Segurança em Tecnologia da Informação (GTI08) - final objetiva

Prévia do material em texto

22/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/5
Acadêmico: Heron Almeida Machado (1166069)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
Prova: 20361572
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. O interesse em guardar informações é muito antigo. Desde o início dos tempos, o ser
humano sentiu necessidade de registrar os fatos e as informações, seja em paredes ou
papiros. Hoje, o valor da informação é quase imensurável para as empresas. Apesar de toda
essa evolução e da importância, nem tudo é perfeito e imprevistos acontecem. Para isso, as
empresas devem estar preparadas e evitar ao máximo a inoperância. Qual o plano que visa
minimizar esses impactos?
 a) Plano de continuidade de produção.
 b) Plano de gerenciamento de risco.
 c) Plano de recuperação emergencial.
 d) Plano de impacto de incidentes.
2. A política de segurança e auditoria em sistemas de informação deve descrever processos
contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação,
sendo que, em caso de algum incidente de segurança, deve prever medidas operacionais
que deverão ser executadas para a retomada do funcionamento da organização. Assinale a
alternativa CORRETA que apresenta este conjunto de medidas operacionais:
 a) Plano de Recuperação Urgente.
 b) Plano de Continuidade.
 c) Auditoria de Sistemas.
 d) Política de Recuperação.
3. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
 b) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem
orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada
como sinônimo de segurança da informação.
22/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/5
 c) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas,
dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
 d) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração
pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento
do projeto de Segurança da Informação.
4. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha
com os salários de todos os funcionários que estava armazenada em um computador (o
servidor de arquivos) tenha sido acessada por usuários que não tinham autorização. Eles
apenas visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste
caso, um princípio da segurança da informação comprometido com esse incidente. Sobre o
exposto, classifique V para as sentenças verdadeiras e F para as falsas:
( ) O princípio violado foi a disponibilidade, pois a informação estava disponível.
( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação.
( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. 
( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário
devido.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F - V.
 b) V - V - F - F.
 c) F - V - V - F.
 d) F - F - V - V.
5. Segurança da informação significa proteger seus dados e sistemas de informação de
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e
destruição. O conceito de segurança da informação está ligado à confidencialidade, à
integridade e à disponibilidade da informação. O conceito de segurança de processamento
está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos
são complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados
na segurança ambiental das informações, classifique V para as opções verdadeiras e F para
as falsas:
( ) Definição de perímetros lógicos.
( ) Energia alternativa.
( ) Política de mesa limpa e tela limpa.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V.
 b) F - V - V.
 c) F - V - F.
 d) V - V - V.
22/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/5
6. No e-mail corporativo, você recebe uma mensagem onde o remetente é o gerente ou alguém
em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de
Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se
você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo
apresenta uma tela análoga àquela que você utiliza para ter acesso à conta bancária,
aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para
furtar sua senha de acesso à conta bancária e enviá-la para o atacante. Com base no
seguinte cenário hipotético apresentado, qual ataque à segurança da informação provocado
por terceiros está sendo aplicado?
FONTE: https://forum.fsocietybrasil.org/topic/527-. Acesso em: 30 out. 2018.
 a) Treinamento de prestadores de serviços.
 b) Engenharia social.
 c) Segregação de funções.
 d) Acordos de confidencialidade.
7. A informação utilizada pela organização é um bem valioso e necessita ser protegido e
gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a
legalidade e a auditabilidade da informação, independentemente do meio de
armazenamento, de processamento ou de transmissão utilizado. Toda informação também
deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com
relação aos possíveis ataques à segurança, analise as afirmativas a seguir:
I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança
lógica.
II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma
forma de segurança lógica.
IV- A estrutura de controle da segurança da informação pode ser centralizada ou
descentralizada.
Assinale a alternativa CORRETA
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2006.
 a) As afirmativas I, II e IV estão corretas.b) As afirmativas II, III e IV estão corretas.
 c) As afirmativas I, II e III estão corretas.
 d) Somente a afirmativas IV está correta.
8. A auditoria dos sistemas de informação trata-se de uma atividade que visa a realizar o exame
de operações, processos, sistemas e responsabilidades gerenciais de uma organização,
tendo por objetivo verificar a sua conformidade com a política de segurança, padrões ou
normas. Esta auditoria pode assumir três abordagens distintas, ou seja, ao redor do
computador, através do computador ou com o computador. Acerca da abordagem ao redor
do computador, analise as sentenças a seguir:
I- O auditor analisará os documentos fonte, conferindo as saídas conhecidas por meio de
entradas específicas.
II- Esta abordagem somente é recomendada para grandes organizações, devido aos altos
custos de aplicação.
III- Exige um vasto conhecimento na tecnologia da informação, já que faz uso dos variados
recursos que o computador fornece.
IV- Por não possuir parâmetros bem definidos gera uma maior dificuldade aos auditores e
consequentemente menor eficiência no resultado final.
Assinale a alternativa CORRETA:
22/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/5
 a) As sentenças II, III e IV estão corretas.
 b) As sentenças I e III estão corretas.
 c) As sentenças II e IV estão corretas.
 d) As sentenças I e IV estão corretas.
9. Qualquer processo, regra ou metodologia necessita de atualizações e continuidade da sua
manutenção, principalmente quando se fala em tecnologias da informação. Esses
procedimentos são essenciais para a continuidade dos negócios e segurança dos dados e
informações. A atualização e a manutenção do plano de continuidade devem ser organizadas
formalmente, devem ser realizadas em períodos como uma ou duas vezes por ano. Não
existe algo predefinido, pois, a cada momento que surgir a necessidade de atualizar e
realizar a manutenção do plano de continuidade dos negócios, esses procedimentos devem
ocorrer conforme a necessidade identificada. Segundo Ferreira e Araújo (2008), o processo
de revisão do plano deve ocorrer seguindo alguns itens. Sobre esses itens, análise as
seguintes opções:
I- Perda da credibilidade no mercado e irregularidades dos recursos.
II- Eventuais riscos identificados e incidentes de segurança.
III- Ocorrências de inatividade dos ativos e imagem do negócio.
IV- Vulnerabilidades encontradas e alterações na legislação.
Agora, assinale a alternativa CORRETA:
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação ? guia prático para elaboração e implementação. 2. ed. revisada.
Rio de Janeiro: Editora Ciência Moderna Ltda., 2008.
 a) As opções II e IV estão corretas.
 b) Somente a opção III está correta.
 c) Somente a opção II está correta.
 d) As opções I e IV estão corretas.
10.Quanto maior a dependência das organizações com relação à tecnologia da informação,
maior a necessidade da elaboração de um plano de continuidade de negócios (PCN). Em
qualquer PCN, o elo mais fraco são os recursos humanos e há a necessidade de se tratar
essa situação. Com relação ao exposto, analise as sentenças a seguir:
I- O descumprimento das políticas de segurança é um dos principais riscos que o fator
humano traz para as organizações no que se refere à utilização de recursos de Tecnologia
da Informação.
II- A padronização dos procedimentos relacionados à utilização dos recursos de Tecnologia
da Informação é um dos métodos mais eficientes para minimizar incidentes de segurança
causados por falha humana.
III- Campanhas de conscientização com relação à política de segurança da organização são
essenciais para o envolvimento das pessoas e consequente minimização da probabilidade
de ocorrência de falha humana.
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é homogêneo
para todos os profissionais envolvidos.
Agora, assinale a alternativa CORRETA:
 a) As sentenças I, II e IV estão corretas.
 b) As sentenças II, III e IV estão corretas.
 c) As sentenças III e IV estão corretas.
 d) As sentenças I, II e III estão corretas.
22/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/5
11.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou
reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de negócio de gerência de riscos.
 b) Plano de negócio.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de contingência.
12.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de
segurança capazes de garantir autenticidade, confidencialidade e integridade das
informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma
pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) II, III e IV.
 b) I e II.
 c) I, II e III.
 d) III e IV.
Prova finalizada com 12 acertos e 0 questões erradas.