Baixe o app para aproveitar ainda mais
Prévia do material em texto
Acadêmico: Elem Patricia de Farias (2461314) Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:637457) ( peso.:3,00) Prova: 21756628 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada 1. A classificação da informação em categorias distintas, de acordo com sua confidencialidade, é essencial para uma correta definição dos níveis de segurança aplicados a cada categoria. Uma das classificações mais utilizadas compreende os níveis público, interno e confidencial. No que tange à classificação da informação, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Informações públicas são aquelas que não necessitam de sigilo, tendo acesso livre para os colaboradores e/ou fora da organização, pois sua divulgação não tem impacto para os negócios. ( ) Informações confidenciais são aquelas acessíveis por todos os seus colaboradores. Entretanto, caso sejam divulgadas, podem acarretar prejuízo para os negócios. ( ) Os direitos e os privilégios de acesso às informações pelos usuários devem ser revisados constantemente para assegurar que estejam de acordo com as necessidades e os objetivos da organização. ( ) O descarte de informações confidenciais deve garantir, por meio de procedimentos e/ou ferramentas, que a informação não possa ser recuperada sob hipótese alguma. ( ) Informações de Classe 1 devem ser protegidas de qualquer acesso externo e, mesmo dentro da organização, seu acesso somente é liberado a alguns colaboradores. Como exemplo, podemos citar a folha de pagamento da organização. Assinale a alternativa que apresenta a sequência CORRETA: a) V - F - F - V - V. b) V - F - V - V - F. c) V - V - F - F - F. d) F - F - V - V - V. 2. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. b) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. c) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. d) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_1%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_2%20aria-label= notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. 3. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir: I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância. II- A postura é a conduta com relação à segurança, refere-se ao elemento postura. III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças. IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização. Agora, assinale a alternativa CORRETA: a) As sentenças I, III e IV estão corretas. b) As sentenças II, III e IV estão corretas. c) As sentenças I, II e IV estão corretas. d) Somente a sentença III está correta. 4. Todos os dias aparecem notícias com assuntos relacionados ao vazamento de informações confidenciais, quebra de criptografia, ataque a sites por hackers. Quando falamos em segurança da informação, pensamos em algo que busque preservar a confidencialidade, a integridade e a disponibilidade da informação. Para alcançar esse objetivo, alguns princípios da segurança da informação devem ser seguidos, como confidencialidade, integridade, disponibilidade e não repúdio. Com base nesses princípios, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O princípio da integridade busca garantir que a informação não será conhecida por pessoas que não estejam autorizadas para tal. ( ) O princípio da confidencialidade tem como objetivo garantir que a informação armazenada ou transferida está correta e é apresentada corretamente para quem a consulta. ( ) Na aplicação do princípio da disponibilidade, somente pode-se usar sistemas de detecção de intrusão (IDS). ( ) Na aplicação do princípio do não repúdio, busca-se garantir que a pessoa não negue ter assinado ou criado a informação, ele fornece provas de que um usuário realizou uma determinada ação, como transferir dinheiro, autorizar uma compra, ou enviar uma mensagem. Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - F - V. b) V - V - F - F. c) F - V - V - F. d) F - F - V - V. 5. As questões da segurança da informação envolvem também recursos de hardware, que igualmente devem ser salvaguardados quanto a possíveis ações de mal uso. A destruição ou danificação destes equipamentos também devem ser pontos a considerar. As informações necessitam dos meios para suportá-las, e sua pronta recuperação deve ser possível. Portanto, se foi realizado um backup, deverá ser possível fazer o seu restore. Sobre as cópias de segurança, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O conceito de volatilidade da informação se refere ao tempo que ela permanece ativa e necessária https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_3%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_4%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_5%20aria-label=para a organização. ( ) O conceito de velocidade da informação se refere a como estas podem ser recuperadas a partir de uma mídia. ( ) Para todos os backups devem existir registros das operações envolvidas na ação de realizar a cópia. Sugere-se constar as informações da frequência, como diários, semanais, mensais e anuais. ( ) Deve-se especificar o recurso de mídia utilizado (CD, DVD, fita DAT, disquete etc.). ( ) Deve-se especificar o período de tempo em que as informações constantes na mídia devem ficar retidas para assegurar uma maior proteção ao negócio. Assinale a alternativa que apresenta a sequência CORRETA: a) V - F - F - V - F. b) F - V - F - V - F. c) V - V - F - F - V. d) F - F - V - V - V. 6. De acordo com recente pesquisa sobre os maiores riscos enfrentados pelos executivos em 2016, ataques cibernéticos são a terceira maior preocupação dos executivos, atrás apenas de incertezas nas condições econômicas e mudanças na legislação. As perdas com sistemas invadidos podem ir muito além dos valores escoados diretamente, através de transferências não autorizadas ou falsificações. Essas invasões podem também comprometer seriamente a operação, a continuidade e a sobrevivência do negócio. Sobre a insegurança na tecnologia, analise as sentenças a seguir: I- O plano de continuidade de negócio deve estar em constante monitoramento e teste, objetivando garantir sua prontidão em caso de necessidade de uso. II- O plano de continuidade de negócio deve ser desenvolvido, mantido e de conhecimento apenas da alta gerência. III- O plano de continuidade é formado não somente pelas etapas de análise de impacto no negócio, mas também pelas estratégias de contingência. IV- As empresas possuem apenas um plano de continuidade, ele é padrão por segmento da empresa. Assinale a alternativa CORRETA: FONTE: http://computerworld.com.br/qual-e-o-plano-de-continuidade-de-negocios-usado-em-sua- empresa. Acesso em: 30 out. 2019. a) As sentenças I e III estão corretas. b) As sentenças I, II e III estão corretas. c) As sentenças II e IV estão corretas. d) Somente a sentença I está correta. 7. A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com base nessa notícia, analise as afirmativas a seguir: I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser temporários ou totalmente perdidos. II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de aprovações gerenciais nem atualizações. III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram implementadas e testadas. Assinale a alternativa CORRETA: https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_6%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_7%20aria-label= FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi- laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020. a) Somente a afirmativa III está correta. b) Somente a afirmativa I está correta. c) As afirmativas I e III estão corretas. d) As afirmativas II e III estão corretas. 8. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as opções verdadeiras e F para as falsas: ( ) Definição de perímetros lógicos. ( ) Energia alternativa. ( ) Política de mesa limpa e tela limpa. Assinale a alternativa que apresenta a sequência CORRETA: a) V - V - V. b) F - V - V. c) F - F - V. d) F - V - F. 9. Toda atividade organizacional, independente do ramo de atuação ou o porte da empresa, está eventualmente sujeita a interrupções ou situações adversas que dificultem ou impeçam suas operações. Essas situações que podem causar paralisações, embora raras, podem acontecer a qualquer momento e quando menos se esperam, causadas por diversos tipos de ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a alternativa CORRETA: FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso em: 30 out. 2019. a) PRR- plano de retorno e recuperação, garante a sequência de processos para retorno e recuperação dos dados. b) PCO - define os procedimentos para contingenciamento dos ativos que suportam cada processo de negócio. c) BCP - define o que deve ser desenvolvido e documentado e ter as manutenções atualizadas para garantir as operações pós-desastres. d) BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito dimensionamento das demais fases de construção do plano de continuidade. 10. A Segunda Guerra Mundial foi testemunha de uma grande era no que concerne à tecnologia de informação, em 1950, em que mudanças foram provocadas em todos os ambientes de negócios. As instituições e as empresas comerciais começaram a expandir-se rapidamente. Entretanto, os custos e o aumento de vulnerabilidade do sistema de processamento eletrônico de dados emanados do uso difundido de Tecnologia de Informação geraram a necessidade de os auditores internos e independentes possuírem habilidade em processamento eletrônico de dados, bem como a necessidade de aumentar as técnicas e as ferramentas de avaliação de sistemas, assegurando que os dados sejam confiáveis e auditáveis. Com base nos objetivos da auditoria, analise as afirmativas a seguir: https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_8%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_9%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_10%20aria-label= I- Verificar se os ativos estão preservados adequadamente. II- Examinar a integridade, a confiabilidade e a eficiência do sistema de informação e dos relatórios financeiros nele produzidos. III- Verificar se os recursos estão sendo empregados em função da análise de custo e benefício. IV- Garantir a alteração dos controles do sistema que está sendo implementado e que está sendo inutilizado. Assinale a alternativa CORRETA: FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao- controles-organizacionais-e-operacionais.Acesso em: 30 out. 2019. a) Somente a afirmativa II está correta. b) As afirmativas I e III estão corretas. c) As afirmativas I, II e III estão corretas. d) As afirmativas II e IV estão corretas. 11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) II, III e IV. b) I, II e III. c) III e IV. d) I e II. 12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de contingência. b) Plano de negócio de gerência de riscos. c) Plano de negócio de gerenciamento de projetos. d) Plano de negócio. https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_11%20aria-label= https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=QURTMDM5Mw==&action2=R1RJMDg=&action3=NjM3NDU3&action4=MjAyMC8x&prova=MjE3NTY2Mjg=#questao_12%20aria-label=
Compartilhar