AVALIAÇÃO FINAL SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO

Prévia do material em texto

Disciplina: Segurança em Tecnologia da Informação 
Avaliação: Avaliação Final (Objetiva) - Individual FLEX 
Prova Objetiva: 
 
a) Somente a sentença III está correta. 
 
b) As sentenças I, II e III estão 
corretas. 
 
c) As sentenças I e IV estão corretas. 
 
d) As sentenças II e IV estão corretas. 
 
 
2. Os sistemas de informação computadorizados e o acesso às dependências onde eles se 
encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, 
restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não 
autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o 
hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em 
pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários com 
pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de 
ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, assinale a 
alternativa INCORRETA: 
 
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: 
Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista 
Observatorio de la Economía Latinoamericana, Brasil, mar. 2017. 
1. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de 
determinar se algo funcionou, primeiramente será preciso definir como se esperava que 
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos 
os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas 
expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o 
desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou 
conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, 
utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, analise as sentenças a seguir: 
 
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela 
Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do 
projeto de Segurança da Informação. 
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo 
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. 
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de 
segurança da informação. 
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a 
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os 
quais podem ser destacados ISO/IEC 13335 e IEC 61508. 
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar 
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma 
ampla para todos da direção e, por último, a criação do comitê de segurança. 
 
Assinale a alternativa CORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: 
LTC, 2014. 
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_2
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_1
 
a) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de 
controle de acesso físico. 
 
b) Quando a empresa define um acesso físico, a segurança lógica acaba sendo desnecessária. 
 
c) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou 
na rede. 
 
d) Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo 
uma cerca elétrica, já na estrutura lógica, um logon em uma rede. 
3. A potencialização da internet possibilitou que as informações sejam transmitidas em tempo real, 
trazendo consequentemente ganho de tempo e reduzindo consideravelmente os custos. Em 
contrapartida, é necessário tratar as informações com segurança, sendo que existem três 
princípios basilares para garantir a preservação dos ativos de informação. Diante disso, assinale 
a alternativa CORRETA que apresenta o princípio que visa a garantir que a informação chegue 
ao seu destino sem alterações: 
 
a) Integridade. 
 
b) Disponibilidade. 
 
c) Confirmação. 
 
d) Confidencialidade. 
4. Saber que uma pessoa é realmente quem diz ser é uma das questões mais complexas no mundo 
real e também no virtual. No mundo corporativo, quando você acessa o ambiente 
computacional, é necessário ter uma identificação e uma forma de se autenticar, seja por meio 
de senha, cartão, característica biométrica ou uma combinação desses meios. A partir desse 
momento, o computador entende que, se houver identificação e autenticação de forma correta, o 
acesso às informações pode ser liberado. A autenticação da pessoa é um fator básico para a 
existência da segurança da informação. Sobre as possíveis formas de incidentes, analise as 
seguintes afirmativas: 
 
I- Os incidentes acidentais são os decorrentes de ignorância de algum funcionário. 
II- Podem ser considerados incidentes intencionais a distração e a negligência. 
III- Os acidentes acidentais podem ser gerados por fraudes ou vingança. 
IV- Os incidentes intencionais, podem ser causados por descontentamento. 
 
Assinale a alternativa CORRETA: 
 
a) Somente a afirmativa IV está correta. 
 
b) As afirmativas I e IV estão corretas. 
 
c) Somente a afirmativa II está correta. 
 
d) As afirmativas II e III estão corretas. 
5. A política de segurança deve capacitar a organização com instrumentos jurídicos, normativos e 
processuais. Com o objetivo de fornecer orientação e apoio às ações de gestão da segurança, a 
política possui uma função fundamental e de grande abrangência. Os elementos que uma 
política de segurança deve possuir é o essencial para o combate as adversidades. Sobre os 
elementos para a definição e implantação de uma politica de segurança, assinale a alternativa 
CORRETA: 
 
a) Atitude, vigilância e equipe. 
 
b) Vigilância, tecnologia e atitude. 
 
c) Tecnologia, equipamento e estratégia. 
 
d) Estratégia, sequência e ordem. 
6. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, 
sistemas e responsabilidades gerenciais de uma entidade específica, com o objetivo de verificar 
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_3
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_4
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_5
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_6
sua conformidade com certos objetivos e padrões. Para realizar essa tarefa, existem vários tipos 
de auditoria, um exemplo é a auditoria de controles organizacionais. Neste tipo de auditoria, a 
responsabilidade de controles acontece em algumas tarefas. Sobre quais são essas tarefas, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( v ) Gerenciamento de orçamento do capital de informática e bases. 
( v ) Criação e implementação das políticas globais de informática. 
( f ) Intermediação com funcionários e cliente (networking). 
( v ) Geração de plano de capacitação. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: 
Axcel Books do Brasil, 2000. 
 
a) F - F - V - V. 
 
b) V - F - F - V. 
 
c) F - V - V - F. 
 
d) V - V - F - V. 
7. Segurança da informação significaproteger seus dados e sistemas de informação de acessos e 
uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O 
conceito de segurança da informação está ligado à confidencialidade, à integridade e à 
disponibilidade da informação. O conceito de segurança de processamento está ligado à 
disponibilidade e à operação da infraestrutura computacional. Esses conceitos são 
complementares e asseguram a proteção e a disponibilidade das informações das organizações. 
O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns 
casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança 
ambiental das informações, classifique V para as opções verdadeiras e F para as falsas: 
 
( v ) Política de mesa limpa e tela limpa. 
( F ) Segurança para micros, terminais e estações. 
( v ) Proteção de documentos em papel. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 
a) V - F - V. 
 
b) F - F - V. 
 
c) F - V - V. 
 
d) F - V - F. 
8. No e-mail corporativo, você recebe uma mensagem onde o remetente é o gerente ou alguém em 
nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet 
Banking está apresentando algum problema e que tal problema pode ser corrigido se você 
executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma 
tela análoga àquela que você utiliza para ter acesso à conta bancária, aguardando que você 
digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso à 
conta bancária e enviá-la para o atacante. Com base no seguinte cenário hipotético apresentado, 
qual ataque à segurança da informação provocado por terceiros está sendo aplicado? 
 
FONTE: https://forum.fsocietybrasil.org/topic/527-. Acesso em: 30 out. 2018. 
 
a) Acordos de confidencialidade. 
 
b) Treinamento de prestadores de serviços. 
 
c) Engenharia social. 
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_7
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_8
 
d) Segregação de funções. 
9. Segurança da informação é a proteção de um conjunto de dados, no sentido de preservar o valor 
que possuem para um indivíduo ou organização. O conceito de Segurança da Informática ou 
Segurança de Computadores está intimamente relacionado ao de 
Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas 
também a dos sistemas em si. Quais são os principais atributos que orientam a análise, o 
planejamento e a implementação da segurança para um grupo de informações que se deseja 
proteger? 
 
a) Confidencialidade, persistência e disponibilidade. 
 
b) Confidencialidade, integridade e durabilidade. 
 
c) Consistência, integridade e disponibilidade. 
 
d) Confidencialidade, integridade e disponibilidade. 
10. A reitoria da Universidade do Pará (UFPA) estima em mais de R$ 1 milhão o prejuízo 
provocado pelo incêndio que destruiu parte do Centro de Ciências Biológicas. Um provável 
curto-circuito na velha fiação elétrica do prédio pode ter provocado as chamas, que consumiram 
décadas de análises e catalogação de espécies, deixando desesperados seus pesquisadores. 
Muitos trabalhos de pesquisa, dados históricos de empresas e informações para a sociedade não 
possuem cópias de segurança, sofrendo grandes prejuízos, muitos deles irrecuperáveis". Com 
base nessa notícia, analise as afirmativas a seguir: 
 
I- No cenário apresentado, os impactos para a disponibilidade das informações podem ser 
temporários ou totalmente perdidos. 
II- O plano de continuidade dos negócios (BCP) é criado pelos analistas e não há necessidade de 
aprovações gerenciais nem atualizações. 
III- Segundo a notícia, as políticas de continuidade dos negócios (BCP) não foram 
implementadas e testadas. 
 
Assinale a alternativa CORRETA: 
 
FONTE: https://noticias.universia.com.br/destaque/noticia/2003/09/12/547843/fogo-destroi-
laboratorio-e-arrasa-muitos-anos-pesquisa-para.html. Acesso em: 14 fev. 2020. 
 
a) As afirmativas I e III estão corretas. 
 
b) Somente a afirmativa III está correta. 
 
c) As afirmativas II e III estão corretas. 
 
d) Somente a afirmativa I está correta. 
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança 
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com 
relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e 
uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa 
ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado 
como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do 
qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 
a) III e IV. 
 
b) I e II. 
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_9
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_10
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_11
 
c) I, II e III. 
 
d) II, III e IV. 
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) 
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma 
dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios 
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode 
ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da 
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A 
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a 
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso 
elaborar: 
 
a) Plano de contingência. 
 
b) Plano de negócio de gerência de riscos. 
 
c) Plano de negócio. 
 
d) Plano de negócio de gerenciamento de projetos. 
 
https://www.uniasselvi.com.br/extranet/o-2.0/prova_ead/n2_ead_avaliacao_disciplina_online_alun.php#questao_12