Segurança em Tecnologia da Informação - Avaliação Final (Objetiva)

Prévia do material em texto

Acadêmico: Bruno Pereira (1462768) 
Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: 
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( 
peso.:3,00) 
Prova: 26045753 
Nota da 
Prova: 
10,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. Os sistemas de informação computadorizados e o acesso às dependências onde eles 
se encontram são em muitos casos negligenciados. Muito se ouve falar de 
criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para 
dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco 
sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas 
estão funcionando. Quando o assunto é colocado em pauta, as informações não são 
divulgadas como deveriam. Os profissionais e usuários com pouco conhecimento de 
segurança em informática acabam por desacreditar da possibilidade de ocorrência de 
graves prejuízos para a empresa. Com relação ao acesso ao físico, assinale a 
alternativa INCORRETA: 
 
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente 
de TI: Segurança física da informação em pequenas empresas e estudo de caso em 
Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 
2017. 
 a) Quando a empresa define um acesso físico, a segurança lógica acaba sendo 
desnecessária. 
 b) Como exemplo de uma barreira física, podemos citar uma simples parede ou até 
mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede. 
 c) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas 
de controle de acesso físico. 
 d) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no 
computador ou na rede. 
 
2. A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à 
tecnologia de informação, em 1950, em que mudanças foram provocadas em todos 
os ambientes de negócios. As instituições e as empresas comerciais começaram a 
expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do 
sistema de processamento eletrônico de dados emanados do uso difundido de 
Tecnologia de Informação geraram a necessidade de os auditores internos e 
independentes possuírem habilidade em processamento eletrônico de dados, bem 
como a necessidade de aumentar as técnicas e as ferramentas de avaliação de 
sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos 
objetivos da auditoria, assinale a alternativa INCORRETA: 
 
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-
introducao-controles-organizacionais-e-operacionais. Acesso em: 30 out. 2019. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_2%20aria-label=
 a) Garantir a alteração dos controles do sistema que está sendo implementado e que 
está sendo inutilizado. 
 b) Examinar a integridade, a confiabilidade e a eficiência do sistema de informação 
e dos relatórios financeiros nele produzidos. 
 c) Verificar se os ativos estão preservados adequadamente. 
 d) Verificar se os recursos estão sendo empregados em função da análise de custo e 
benefício. 
 
3. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes 
de determinar se algo funcionou, primeiramente será preciso definir como se 
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento 
onde você avalia todos os componentes de seu sistema e determina como cada um 
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha 
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para 
garantir a qualidade do sistema de gestão da segurança da informação, utilizamos 
normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da 
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de 
facilitar o gerenciamento do projeto de Segurança da Informação. 
( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo 
o mundo passaram a investir muito mais em segurança da informação, muitas vezes 
sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser 
referenciada como sinônimo de segurança da informação. 
( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é 
necessária a adoção de todos, além disso, é necessária a integração de outros padrões 
e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá 
apresentar algumas características para ser aprovada pelos colaboradores, divulgada 
e publicada de forma ampla para todos da direção e, por último, a criação do comitê 
de segurança. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de 
Janeiro: LTC, 2014. 
 a) F - F - F - V. 
 b) F - V - V - V. 
 c) V - F - F - F. 
 d) V - V - V - F. 
 
4. A intensificação do uso da computação e das redes de computadores trouxeram para 
as organizações a capacidade de produzir e consultar informações com uma 
velocidade e alcance nunca antes imaginados. Ao mesmo tempo, essas tecnologias 
apresentam vulnerabilidades e fragilidades que exigem medidas de prevenção, 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_4%20aria-label=
objetivando evitar o acesso não autorizado a estas informações. Assinale a 
alternativa CORRETA que denomina o objetivo de segurança referente a garantir 
que a informação seja acessada somente por usuários autorizados: 
 a) Integridade. 
 b) Disponibilidade. 
 c) Legalidade. 
 d) Confidencialidade. 
 
5. Toda atividade organizacional, independente do ramo de atuação ou o porte da 
empresa, está eventualmente sujeita a interrupções ou situações adversas que 
dificultem ou impeçam suas operações. Essas situações que podem causar 
paralisações, embora raras, podem acontecer a qualquer momento e quando menos se 
esperam, causadas por diversos tipos de ameaças. Sobre as situações que fazem parte 
dos planos de contingência, assinale a alternativa CORRETA: 
 
FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso 
em: 30 out. 2019. 
 a) PCO - define os procedimentos para contingenciamento dos ativos que suportam 
cada processo de negócio. 
 b) BCP - define o que deve ser desenvolvido e documentado e ter as manutenções 
atualizadas para garantir as operações pós-desastres. 
 c) PRR- plano de retorno e recuperação, garante a sequência de processos para 
retorno e recuperação dos dados. 
 d) BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito 
dimensionamento das demais fases de construção do plano de continuidade. 
 
6. O interesse em guardar informações é muito antigo. Desde o início dos tempos, o ser 
humano sentiu necessidade de registrar os fatos e as informações, seja em paredes ou 
papiros. Hoje, o valor da informação é quase imensurável paraas empresas. Apesar 
de toda essa evolução e da importância, nem tudo é perfeito e imprevistos 
acontecem. Para isso, as empresas devem estar preparadas e evitar ao máximo a 
inoperância. Qual o plano que visa minimizar esses impactos? 
 a) Plano de continuidade de produção. 
 b) Plano de impacto de incidentes. 
 c) Plano de recuperação emergencial. 
 d) Plano de gerenciamento de risco. 
 
7. Dentro do ciclo de vida das informações de uma organização, a etapa do descarte 
pode representar um risco para os objetivos de segurança quando não são observados 
os devidos cuidados. Neste contexto, analise as sentenças a seguir: 
 
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, 
pois estes podem conter informações valiosas que não foram devidamente apagadas 
de seus dispositivos de armazenamento. 
II- Informações armazenadas em meio analógico (documentos em papel, atas de 
reuniões, contratos etc.) devem seguir critérios rígidos de destruição segura para 
evitar a recuperação de informações confidenciais. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_5%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_7%20aria-label=
III- A simples exclusão de informações confidenciais de um microcomputador 
cumpre totalmente o objetivo de confidencialidade, uma vez que essas informações 
não podem ser recuperadas através do uso de utilitários de recuperação de dados. 
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma 
vez que os objetivos de confidencialidade, integridade e disponibilidade têm 
prioridade sobre os demais. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças III e IV estão corretas. 
 b) As sentenças I, II e IV estão corretas. 
 c) As sentenças I e II estão corretas. 
 d) As sentenças I, II e III estão corretas. 
 
8. Para a implementação da política de segurança de uma organização, devem ser 
adotados padrões e normas de segurança que estejam alinhados com os objetivos de 
negócio da organização. Diante disso, assinale a alternativa CORRETA que 
apresenta o padrão que define alguns termos da Gestão de Riscos: 
 a) ISO/IEC 17799. 
 b) COBIT. 
 c) ISO GUIDE 73. 
 d) ITIL. 
 
9. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação à segurança ambiental das informações, assinale a alternativa 
INCORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2019. 
 a) Em decorrência da necessidade do controle das condições ambientais e de 
confiabilidade para o sistema de condicionamento de ar, é recomendável a 
instalação de condicionadores do tipo compacto (self-contained). 
 b) A parte de climatização na segurança ambiental refere-se ao bem-estar dos 
usuários na utilização do ambiente apenas. 
 c) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de 
incêndio, devem ser constantemente verificados e treinados. 
 d) A retirada do descarte e do transporte são fatores ambientais que devem ter 
controles específicos, evitando que informações sejam acessadas indevidamente. 
 
10. Um dos contextos a serem considerados na elaboração de uma política de segurança 
de tecnologia da informação é a segurança lógica. A segurança lógica compreende os 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_9%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_10%20aria-label=
aspectos relacionados à integridade, à confidencialidade e à disponibilidade das 
informações armazenadas em dispositivos computacionais e nas redes que os 
interligam. Com base no exposto, analise as sentenças a seguir: 
 
I- A administração da segurança pode ser definida tanto de forma centralizada 
quanto descentralizada, dependendo das características particulares do ambiente 
onde a segurança será implementada. 
II- A etapa de inventário é a mais trabalhosa na implantação da segurança, 
consistindo no levantamento dos usuários e recursos com o objetivo de determinar se 
as responsabilidades e perfis utilizados atualmente nos sistemas computacionais 
estão de acordo com as reais necessidades da organização. 
III- O estabelecimento de um perímetro de segurança físico totalmente isolado e, 
portanto, protegido de ameaças externas representa um desafio, principalmente 
devido à dificuldade em se identificar todas as vulnerabilidades que as redes de 
computadores são suscetíveis. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças I e III estão corretas. 
 b) Somente a sentença III está correta. 
 c) As sentenças I e II estão corretas. 
 d) As sentenças II e III estão corretas. 
 
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) I, II e III. 
 b) III e IV. 
 c) II, III e IV. 
 d) I e II. 
 
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_11%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYNTAwOA==&action2=R1RJMDg=&action3=NjQ5Nzg1&action4=MjAyMC8y&prova=MjYwNDU3NTM=#questao_12%20aria-label=
analisar o que pode ser afetado, qual o impacto financeiro e quaisos impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio de gerência de riscos. 
 b) Plano de negócio. 
 c) Plano de negócio de gerenciamento de projetos. 
 d) Plano de contingência. 
 
Prova finalizada com 12 acertos e 0 questões erradas.