Segurança em Tecnologia da Informação (GTI08) AVF

Prévia do material em texto

Acadêmico:
	
	
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
	Prova:
	
	Nota da Prova:
	10,00
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA:
	 a)
	A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função da utilização dos mesmos.
	 b)
	As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e através do computador.
	 c)
	Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela mesma.
	 d)
	A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem implantados.
	2.
	A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários:
	 a)
	Identificação das necessidades e requisitos.
	 b)
	Obtenção.
	 c)
	Tratamento.
	 d)
	Uso.
	3.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
	 a)
	Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
	 b)
	Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
	 c)
	A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
	 d)
	Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
	4.
	Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades auditadas. De maneira geral, eles se classificam em dois grandes grupos, os que servem para as necessidades da auditoria interna e os que são encaminhados para a consecução dos objetivos da auditora. A geração desses relatórios pode ocorrer em diversos momentos. Com base no nestes momentos, analise as sentenças a seguir:
I- Relatórios são gerados antes da execução do procedimento de auditoria e constatação de fatos relevantes indicam áreas que dão prejuízo.
II- Relatórios interinos do processo de auditoria relatarão a situação inteira da auditoria, e são gerados somente ao final do processo.
III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria de sistemas.
IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para o auditor verificar a situação.
Agora, assinale a alternativa CORRETA:
	 a)
	As sentenças II, III e IV estão corretas.
	 b)
	As sentenças I, III e IV estão corretas.
	 c)
	As sentenças I, II e IV estão corretas.
	 d)
	Somente a sentença III está correta.
	5.
	Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as seguintes afirmativas:
I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços.
II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de uma empresa para obter dados.
III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas.
IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo.
Assinale a alternativa CORRETA:
	 a)
	Somente a afirmativa I está correta.
	 b)
	Somente a afirmativas IV está correta.
	 c)
	As afirmativas II, III e IV estão corretas.
	 d)
	As afirmativas I, II e IV estão corretas.
	6.
	A política de segurança da informação de uma organização deve considerar a informação um recurso de alto valor e, como tal, protegê-la de ameaças externas e internas. Neste sentido, é essencial considerar os aspectos referentes à segurança nos contextos lógico, físico e ambiental. Referente aos contextos de segurança da informação e suas particularidades, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A segurança lógica compreende os aspectos relacionados à integridade, à confidencialidade e à disponibilidade das informações armazenadas em dispositivos computacionais e nas redes que os interligam.
(    ) A segurança física diz respeito às áreas e aos ambientes físicos da organização que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a sala de servidores deve estar sempre trancada e a chave desta sala somente acessível por usuários que estejam autorizados a trabalhar nos servidores.
(    ) Roubo de recursos computacionais (fitas, disquetes, discos rígidos etc.), acesso de pessoas não autorizadas em ambientes protegidos (sala de impressão, sala de servidores etc.) e sabotagem de equipamentos ou arquivos de dados são aspectos relacionados à segurança ambiental.
(    ) A segurança ambiental refere-se à colocação dos recursos computacionais em local adequado, ao controle da temperatura e umidade no ambiente onde estes recursos serão instalados e ainda com cuidados quanto à rede elétrica (correto aterramento, utilização de para-raios, iluminação de emergência) que alimentará os equipamentos.
(    ) A preocupação com a proteção da informação restringe-se a informações armazenadas em mídias digitais.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V - F - F.
	 b)
	V - F - V - V - V.
	 c)
	F - V - F - V - F.
	 d)
	V - V - F - V - F.
	7.
	Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações, por algum momento, ficarem desativados. Os administradores de sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar sistemas de backup e possuir configurado sempre mais do que um servidor em funcionamento; estes são os itens mais importantes para o funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizadosquando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos, classifique V para as opções verdadeiras e F para as falsas:
(    ) Servidores atualizados, substituição de equipamentos de rede.
(    ) Divulgação dos problemas de rede e conscientização dos funcionários.
(    ) Manutenção da estrutura de rede e restauração dos backups.
(    ) Treinamento dos programas incorporados e utilização de hardware.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - F - V.
	 b)
	F - V - V - F.
	 c)
	V - F - V - F.
	 d)
	V - V - F - F.
	8.
	Em muitas empresas, a informação é o maior patrimônio. Diante disso, para que a organização se mantenha ativa, sem paradas ou invasões é necessária a criação de práticas organizacionais de gestão da continuidade do negócio, para que todos tenham conhecimento e para reduzir os riscos referente à segurança da informação na organização. Com base nesses documentos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O Plano de Continuidade de Negócios deve ser elaborado com o claro objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados.
(    ) A empresa possuirá um plano único, chamado de Plano Global, que integra os aspectos físicos, tecnológicos ou humanos e, ainda, a preocupação com múltiplas ameaças potenciais de uma organização.
(    ) O Plano de Continuidade Operacional define os procedimentos para contingenciamento dos ativos que suportam cada um dos processos de negócio.
(    ) O Plano de Continuidade de Negócios, também chamado de PCO, tem como objetivo reduzir o tempo de indisponibilidade e, consequentemente, os potenciais impactos para o negócio.
Assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - F.
	 b)
	F - V - F - F.
	 c)
	V - F - V - V.
	 d)
	F - F - V - V.
	9.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	As sentenças I, II e III estão corretas.
	 b)
	As sentenças I e IV estão corretas.
	 c)
	Somente a sentença III está correta.
	 d)
	As sentenças II e IV estão corretas.
	10.
	Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade específica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Para realizar essa tarefa, existem vários tipos de auditoria, um exemplo é a auditoria de controles organizacionais. Neste tipo de auditoria, a responsabilidade de controles acontece em algumas tarefas. Sobre quais são essas tarefas, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Gerenciamento de orçamento do capital de informática e bases.
(    ) Criação e implementação das políticas globais de informática.
(    ) Intermediação com funcionários e cliente (networking).
(    ) Geração de plano de capacitação.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000.
	 a)
	V - F - F - V.
	 b)
	V - V - F - V.
	 c)
	F - V - V - F.
	 d)
	F - F - V - V.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio de gerenciamento de projetos.
	 b)
	Plano de negócio.
	 c)
	Plano de contingência.
	 d)
	Plano de negócio de gerência de riscos.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
	 a)
	III e IV.
	 b)
	I e II.
	 c)
	I, II e III.
	 d)
	II, III e IV.
Parte inferior do formulário