Avaliação Final (Objetiva) e Discursiva - TUDO JUNTO

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
	Nota da Prova:
	10,00
	
	
	
	
Legenda: Resposta Certa   Sua Resposta Errada  
	1.
	A política de segurança da informação de uma organização deve considerar a informação um recurso de alto valor e, como tal, protegê-la de ameaças externas e internas. Neste sentido, é essencial considerar os aspectos referentes à segurança nos contextos lógico, físico e ambiental. Referente aos contextos de segurança da informação e suas particularidades, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam. 
(    ) A segurança física diz respeito às áreas e aos ambientes físicos da organização que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de servidores deve estar sempre trancada e a chave desta sala somente acessível por usuários que estejam autorizados a trabalhar nos servidores.
(    ) Roubo de recursos computacionais (fitas, disquetes, discos rígidos etc.), acesso de pessoas não autorizadas em ambientes protegidos (sala de impressão, sala de servidores etc.) e sabotagem de equipamentos ou arquivos de dados são aspectos relacionados à segurança ambiental.
(    ) A segurança ambiental refere-se à colocação dos recursos computacionais em local adequado, ao controle da temperatura e umidade no ambiente onde estes recursos serão instalados e ainda com cuidados quanto à rede elétrica (correto aterramento, utilização de para-raios, iluminação de emergência) que alimentará os equipamentos.
(    ) A preocupação com a proteção da informação restringe-se a informações armazenadas em mídias digitais.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	a)
	F - V - F - V - F.
	b)
	V - F - V - V - V.
	c)
	F - V - V - F - F.
	d)
	V - V - F - V - F.
	2.
	Qualquer processo, regra ou metodologia necessita de atualizações e continuidade da sua manutenção, principalmente quando se fala em tecnologias da informação. Esses procedimentos são essenciais para a continuidade dos negócios e segurança dos dados e informações. A atualização e a manutenção do plano de continuidade devem ser organizadas formalmente, devem ser realizadas em períodos como uma ou duas vezes por ano. Não existe algo predefinido, pois, a cada momento que surgir a necessidade de atualizar e realizar a manutenção do plano de continuidade dos negócios, esses procedimentos devem ocorrer conforme a necessidade identificada. Segundo Ferreira e Araújo (2008), o processo de revisão do plano deve ocorrer seguindo alguns itens. Sobre esses itens, análise as seguintes opções:
I- Perda da credibilidade no mercado e irregularidades dos recursos.
II- Eventuais riscos identificados e incidentes de segurança.
III- Ocorrências de inatividade dos ativos e imagem do negócio.
IV- Vulnerabilidades encontradas e alterações na legislação.
Agora, assinale a alternativa CORRETA:
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação ? guia prático para elaboração e implementação. 2. ed. revisada. Rio de Janeiro: Editora Ciência Moderna Ltda., 2008.
	a)
	Somente a opção II está correta.
	b)
	As opções II e IV estão corretas.
	c)
	As opções I e IV estão corretas.
	d)
	Somente a opção III está correta.
	3.
	Um dos princípios da auditoria é disponibilizar ferramentas e profissionais que possibilitem confiabilidade nos testes realizados nos ativos de sistemas de informação, garantindo que os processos, as atividades e os sistemas estejam em total segurança. Cabe ao auditor examinar os sistemas de informações que possuem falhas no controle da segurança, verificando os níveis com falhas e que estão associados com as aplicações organizacionais. Diante dessa afirmação, assinale a alternativa CORRETA que apresenta esta abordagem do auditor:
	a)
	Abordagem de controles organizacionais.
	b)
	Abordagem de máquina e hardware.
	c)
	Abordagem ao redor do computador.
	d)
	Abordagem de manutenção do computador.
	4.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	a)
	As afirmativas I e II estão corretas.
	b)
	As afirmativas I e III estão corretas.
	c)
	As afirmativas I e IV estão corretas.
	d)
	As afirmativas II, III e IV estão corretas.
	5.
	Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que nenhum intermediário consiga interceptar as mensagens e entendê-las, uma das alternativas é a utilização de criptografia. Com relação à criptografia, analise as afirmativas a seguir:
I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia (chave) e somente pode ser desencriptada com a utilização do mesmo algoritmo.
II- A combinação da autenticação e da criptografia constituem os chamados canais seguros, que fornecem serviços de segurança para as tecnologias de comunicação existentes.
III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na criptografia de mensagens.
IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na utilização de informações de login e senha por parte dos usuários que quiserem se comunicar.
Assinale a alternativa CORRETA:
	a)
	As afirmativas II, III e IV estão corretas.
	b)
	As afirmativas I e II estão corretas.
	c)
	As afirmativas I, II e IV estão corretas.
	d)
	As afirmativas I e IV estão corretas.
	6.
	As ferramentas generalistas de auditoria são programas que podem ser utilizados pelo auditor para, entre outras funções, simular, analisar amostras, processar, gerar dados estatísticos, sumarizar, apontar duplicidade. Além disso, esses softwares têm como vantagens a capacidade de processar diversos arquivos ao mesmo tempo, além de poder processar vários tipos de arquivos em vários formatos. Existem diversos programas para essas finalidades, com base nesses sistemas, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e análise de dados.
(    ) Audit Command Language (ACL) é um software que auxilia auditores internos e externos na realização de testes em arquivos de dados.
(    ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de dados.
(    ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolveconsultoria e dá suporte sobre o produto. 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	a)
	F - F - V - V.
	b)
	V - V - F - V.
	c)
	F - V - V - F.
	d)
	V - F - F - V.
	7.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as seguintes afirmativas:
I- O objetivo destas normas é fornecer recomendações para gestão da segurança da informação para os responsáveis pela segurança em suas empresas. 
II- Elas fornecem uma base comum para o desenvolvimento de normas e de práticas efetivas voltadas à segurança organizacional, além de estabelecer a confiança nos relacionamentos entre as organizações.
III- O Comercial Computer Security Centre (CCSC), criadora da norma Internacional de Segurança da Informação ISO/IEC-17799, surgiu com o objetivo de auxiliar a comercialização de produtos para segurança de Tecnologia da Informação (TI) através da criação de critérios para avaliação da segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	a)
	As afirmativas I e II estão corretas.
	b)
	Somente a afirmativa II está correta.
	c)
	As afirmativas II e III estão corretas.
	d)
	As afirmativas I e III estão corretas.
	8.
	A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários:
	a)
	Obtenção.
	b)
	Identificação das necessidades e requisitos.
	c)
	Uso.
	d)
	Tratamento.
	9.
	Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
(    ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
(    ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
(    ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
(    ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	a)
	V - F - V - V - V.
	b)
	V - V - F - F - V.
	c)
	F - F - V - F - V.
	d)
	F - V - F - V - F.
	10.
	A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
	a)
	O plano de continuidade deve ser revisado e testado periodicamente.
	b)
	As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
	c)
	No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
	d)
	Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	a)
	Plano de negócio de gerência de riscos.
	b)
	Plano de contingência.
	c)
	Plano de negócio.
	d)
	Plano de negócio de gerenciamento de projetos.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	a)
	III e IV.
	b)
	I e II.
	c)
	II, III e IV.
	d)
	I, II e III.
Prova finalizada com 10 acertos e 2 questões erradas.
 
	Acadêmico:
	Mariana de Sousa Costa (2432352)
	
	
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Discursiva) - Individual FLEX ( Cod.:514748) ( peso.:4,00)
	Prova:
	18459675
	Nota da Prova:
	9,00
	
	
	1.
	Atualmente nas empresas, um dos maiores problemas enfrentados pelas organizações está na tarefa de saber lidar com a informação. O fluxo de informação interna e externa que precisa ser tratada, organizada, distribuída e compartilhada, requer competência no que tange à capacidade de gerir a informação. A informação bem gerida se transforma em um ponto forte caracterizado como vantagem estratégica e competitiva. Na era da informação, qualquer que seja o produto ou serviço ofertado pelas organizações, a informação está presente no processo de desenvolvimento, buscando a informação adequada e relevante a ser aplicada no momento oportuno. Com relação às etapas do ciclo de vida da informação, disserte sobre o processo de obtenção das informações e qual o passo anterior e o passo posterior a ele. 
FONTE: https://revista.acbsc.org.br/racb/article/viewFile/781/pdf_61. Acesso em: 30 out. 2018.
	Resposta Esperada:
O passo anterior é a identificação das necessidades e dos requisitos e oposterior é o tratamento. Nesta etapa são desenvolvidas as atividades de criação, recepção ou captura de informação. Essas informações são provenientes de fonte externa ou interna e independe do tipo de mídia. A integridade é uma fase importante, pois é preciso garantir que a informação seja genuína, criada por alguém autorizado a produzi-la (ou proveniente de uma fonte confiável), livre de adulteração, completa e apresentada dentro de um nível de precisão compatível com os requisitos levantados na etapa de identificação das necessidades.
	2.
	Com a evolução dos computadores, a função dos auditores também mudou com o tempo e eles passaram a se envolver na avaliação dos aplicativos computacionais da organização. Conforme Dias (2000, p. 2), "com o tempo, surgiu a necessidade de auditar não só a massa de dados dos sistemas financeiros, mas também o próprio ambiente de informática, para garantir a fidedignidade dos dados manipulados por computador". Com isso, a atuação do auditor mudou e no decorrer da evolução desses sistemas e com o avanço das mudanças administrativas, são identificados três tipos diferentes de abordagens dos auditores frente aos sistemas computadorizados. Com base no exposto, disserte sobre a abordagem ao redor do computador.
FONTE: DIAS, Claudia. Segurança e auditoria da tecnologia da informação. São Paulo: Axcel Books, 2000.
	Resposta Esperada:
A abordagem ao redor do computador, como o nome já sugere, é utilizada a sistemas cuja utilização da tecnologia da informação é reduzida, e como consequência, poucas tarefas processadas eletronicamente. Neste tipo de abordagem, é feita a verificação manual, o auditor executa as mesmas tarefas que o computador, caracterizando o processamento paralelo (ao redor) do computador. 
Como vantagem, necessita um conhecimento baixo de tecnologia do auditor, além dos baixos custos envolvidos.
Como desvantagem, o real conhecimento de como os dados são atualizados.