Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00) Prova: 27271100 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada Parte superior do formulário 1. Os administradores de sistemas, analistas e programadores sempre buscam evitar que imprevistos ocorram e que os sistemas, servidores e aplicações não tenham problemas de acesso. Para evitar esses problemas, as organizações desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos que devem ser adotados, assinale a alternativa CORRETA: a) Servidores atualizados, substituição de equipamentos de rede. b) Treinamento dos programas incorporados e utilização de hardware. c) Divulgação dos problemas de rede e conscientização dos funcionários. d) Manutenção periódica, backups e restauração das redes. 2. De uma maneira bem simples, podemos dizer que risco é a "exposição à chance de perdas ou danos", por isso devemos fazer um correto gerenciamento. O gerenciamento de riscos significa identificar riscos e traçar planos para minimizar seus efeitos sobre o projeto. No entanto, é necessário conhecer o correto fluxo de análise e ameaças e riscos. Com relação ao exposto, ordene os itens a seguir: I- Estabelecimento de prioridades de proteção. II- Determinação dos pesos dos riscos. III- Avaliação do risco. IV- Identificação das ameaças. V- Adoção de medidas de proteção. VI- Determinação das probabilidades dos riscos. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) IV - VI - II - III - I - V. b) V - III - I - VI - II - IV. c) II - IV - VI - III - I - V. d) I - VI - II - III - IV - V. 3. O auditor que atua com os sistemas de informação possui a formação como qualquer outro auditor, o que diferencia as funções são as ferramentas tecnológicas utilizadas para auditar os equipamentos e os sistemas de informação. O principal controle da auditoria está em controles internos, verificar e analisar se os controles internos estão implementados de forma correta. A auditoria possui alguns princípios e objetivos que o tornam mais competitivos. Sobre esses princípios, análise as seguintes opções: I- Níveis de riscos reduzidos e melhor eficiência com custos reduzidos. II- Serviços automatizados, com qualidade e reconhecidos no mercado. III- Disponibilizar serviços lógicos, físicos e auditar os registros de cálculos. IV- Utilização de variáveis estatísticas e matemáticas nas amostras encontradas. Agora, assinale a alternativa CORRETA: a) Somente a opção III está correta. b) Somente a opção IV está correta. c) As opções II e IV estão corretas. d) As opções I e II estão corretas. 4. A política de segurança deve capacitar a organização com instrumentos jurídicos, normativos e processuais. Com o objetivo de fornecer orientação e apoio às ações de gestão da segurança, a política possui uma função fundamental e de grande abrangência, podendo ser dividida em segmentos. Com base no planejamento da política de segurança, ordene os itens a seguir: I- Normas. II- Procedimentos e instruções. III- Diretrizes. Assinale a alternativa que apresenta a sequência CORRETA: a) II - I - III. b) III - II - I. c) I - III - II. d) III - I - II. 5. Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários, com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, analise as sentenças a seguir: I- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo desnecessária. II- Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico. III- Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede. IV- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede. Assinale a alternativa CORRETA: FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017. a) As sentenças II, III e IV estão corretas. b) As sentenças I e IV estão corretas. c) As sentenças I, II e III estão corretas. d) Somente a sentença IV está correta. 6. Durante a auditoria, vários relatórios podem ser gerados em resposta às atividades auditadas. De maneira geral, eles se classificam em dois grandes grupos, os que servem para as necessidades da auditoria interna e os que são encaminhados para a consecução dos objetivos da auditora. A geração desses relatórios pode ocorrer em diversos momentos. Com base no nestes momentos, analise as sentenças a seguir: I- Relatórios são gerados antes da execução do procedimento de auditoria e constatação de fatos relevantes indicam áreas que dão prejuízo. II- Relatórios interinos do processo de auditoria relatarão a situação inteira da auditoria, e são gerados somente ao final do processo. III- Os relatórios finais, ou pareceres, são o resultado final do trabalho de auditoria de sistemas. IV- Relatórios preliminares são emitidos antes de iniciar o trabalho para o auditor verificar a situação. Agora, assinale a alternativa CORRETA: a) As sentenças I, III e IV estão corretas. b) As sentenças I, II e IV estão corretas. c) As sentenças II, III e IV estão corretas. d) Somente a sentença III está correta. 7. Depois de conduzir uma pesquisa por telefone, a FTC estimou que 9,8 milhões de norte-americanos tiveram suas identidades roubadas no ano passado, o que ocasionou um prejuízo de R$ 48 bilhões para empresas e instituições financeiras. Para as vítimas individuais, as perdas são estimadas em US$ 5 bilhões. Essa estatística sobre roubo de identidade não se refere apenas ao roubo e ao uso da informação pela internet e por outros meios via tecnologia. Sobre as possíveis formas de obtenção indevida de dados através da engenharia social, analise as seguintes afirmativas: I- Um hacker envia um e-mail para um usuário, apresentando-se como administrador da rede e solicita a entrega da senha para a realização de manutenção dos serviços. II- Uma pessoa fazendo-se passar por estudante realizando um trabalho de escola, parou na frente do portão de entrada de uma empresa para obter dados. III- Pessoas que roubam cartões bancários ou carteiras em eventos sociais como festas. IV- Envio de mensagens, solicitando a realização de qualquer ação solicitada por e-mail, como executar um arquivo. Assinale a alternativa CORRETA: a) As afirmativas II, III e IV estão corretas. b) As afirmativas I, II e IV estão corretas. c) Somente a afirmativa I está correta. d) Somente a afirmativas IV está correta. 8. A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruídaindevidamente. Com relação aos possíveis ataques à segurança, assinale a alternativa INCORRETA: FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. a) A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica. b) A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico. c) O roubo de dados armazenados em arquivos magnéticos é um exemplo de um problema para a segurança lógica. d) A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada. 9. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados na segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica. ( ) Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line. ( ) Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel. ( ) A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. a) F - V - V - F. b) V - F - V - V. c) F - F - F - V. d) V - V - V - F. 10. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. ( ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. ( ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. ( ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. a) F - F - F - V. b) V - V - V - F. c) F - V - V - V. d) V - F - F - F. 11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) I e II. b) III e IV. c) II, III e IV. d) I, II e III. 12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerenciamento de projetos. b) Plano de contingência. c) Plano de negócio. d) Plano de negócio de gerência de riscos. Prova finalizada com 11 acertos e 1 questões erradas. Parte inferior do formulário Parte inferior do formulário
Compartilhar