Avaliação final objetivas segurança em tecnologia da informação

Prévia do material em texto

1.
	A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir:
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos.
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas, e não há necessidade de aprovações gerenciais nem atualizações.
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas.
Assinale a alternativa CORRETA:
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020.
	 a)
	Somente a afirmativa I está correta.
	 b)
	As afirmativas II e III estão corretas.
	 c)
	As afirmativas I e III estão corretas.
	 d)
	Somente a afirmativa III está correta.
	2.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as seguintes afirmativas:
I- O cuidado com a proteção de documentos em papel, como transmissões de correio e fax, são parte fundamental da segurança lógica de informação.
II- A empresa deve criar procedimentos para a impressão e a transmissão via fax de documentos confidenciais, garantindo assim a segurança de suas informações.
III- Informações ou mídias deixadas sobre mesas e computadores desbloqueados facilitam que a informações sejam acessadas indevidamente.
IV- A empresa deve ter políticas e procedimentos para a troca de informação através da comunicação verbal, seja por fax, vídeo etc.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
	 a)
	As afirmativas II, III e IV estão corretas.
	 b)
	As afirmativas I e IV estão corretas.
	 c)
	As afirmativas I e II estão corretas.
	 d)
	As afirmativas I e III estão corretas.
	3.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas.
(    ) Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
(    ) O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	V - F - F.
	 b)
	F - F - V.
	 c)
	V - V - F.
	 d)
	F - V - V.
	4.
	A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles?
	 a)
	Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação.
	 b)
	Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação.
	 c)
	Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte.
	 d)
	Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação.
	5.
	Os riscos de segurança da informação estão atrelados a vários fatores, como vulnerabilidade dos sistemas de proteção, integridade, disponibilidade e acessibilidade às informações da organização. Podem ser definidos como ações que podem ocorrer e existe probabilidade de acontecer em algum momento um problema relacionado a riscos de segurança. Com relação às etapas da gestão de riscos, analise as opções a seguir:
I- Medidas de proteção, impacto e análise de incidentes.
II- Estabelecimento do contexto, identificação e análise de riscos.
III- Avaliação, tratamento e aceitação de riscos.
IV- Analise das projeções, distribuição e análise do uso dos dados.
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a opção III está correta.
	 b)
	As opções II e IV estão corretas.
	 c)
	Somente a opção I está correta.
	 d)
	As opções II e III estão corretas.
	6.
	A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, assinale a alternativa INCORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019.
	 a)
	Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios financeiros nele produzidos.
	 b)
	Verificar se os ativos estão preservados adequadamente.
	 c)
	Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo inutilizado.
	 d)
	Verificar se os recursos estão sendo empregados em função da análise de custo e benefício.
	7.
	Toda atividade organizacional, independente do ramo de atuação ou o porte da empresa, está eventualmente sujeita a interrupções ou situaçõesadversas que dificultem ou impeçam suas operações. Essas situações que podem causar paralisações, embora raras, podem acontecer a qualquer momento e quando menos se esperam, causadas por diversos tipos de ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a alternativa CORRETA:
FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso em: 30 out. 2019.
	 a)
	BCP - define o que deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as operações pós-desastres.
	 b)
	BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito dimensionamento das demais fases de construção do plano de continuidade.
	 c)
	PRR- plano de retorno e recuperação, garante a sequência de processos para retorno e recuperação dos dados.
	 d)
	PCO - define os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio.
	8.
	O engenheiro de software da AOL Jason Smathers, 24 anos, foi preso em West Virgínia, próximo à sede do provedor. Promotores entraram com processo na Justiça Federal americana acusando Smathers e Sean Dunaway, 21 anos e suposto comprador da lista de endereços de e-mail, por conspiração ao enviar uma enorme quantidade de mensagens comerciais não solicitadas para milhões de clientes da AOL. Os advogados alegam que Smathers usou seu conhecimento como membro do quadro de funcionários da AOL para roubar o banco de dados com os nomes de assinantes do provedor em maio de 2003. A AOL demitiu Smathers, e se condenados, ele poderá passar até cinco anos na prisão e pagar multas de até 250 mil dólares. Além das propriedades de confidencialidade, integridade e disponibilidade que foram violadas, qual foi a outra violação?
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	Não repúdio de auditoria.
	 b)
	Auditabilidade.
	 c)
	Legalidade.
	 d)
	Confirmação de propriedade.
	9.
	Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os salários de todos os funcionários que estava armazenada em um computador (o servidor de arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste caso, um princípio da segurança da informação comprometido com esse incidente. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O princípio violado foi a disponibilidade, pois a informação estava disponível.
(    ) O princípio violado foi a autenticidade, pois não solicitou a autenticação.
(    ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem.
(    ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	V - V - F - F.
	 c)
	F - V - V - F.
	 d)
	F - F - V - V.
	10.
	A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir:
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos.
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de aprovações gerenciais nem atualizações.
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas.
Assinale a alternativa CORRETA:
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020.
	 a)
	As afirmativas I e III estão corretas.
	 b)
	As afirmativas II e III estão corretas.
	 c)
	Somente a afirmativa I está correta.
	 d)
	Somente a afirmativa III está correta.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
	 a)
	I e II.
	 b)
	III e IV.
	 c)
	II, III e IV.
	 d)
	I, II e III.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerenciamento de projetos.
	 b)
	Plano de negócio.
	 c)
	Plano de negócio de gerência de riscos.
	 d)
	Plano de contingência.