Segurança em Tecnologia da Informação Prova 4

Prévia do material em texto

1.
	A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses princípios, analise as sentenças a seguir:
I- Na aplicação do princípio da confidencialidade, pode-se usar a criptografia.
II- Na aplicação do princípio da integridade, pode-se usar dispositivos biométricos.
III- Na aplicação do princípio da disponibilidade, pode-se usar sistemas de detecção de intrusão (IDS).
IV- Na aplicação do princípio do não repúdio, pode-se usar cópias de segurança.
Assinale a alternativa CORRETA:
	 a)
	As sentenças III e IV estão corretas.
	 b)
	Somente a sentença I está correta.
	 c)
	As sentenças I e II estão corretas.
	 d)
	As sentenças I e III estão corretas.
	2.
	A auditoria no desenvolvimento e na manutenção dos sistemas de informação é essencial e garante que qualquer alteração não torne todo o sistema ou a rede vulnerável e insegura. Esses processos de desenvolvimento e manutenção envolvem profissionais de TI que possuem conhecimento suficiente, para assegurar que as novas versões dos sistemas sejam seguras. Estes procedimentos devem atender especificamente às políticas de segurança e disponibilizar o pleno funcionamento do negócio da organização. É preciso implementar certos procedimentos de desenvolvimento, manutenção e documentação dos sistemas para garantir a segurança das tecnologias da informação. Sobre esses processos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Capacitação, treinamentos e desenvolvimento dos usuários.
(    ) Conscientizar, implantar cursos e palestras para divulgar a segurança.
(    ) Aquisição, planejamento e manutenções preventivas.
(    ) Modificação, documentação e especificação dos programas.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F.
	 b)
	F - F - V - V.
	 c)
	F - V - F - F.
	 d)
	V - F - F - V.
	3.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as opções verdadeiras e F para as falsas:
(    ) Política de mesa limpa e tela limpa.
(    ) Segurança para micros, terminais e estações.
(    ) Proteção de documentos em papel.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V.
	 b)
	F - F - V.
	 c)
	F - V - F.
	 d)
	V - F - V.
	4.
	Devido a sua importância, os sistemas de informações de uma empresa devem ser muito bem protegidos. Para avaliar se os controles são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor focará na avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. Para facilitar o trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas em algumas tarefas. Sobre essas tarefas, assinale a alternativa CORRETA:
	 a)
	Testes de controles específicos e amostragem.
	 b)
	Testes de controles específicos, testes geral de transações, analítico e substantivo e amostragem.
	 c)
	Testes geral de transações, analítico e amostragem.
	 d)
	Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e amostragem.
	5.
	A classificação da informação em categorias distintas, de acordo com sua confidencialidade, é essencial para uma correta definição dos níveis de segurança aplicados a cada categoria. Uma das classificações mais utilizadas compreende os níveis público, interno e confidencial. No que tange à classificação da informação, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Informações públicas são aquelas que não necessitam de sigilo, tendo acesso livre para os colaboradores e/ou fora da organização, pois sua divulgação não tem impacto para os negócios.
(    ) Informações confidenciais são aquelas acessíveis por todos os seus colaboradores. Entretanto, caso sejam divulgadas, podem acarretar prejuízo para os negócios.
(    ) Os direitos e os privilégios de acesso às informações pelos usuários devem ser revisados constantemente para assegurar que estejam de acordo com as necessidades e os objetivos da organização.
(    ) O descarte de informações confidenciais deve garantir, por meio de procedimentos e/ou ferramentas, que a informação não possa ser recuperada sob hipótese alguma.
(    ) Informações de Classe 1 devem ser protegidas de qualquer acesso externo e, mesmo dentro da organização, seu acesso somente é liberado a alguns colaboradores. Como exemplo, podemos citar a folha de pagamento da organização.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - F - V - V - V.
	 b)
	V - F - F - V - V.
	 c)
	V - V - F - F - F.
	 d)
	V - F - V - V - F.
	6.
	A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir:
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos.
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de aprovações gerenciais nem atualizações.
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas.
Assinale a alternativa CORRETA:
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020.
	 a)
	As afirmativas II e III estão corretas.
	 b)
	Somente a afirmativa III está correta.
	 c)
	Somente a afirmativa I está correta.
	 d)
	As afirmativas I e III estão corretas.
	7.
	De uma maneira bem simples, podemos dizer que risco é a "exposição à chance de perdas ou danos", por isso devemos fazer um correto gerenciamento. O gerenciamento de riscos significa identificar riscos e traçar planos para minimizar seus efeitos sobre o projeto. No entanto, é necessário conhecer o correto fluxo de análise e ameaças e riscos. Com relação ao exposto, ordene os itens a seguir:
I- Estabelecimento de prioridades de proteção.
II- Determinação dos pesos dos riscos.
III- Avaliação do risco.
IV- Identificação das ameaças.
V- Adoção de medidas de proteção.
VI- Determinação das probabilidades dos riscos.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	I - VI - II - III - IV - V.
	 b)
	IV - VI - II - III - I - V.
	 c)
	V - III - I - VI - II - IV.
	 d)
	II - IV - VI - III - I - V.
	8.
	Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade especifica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Questões que se referem aos objetivosde auditoria de controle de aquisição, desenvolvimento, manutenção e documentação de sistemas aplicativos, devem ser respondidas. Sobre quais são essas questões, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) As definições são realizadas de forma diligente, confrontando os conhecimentos dos usuários com os de analista de sistema, visando dar suporte aos projetos?
(    ) As realizações de testes e instalação na produção são feitos sem impactos para os usuários?
(    ) Os usuários são quem decidem pela compra, baseados na deficiência interna de desenvolvimento?
(    ) Perguntas básicas operacionais/funcionalidade, tecnologia, pós-vendas, segurança e de análise de custo e benefícios, por exemplo, são respondidas quando decide-se pelas compras externas?
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - F - V.
	 b)
	F - V - V - F.
	 c)
	F - F - V - V.
	 d)
	V - F - F - V.
	9.
	A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
	 a)
	No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
	 b)
	As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
	 c)
	O plano de continuidade deve ser revisado e testado periodicamente.
	 d)
	Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
	10.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas.
(    ) Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
(    ) O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	V - F - F.
	 b)
	F - F - V.
	 c)
	V - V - F.
	 d)
	F - V - V.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerência de riscos.
	 b)
	Plano de negócio de gerenciamento de projetos.
	 c)
	Plano de negócio.
	 d)
	Plano de contingência.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
	 a)
	I e II.
	 b)
	II, III e IV.
	 c)
	I, II e III.
	 d)
	III e IV.