Avaliação Final - Objetiva - Segurança em Tecnologia da Informação

Prévia do material em texto

11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/5
Acadêmico: Stella Quagliato (2788522)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
Prova: 25330408
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Segurança da informação significa proteger seus dados e sistemas de informação de
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e
destruição. O conceito de segurança da informação está ligado à confidencialidade, à
integridade e à disponibilidade da informação. O conceito de segurança de processamento
está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos
são complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das
informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários
somente na utilização do ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade
para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores
do tipo compacto (self-contained) ou de central de água gelada.
III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio,
devem ser constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles
específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
 a) As afirmativas I e III estão corretas.
 b) As afirmativas I e IV estão corretas.
 c) As afirmativas II, III e IV estão corretas.
 d) As afirmativas I e II estão corretas.
11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/5
2. A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma
política de segurança de tecnologia da informação, possibilitando o estabelecimento de
prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto
na organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se
concretizar ou minimizam o grau de vulnerabilidade de determinado ativo.
( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em
caso de mudança de algum recurso computacional de hardware ou software.
( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um
evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios
a relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com
medidas de segurança para o mesmo.
( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas:
gravidade do impacto e probabilidade de ocorrência do incidente, representa um método
qualitativo de avaliação de riscos.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F - V.
 b) V - F - V - V.
 c) V - F - V - F.
 d) F - V - F - V.
3. A abordagem ao redor do computador é uma auditoria que deixa um pouco a desejar, pois
deixa de realizar análises e identificações dos processos internos de um computador, como
os softwares e as aplicações lógicas. Por isso, para se realizar um procedimento de auditoria
em tecnologias de informação, precisa-se verificar quais são as necessidades e identificar a
abordagem mais eficiente. Com relação à auditoria dos sistemas de informação, sobre os
processos que precisam ser auditados, classifique V para as opções verdadeiras e F para as
falsas:
( ) Utilização das capacidades lógicas e aritméticas.
( ) Utilização de espaços de memória e discos rígidos.
( ) Utilização das capacidades matemáticas e de edição.
( ) Utilização de espaços de servidores e sistemas web.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - V - F.
 b) F - V - V - F.
 c) V - F - V - F.
 d) F - F - F - V.
4. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/5
 a) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas,
dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
 b) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem
orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada
como sinônimo de segurança da informação.
 c) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
 d) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração
pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento
do projeto de Segurança da Informação.
5. Garantir que a informação seja íntegra, esteja disponível quando necessária e acessível
somente por quem é de direito, é uma preocupação nas empresas. Para auxiliar nessa
tarefa, deve-se ter claro e disponível a todos os funcionários suas políticas de segurança.
Este documento é composto por um conjunto de normas, métodos e procedimentos, os quais
devem ser comunicados a todos os funcionários, bem como analisado e revisado
criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. Para que
esse documento seja desenvolvido da melhor maneira possível, algumas considerações
devem ser verificadas. Sobre o exposto, classifique V para as sentenças verdadeiras e F para
as falsas:
( ) Conhecer quais são as vulnerabilidades da empresa e os pontos fracos é de suma
importância para a criação de uma boa política.
( ) Consiga a adesão dos funcionários, pois de nada adianta políticas se os funcionários
não colocarem em prática.
( ) O controle e as barreiras físicas são uma técnica antiga de segurança e não há
necessidade dessa preocupação nas políticas de segurança. Basta ter uma boa segurança
lógica dos dados. 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F.
 b) V - V - V.
 c) V - V - F.d) F - V - F.
6. Desde o início dos tempos, o ser humano sentiu necessidade de registrar os fatos e as
informações. Em muitas civilizações, os registros desses símbolos eram feitos em rochas e
cavernas, em outras esse registro era feito em papiros e cerâmicas. A informação hoje tem
um valor muito grande, especialmente para as empresas, e seu registro e armazenamento
pode ser realizado de diversas formas, mas três objetivos principais devem ser considerados
para a preservação da informações. Quais são estes objetivos?
 a) Confidencialidade, integridade e disponibilidade.
 b) Segurança, rapidez e disponibilidade.
 c) Confidencialidade, segurança e disponibilidade.
 d) Segurança, integridade e confidencialidade.
7. Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se
estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O
auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar,
analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados
estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas
desvantagens destes tipos de softwares, assinale a alternativa CORRETA:
 a) Em situações em que exijam cálculos complexos.
 b) O auditor não precisa ser um especialista em informatica.
11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/5
 c) Quando precisa processar vários arquivos.
 d) Quando precisa processar arquivos em formatos diversos.
8. O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia
da informação. Diante de tal dependência, não é possível imaginar que os ativos
informacionais, ao qual se incluem a infraestrutura de hardware e todos os sistemas de
informação, possam não estar disponíveis para uso nos momentos em que estes se fizerem
necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem
esforços e desenvolvem planos que venham a garantir a continuidade de suas atividades.
Assim, as melhores práticas prescrevem que seja elaborado o PCN. A partir desta visão,
assinale a alternativa CORRETA que não está em conformidade com estes planos:
 a) Cada organização deve estar preparada para enfrentar situações de contingência e de
desastre que tornem indisponíveis recursos que possibilitam seu uso.
 b) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos,
sobre as cópias de segurança. Outro aspecto negativo a ser considerado é o seu alto
custo.
 c) O PCN visa a prover meios da continuidade operacional.
 d) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e
incidentes de segurança que não puderem ser evitados.
9. Saber que uma pessoa é realmente quem diz ser é uma das questões mais complexas no
mundo real e também no virtual. No mundo corporativo, quando você acessa o ambiente
computacional, é necessário ter uma identificação e uma forma de se autenticar, seja por
meio de senha, cartão, característica biométrica ou uma combinação desses meios. A partir
desse momento, o computador entende que, se houver identificação e autenticação de forma
correta, o acesso às informações pode ser liberado. A autenticação da pessoa é um fator
básico para a existência da segurança da informação. Sobre as possíveis formas de
incidentes, analise as seguintes afirmativas:
I- Os incidentes acidentais são os decorrentes de ignorância de algum funcionário.
II- Podem ser considerados incidentes intencionais a distração e a negligência.
III- Os acidentes acidentais podem ser gerados por fraudes ou vingança.
IV- Os incidentes intencionais, podem ser causados por descontentamento.
Assinale a alternativa CORRETA:
 a) Somente a afirmativa IV está correta.
 b) As afirmativas II e III estão corretas.
 c) As afirmativas I e IV estão corretas.
 d) Somente a afirmativa II está correta.
10.A política de segurança e auditoria em sistemas de informação deve descrever processos
contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação,
sendo que, em caso de algum incidente de segurança, deve prever medidas operacionais
que deverão ser executadas para a retomada do funcionamento da organização. Assinale a
alternativa CORRETA que apresenta este conjunto de medidas operacionais:
 a) Auditoria de Sistemas.
 b) Política de Recuperação.
 c) Plano de Continuidade.
 d) Plano de Recuperação Urgente.
11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/5
11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de
segurança capazes de garantir autenticidade, confidencialidade e integridade das
informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma
pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) II, III e IV.
 b) I e II.
 c) I, II e III.
 d) III e IV.
12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar
ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de negócio.
 b) Plano de negócio de gerência de riscos.
 c) Plano de contingência.
 d) Plano de negócio de gerenciamento de projetos.
Prova finalizada com 12 acertos e 0 questões erradas.