Segurança em Tecnologia da Informação Objetiva Final

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
	Prova:
	20848997
	Nota da Prova:
	8,00
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	De uma maneira bem simples, podemos dizer que risco é a "exposição à chance de perdas ou danos", por isso devemos fazer um correto gerenciamento. O gerenciamento de riscos significa identificar riscos e traçar planos para minimizar seus efeitos sobre o projeto. No entanto, é necessário conhecer o correto fluxo de análise e ameaças e riscos. Com relação ao exposto, ordene os itens a seguir:
I- Estabelecimento de prioridades de proteção. 
II- Determinação dos pesos dos riscos. 
III- Avaliação do risco.
IV- Identificação das ameaças. 
V- Adoção de medidas de proteção.
VI- Determinação das probabilidades dos riscos.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	I - VI - II - III - IV - V.
	 b)
	II - IV - VI - III - I - V.
	 c)
	IV - VI - II - III - I - V.
	 d)
	V - III - I - VI - II - IV.
	2.
	Para avaliar se os controles de segurança da informação são eficazes e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos e diversas outras funções que o auditor pode desejar. Com base nesses softwares generalistas, analise as sentenças a seguir:
I- Galileo: é um software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de relatórios para auditoria interna.
II- Pentana: software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle de horas, registro de checklist e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação.
III- Audition: é um software para extração e análise de dados, desenvolvido no Canadá
IV- Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças II, III e IV estão corretas.
	 b)
	As sentenças I, III e IV estão corretas.
	 c)
	Somente a sentença II está correta.
	 d)
	As sentenças I, II e IV estão corretas.
	3.
	A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de todos os usuários de informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste manancial informativo. O documento desta política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por cada integrante na organização às informações.
(    ) A política estabelece seus controles, padrões e procedimentos.
(    ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros documentos subordinados em hierarquia à política, que são definidos pelo Security Officer. 
(    ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por padrões e procedimentos. 
(    ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - F - F.
	 b)
	V - V - V - V - F.
	 c)
	V - F - F - V - F.
	 d)
	F - F - V - F - V.
	4.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
	 b)
	O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
	 c)
	Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
	 d)
	A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
	5.
	A rotina da geração das cópias de segurança em ambiente de informação é um ponto muito importante e que deve ser amplamente planejado. A frequência com que estas cópias serão geradas, normalmente, pode seguir a frequência com que as informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de um sistema de informação de uma organização recebe atualizações constantes e diárias, também diária deverá ser a geração das cópias de segurança. Entretanto, tão importante quanto gerar as cópias de segurança é poder utilizá-las para a pronta restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, com o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração das cópias de segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Nos testes deve ser verificada a integridade da informação armazenada.
(    ) Nos testes deve ser avaliada a funcionalidade dos procedimentos.
(    ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da equipe.
(    ) Nos testes, mesmo que tenha sido identificado algum procedimento desatualizado ou ineficaz, o mais importante é que a cópia seja gerada.
(    ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a solução será fazer novas cópias.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - V - V.
	 b)
	F - F - V - F - F.
	 c)
	V - V - V - F - F.
	 d)
	F - V - F - V - F.
	6.
	A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, assinale a alternativa INCORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada.
	 b)
	A sabotagem deequipamentos e de arquivos de dados é uma forma de ataque físico.
	 c)
	A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
	 d)
	O roubo de dados armazenados em arquivos magnéticos é um exemplo de um problema para a segurança lógica.
	7.
	Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a alternativa CORRETA:
	 a)
	ISO 4217.
	 b)
	BS/ISO 9001.
	 c)
	ISO/IEC 13335.
	 d)
	BS 7799-2.
	8.
	Um dos contextos a serem considerados na elaboração de uma política de segurança de tecnologia da informação é a segurança lógica. A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. Com base no exposto, analise as sentenças a seguir:
I- A administração da segurança pode ser definida tanto de forma centralizada quanto descentralizada, dependendo das características particulares do ambiente onde a segurança será implementada.
II- A etapa de inventário é a mais trabalhosa na implantação da segurança, consistindo no levantamento dos usuários e recursos com o objetivo de determinar se as responsabilidades e perfis utilizados atualmente nos sistemas computacionais estão de acordo com as reais necessidades da organização.
III- O estabelecimento de um perímetro de segurança físico totalmente isolado e, portanto, protegido de ameaças externas representa um desafio, principalmente devido à dificuldade em se identificar todas as vulnerabilidades que as redes de computadores são suscetíveis.
Assinale a alternativa CORRETA:
	 a)
	Somente a sentença III está correta.
	 b)
	As sentenças I e III estão corretas.
	 c)
	As sentenças II e III estão corretas.
	 d)
	As sentenças I e II estão corretas.
	9.
	A auditoria dos sistemas de informação trata-se de uma atividade que visa a realizar o exame de operações, processos, sistemas e responsabilidades gerenciais de uma organização, tendo por objetivo verificar a sua conformidade com a política de segurança, padrões ou normas. Esta auditoria pode assumir três abordagens distintas, ou seja, ao redor do computador, através do computador ou com o computador. Acerca da abordagem ao redor do computador, analise as sentenças a seguir:
I- O auditor analisará os documentos fonte, conferindo as saídas conhecidas por meio de entradas específicas.
II- Esta abordagem somente é recomendada para grandes organizações, devido aos altos custos de aplicação.
III- Exige um vasto conhecimento na tecnologia da informação, já que faz uso dos variados recursos que o computador fornece.
IV- Por não possuir parâmetros bem definidos gera uma maior dificuldade aos auditores e consequentemente menor eficiência no resultado final.
Assinale a alternativa CORRETA:
	 a)
	As sentenças I e IV estão corretas.
	 b)
	As sentenças II e IV estão corretas.
	 c)
	As sentenças I e III estão corretas.
	 d)
	As sentenças II, III e IV estão corretas.
	10.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
(    ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
(    ) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
(    ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	 a)
	F - F - F - V.
	 b)
	V - V - V - F.
	 c)
	F - V - V - F.
	 d)
	V - F - V - V.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	 a)
	I, II e III.
	 b)
	II, III e IV.
	 c)
	III e IV.
	 d)
	I e II.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerência de riscos.
	 b)
	Plano de negócio de gerenciamento de projetos.
	 c)
	Plano de contingência.
	 d)
	Plano de negócio.
Parte inferior do formulário