Baixe o app para aproveitar ainda mais
Prévia do material em texto
29/06/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 1/5 Local: Sala 1 - Sala de Aula / Andar / Polo São João de Meriti / POLO SÃO JOÃO DE MERITI - RJ Acadêmico: EAD-IL10317-20202A Aluno: CRISTOVÃO DAS VIRGENS SOARES Avaliação: A2- Matrícula: 20191301540 Data: 18 de Junho de 2020 - 08:00 Finalizado Correto Incorreto Anulada Discursiva Objetiva Total: 8,50/10,00 1 Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio.Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de atuação.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria- seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act).Diante disto, detecte quais são as fases do ciclo PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas. a) I, II, III, IV e V. b) III, IV e V apenas. c) II, IV e V apenas. d) I, III, IV e V apenas. e) II, III, IV e V apenas. Alternativa marcada: e) II, III, IV e V apenas. Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o gerenciamento de projeto que contempla em suas etapas: início; planejamento; monitoramento e controle e execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança.Execução. Correto, pois aqui são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do SGSI.Verificação. Correto, pois de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos e controles.Ações corretivas. Correto, pois com base na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execução. 1,00/ 1,00 2 Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada, como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem ser alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-de- seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro queira invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas que remetem a isso e marque a alternativa que as apresenta: Utilização para fim de práticas ilegais. Utilização do computador de outros para promover ataques. Destruição de informações. Furto de números de cartões de crédito e senhas de banco. Furto de informações salvas nas máquinas. a) II, III, IV e V. b) I, III, IV e V. c) I, II, III e IV. d) I, II, III, IV e V. 0,00/ 1,00 29/06/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 2/5 e) I, II, III e V. Alternativa marcada: c) I, II, III e IV. Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta. A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização do computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro usuário fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta. Com acesso ao HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de cartões de crédito e senhas de banco. Correta. O hacker se utiliza dessas informações para furtar dinheiro.Furto de informações salvas nas máquinas. Correta. O usuário pode ter várias informações importantes tanto de cunho quanto profissional. 3 Código: 31845 - Enunciado: “A ISO 27001 não termina com a implementação de várias salvaguardas, seus autores entenderam perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não fizerem algo a respeito. Por exemplo, você pode propor uma nova política para a proteção de documentos confidenciais, mas, se a alta administração não impuser tal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua organização.”(Fonte: <https://advisera.com/27001academy/pt-br/knowledgebase/a-logica-basica- da-iso-27001-como-a-seguranca-da-informacao-funciona/>. Acesso em: 30 out. 2018.) Indique o que a alta administração deve fazer de acordo com a ISO 27001: Definir suas expectativas de negócio (objetivos) para a segurança da informação. Publicar uma política sobre como controlar se esses objetivos são atingidos. Designar as principais responsabilidades para a segurança da informação. Prover apenas recursos financeiros suficientes, sendo responsabilidade dos colaboradores a promoção dos recursos humanos. Revisar no início do processo se todas as expectativas foram realmente atingidas. a) I, II e III. b) I e V. c) I, II, III, IV e V. d) I, II, III e V. e) II, III, IV e V. Alternativa marcada: a) I, II e III. Justificativa: Resposta correta: I, II e III.Definir suas expectativas de negócio (objetivos) para a segurança da informação. Correta. Esse planejamento permitirá que haja uma forte segurança nas informações da empresa.Publicar uma política sobre como controlar se estes objetivos são atingidos. Correta. Apesar de parecer que não são atingíveis, é preciso que haja um resguardo sobre eles. Designar as principais responsabilidades para a segurança da informação. Correta. As políticas estabelecidas é que serão responsáveis por resguardar as informações. Distratores:Prover apenas recursos financeiros suficientes, sendo responsabilidade dos colaboradores a promoção dos recursos humanos. Incorreta. Deve promover recursos humanos e financeiros, uma vez que a tecnologia a ser utilizada precisa ser de ponta e isso demanda investimento.Revisar no início do processo se todas as expectativas foram realmente atingidas. Incorreta. Essa revisão deve ser regular, a fim de verificar se houve alguma falha. 1,00/ 1,00 4 Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de ativos; segurança em recursos humanos; 1,00/ 1,00 29/06/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 3/5 segurança física e do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade.Indique qual norma está sendo abordada no texto. a) ISO 10011. b) ISO 9004. c) ISO 9001. d) ISO 9000. e) ISO 27001. Alternativa marcada: e) ISO 27001. Justificativa: GabaritoISO 27001.Correto, pois estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Todo o seu processo de organização permite qe o trâmite executado no sistema garante toda a integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma norma de padronização para um determinado serviço ou produto. Esta norma faz parte do conjunto de normas designado ISO 9000 e pode ser implementada por organizações de qualquer tamanho, independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a base de um sistema de gerenciamento da qualidade e definem a terminologia global. ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a melhoria do desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa principalmente sobre a melhoria contínua dos desempenhos. ISO 10011. Errado, pois pertence a linhas diretivas para a auditoria dos sistemas de gestão da qualidade e/ou de gestão ambiental. 5 Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão. Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que os serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção excessiva. Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo planos, procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida e efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a seguir:I - Falhas no equipamento. II - Roubo. III - Cibercrime. IV - Impactos ambientais. V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma empresa: a) II, IV e V. b) I, III, IV e V. c) II, III, IV e V. d) I, II, IV e V. e) I, II, III, IV e V. Alternativa marcada: e) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que a empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na 1,00/ 1,00 29/06/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 4/5 página da empresa, nas redes sociais da empresa e também no acesso a informações sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos processos de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do ambiente de segurança da empresa é o próprio funcionário. 6 Código: 33228 - Enunciado: Objetos de controle são metas de controle a serem alcançadas ou efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim, os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado. Existem diversas áreas que esses objetivos podem contemplar, como segurança, atendimento a solicitações externas, materialidade, altos custos de desenvolvimento, grau de envolvimento dos usuários e outsourcing (Disponível em: <https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas- de-informacao-conheca-mais-sobre-o-assunto/>. Acesso em: 8 out. 2018). Diante do cenário, uma das caracterísiticas fundamentais para uma boa auditoria dentro da governança de TI é a implementação bem estruturada do framework COBIT. Segundo o COBIT, as metas a serem alcançadas em uma auditoria de sistemas de informação se enquadrarão em quais dos itens a seguir? I- Recursos do projeto.II- Gerenciamento de riscos do projeto.III- Planejamento do projeto integrado. a) I, II e III apenas. b) I, apenas. c) I e II, apenas. d) II e III apenas. e) I e III, apenas. Alternativa marcada: a) I, II e III apenas. Justificativa: Resposta correta: I, II e III apenas.Recursos do projeto. Correta. Para um bom processo de auditoria, é importante que a meta tenha um olhar atento para os recursos estabelecidos em um projeto. Assim, é possível verificar se o que foi estipulado é o que foi implementado.Gerenciamento de riscos do projeto. Correta. É preciso estabelecer se todos os gerenciamentos de riscos descritos foram contemplados na implantação do projeto, evitando assim problemas futuros.Planejamento do projeto integrado. Correta. Tudo aquilo que foi planejado é o que deve ser efetivamente implementado para que o projeto alcance seu sucesso. 1,00/ 1,00 7 Código: 32282 - Enunciado: "Outros so�wares, embora não específicos para a atividade de auditoria, também vêm sendo utilizados com esse propósito, sendo possível citar como exemplos as planilhas eletrônicas, como Excel, so�wares de gerenciamento de banco de dados, como Access e MySQL, ferramentas de business intelligence, como Business Objects, so�wares estatísticos etc. Segundo Imoniana (2008) e Lyra (2008), so�wares utilitários utilizados para executar algumas funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar relatórios etc. Esses programas não foram desenvolvidos para executar trabalhos de auditoria, portanto não têm recursos tais como verificação de totais de controles, ou gravação das trilhas de auditoria. A grande vantagem desse tipo de ferramenta é que elas podem ser utilizadas como 'quebra-galho' na ausência de outros recursos."(Fonte: TERUEL, E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas características. Centro Paula Souza. Pós-graduação. Disponível em: <http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e- pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-informacao- aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf>. Acesso em: 27 nov. 2019.) Cite qual ferramenta de auditoria apresenta a característica descrita no texto exposto. Resposta: audit command language (ACL), interactive data extraction e analisys, (idea), idea/audimation, galileo e change auditor. 1,80/ 2,00 29/06/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 5/5 Justificativa: Expectativa de resposta: Ferramentas de utilidade geral, que são ferramentas mais amplas e de uso mais comum, que podem propiciar a extração de dados para que uma série de demandas possa ser levantada e analisada. 8 Código: 31852 - Enunciado: "Milhões de bits e bytes de informação circulam na internet diariamente. Nunca na história tivemos uma ferramenta tão democrática na hora de publicar e de consumir conteúdo. Mas tudo tem seu limite, e talvez seja o momento de repensar aquilo que você envia para a grande rede. Você já refletiu sobre a quantidade de informações a seu respeito que estão disponíveis por aí, a partir de um simples “Buscar” no so�ware de busca na Web?"(Fonte: VELOSO, T. O que é segurança da informação? Tecnoblog. 04/12/2010. Disponível em: https://tecnoblog.net/43829/o-que-e-seguranca-da-informacao/. Acesso: 22 nov. 2019). Diante desse apontamento, defina o conceito de segurança da informação. Resposta: a segurança da informação (si) está diretamente relacionada com proteção de um conjunto de informações, no sentido presevar o valor que possuem para um indivíduo ou uma organização. são propriedades básicas da segurança da informação: confidencialidade, integridade, disponibilidade, autenticidade e legalidade. Justificativa: Expectativa de resposta:A segurança da informação é o que está por trás da defesa dos dados, detalhes e afins, para assegurar que eles estejam acessíveis somente aos seus responsáveis de direito ou às pessoas às quais foram enviados. 1,70/ 2,00
Compartilhar