Segurança em Tecnologia da Informação Ojetiva

Prévia do material em texto

Acadêmico: Felipe Augusto Muller (2870368)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:649785) ( peso.:3,00)
Prova: 25331359
Nota da Prova: 9,00
Legenda: Resposta Certa Sua Resposta Errada 
1. A auditoria em ambiente de tecnologia de informação não muda a formação exigida para a
profissão de auditor, apenas percebe que as informações até então disponíveis em forma de
papel são agora guardadas em forma eletrônica e que o enfoque de auditoria teria que mudar
para se assegurar de que essas informações em forma eletrônica sejam confiáveis antes de
emitir sua opinião. A filosofia de auditoria em tecnologia de informação está calcada em
confiança e em controles internos. Estes visam confirmar se os controles internos foram
implementados e se existem; caso afirmativo, se são efetivos. Sobre a relação da
organização dos trabalhos de auditoria em TI, associe os itens, utilizando o código a seguir:
I- Planejamento.
II- Escolher a equipe.
III- Programar a equipe.
( ) Orçar tempo e registrar o real e também produzir relatórios em conformidade com os
trabalhos efetuados.
( ) É caracterizado para evitar quaisquer surpresas que possam aparecer nas atividades
empresariais.
( ) Deve-se observar a experiência acumulada por ramos de atividade, além do perfil e
histórico profissional.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: https://jus.com.br/artigos/56084/auditoria-de-sistemas-de-informacao-introducao-
controles-organizacionais-e-operacionais. Acesso em: 30 out. 2018.
 a) I - II - III.
 b) III - II - I.
 c) III - I - II.
 d) II - I - III.
2. Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos,
medidas devem ser tomadas para minimizar os danos provocados por desastres ou ataques,
que colocam em risco as informações e geram perdas dos dados. Segundo o BIA (Business
Impact Analysis), alguns impactos podem ser medidos quantitativamente e categorizados.
Quais são essas categorias?
 a) Ataques, falta de luz e sabotagem.
 b) Incêndio, greve e sabotagem.
 c) Alto, médio e baixo.
 d) Necessário, prioritário e urgente.
3. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, assinale a alternativa INCORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração
pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento
do projeto de Segurança da Informação.
 b) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem
orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada
como sinônimo de segurança da informação.
 c) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
 d) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas,
dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
4. Segurança da informação significa proteger seus dados e sistemas de informação de
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e
destruição. O conceito de segurança da informação está ligado à confidencialidade, à
integridade e à disponibilidade da informação. O conceito de segurança de processamento
está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos
são complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados
na segurança ambiental das informações, classifique V para as opções verdadeiras e F para
as falsas:
( ) Política de mesa limpa e tela limpa.
( ) Segurança para micros, terminais e estações.
( ) Proteção de documentos em papel.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - F.
 b) V - F - V.
 c) F - F - V.
 d) F - V - V.
5. A academia Companhia Athletica está processando a academia Reebok por suposto roubo
de mala direta, o que caracteriza crime de concorrência desleal. Foi apresentado um laudo
comprovando que a maioria dos nomes de clientes da Cia. Athletica consta de forma idêntica
no arquivo da Reebok apreendido pela polícia. A briga começou quando a Reebok inaugurou
sua unidade na Vila Olímpia, a cerca de 500 metros da Cia. Athletica do Brooklin. Vários
clientes da Cia. Athletica reclamaram do fato de terem recebido correspondência da
concorrente e queriam saber se a academia teria vendido seus dados cadastrais. Muitas
vezes, a organização se preocupa apenas com situações sofisticadas, mas é bom estar
atento aos acontecimentos simples que possibilitam o vazamento de informação. Sobre a
forma correta de armazenamento e descarte desse tipo de informação, classifique V para as
sentenças verdadeiras e F para as falsas:
( ) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o
menor investimento, sem a preocupação com confidencialidade. Descarte: pode-se proceder
de forma simples, sem o uso de recursos e procedimentos.
( ) Armazenamento: as informações com tal classificação devem ser armazenadas de
acordo com a necessidade, em áreas de acesso reservado. Descarte: tais informações
devem ser descartadas utilizando-se recursos e procedimentos específicos. As informações
confidenciais devem servir de base para o desenvolvimento do processo e aquisição dos
recursos. 
( ) Armazenamento: os locais onde as informações estão armazenadas devem possuir
acessos controlados, havendo uma concessão formal e por meio de procedimento que
envolva o proprietário da informação. Descarte: deve ser efetuado por meio de
procedimentos e ferramentas que destruam a informação por completo
( ) Armazenamento: devem ser armazenadas com a utilização de recursos considerando o
menor investimento, sem a preocupação com confidencialidade. Descarte: deve ser efetuado
por meio de procedimentos e ferramentas que destruam a informação por completo
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2006.
 a) V - V - F - F.
 b) F - V - F - F.
 c) F - V - F - V.
 d) V - F - V - F.
6. A perda de acesso às informações ou à infraestrutura de tecnologia da informação
representa um risco concreto e uma ameaça para qualquer organização. É nesse enfoque
que atua o plano de continuidade de negócios. O objetivo principal do plano de continuidade
de negócios é manter as operações de uma organização funcionando no caso da ocorrência
de um evento de falha de segurança. Com relação ao plano de continuidade de negócios,
assinale a alternativa CORRETA:
 a) As atualizações no plano de continuidade de negócios ocorrem somente após um evento
de falha desegurança.
 b) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio.
 c) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga
maior impacto para a organização.
 d) O plano de continuidade de negócios objetiva manter todas as operações da organização
em funcionamento, no caso da ocorrência de um evento de falha de segurança.
7. Toda atividade organizacional, independente do ramo de atuação ou o porte da empresa,
está eventualmente sujeita a interrupções ou situações adversas que dificultem ou impeçam
suas operações. Essas situações que podem causar paralisações, embora raras, podem
acontecer a qualquer momento e quando menos se esperam, causadas por diversos tipos de
ameaças. Sobre as situações que fazem parte dos planos de contingência, assinale a
alternativa CORRETA:
FONTE: http://www.venki.com.br/blog/plano-de-continuidade-de-negocios/. Acesso em: 30
out. 2019.
 a) BIA - é a primeira etapa é fundamental por fornecer informações para o perfeito
dimensionamento das demais fases de construção do plano de continuidade.
 b) PCO - define os procedimentos para contingenciamento dos ativos que suportam cada
processo de negócio.
 c) BCP - define o que deve ser desenvolvido e documentado e ter as manutenções
atualizadas para garantir as operações pós-desastres.
 d) PRR- plano de retorno e recuperação, garante a sequência de processos para retorno e
recuperação dos dados.
8. Durante uma comunicação mediada por meio de uma de rede de dados, há certos requisitos
de qualidade dos dados a serem transmitidos que devem ser preservados. O processo de
cifragem destes dados com a chave secreta de uma das partes da comunicação pretende
garantir essencialmente um atributo. Sobre o exposto, analise as sentenças a seguir:
I- A informação chegará com integridade no destino.
II- A informação deverá ter disponibilidade para ser acessada.
III- O conteúdo da informação deve ter alto grau de confiabilidade.
IV- Uma vez enviada, o emissor não poderá negar a autoria da mensagem.
Agora, assinale a alternativa CORRETA:
 a) As sentenças I e III estão corretas.
 b) As sentenças III e IV estão corretas.
 c) As sentenças I e II estão corretas.
 d) Somente a sentença IV está correta.
9. É uma prática utilizada para obter acesso a informações importantes ou sigilosas em
organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas.
Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir
que é um profissional de determinada área etc. É uma forma de entrar em organizações que
não necessitam da força bruta ou de erros em máquinas. Explora as falhas de segurança das
próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente
manipuladas. Como é o nome dessa prática?
FONTE: https://www.enq.ufrgs.br/files/. Acesso em: 30 out. 2019.
 a) Engenharia social.
 b) Hackers.
 c) Crackers.
 d) Invasão de privacidade.
10.O controle de acesso às dependências onde se encontram os sistemas de informação
computadorizados é, em muitos casos, negligenciado. Muito se ouve falar de criptografia,
bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de
pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança
para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto
é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais
usuários com pouco conhecimento de segurança em informática acabam por desacreditar da
possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao
físico e lógico, analise as seguintes afirmativas:
I- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou
na rede.
II- Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo
uma cerca elétrica.
III- Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou catracas de
controle de acesso físico.
IV- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo
desnecessária.
Assinale a alternativa CORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI:
Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP.
Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
 a) Somente a afirmativa I está correta.
 b) As afirmativas I e IV estão corretas.
 c) As afirmativas II e IV estão corretas.
 d) As afirmativa I, II e III estão corretas.
11.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou
reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de negócio de gerência de riscos.
 b) Plano de contingência.
 c) Plano de negócio de gerenciamento de projetos.
 d) Plano de negócio.
12.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de
segurança capazes de garantir autenticidade, confidencialidade e integridade das
informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma
pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I e II.
 b) I, II e III.
 c) III e IV.
 d) II, III e IV.
Prova finalizada com 9 acertos e 3 questões erradas.