Introdução a segurança da informação

Prévia do material em texto

1a 
 Questão 
Acerto: 0,0 / 1,0 
 
No que tange a informação, o ciclo seu ciclo de vida é composto pelas seguintes etapas: 
 
 Criação, Transporte, Manuseio e Descarte; 
 Transporte, Manuseio, Descarte e Criação; 
 Manuseio, Criação, Transporte e Descarte; 
 Manuseio, Transporte, Criação e Descarte; 
 Criação, Manuseio, Transporte e Descarte; 
Respondido em 12/10/2020 15:14:24 
 
Explicação: 
Como pode ser observado no Módulo 1 do Tema 1, por se tratar de um dado 
contextualizado, a informação possui o seguinte ciclo de vida: Criação, Transporte, 
Manuseio e Descarte. 
 
 
2a 
 Questão 
Acerto: 1,0 / 1,0 
 
(Ano: 2009 Banca: FCC Órgão: TCE-GO Prova: FCC - 2009 - TCE-GO - Técnico de Controle 
Externo - Tecnologia da Informação) 
Em relação à segurança da informação e aos controles de acesso físico e lógico, considere: 
I. Se um usuário não faz mais parte a lista de um grupo de acesso aos recursos de 
processamento da informação, é certo que o grupo seja extinto com a criação de um novo, 
contendo os usuários remanescentes. 
II. Direitos de acesso (físicos e lógicos) que não foram aprovados para um novo trabalho 
devem ser retirados ou adaptados, incluindo chaves e qualquer tipo de identificação que 
associe a pessoa ao novo projeto. 
III. O acesso às áreas em que são processadas ou armazenadas informações sensíveis deve 
ser controlado e restrito às pessoas autorizadas, preferencialmente por controles de 
autenticação, por exemplo, cartão de controle de acesso mais PIN (personal identification 
number). 
Está correto o que se afirma em: 
 
 
III, apenas. 
 
I, II e III. 
 II e III, apenas. 
 
I e III, apenas. 
 
I e II, apenas. 
Respondido em 12/10/2020 14:46:29 
 
 
3a 
 Questão 
Acerto: 1,0 / 1,0 
 
Assinale a assertiva que NÃO representa um dos benefícios para a adoção da norma 
ABNT NBR ISO/IEC 27001:2013 por uma organização: 
 
 Isola recursos com outros sistemas de gerenciamento 
 
Fornece segurança a todas as partes interessadas 
 
Oportunidade de identificar e eliminar fraquezas 
 
Participação da gerência na Segurança da Informação 
 
Mecanismo para minimizar o fracasso do sistema 
Respondido em 12/10/2020 14:49:24 
 
 
4a 
 Questão 
Acerto: 1,0 / 1,0 
 
O item 12.2.1 da norma ABNT NBR ISO/IEC 27002:2013 diz respeito aos controles contra malware, 
cujas diretrizes para implementação recomendam a proteção contra códigos maliciosos baseada 
em softwares de detecção de malware e reparo, na conscientização da informação, no controle de 
acesso adequado e nos planos de continuidade de negócio. 
Com base no acima exposto, e no seu conhecimento de segurança da informação e sistemas de 
computação, marque a alternativa que possui uma das diretrizes recomendadas 
 
 
Estabelecer uma política informal proibindo o uso de softwares autorizados 
 
Instalar e atualizar regularmente softwares de detecção e remoção de malware, 
independentemente da fabricante, procedência e confiabilidade, para o exame de 
computadores e mídias magnéticas 
 
Ignorar informalmente a presença de quaisquer arquivos não aprovados ou atualização 
não autorizada 
 Estabelecer uma política formal para proteção contra os riscos associados com a 
importação de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, 
indicando quais medidas preventivas devem ser adotadas 
 
Conduzir análises informais, esporádicas e descompromissadas dos softwares e dados 
dos sistemas que suportam processos críticos de negócio 
Respondido em 12/10/2020 14:52:12 
 
Explicação: 
. 
 
 
5a 
 Questão 
Acerto: 1,0 / 1,0 
 
Um funcionário estava varrendo o chão da sala de uma empresa, na qual se encontra um 
servidor de domínio de rede local, quando não reparou que o cabo de rede que conecta ele 
ao roteador presente no outro lado da sala estava solto passando pelo chão, e então acabou 
por puxar o cabo com a vassoura, arrancando-o da placa de rede do servidor. 
Segundo a norma ABNT NBR ISO/IEC 27002:2013, o responsável pela segurança 
do servidor deixou de colocar em prática o controle relacionado à 
 
 
Acordo de confidencialidade 
 
Inventário dos ativos 
 
Segregação de funções 
 
Gerenciamento de senha de usuário 
 Segurança do cabeamento 
Respondido em 12/10/2020 14:53:12 
 
 
6a 
 Questão 
Acerto: 1,0 / 1,0 
 
Um vírus de computador é um programa carregado em qualquer computador incluindo 
computadores pessoais e servidores sem que o proprietário tenha o conhecimento da sua 
existência, sendo executado contra a sua vontade. 
 
Em relação à descrição: ¿Esse tipo de vírus é capaz de infectar várias partes de um 
sistema, incluindo o setor de inicialização, memória e arquivos. Isso dificulta a sua 
detecção e contenção¿. 
De qual vírus o texto acima se refere? 
 
 Vírus Polimórfico 
 Vírus Stealth 
 Vírus Multipartite 
 Vírus de Boot 
 Vírus Cavalo de Tróia 
Respondido em 12/10/2020 14:58:43 
 
Explicação: 
... 
 
 
7a 
 Questão 
Acerto: 0,0 / 1,0 
 
Normalmente quando o assunto segurança da informação¿ é discutido, as pessoas acabam 
associando o tema a hackers, vulnerabilidade em sistemas e vazamento de informações. E 
limitam-se a acreditar que é necessário apenas um bom antivírus e firewalls para proteger 
o ambiente tecnológico. No entanto, a segurança da informação não se limita apenas a estes 
pontos. Há outros aspectos que precisam ser considerados também. 
Diante deste contexto, pode-se esclarecer que o ponto de partida de qualquer sistema de 
segurança é garantir o acesso a dados, equipamentos, demais sistemas e ambientes físicos 
e eletrônicos aos indivíduos autorizados. A esta característica dá-se o nome de (I) e a 
forma mais simples de oferecê-la é por meio do login e da senha de acesso. 
No texto acima, (I) refere-se a: 
 
 Confidencialidade 
 Autenticidade 
 
Não repúdio. 
 
Integridade 
 
Disponibilidade 
Respondido em 12/10/2020 15:14:15 
 
Explicação: 
Justificativa: O princípio da autenticidade visa confirmar a legitimidade dos ¿donos¿ da informação. 
Em outras palavras, garante que os dados são de fato 
 
 
8a 
 Questão 
Acerto: 1,0 / 1,0 
 
A matriz de risco exibe uma escala de impactos medidos para a ocorrência de incidentes de 
segurança. O risco, contudo, não só é composto de impactos, como também está associado a um 
fator não determinístico conhecido como: 
 
 
Partes interessadas 
 
Carregamento 
 
Verdade 
 Probabilidade 
 
Matriz 
Respondido em 12/10/2020 15:10:41 
 
Explicação: 
A probabilidade (eixo vertical) consiste na medição de o quão provável é a ocorrência do risco. Em 
outras palavras, na probabilidade deve-se analisar o quão fácil ou difícil é que determinado risco 
aconteça, por exemplo, medir o quão provável é que chova hoje? A probabilidade deve ser medida em 
níveis, por exemplo: muito baixo, baixo, moderado, alto e muito alto. Essas probabilidades 
também podem ser convertidas em números (porcentagens) para facilitar o entendimento, sendo: 
• muito baixo = 1 a 10%; 
• baixo = 11% a 30%; 
• moderado = 31% a 50%; 
• alto = 51% a 70%; 
• muito alto = 71% a 90%. 
 
 
9a 
 Questão 
Acerto: 1,0 / 1,0 
 
O PDCA é um instrumento muito importante para desenvolver um plano de continuidade de 
negócios (PCN). Selecione a opção que é responsável por realizar a melhoria contínua do plano de 
continuidade de negócios: 
 
 
D - Executar. 
 
C - Checar. 
 A - Agir. 
 
P - Planejar. 
 
O PDCA não é adequado para o PCN. 
Respondido em 12/10/2020 15:08:49 
 
Explicação: 
Agir - esta é a fase em que se adota o plano aplicado como padrão. Caso algo não tenha saído como 
planejado, é hora de agir corretivamente sobre os pontos que impossibilitaram o alcance de todas as 
metas estipuladas. 
Com a análise de dados completa, é preciso passar para a realização dos ajustes necessários, 
corrigindo falhas, implantando melhorias imediatas e fazendo comque o Ciclo PDCA seja reiniciado, 
visando aprimorar ainda mais o trabalho da equipe. 
 
 
10a 
 Questão 
Acerto: 1,0 / 1,0 
 
Em relação à biblioteca ITIL (Information Technology Infrastructure Library), 
selecione a opção correta: 
 
 
É aplicada apenas no plano de continuidade dos negócios. 
 
Aborda todas as necessidades dos negócios da empresa. 
 Concentra-se no alinhamento de serviços de TI com as necessidades dos negócios 
 
Junto com o plano de recuperação de desastres, tem um papel reativo quando ocorrem 
problemas. 
 
Não pode ser aplicada em nenhum aspecto do plano de continuidade dos negócios.