamente o contrário, a implantação de mais de uma técnica de autenticação é recomendada, pois assegura ainda autenticação segura do acesso.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Os processos de auditoria devem receber atenção em todas as áreas da empresa, porém em todos os processos existem personagens que estão diretamente envolvidos que são:
I- Cliente, fornecedor e auditado.
II- Fornecedor, auditor e auditado.
III- Cliente, auditado e auditor.
IV- Auditado, auditor e validador.
	
	
	
	
		Resposta Selecionada:
	b. 
Apenas a afirmativa III está correta.
	Respostas:
	a. 
Apenas a afirmativa II está correta.
	
	b. 
Apenas a afirmativa III está correta.
	
	c. 
Apenas a afirmativa I está correta.
	
	d. 
Apenas a afirmativa IV está correta.
	
	e. 
I e II estão corretas.
	Feedback da resposta:
	Resposta: B
Comentário: os personagens envolvidos nos processos de auditoria são: cliente é aquele que solicita ou contrata a auditoria e sua função é determinar o propósito da auditoria. Auditado é aquele que é avaliado na auditoria, sua responsabilidade é de cooperar, apresentando as informações e os documentos solicitados pelo auditor. Auditor é aquele que coordena e/ou realiza os trabalhos de auditoria, responsável pelo trabalho de auditoria, organiza e propõe o plano de auditoria, cumpre e comunica os requisitos de auditoria.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Sobre os controles internos é correto afirmar:
I- São ferramentas que visam a minimizar problemas que podem causar impacto nas operações e no cotidiano das organizações.
II- Os controles internos podem ou não utilizar recursos computacionais, podem ser preventivos quando visam a evitar erros, falhas e promover boas práticas; detectivos quando identificam ou corrigem problemas; e corretivos quando visam a sanar o problema ocorrido.
III- O controle interno pode ser definido como um plano de organização e todos os métodos e as medidas coordenadas aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados.
IV- Alguns parâmetros de controle interno devem ser compreendidos na esfera administrativa para a formação dos padrões que serão definidos pela organização e logo após auditados e, consequentemente, protegidos nos quesitos relacionados à Segurança da Informação.
	
	
	
	
		Resposta Selecionada:
	e. 
I, II, III e IV estão corretas.
	Respostas:
	a. 
I e II estão corretas.
	
	b. 
III e IV estão corretas.
	
	c. 
I, II e III estão corretas.
	
	d. 
II, III e IV estão corretas.
	
	e. 
I, II, III e IV estão corretas.
	Feedback da resposta:
	Resposta: E
Comentário: os controles internos são ferramentas desenvolvidas para conferir e auxiliar na melhoria de todos os processos organizacionais desde da área contábil, passando pelas áreas de tecnologia, chegando à segurança da informação.