Segurança e Auditoria de Sistemas(IL10317)

Prévia do material em texto

19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 1/6
Local: Sala 1 - Térreo / Andar / Polo Mucugê / EAD - UNIDADE MUCUGÊ 
Acadêmico: 030TDS2AM
Aluno: BRUNO SANTOS PIRES 
Avaliação: A2
Matrícula: 193003392 
Data: 18 de Junho de 2020 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 7,70/10,00
1  Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada, como
o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem ser
alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não
autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e
corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-
seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro queira
invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas que remetem a
isso e marque a alternativa que as apresenta: Utilização para fim de práticas ilegais. Utilização do
computador de outros para promover ataques. Destruição de informações. Furto de números de
cartões de crédito e senhas de banco. Furto de informações salvas nas máquinas. 
 a) I, III, IV e V.
 b) I, II, III, IV e V.
 c) II, III, IV e V.
 d) I, II, III e IV.
 e) I, II, III e V.
Alternativa marcada:
b) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta.
A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização do
computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro usuário
fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta. Com acesso ao
HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de cartões de crédito e
senhas de banco. Correta. O hacker se utiliza dessas informações para furtar dinheiro.Furto de
informações salvas nas máquinas. Correta. O usuário pode ter várias informações importantes tanto
de cunho quanto profissional. 
1,00/ 1,00
2  Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e
está dividida em onze seções específicas, que são: política de segurança da informação; organização
da segurança da informação; gestão de ativos; segurança em recursos humanos; segurança física e
do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, desenvolvimento
e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; gestão
da continuidade do negócio, e conformidade.Indique qual norma está sendo abordada no texto.
 a) ISO 9004.
 b) ISO 9001.
 c) ISO 10011.
 d) ISO 27001.
 e) ISO 9000.
1,00/ 1,00
19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 2/6
Alternativa marcada:
d) ISO 27001.
Justificativa: GabaritoISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Todo o seu processo de organização permite qe o trâmite executado no sistema garante toda a
integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma norma de
padronização para um determinado serviço ou produto. Esta norma faz parte do conjunto de normas
designado ISO 9000 e pode ser implementada por organizações de qualquer tamanho,
independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas de gestão da
qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a base de um
sistema de gerenciamento da qualidade e definem a terminologia global.  
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a melhoria
do desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa
principalmente sobre a melhoria contínua dos desempenhos.  
ISO 10011. Errado, pois pertence a  linhas diretivas para a auditoria dos sistemas de gestão da
qualidade e/ou de gestão ambiental. 
3  Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta
administração da organização para realizar os investimentos necessários em segurança da
informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento
da importância do tema é provavelmente ainda o maior problema.” (Fonte:
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança da
informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que venha a
comprometer qualquer um desses princípios estará atentando contra a sua segurança.Identifique
quais são esses três princípios básicos:
 a) Integridade, confidencialidade, disponibilidade.
 b) Integridade, disponibilidade, volatilidade.
 c) Integridade, disponibilidade, robustez.
 d) Confidencialidade, volatilidade, robustez.
 e) Confidencialidade, integridade, robustez.
Alternativa marcada:
a) Integridade, confidencialidade, disponibilidade.
Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A confidencialidade
é a garantia de que a informação é acessível somente por pessoas autorizadas (NBR ISO/IEC
27002:2005). Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou
não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimáveis
para a empresa ou a pessoa física. Um exemplo simples seria o furto do número e da senha do cartão
de crédito ou dos dados da conta bancária de uma pessoa; a integridade é a garantia da exatidão e
completude da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005). “Garantir a
integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização,
que ela seja legítima e permaneça consistente” (DANTAS, 2011, p. 11). Quando a informação é
alterada, falsificada ou furtada, ocorre a quebra da integridade. A integridade é garantida quando se
mantém a informação no seu formato original; a disponibilidade é a garantia de que os usuários
autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário
1,00/ 1,00
19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 3/6
(NBR ISO/IEC 27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os
servidores estão inoperantes por conta de ataques e invasões, considera-se um incidente de
segurança da informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de
sistemas, ou seja, não intencionais, configuram quebra de
disponibilidade. Distratores:Confidencialidade, volatilidade, robustez. Incorreta. Volatilidade é uma
medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em
um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da
variação do preço de um título no futuro e robustez é uma característica da disponibilidade. Significa
que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de
informação.Integridade, disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística
que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período
determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do
preço de umtítulo no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma
característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos
os funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade,
robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há
capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de
informação.
4  Código: 31846 - Enunciado: A busca constante por novas soluções e produtos deve-se a essa
crescente evolução do mercado, cada vez mais competitivo e volátil, que, junto à globalização da
tecnologia e da economia, é fator influente na busca de soluções mais eficientes, com custos mais
acessíveis. As empresas que estão vivenciando esta realidade vêm buscando unir forças para
minimizar custos e obter soluções que atendam de forma objetiva os seus clientes.(Fonte:
https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)Diante disto, vem crescendo a utilização de
organizações virtuais como solução, em conjunto com o conceito de Cloud Computing, pois
asssegura uma saída para esta questão. Identifique quais afirmativas a seguir são
verdadeiras:I. Coordenar recursos compartilhados de forma descentralizada (sem controle
centralizado).II. Menor invetismento em Segurança da Informação.III. Fazer uso de protocolos e
interfaces padrões, de propósito geral e aberta.IV. Menor uso de Tecnologias.V. Proporcionar
qualidades de serviços não triviais.
 a) I, IV e V apenas.
 b) II, III e V apenas.
 c) II, III e IV apenas.
 d) III, IV e V apenas.
 e) I, III e V apenas.
Alternativa marcada:
d) III, IV e V apenas.
Justificativa: GabaritoI, III e V apenas.I. Coordenar recursos compartilhados de forma
descentralizada (sem controle centralizado). Correto, pois a descentralização permitirá qu eos
serviços fluam com maior velocidade.III. Fazer uso de protocolos e interfaces padrões, de propósito
geral e aberta. Correto, pois isto permitirá uma maior ampliação nos processos de segurançã e com a
devida padronização.V. Proporcionar qualidades de serviços não triviais. Correto, pois estamos
diante de um cenário inovador, que demanda soluções não triviais. Distrator:II. Menor invetismento
em Segurança da Informação. Errado, pois ainda mais em ambiente virtualizado que há a
necessidade de investomentos em segurança da informação.IV. Menor uso de Tecnologias. Errado,
pois esta demanda acarreta na contratação de  novas tendências tecnológicas para atender a
inovação.
0,00/ 1,00
19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 4/6
5  Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas, tornando
os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os
administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas
de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de ocorrer
ataques ao seu negócio.Dessa forma, conforme citado em Sêmola (2010), a importância da Gestão
da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de qualquer
organização, independente de seu tamanho ou área de atuação.(Fonte:
https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os
requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check –
Act).Diante disto, detecte quais são as fases do ciclo
PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas.
 a) I, II, III, IV e V.
 b) II, IV e V apenas.
 c) III, IV e V apenas.
 d) I, III, IV e V apenas.
 e) II, III, IV e V apenas.
Alternativa marcada:
e) II, III, IV e V apenas.
Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o
gerenciamento de projeto que contempla em suas etapas: início; planejamento; monitoramento e
controle e execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e
projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de
segurança.Execução. Correto, pois aqui são implantadas e operacionalizadas as políticas, controles,
processos e procedimentos do SGSI.Verificação. Correto, pois de uma forma geral, nessa etapa
audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas, procedimentos
e controles.Ações corretivas. Correto, pois com base na etapa de verificação, são tomadas ações que
previnam ou que venham a corrigir as atividades referentes ao SGSI, especificadas na fase de
planejamento e implantadas na fase de execução.
1,00/ 1,00
6  Código: 31848 - Enunciado: As auditorias são tratadas de acordo com a questão da abordagem e ao
órgão fiscalizador.Nesse contexto, quais das auditorias a seguir se constituem no âmbito do órgão
fiscalizador?I- Auditoria interna. 
II- Auditoria horizontal. 
III- Auditoria externa. 
IV- Auditoria orientada. 
V- Auditoria articulada.
 a) I, IV e V, apenas.
 b) II, III e V, apenas.
 c) II, IV e V, apenas.
 d) III, IV e V, apenas.
 e) I, III e V, apenas.
Alternativa marcada:
d) III, IV e V, apenas.
0,00/ 1,00
19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 5/6
Justificativa: Alternativa correta: I, III e V, apenas.Auditoria interna. Correta. É a auditoria realizada
por um departamento interno, responsável pela verificação e avaliação dos sistemas e
procedimentos internos de uma entidade. Um dos seus objetivos é reduzir a probabilidade de
fraudes, erros, práticas ineficientes ou ineficazes. Esse serviço deve ser independente e prestar
contas diretamente à classe executiva da corporação.Auditoria externa. Correta. É a auditoria
realizada por uma empresa externa e independente da entidade que está sendo fiscalizada, com o
objetivo de emitir um parecer sobre a gestão de recursos da entidade, sua situação financeira, a
legalidade e regularidade de suas operações.Auditoria articulada. Correta. É o trabalho conjunto de
auditorias internas e externas devido à superposição de responsabilidades dos órgãos fiscalizadores,
caracterizado pelo uso comum de recursos e comunicação recíproca dos
resultados. Distratores:Auditoria horizontal. Errada. A auditoria tem tema específico, realizada em
várias entidades ou serviços, paralelamente. É aplicada a forma de abordagem.Auditoria orientada.
Errada. Foca em uma atividade específica qualquer ou atividades com fortes indícios de fraudes ou
erros. É aplicada a forma de abordagem.
7  Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente
sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de Desastres,
de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e mais que
normal, considerando-se que o mercado insiste em falar de “contingência” como sinônimo da
solução, quando na verdade o conceito do dicionário é de que trata-se do problema em si.(Fonte:
https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou-recuperacao-de-
desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse cenário, uma empresa necessitará de um
Plano de Contingência Operacional - PCO. Defina esse plano.
Resposta:
O PCO refere-se à capacidade que uma empressa pode ter em manter seus sistemas e equipamentos
funcionando normnalmente mesmo passando por algum problema que poderia obriga-la a
suspener suas atividades. Trata-se de estruturar a mesma para que esteja pronta para quiser
problemas.
Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro
do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de
processos alternativospara atuação da empresa durante um evento que afete as atividades normais
(ou aplicativos), necessários para funcionamento da organização. 
 
1,70/ 2,00
8  Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução aconteça e o
desenvolvimento humano se realize de forma completa (COURY, 2001). Para Campos, (2007, p. 21) “A
informação é elemento essencial para todos os processos de negocio da organização, sendo,
portanto, um bem ou ativo de grande valor”. Logo, pode-se dizer que a informação se tornou o ativo
mais valioso das organizações, podendo ser alvo de uma série de ameaças com a finalidade de
explorar as vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a
implementação de políticas de se segurança da informação que busquem reduzir as chances de
fraudes ou perda de informações.(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-
seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/)Diante da
importância da informação e da necessidade de uma política de segurança de informação,
defina política de segurança da informação.
Resposta:
2,00/ 2,00
19/11/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5706617/dda34bfe-eb12-11e9-872b-0242ac11002b/ 6/6
A politica de segurança é um conjunto de procedimentos, regras, normas, padroões e  diretrizes a
serem respeitadas e seguidos por todos os utilizadores da estrutura da empresa. O respeito ao
patrimonio e metodologia de uso de casa um inside em facilitar possiveis ataques ou fraudes,
fazendo assim a politica de segurança uma ferramenta essencial para se manter segura.
Justificativa: Expectativa de respostaPode-se definir a política de segurança como um documento
que estabelece princípios, valores, compromissos, requisitos, orientações e responsabilidades sobre
o que deve ser feito para alcançar um padrão desejável de proteção para as informações. Ela é
basicamente um manual de procedimentos que descreve como os recursos de TI da empresa devem
ser protegidos e utilizados e é o pilar da eficácia da segurança da informação.