segurança-4

Prévia do material em texto

29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/6
Acadêmico:
Disciplina:
Avaliação:
Prova:
Segurança em Tecnologia da Informação (GTI08)
Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
25353116
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos
os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas
expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o
desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou
conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da
informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799.
Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
 b) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre
os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
 c) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela
Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do
projeto de Segurança da Informação.
 d) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação.
29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/6
2. A auditoria no desenvolvimento e na manutenção dos sistemas de informação é essencial e
garante que qualquer alteração não torne todo o sistema ou a rede vulnerável e insegura. Esses
processos de desenvolvimento e manutenção envolvem profissionais de TI que possuem
conhecimento suficiente, para assegurar que as novas versões dos sistemas sejam seguras.
Estes procedimentos devem atender especificamente às políticas de segurança e disponibilizar
o pleno funcionamento do negócio da organização. É preciso implementar certos procedimentos
de desenvolvimento, manutenção e documentação dos sistemas para garantir a segurança das
tecnologias da informação. Sobre esses processos, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) Capacitação, treinamentos e desenvolvimento dos usuários.
( ) Conscientizar, implantar cursos e palestras para divulgar a segurança.
( ) Aquisição, planejamento e manutenções preventivas.
( ) Modificação, documentação e especificação dos programas.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - V - F.
 b) F - V - F - F.
 c) V - F - F - V.
 d) F - F - V - V.
3. Por hipótese, considere que, durante um processo de auditoria interna em uma empresa, foi
encontrada uma documentação sobre registros de verbas de campanha publicitária com clara
identificação de perda de parte do material. Essa constatação fere qual princípio da segurança
da informação?
 a) Disponibilidade.
 b) Confidencialidade.
 c) Irretratabilidade.
 d) Integridade.
4. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles
ocasionam perdas ou degradações ao ambiente, ou ambos, sendo que seus efeitos são
percebidos através da avaliação dos impactos causados. Estes impactos, por sua vez, são
classificados com relação à influência exercida sobre os aspectos de confidencialidade,
integridade e disponibilidade. Avalie os efeitos relacionados a seguir:
I- Perda significante dos principais ativos e recursos.
II- Impossibilidade de continuar com as atividades de negócio.
III- Perda dos principais ativos e recursos.
IV- Perda de alguns dos principais ativos e recursos.
Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a
classificação dos impactos dos efeitos citados:
 a) Alto, Médio, Médio, Baixo.
 b) Médio, Médio, Baixo e Baixo.
 c) Médio, Alto, Médio e Médio.
 d) Alto, Alto, Médio e Baixo.
29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/6
5. A documentação de um sistema em desenvolvimento é um conjunto de artefatos que descrevem
a sua aplicação, construção e funcionamento, sendo que cada momento do processo de
desenvolvimento possui artefatos com características específicas e voltados para profissionais
com habilidades específicas. Com base neste pressuposto, analise as afirmativas a seguir:
I- A documentação utilizada para desenvolver um sistema, embora importante para os
profissionais de desenvolvimento, não é relevante para os auditores, uma vez que estes terão
acesso irrestrito ao software pronto.
II- A documentação do usuário descreve de que forma este deve usar o sistema, informando
procedimentos para entrada de dados e posterior correção, bem como o uso de relatórios.
III- Em uma empresa de desenvolvimento de software, o acesso à documentação deve ser
objeto de auditoria, visando a garantir a integridade dos artefatos gerados.
IV- A documentação operacional refere-se à utilização do software, ou seja, descreve de que
forma o usuário deve operar o sistema, informando procedimentos para entrada de dados e
posterior correção, bem como o uso de relatórios.
Agora, assinale a alternativa CORRETA:
 a) As afirmativas II e III estão corretas.
 b) As afirmativas I, II e III estão corretas.
 c) As afirmativas I e IV estão corretas.
 d) As afirmativas I, III e IV estão corretas.
6. Devido a sua importância, os sistemas de informações de uma empresa devem ser muito bem
protegidos. Para avaliar se os controles são eficazes, e assim mensurar se estão ou não
vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor focará na
avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. Para facilitar o
trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas
em algumas tarefas. Sobre essas tarefas, assinale a alternativa CORRETA:
 a) Testes de controles específicos e amostragem.
 b) Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e
amostragem.
 c) Testes geral de transações, analítico e amostragem.
 d) Testes de controles específicos, testes geral de transações, analítico e substantivo e
amostragem.
7. Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-
americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo
de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas
são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere
apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre
as possíveis formas de obtenção indevida de dados através da engenharia social, analise as
seguintes afirmativas:
I- Um hacker envia um e-mail paraum usuário, apresentando-se como administrador da rede e
solicita a entrega da senha para a realização de manutenção dos serviços.
II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na
frente do portão de entrada de uma empresa para obter dados.
III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. 
IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como
executar um arquivo.
Assinale a alternativa CORRETA:
 a) Somente a afirmativas IV está correta.
29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/6
 b) As afirmativas II, III e IV estão corretas.
 c) Somente a afirmativa I está correta.
 d) As afirmativas I, II e IV estão corretas.
8. Quanto maior a dependência das organizações com relação à tecnologia da informação, maior a
necessidade da elaboração de um plano de continuidade de negócios (PCN). Em qualquer PCN,
o elo mais fraco são os recursos humanos e há a necessidade de se tratar essa situação. Com
relação ao exposto, analise as sentenças a seguir:
I- O descumprimento das políticas de segurança é um dos principais riscos que o fator humano
traz para as organizações no que se refere à utilização de recursos de Tecnologia da
Informação.
II- A padronização dos procedimentos relacionados à utilização dos recursos de Tecnologia da
Informação é um dos métodos mais eficientes para minimizar incidentes de segurança causados
por falha humana.
III- Campanhas de conscientização com relação à política de segurança da organização são
essenciais para o envolvimento das pessoas e consequente minimização da probabilidade de
ocorrência de falha humana.
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é homogêneo para
todos os profissionais envolvidos.
Agora, assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças II, III e IV estão corretas.
 c) As sentenças I, II e IV estão corretas.
 d) As sentenças I, II e III estão corretas.
9. O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo principal ser
um documento que auxilia a organização no tratamento de desastres, tentando diminuir perdas,
oferecendo mais disponibilidade, segurança e confiabilidade na TI para que suporte com valor e
qualidade o negócio da organização. Dada a importância que a elaboração de um Plano de
Continuidade de Negócios (PCN) tem atualmente para as organizações, é essencial que este
plano seja auditado e testado antes de sua implantação efetiva. Com relação ao teste e à
auditoria de PCN, assinale a alternativa CORRETA:
FONTE: Disponível em: <http://iso27000.com.br/index.php?
option=com_content&view=article&id=52:importpcn&catid=34:seginfartgeral&Itemid=53>. Acesso
em: 10 fev. 2017.
 a) A auditoria de PCN deve verificar se os contatos de fornecedores externos atendem aos
requisitos definidos no projeto interno.
 b) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de
aumentar a conscientização.
 c) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar
as funções que se espera deles no caso de um evento de falha de segurança.
 d) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um
PCN, seu envolvimento somente ocorrerá na etapa de sua definição.
29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/6
10.Segurança da informação significa proteger seus dados e sistemas de informação de acessos e
uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O
conceito de segurança da informação está ligado à confidencialidade, à integridade e à
disponibilidade da informação. O conceito de segurança de processamento está ligado à
disponibilidade e à operação da infraestrutura computacional. Esses conceitos são
complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na
segurança ambiental das informações, classifique V para as opções verdadeiras e F para as
falsas:
( ) Definição de perímetros lógicos.
( ) Energia alternativa.
( ) Política de mesa limpa e tela limpa.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V.
 b) V - V - V.
 c) F - V - F.
 d) F - F - V.
11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança
capazes de garantir autenticidade, confidencialidade e integridade das informações. Com
relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa
ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I e II.
 b) I, II e III.
 c) III e IV.
 d) II, III e IV.
12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode
ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da
empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A
fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso
elaborar:
 a) Plano de negócio.
29/12/2020 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 6/6
 b) Plano de negócio de gerência de riscos.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de contingência.
Prova finalizada com 11 acertos e 1 questões erradas.