Prova final- Segurança em Tecnologia da Informação-UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI

Prévia do material em texto

06/07/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/5
Acadêmico: Juliano Lolatto (2124151)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
Prova: 18575732
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. A política de segurança e auditoria em sistemas de informação deve descrever processos contínuos que garantam
a confidencialidade, a integridade e a disponibilidade da informação, sendo que, em caso de algum incidente de
segurança, deve prever medidas operacionais que deverão ser executadas para a retomada do funcionamento da
organização. Assinale a alternativa CORRETA que apresenta este conjunto de medidas operacionais:
 a) Plano de Recuperação Urgente.
 b) Política de Recuperação.
 c) Auditoria de Sistemas.
 d) Plano de Continuidade.
2. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não
autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da
informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de
segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses
conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O
impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à
falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, analise as
opções a seguir:
I- Definição de perímetros lógicos.
II- Energia alternativa.
III- Política de mesa limpa e tela limpa.
IV- Segurança para micros, terminais e estações.
V- Proteção de documentos em papel.
Assinale a alternativa CORRETA:
 a) As opções II, III e IV estão corretas.
 b) As opções I, III e IV estão corretas.
 c) As opções I, II e V estão corretas.
 d) As opções II, III e V estão corretas.
3. O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser um documento
que auxilia a organização no tratamento de desastres, tentando diminuir perdas, oferecendo mais disponibilidade,
segurança e confiabilidade na TI para que suporte com valor e qualidade o negócio da organização. Dada a
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem atualmente para as
organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação
ao teste e à auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?
option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017.
 a) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu
envolvimento somente ocorrerá na etapa de sua definição.
 b) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções que
se espera deles no caso de um evento de falha de segurança.
06/07/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/5
 c) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos requisitos definidos no
projeto interno.
 d) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a
conscientização.
4. Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma
organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das
informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá
estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
( ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que
envolvem os recursos tecnológicos.
( ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
( ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das
informações.
( ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos
trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - F - V.
 b) V - F - V - V - V.
 c) V - V - F - F - V.
 d) F - V - F - V - F.
5. O interesse em guardar informações é muito antigo. Desde o início dos tempos, o ser humano sentiu necessidade
de registrar os fatos e as informações, seja em paredes ou papiros. Hoje, o valor da informação é quase
imensurável para as empresas. Apesar de toda essa evolução e da importância, nem tudo é perfeito e imprevistos
acontecem. Para isso, as empresas devem estar preparadas e evitar ao máximo a inoperância. Qual o plano que
visa minimizar esses impactos?
 a) Plano de continuidade de produção.
 b) Plano de recuperação emergencial.
 c) Plano de gerenciamento de risco.
 d) Plano de impacto de incidentes.
06/07/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/5
6. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que
estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou,
primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de
sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve
funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme
planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e
padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças
verdadeiras e F para as falsas:
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total,
sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir
muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO
17799 passou a ser referenciada como sinônimo de segurança da informação.
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além
disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC
13335 e IEC 61508.
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas
características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da
direção e, por último, a criação do comitê de segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
 a) F - V - V - V.
 b) V - F - F - F.
 c) V - V - V - F.
 d) F - F - F - V.
7. O engenheiro de software da AOL Jason Smathers, 24 anos, foi preso em West Virgínia, próximo à sede do
provedor. Promotores entraramcom processo na Justiça Federal americana acusando Smathers e Sean Dunaway,
21 anos e suposto comprador da lista de endereços de e-mail, por conspiração ao enviar uma enorme quantidade
de mensagens comerciais não solicitadas para milhões de clientes da AOL. Os advogados alegam que Smathers
usou seu conhecimento como membro do quadro de funcionários da AOL para roubar o banco de dados com os
nomes de assinantes do provedor em maio de 2003. A AOL demitiu Smathers, e se condenados, ele poderá
passar até cinco anos na prisão e pagar multas de até 250 mil dólares. Além das propriedades de
confidencialidade, integridade e disponibilidade que foram violadas, qual foi a outra violação?
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
 a) Legalidade.
 b) Auditabilidade.
 c) Não repúdio de auditoria.
 d) Confirmação de propriedade.
8. A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa um risco concreto e
uma ameaça para qualquer organização. É nesse enfoque que atua o plano de continuidade de negócios. O
objetivo principal do plano de continuidade de negócios é manter as operações de uma organização funcionando
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de continuidade de negócios,
assinale a alternativa CORRETA:
 a) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio.
 b) O plano de continuidade de negócios objetiva manter todas as operações da organização em funcionamento,
no caso da ocorrência de um evento de falha de segurança.
 c) As atualizações no plano de continuidade de negócios ocorrem somente após um evento de falha de
segurança.
 d) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga maior impacto para a
organização.
06/07/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/5
9. A academia Companhia Athletica está processando a academia Reebok por suposto roubo de mala direta, o que
caracteriza crime de concorrência desleal. Foi apresentado um laudo comprovando que a maioria dos nomes de
clientes da Cia. Athletica consta de forma idêntica no arquivo da Reebok apreendido pela polícia. A briga começou
quando a Reebok inaugurou sua unidade na Vila Olímpia, a cerca de 500 metros da Cia. Athletica do Brooklin.
Vários clientes da Cia. Athletica reclamaram do fato de terem recebido correspondência da concorrente e queriam
saber se a academia teria vendido seus dados cadastrais. Muitas vezes, a organização se preocupa apenas com
situações sofisticadas, mas é bom estar atento aos acontecimentos simples que possibilitam o vazamento de
informação. Sobre a forma correta de armazenamento e descarte desse tipo de informação, assinale a alternativa
CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
 a) Armazenamento: os locais onde as informações estão armazenadas devem possuir acessos controlados,
havendo uma concessão formal e por meio de procedimento que envolva o proprietário da informação.
Descarte: deve ser efetuado por meio de procedimentos e ferramentas que destruam a informação por
completo.
 b) Armazenamento: as informações com tal classificação devem ser armazenadas de acordo com a necessidade,
em áreas de acesso reservado. Descarte: tais informações devem ser descartadas utilizando-se recursos e
procedimentos específicos. As informações confidenciais devem servir de base para o desenvolvimento do
processo e aquisição dos recursos.
 c) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o menor investimento,
sem a preocupação com confidencialidade. Descarte: pode-se proceder de forma simples, sem o uso de
recursos e procedimentos.
 d) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o menor investimento,
sem a preocupação com confidencialidade. Descarte: deve ser efetuado por meio de procedimentos e
ferramentas que destruam a informação por completo.
10. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com relação à auditoria
tradicional. As abordagens mais comuns são dependentes da sofisticação do sistema computadorizado e se
classificam em abordagem ao redor do computador, através do computador e com o computador. Com relação às
abordagens utilizadas pela auditoria de sistemas de informação, analise as sentenças a seguir:
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de tecnologia da informação.
II- A abordagem ao redor do computador é apropriada para organizações e sistemas menores, em que a maior
parte das atividades de rotina é executada manualmente.
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com relação a
conhecimentos sobre processamento eletrônico de dados.
IV- A abordagem através do computador é uma melhoria da abordagem com o computador.
V- Na abordagem com o computador, é possível customizar programas específicos para serem usados na
auditoria, de acordo com as necessidades específicas.
Agora, assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças I, II e V estão corretas.
 d) As sentenças II e III estão corretas.
11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca
de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da
informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios
tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem
qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto
financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio
sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um
plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
06/07/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/5
 a) Plano de negócio de gerenciamento de projetos.
 b) Plano de negócio de gerência de riscos.
 c) Plano de contingência.
 d) Plano de negócio.
12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir
autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações
a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma
chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à
assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma
política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) III e IV.
 b) II, III e IV.
 c) I, II e III.
 d) I e II.
Prova finalizada com 11 acertos e 1 questões erradas.