Segurança da Informação e Auditoria de TI

Prévia do material em texto

Segurança em Tecnologia da Informação (GTI08)
Avaliação:
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
Prova:
25445497
Nota da Prova:
10,00
Legenda: Ícone representando resposta correta Resposta Certa Ícone representando resposta incorreta Sua Resposta Errada 
1.	A segurança da informação está relacionada com a proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Com relação aos principais atributos da segurança da informação, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Confidencialidade: deve limitar o acesso à informação tão somente às entidades legítimas, ou seja, aquelas autorizadas pelo proprietário da informação.
( ) Autenticidade: deve garantir que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
( ) Disponibilidade: essa propriedade garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
( ) Integridade: é a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
Ícone representando resposta correta a)	V - F - V - F.
fundo_transparente_16x16.png b)	F - V - V - V.
fundo_transparente_16x16.png c)	V - V - V - F.
Ícone representando resposta incorreta d)	V - F - F - F.
2.	A auditoria de sistema de informação visa a avaliar as funções e as operações dos sistemas de informação, assim como atestar se os dados e as demais informações neles contidos correspondem aos princípios de integridade, precisão e disponibilidade, sendo considerado um instrumento para a gestão de segurança. Neste sentido, o COBIT é uma ferramenta que auxilia na análise e harmonização dos padrões e boas práticas de TI existentes, adequando-se aos princípios anteriormente citados. O COBIT está dividido em quatro domínios. Quais são eles?
fundo_transparente_16x16.png a)	Organização e aquisição, implementação e programação, entrega e monitoração, avaliação e suporte.
fundo_transparente_16x16.png b)	Planejamento e organização, aquisição e implementação, monitoração e suporte, entrega e avaliação.
Ícone representando resposta correta c)	Planejamento e organização, aquisição e implementação, entrega e suporte, monitoração e avaliação.
fundo_transparente_16x16.png d)	Planejamento e implementação, aquisição e organização, entrega e suporte, monitoração e avaliação.
3.	A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial, assinale a alternativa CORRETA:
fundo_transparente_16x16.png a)	Não é foco da auditoria de TI a verificação da adequação dos controles internos implantados por ela mesma.
Ícone representando resposta correta b)	A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos de TI em função da utilização dos mesmos.
fundo_transparente_16x16.png c)	A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e hardwares a serem implantados.
fundo_transparente_16x16.png d)	As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o computador e através do computador.
4.	A quantidade de informação que uma empresa gerencia e utiliza atualmente é enorme e vem aumentando constantemente. Logo, faz-se necessário que a segurança dessas informações seja realizada desde o momento de sua coleta até o seu descarte, já que os riscos estão presentes em todo o seu ciclo de vida. Acerca das etapas do ciclo de vida da informação, assinale a alternativa CORRETA que apresenta a etapa em que a informação passa por um conjunto de processos, a fim de torná-la mais exequível aos usuários:
Ícone representando resposta correta a)	Tratamento.
fundo_transparente_16x16.png b)	Obtenção.
fundo_transparente_16x16.png c)	Identificação das necessidades e requisitos.
fundo_transparente_16x16.png d)	Uso.
5.	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
fundo_transparente_16x16.png a)	A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
fundo_transparente_16x16.png b)	A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
Ícone representando resposta correta c)	Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
fundo_transparente_16x16.png d)	O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
6.	A potencialização da internet possibilitou que as informações sejam transmitidas em tempo real, trazendo consequentemente ganho de tempo e reduzindo consideravelmente os custos. Em contrapartida, é necessário tratar as informações com segurança, sendo que existem três princípios basilares para garantir a preservação dos ativos de informação. Diante disso, assinale a alternativa CORRETA que apresenta o princípio que visa a garantir que a informação chegue ao seu destino sem alterações:
fundo_transparente_16x16.png a)	Disponibilidade.
Ícone representando resposta correta b)	Integridade.
fundo_transparente_16x16.png c)	Confirmação.
fundo_transparente_16x16.png d)	Confidencialidade.
7.	A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem a sua aplicação, construção e funcionamento, sendo que cada momento do processo de desenvolvimento possui artefatos com características específicas e voltados para profissionais com habilidades específicas. Com base neste pressuposto, analise as afirmativas a seguir:
I- A documentação utilizada para desenvolver um sistema, embora importante para os profissionais de desenvolvimento, não é relevante para os auditores, uma vez que estes terão acesso irrestrito ao software pronto.
II- A documentação do usuário descreve de que forma este deve usar o sistema, informando procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios.
III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser objeto de auditoria, visando a garantir a integridade dos artefatos gerados.
IV- A documentação operacional refere-se à utilizaçãodo software, ou seja, descreve de que forma o usuário deve operar o sistema, informando procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios.
Agora, assinale a alternativa CORRETA:
Ícone representando resposta incorreta a)	As afirmativas I e IV estão corretas.
fundo_transparente_16x16.png b)	As afirmativas I, II e III estão corretas.
fundo_transparente_16x16.png c)	As afirmativas I, III e IV estão corretas.
Ícone representando resposta correta d)	As afirmativas II e III estão corretas.
8.	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
( ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
( ) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
( ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
fundo_transparente_16x16.png a)	V - F - V - V.
Ícone representando resposta correta b)	V - V - V - F.
fundo_transparente_16x16.png c)	F - F - F - V.
fundo_transparente_16x16.png d)	F - V - V - F.
9.	O plano de contingência deve ser parte da política de segurança de uma organização, complementando assim, o planejamento estratégico desta. Neste documento são especificados procedimentos preestabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser verificados. Sobre esses itens, analise as sentenças a seguir:
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil recuperação.
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram eventualidades.
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, confidencialidade e disponibilidade.
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há necessidade de relatórios gerenciais.
Agora, assinale a alternativa CORRETA:
fundo_transparente_16x16.png a)	Somente a sentença II está correta.
fundo_transparente_16x16.png b)	As sentenças II, III e IV estão corretas.
Ícone representando resposta correta c)	As sentenças I, II e III estão corretas.
fundo_transparente_16x16.png d)	As sentenças I, III e IV estão corretas.
10.	No momento atual, a política de segurança da informação é adotada em grande parte das organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às mudanças.
( ) A comunicação com os funcionários pode ser feita através de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento específico.
( ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de segurança.
( ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
fundo_transparente_16x16.png a)	F - V - V - F.
fundo_transparente_16x16.png b)	V - F - F - V.
Ícone representando resposta correta c)	V - V - V - F.
fundo_transparente_16x16.png d)	F - F - V - V.
11.	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
fundo_transparente_16x16.png a)	Plano de negócio de gerência de riscos.
fundo_transparente_16x16.png b)	Plano de negócio.
fundo_transparente_16x16.png c)	Plano de negócio de gerenciamento de projetos.
Ícone representando resposta correta d)	Plano de contingência.
12.	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
fundo_transparente_16x16.png a)	III e IV.
Ícone representando resposta correta b)	I, II e III.
fundo_transparente_16x16.png c)	I e II.
fundo_transparente_16x16.png d)	II, III e IV.