Baixe o app para aproveitar ainda mais
Prévia do material em texto
19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 1/6 Local: Sala 1 - Térreo / Andar / Polo Mucugê / EAD - UNIDADE MUCUGÊ Acadêmico: 030TDS2AM Aluno: BRUNO SANTOS PIRES Avaliação: A2 Matrícula: 193003392 Data: 18 de Junho de 2020 - 08:00 Finalizado Correto Incorreto Anulada Discursiva Objetiva Total: 7,70/10,00 1 Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada, como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem ser alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-de- seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro queira invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas que remetem a isso e marque a alternativa que as apresenta: Utilização para fim de práticas ilegais. Utilização do computador de outros para promover ataques. Destruição de informações. Furto de números de cartões de crédito e senhas de banco. Furto de informações salvas nas máquinas. a) I, III, IV e V. b) I, II, III, IV e V. c) II, III, IV e V. d) I, II, III e IV. e) I, II, III e V. Alternativa marcada: b) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta. A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização do computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro usuário fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta. Com acesso ao HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de cartões de crédito e senhas de banco. Correta. O hacker se utiliza dessas informações para furtar dinheiro.Furto de informações salvas nas máquinas. Correta. O usuário pode ter várias informações importantes tanto de cunho quanto profissional. 1,00/ 1,00 2 Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade.Indique qual norma está sendo abordada no texto. a) ISO 9004. b) ISO 9001. c) ISO 10011. d) ISO 27001. e) ISO 9000. 1,00/ 1,00 19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 2/6 Alternativa marcada: d) ISO 27001. Justificativa: GabaritoISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Todo o seu processo de organização permite qe o trâmite executado no sistema garante toda a integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma norma de padronização para um determinado serviço ou produto. Esta norma faz parte do conjunto de normas designado ISO 9000 e pode ser implementada por organizações de qualquer tamanho, independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas de gestão da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a base de um sistema de gerenciamento da qualidade e definem a terminologia global. ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a melhoria do desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa principalmente sobre a melhoria contínua dos desempenhos. ISO 10011. Errado, pois pertence a linhas diretivas para a auditoria dos sistemas de gestão da qualidade e/ou de gestão ambiental. 3 Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema.” (Fonte: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança da informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que venha a comprometer qualquer um desses princípios estará atentando contra a sua segurança.Identifique quais são esses três princípios básicos: a) Integridade, confidencialidade, disponibilidade. b) Integridade, disponibilidade, volatilidade. c) Integridade, disponibilidade, robustez. d) Confidencialidade, volatilidade, robustez. e) Confidencialidade, integridade, robustez. Alternativa marcada: a) Integridade, confidencialidade, disponibilidade. Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas (NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou a pessoa física. Um exemplo simples seria o furto do número e da senha do cartão de crédito ou dos dados da conta bancária de uma pessoa; a integridade é a garantia da exatidão e completude da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente” (DANTAS, 2011, p. 11). Quando a informação é alterada, falsificada ou furtada, ocorre a quebra da integridade. A integridade é garantida quando se mantém a informação no seu formato original; a disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário 1,00/ 1,00 19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 3/6 (NBR ISO/IEC 27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou seja, não intencionais, configuram quebra de disponibilidade. Distratores:Confidencialidade, volatilidade, robustez. Incorreta. Volatilidade é uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro e robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de umtítulo no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. 4 Código: 31846 - Enunciado: A busca constante por novas soluções e produtos deve-se a essa crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para minimizar custos e obter soluções que atendam de forma objetiva os seus clientes.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria- seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a utilização de organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois asssegura uma saída para esta questão. Identifique quais afirmativas a seguir são verdadeiras:I. Coordenar recursos compartilhados de forma descentralizada (sem controle centralizado).II. Menor invetismento em Segurança da Informação.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta.IV. Menor uso de Tecnologias.V. Proporcionar qualidades de serviços não triviais. a) I, IV e V apenas. b) II, III e V apenas. c) II, III e IV apenas. d) III, IV e V apenas. e) I, III e V apenas. Alternativa marcada: d) III, IV e V apenas. Justificativa: GabaritoI, III e V apenas.I. Coordenar recursos compartilhados de forma descentralizada (sem controle centralizado). Correto, pois a descentralização permitirá qu eos serviços fluam com maior velocidade.III. Fazer uso de protocolos e interfaces padrões, de propósito geral e aberta. Correto, pois isto permitirá uma maior ampliação nos processos de segurançã e com a devida padronização.V. Proporcionar qualidades de serviços não triviais. Correto, pois estamos diante de um cenário inovador, que demanda soluções não triviais. Distrator:II. Menor invetismento em Segurança da Informação. Errado, pois ainda mais em ambiente virtualizado que há a necessidade de investomentos em segurança da informação.IV. Menor uso de Tecnologias. Errado, pois esta demanda acarreta na contratação de novas tendências tecnológicas para atender a inovação. 0,00/ 1,00 19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 4/6 5 Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer ataques ao seu negócio.Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer organização, independente de seu tamanho ou área de atuação.(Fonte: https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria- seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check – Act).Diante disto, detecte quais são as fases do ciclo PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas. a) I, II, III, IV e V. b) II, IV e V apenas. c) III, IV e V apenas. d) I, III, IV e V apenas. e) II, III, IV e V apenas. Alternativa marcada: e) II, III, IV e V apenas. Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o gerenciamento de projeto que contempla em suas etapas: início; planejamento; monitoramento e controle e execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de segurança.Execução. Correto, pois aqui são implantadas e operacionalizadas as políticas, controles, processos e procedimentos do SGSI.Verificação. Correto, pois de uma forma geral, nessa etapa audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos e controles.Ações corretivas. Correto, pois com base na etapa de verificação, são tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de planejamento e implantadas na fase de execução. 1,00/ 1,00 6 Código: 31848 - Enunciado: As auditorias são tratadas de acordo com a questão da abordagem e ao órgão fiscalizador.Nesse contexto, quais das auditorias a seguir se constituem no âmbito do órgão fiscalizador?I- Auditoria interna. II- Auditoria horizontal. III- Auditoria externa. IV- Auditoria orientada. V- Auditoria articulada. a) I, IV e V, apenas. b) II, III e V, apenas. c) II, IV e V, apenas. d) III, IV e V, apenas. e) I, III e V, apenas. Alternativa marcada: d) III, IV e V, apenas. 0,00/ 1,00 19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 5/6 Justificativa: Alternativa correta: I, III e V, apenas.Auditoria interna. Correta. É a auditoria realizada por um departamento interno, responsável pela verificação e avaliação dos sistemas e procedimentos internos de uma entidade. Um dos seus objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes. Esse serviço deve ser independente e prestar contas diretamente à classe executiva da corporação.Auditoria externa. Correta. É a auditoria realizada por uma empresa externa e independente da entidade que está sendo fiscalizada, com o objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e regularidade de suas operações.Auditoria articulada. Correta. É o trabalho conjunto de auditorias internas e externas devido à superposição de responsabilidades dos órgãos fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos resultados. Distratores:Auditoria horizontal. Errada. A auditoria tem tema específico, realizada em várias entidades ou serviços, paralelamente. É aplicada a forma de abordagem.Auditoria orientada. Errada. Foca em uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou erros. É aplicada a forma de abordagem. 7 Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de “contingência” como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou-recuperacao-de- desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse plano. Resposta: O PCO refere-se à capacidade que uma empressa pode ter em manter seus sistemas e equipamentos funcionando normnalmente mesmo passando por algum problema que poderia obriga-la a suspener suas atividades. Trata-se de estruturar a mesma para que esteja pronta para quiser problemas. Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de processos alternativospara atuação da empresa durante um evento que afete as atividades normais (ou aplicativos), necessários para funcionamento da organização. 1,70/ 2,00 8 Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos de negocio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a implementação de políticas de se segurança da informação que busquem reduzir as chances de fraudes ou perda de informações.(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de- seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/)Diante da importância da informação e da necessidade de uma política de segurança de informação, defina política de segurança da informação. Resposta: 2,00/ 2,00 19/11/2020 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 6/6 A politica de segurança é um conjunto de procedimentos, regras, normas, padroões e diretrizes a serem respeitadas e seguidos por todos os utilizadores da estrutura da empresa. O respeito ao patrimonio e metodologia de uso de casa um inside em facilitar possiveis ataques ou fraudes, fazendo assim a politica de segurança uma ferramenta essencial para se manter segura. Justificativa: Expectativa de respostaPode-se definir a política de segurança como um documento que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem ser protegidos e utilizados e é o pilar da eficácia da segurança da informação.
Compartilhar