Segurança em Tecnologia da Informação - Avaliação Final Objetiva

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
Prova: 22517093
Nota da Prova: 10,00
Legenda: Resposta Certa   Sua Resposta Errada  
1. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados,
divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à
confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à
disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a
disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das
informações, classifique V para as opções verdadeiras e F para as falsas:
(    ) Definição de perímetros lógicos.
(    ) Energia alternativa.
(    ) Política de mesa limpa e tela limpa.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V.
 b) F - V - F.
 c) V - V - V.
 d) F - V - V.
2. O auditor que atua com os sistemas de informação possui a formação como qualquer outro auditor, o que diferencia as funções
são as ferramentas tecnológicas utilizadas para auditar os equipamentos e os sistemas de informação. O principal controle da
auditoria está em controles internos, verificar e analisar se os controles internos estão implementados de forma correta. A
auditoria possui alguns princípios e objetivos que o tornam mais competitivos. Sobre esses princípios, análise as seguintes
opções:
I- Níveis de riscos reduzidos e melhor eficiência com custos reduzidos.
II- Serviços automatizados, com qualidade e reconhecidos no mercado.
III- Disponibilizar serviços lógicos, físicos e auditar os registros de cálculos.
IV- Utilização de variáveis estatísticas e matemáticas nas amostras encontradas.
Agora, assinale a alternativa CORRETA:
 a) As opções I e II estão corretas.
 b) Somente a opção III está correta.
 c) As opções II e IV estão corretas.
 d) Somente a opção IV está correta.
3. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de auditoria tem como um
dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com as necessidades atuais da empresa,
visto que é necessário acompanhar as atualizações tecnológicas promovidas nesses ambientes. Essas atualizações podem ser
percebidas, tanto nos seus recursos físicos de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa.
Então, é correto afirmar que:
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois compromete este
contingenciamento.
II- Deve-se manter uma relação completa e atualizada dos aplicativos.
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades.
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com relação à sua
importância no contexto geral.
Assinale a alternativa CORRETA:
 a) As sentenças II e IV estão corretas.
 b) As sentenças I, II e III estão corretas.
 c) As sentenças III e IV estão corretas.
 d) Somente a sentença IV está correta.
4. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e
os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes
de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas
e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas:
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela
segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança
organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-
17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI)
através da criação de critérios para avaliação da segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
 a) Somente a afirmativa II está correta.
 b) As afirmativas I e II estão corretas.
 c) As afirmativas II e III estão corretas.
 d) As afirmativas I e III estão corretas.
5. O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento que auxilia a
organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade
na TI para que suporte com valor e qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de
Continuidade de Negócios (PCN) tem atualmente para as organizações, é essencial que este plano seja auditado e testado
antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?
option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
 a) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no projeto
interno.
 b) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu envolvimento somente
ocorrerá na etapa de sua definição.
 c) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que se espera
deles no caso de um evento de falha de segurança.
 d) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a conscientização.
6. O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de
continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das
organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa
dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar
que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o
sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e
sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-
desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma
equipe de funcionários.
Assinale a alternativa CORRETA:
 a) As sentenças I e III estão corretas.
 b) Todas as sentenças estão corretas.
 c) As sentenças II e IV estão corretas.
 d) As sentenças I e II estão corretas.
7. A academia Companhia Athletica está processando a academia Reebok por suposto roubo de mala direta, o que caracteriza
crime de concorrência desleal. Foi apresentado um laudo comprovando que a maioria dos nomesde clientes da Cia. Athletica
consta de forma idêntica no arquivo da Reebok apreendido pela polícia. A briga começou quando a Reebok inaugurou sua
unidade na Vila Olímpia, a cerca de 500 metros da Cia. Athletica do Brooklin. Vários clientes da Cia. Athletica reclamaram do
fato de terem recebido correspondência da concorrente e queriam saber se a academia teria vendido seus dados cadastrais.
Muitas vezes, a organização se preocupa apenas com situações sofisticadas, mas é bom estar atento aos acontecimentos
simples que possibilitam o vazamento de informação. Sobre a forma correta de armazenamento e descarte desse tipo de
informação, assinale a alternativa CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
 a) Armazenamento: as informações com tal classificação devem ser armazenadas de acordo com a necessidade, em áreas de
acesso reservado. Descarte: tais informações devem ser descartadas utilizando-se recursos e procedimentos específicos.
As informações confidenciais devem servir de base para o desenvolvimento do processo e aquisição dos recursos.
 b) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o menor investimento, sem a
preocupação com confidencialidade. Descarte: pode-se proceder de forma simples, sem o uso de recursos e procedimentos.
 c) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o menor investimento, sem a
preocupação com confidencialidade. Descarte: deve ser efetuado por meio de procedimentos e ferramentas que destruam a
informação por completo.
 d) Armazenamento: os locais onde as informações estão armazenadas devem possuir acessos controlados, havendo uma
concessão formal e por meio de procedimento que envolva o proprietário da informação. Descarte: deve ser efetuado por
meio de procedimentos e ferramentas que destruam a informação por completo.
8. Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-americanos tiveram suas identidades
roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as
vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas
ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção
indevida de dados através da engenharia social, analise as seguintes afirmativas:
I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para
a realização de manutenção dos serviços.
II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de
uma empresa para obter dados.
III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. 
IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo.
Assinale a alternativa CORRETA:
 a) As afirmativas II, III e IV estão corretas.
 b) Somente a afirmativas IV está correta.
 c) Somente a afirmativa I está correta.
 d) As afirmativas I, II e IV estão corretas.
9. Para a implementação da política de segurança de uma organização, devem ser adotados padrões e normas de segurança que
estejam alinhados com os objetivos de negócio da organização. Diante disso, assinale a alternativa CORRETA que apresenta o
padrão que define alguns termos da Gestão de Riscos:
 a) ISO GUIDE 73.
 b) ITIL.
 c) ISO/IEC 17799.
 d) COBIT.
10. Para avaliar se os controles de segurança da informação são eficazes e assim mensurar se estão ou não vulneráveis, uma
ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a
capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos e
diversas outras funções que o auditor pode desejar. Com base nesses softwares generalistas, analise as sentenças a seguir:
I- Galileo: é um software integrado de gestão de auditoria. Inclui gestão de riscos de auditoria, documentação e emissão de
relatórios para auditoria interna.
II- Pentana: software de planejamento estratégico de auditoria, sistema de planejamento e monitoramento de recursos, controle
de horas, registro de checklist e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação.
III- Audition: é um software para extração e análise de dados, desenvolvido no Canadá
IV- Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o
produto.
Agora, assinale a alternativa CORRETA:
 a) As sentenças I, III e IV estão corretas.
 b) As sentenças II, III e IV estão corretas.
 c) Somente a sentença II está correta.
 d) As sentenças I, II e IV estão corretas.
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios
que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação
(TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer
paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os
impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer
cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
 a) Plano de contingência.
 b) Plano de negócio de gerência de riscos.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de negócio.
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir
autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física
em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de
segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I, II e III.
 b) III e IV.
 c) I e II.
 d) II, III e IV.
Prova finalizada com 12 acertos e 0 questões erradas.