Segurança em Tecnologia da Informação (GTI08) Prova II

Prévia do material em texto

Acadêmico: Ruan Borba Viana (2712555) 
Disciplina: Segurança em Tecnologia da Informação (GTI08) 
Avaliação: Avaliação II - Individual FLEX ( Cod.:649786) ( peso.:1,50) 
Prova: 25036536 
Nota da Prova: 10,00 
Legenda: Resposta Certa Sua Resposta Errada 
1. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os 
processos, as atividades e as funcionalidades são dependentes das tecnologias, pois 
todos eles precisam ser processados pelos sistemas informatizados. Outro fator que 
deve ser analisado é que toda a informação da organização possui um custo, tanto as 
informações quanto a estrutura que este setor precisa ter para disponibilizar a 
segurança dos dados. De acordo com Caruso e Steffen (1999), existem duas classes 
principais de materiais e atividades em processo. Sobre essas classes, análise as 
seguintes afirmativas: 
 
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes 
e desastres de processamento. 
II- Acervo de informações destinadas a confeccionar as ferramentas de 
processamento de informação. 
III- Sistemas de programas de aplicações ou de controle da atividade e informações 
relacionadas. 
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo 
normas de processo de informação. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em 
informática e de informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São 
Paulo, 1999. 
 a) As afirmativas II e III estão corretas. 
 b) Somente a afirmativa IV está correta. 
 c) Somente a afirmativa III está correta. 
 d) As afirmativas I e II estão corretas. 
 
2. A perda de acesso às informações ou à infraestrutura de tecnologia da informação 
representa um risco concreto e uma ameaça para qualquer organização. É nesse 
enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano 
de continuidade de negócios é manter as operações de uma organização funcionando 
no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de 
continuidade de negócios, assinale a alternativa CORRETA: 
 a) O plano de continuidade de negócios tem sua atuação restrita a processos de 
negócio. 
 b) O plano de continuidade de negócios deve priorizar as operações cuja paralisação 
traga maior impacto para a organização. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_2%20aria-label=
 c) O plano de continuidade de negócios objetiva manter todas as operações da 
organização em funcionamento, no caso da ocorrência de um evento de falha de 
segurança. 
 d) As atualizações no plano de continuidade de negócios ocorrem somente após um 
evento de falha de segurança. 
 
3
. 
O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo 
principal ser um documento que auxilia a organização no tratamento de desastres, 
tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade 
na TI para que suporte com valor e qualidade o negócio da organização. Dada a 
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem 
atualmente para as organizações, é essencial que este plano seja auditado e testado 
antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a 
alternativa CORRETA: 
 
FONTE: Disponível em: 
<http://iso27000.com.br/index.php?option=com_content&view=article&id=52:import
pcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017. 
 a) Visto que a alta diretoria não desempenhará nenhum papel operacional na 
execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua 
definição. 
 b) O PCN deve ser divulgado para todos os colaboradores da organização, no 
sentido de aumentar a conscientização. 
 c) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão 
desempenhar as funções que se espera deles no caso de um evento de falha de 
segurança. 
 d) A auditoria de PCN deve verificar se os contatos de fornecedores externos 
atendem aos requisitos definidos no projeto interno. 
 
4. A tecnologia da informação, em função de sua natureza complexa, necessita 
constantemente de novos planejamentos e revisões periódicas em seus processos, 
visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de 
Continuidade de Negócio alcance os seus objetivos, algumas características devem 
ser observadas. Assinale a alternativa CORRETA que não corresponde a esta 
expectativa: 
 a) O plano de continuidade deve ser revisado e testado periodicamente. 
 b) Deve-se fazer a avaliação de risco e impacto no negócio (BIA). 
 c) No PCN, devem ser criados os procedimentos corretivos e de recuperação 
desenhados para trazer os negócios de volta à posição em que se encontravam 
antes do incidente ou desastre. 
 d) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal 
da TI, pois se trata de um processo sigiloso. 
 
5. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta 
ação com visão de auditoria tem como um dos objetivos averiguar se o seu contexto 
e aplicabilidade estão em conformidade com as necessidades atuais da empresa, visto 
que é necessário acompanhar as atualizações tecnológicas promovidas nesses 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_3%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_5%20aria-label=
ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos 
de infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. 
Então, é correto afirmar que: 
 
I- Não são aceitos equipamentos de contingenciamento que não forem exatamente 
iguais aos principais, pois compromete este contingenciamento. 
II- Deve-se manter uma relação completa e atualizada dos aplicativos. 
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber 
sobre suas responsabilidades. 
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de 
ativação dos sistemas com relação à sua importância no contexto geral. 
 
Assinale a alternativa CORRETA: 
 a) As sentenças II e IV estão corretas. 
 b) As sentenças III e IV estão corretas. 
 c) As sentenças I, II e III estão corretas. 
 d) Somente a sentença IV está correta. 
 
6. O contexto empresarial é altamente dependente da informação e implicitamente à 
tecnologia da informação. Diante de tal dependência, não é possível imaginar que os 
ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os 
sistemas de informação, possam não estar disponíveis para uso nos momentos em 
que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as 
organizações empreendemesforços e desenvolvem planos que venham a garantir a 
continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja 
elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está 
em conformidade com estes planos: 
 a) Cada organização deve estar preparada para enfrentar situações de contingência e 
de desastre que tornem indisponíveis recursos que possibilitam seu uso. 
 b) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao 
menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é 
o seu alto custo. 
 c) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar 
situações e incidentes de segurança que não puderem ser evitados. 
 d) O PCN visa a prover meios da continuidade operacional. 
 
7. A política de segurança da informação visa a comunicar e a estabelecer a 
responsabilidade de todos os usuários de informações e dos sistemas de informações 
nos aspectos da confidencialidade, integridade e disponibilidade deste manancial 
informativo. O documento desta política deve ser muito claro na sua forma de 
declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua 
interpretação. Todos para os quais forem destinados devem conhecer também as 
sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a 
serem dados por cada integrante na organização às informações. 
( ) A política estabelece seus controles, padrões e procedimentos. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_6%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_7%20aria-label=
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em 
outros documentos subordinados em hierarquia à política, que são definidos pelo 
Security Officer. 
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, 
sustentada por padrões e procedimentos. 
( ) O Security Officer auxilia estrategicamente na definição e manutenção da 
política e que, portanto, assina e exige seu cumprimento. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - F - F - F. 
 b) V - F - F - V - F. 
 c) V - V - V - V - F. 
 d) F - F - V - F - V. 
 
8. O plano de contingência deve ser parte da política de segurança de uma organização, 
complementando assim, o planejamento estratégico desta. Neste documento são 
especificados procedimentos preestabelecidos a serem observados nas tarefas de 
recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto 
causado por incidentes que não poderão ser evitados pelas medidas de segurança em 
vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser 
verificados. Sobre esses itens, analise as sentenças a seguir: 
 
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil 
recuperação. 
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram 
eventualidades. 
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, 
confidencialidade e disponibilidade. 
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há 
necessidade de relatórios gerenciais. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças II, III e IV estão corretas. 
 b) As sentenças I, III e IV estão corretas. 
 c) As sentenças I, II e III estão corretas. 
 d) Somente a sentença II está correta. 
 
9. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação à segurança ambiental das informações, assinale a alternativa 
INCORRETA: 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_9%20aria-label=
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2019. 
 a) A escolha da localização não é uma medida que precise de atenção, uma vez 
respeitado o acesso devido e restrito à informação. 
 b) Para-raios e iluminação de emergência devem ser observados no projeto de uma 
instalação elétrica. 
 c) Com relação à energia alternativa para a segurança da informação, temos: sistema 
short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de 
corrente alternada e um grupo gerador diesel. 
 d) Fontes de energias alternativas, como no-breaks e geradores, são importantes para 
empresas que possuem aplicações on-line. 
 
10. As questões da segurança da informação envolvem também recursos de hardware, 
que igualmente devem ser salvaguardados quanto a possíveis ações de mal uso. A 
destruição ou danificação destes equipamentos também devem ser pontos a 
considerar. As informações necessitam dos meios para suportá-las, e sua pronta 
recuperação deve ser possível. Portanto, se foi realizado um backup, deverá ser 
possível fazer o seu restore. Sobre as cópias de segurança, classifique V para as 
sentenças verdadeiras e F para as falsas: 
 
( ) O conceito de volatilidade da informação se refere ao tempo que ela permanece 
ativa e necessária para a organização. 
( ) O conceito de velocidade da informação se refere a como estas podem ser 
recuperadas a partir de uma mídia. 
( ) Para todos os backups devem existir registros das operações envolvidas na ação 
de realizar a cópia. Sugere-se constar as informações da frequência, como diários, 
semanais, mensais e anuais. 
( ) Deve-se especificar o recurso de mídia utilizado (CD, DVD, fita DAT, disquete 
etc.). 
( ) Deve-se especificar o período de tempo em que as informações constantes na 
mídia devem ficar retidas para assegurar uma maior proteção ao negócio. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - V - V. 
 b) V - V - F - F - V. 
 c) F - V - F - V - F. 
 d) V - F - F - V - F. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMTUwMQ==&action2=R1RJMDg=&action3=NjQ5Nzg2&action4=MjAyMC8y&action5=MjAyMC0xMS0xMiAwMDowMDowMA==&prova=MjUwMzY1MzY=#questao_10%20aria-label=