Baixe o app para aproveitar ainda mais
Prévia do material em texto
11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/5 Acadêmico: Stella Quagliato (2788522) Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00) Prova: 25330408 Nota da Prova: 10,00 Legenda: Resposta Certa Sua Resposta Errada 1. Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir: I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente. II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada. III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados. IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente. Assinale a alternativa CORRETA: FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018. a) As afirmativas I e III estão corretas. b) As afirmativas I e IV estão corretas. c) As afirmativas II, III e IV estão corretas. d) As afirmativas I e II estão corretas. 11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/5 2. A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma política de segurança de tecnologia da informação, possibilitando o estabelecimento de prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto na organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se concretizar ou minimizam o grau de vulnerabilidade de determinado ativo. ( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em caso de mudança de algum recurso computacional de hardware ou software. ( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios a relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com medidas de segurança para o mesmo. ( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: gravidade do impacto e probabilidade de ocorrência do incidente, representa um método qualitativo de avaliação de riscos. Assinale a alternativa que apresenta a sequência CORRETA: a) V - F - F - V. b) V - F - V - V. c) V - F - V - F. d) F - V - F - V. 3. A abordagem ao redor do computador é uma auditoria que deixa um pouco a desejar, pois deixa de realizar análises e identificações dos processos internos de um computador, como os softwares e as aplicações lógicas. Por isso, para se realizar um procedimento de auditoria em tecnologias de informação, precisa-se verificar quais são as necessidades e identificar a abordagem mais eficiente. Com relação à auditoria dos sistemas de informação, sobre os processos que precisam ser auditados, classifique V para as opções verdadeiras e F para as falsas: ( ) Utilização das capacidades lógicas e aritméticas. ( ) Utilização de espaços de memória e discos rígidos. ( ) Utilização das capacidades matemáticas e de edição. ( ) Utilização de espaços de servidores e sistemas web. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - F. b) F - V - V - F. c) V - F - V - F. d) F - F - F - V. 4. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, assinale a alternativa INCORRETA: FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014. 11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/5 a) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508. b) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação. c) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança. d) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação. 5. Garantir que a informação seja íntegra, esteja disponível quando necessária e acessível somente por quem é de direito, é uma preocupação nas empresas. Para auxiliar nessa tarefa, deve-se ter claro e disponível a todos os funcionários suas políticas de segurança. Este documento é composto por um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. Para que esse documento seja desenvolvido da melhor maneira possível, algumas considerações devem ser verificadas. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Conhecer quais são as vulnerabilidades da empresa e os pontos fracos é de suma importância para a criação de uma boa política. ( ) Consiga a adesão dos funcionários, pois de nada adianta políticas se os funcionários não colocarem em prática. ( ) O controle e as barreiras físicas são uma técnica antiga de segurança e não há necessidade dessa preocupação nas políticas de segurança. Basta ter uma boa segurança lógica dos dados. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) V - F - F. b) V - V - V. c) V - V - F.d) F - V - F. 6. Desde o início dos tempos, o ser humano sentiu necessidade de registrar os fatos e as informações. Em muitas civilizações, os registros desses símbolos eram feitos em rochas e cavernas, em outras esse registro era feito em papiros e cerâmicas. A informação hoje tem um valor muito grande, especialmente para as empresas, e seu registro e armazenamento pode ser realizado de diversas formas, mas três objetivos principais devem ser considerados para a preservação da informações. Quais são estes objetivos? a) Confidencialidade, integridade e disponibilidade. b) Segurança, rapidez e disponibilidade. c) Confidencialidade, segurança e disponibilidade. d) Segurança, integridade e confidencialidade. 7. Para avaliar se os controles de segurança da informação são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções que o auditor pode desejar. Sobre algumas desvantagens destes tipos de softwares, assinale a alternativa CORRETA: a) Em situações em que exijam cálculos complexos. b) O auditor não precisa ser um especialista em informatica. 11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/5 c) Quando precisa processar vários arquivos. d) Quando precisa processar arquivos em formatos diversos. 8. O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em conformidade com estes planos: a) Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem indisponíveis recursos que possibilitam seu uso. b) Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é o seu alto custo. c) O PCN visa a prover meios da continuidade operacional. d) A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados. 9. Saber que uma pessoa é realmente quem diz ser é uma das questões mais complexas no mundo real e também no virtual. No mundo corporativo, quando você acessa o ambiente computacional, é necessário ter uma identificação e uma forma de se autenticar, seja por meio de senha, cartão, característica biométrica ou uma combinação desses meios. A partir desse momento, o computador entende que, se houver identificação e autenticação de forma correta, o acesso às informações pode ser liberado. A autenticação da pessoa é um fator básico para a existência da segurança da informação. Sobre as possíveis formas de incidentes, analise as seguintes afirmativas: I- Os incidentes acidentais são os decorrentes de ignorância de algum funcionário. II- Podem ser considerados incidentes intencionais a distração e a negligência. III- Os acidentes acidentais podem ser gerados por fraudes ou vingança. IV- Os incidentes intencionais, podem ser causados por descontentamento. Assinale a alternativa CORRETA: a) Somente a afirmativa IV está correta. b) As afirmativas II e III estão corretas. c) As afirmativas I e IV estão corretas. d) Somente a afirmativa II está correta. 10.A política de segurança e auditoria em sistemas de informação deve descrever processos contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação, sendo que, em caso de algum incidente de segurança, deve prever medidas operacionais que deverão ser executadas para a retomada do funcionamento da organização. Assinale a alternativa CORRETA que apresenta este conjunto de medidas operacionais: a) Auditoria de Sistemas. b) Política de Recuperação. c) Plano de Continuidade. d) Plano de Recuperação Urgente. 11/03/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/5 11.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) II, III e IV. b) I e II. c) I, II e III. d) III e IV. 12.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio. b) Plano de negócio de gerência de riscos. c) Plano de contingência. d) Plano de negócio de gerenciamento de projetos. Prova finalizada com 12 acertos e 0 questões erradas.
Compartilhar