03-Avaliação Final (Objetiva) -

Prévia do material em texto

12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/4
Acadêmico:
Disciplina: Política de segurança e Inventário e Ativos de Informação (20217)
Avaliação: Avaliação Final (Objetiva) - Individual Semipresencial 
Prova:
Nota da Prova: 8,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Uma política de segurança da informação (PSI), que fica na gaveta de um gerente de
segurança da informação ou de qualquer funcionário é quase inútil. Portanto, para reverter
esse cenário é necessário divulgar e educar os usuários para que entendam os benefícios da
segurança da informação. A conscientização é sempre uma boa ferramenta para prevenir
incidentes. Portanto, a PSI não se resume a uma lista de proibições, permissões e regras,
mas também deve ser considerada pelos usuários como uma ferramenta de trabalho que faz
parte do seu trabalho rotineiro. Com base nas formas de divulgação e aplicação das PSI,
analise as afirmativas a seguir:
I- Uma boa prática que as organizações podem adotar é a de valorizar os funcionários que
mantêm a organização das suas estações de trabalho. 
II- O protetor de tela não deve ser o mesmo sempre, assim evita que o usuário desinteresse.
III- A utilização de palestras é uma boa forma de divulgação, e todos devem estar presentes,
independente de horário e localização.
IV- Para divulgação de trechos curtos como "mantenha sua mesa organizada", podem ser
feitos através de pôsteres. 
Assinale a alternativa CORRETA:
 a) Somente a afirmativa II está correta.
 b) As afirmativas I, II e IV estão corretas.
 c) As afirmativas III e IV estão corretas.
 d) Somente a afirmativa I está correta.
2. Quando falamos de segurança da informação, não devemos apenas pensar nos
equipamentos e redes. É preciso estar atento aos comportamentos dos colaboradores. A
engenharia social refere-se à manipulação psicológica do comportamento humano ou à
divulgação de informações confidenciais. É usada para descrever um método de ataque no
qual alguém usa a persuasão para obter acesso não autorizado a informações ou
informações no computador. Com relação à Engenharia Social, assinale a alternativa
CORRETA:
 a) Envolve práticas e técnicas de hacker e cracker para capturar informações do sistema das
pessoas e extrair suas informações sigilosas de forma anônima.
 b) Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de
maneira fácil e sem que estas pessoas se deem conta.
 c) A engenharia social somente se aplica ao contexto empresarial, pois os engenheiros
sociais são contratados para melhorar a segurança.
 d) Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de
violar a segurança da informação, utilizando instruções da vivência social ao invés de
instruções técnicas para acessar as informações.
12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/4
3. Sabemos que a Segurança da Informação (SI) é a responsável por proteger um conjunto de
dados, no sentido de preservar o valor que detém um indivíduo ou uma organização.
Confidencialidade, integridade, disponibilidade, autenticidade e legalidade são propriedades
básicas da SI. No entanto, acima de tudo, é importante lembrar que SI sem conscientização
do usuário é igual fechar as portas e deixar as janelas abertas. Com relação ao papel do
usuário em uma PSI, assinale a alternativa INCORRETA:
FONTE: https://computerworld.com.br/seguranca/a-importancia-da-conscientizacao-do-
usuario-na-seguranca-da-informacao/. Acesso em: 24 fev. 2021.
 a) Não adianta a organização possuir a melhor Política de Segurança da Informação, se os
funcionários não lerem, entenderem e cumprirem o que está definido.
 b) A boa fé e o descuido das pessoas de uma organização, independentemente do cargo que
ocupam, são uma porta de entrada para pessoas que pretendem roubar informações.
 c) Durante a criação de uma Política de Segurança da Informação (PSI), a sua forma de
divulgação não é fundamental, isso é função do RH.
 d) A segurança da informação vai além de colocar uma senha complexa no computador, o
fato de descartar papéis importantes sem a total destruição, também pode colocar em
risco a organização.
4. Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte.
Além disso, é necessário para a continuidade dos negócios das organizações que suas
informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade.
Por isso, a necessidade de uma política de segurança da informação nas empresas. O
Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a
Melhoria contínua da segurança da informação. Com base nesse ciclo PDCA e na criação de
uma PSI, assinale a alternativa INCORRETA:
 a) A segunda fase do ciclo PDCA (DO) é o momento em que se coloca em uso o que foi
proposto na fase anterior.
 b) O Sistema de Gestão de Segurança da Informação (SGSI), pode ser substituído por um
ERP, ou outro sistema de controle de produtos.
 c) A fase Check é o momento em que deve-se verificar se a implantação do SGSI está de
acordo com o previsto, além de realizar o monitoramento e análise.
 d) A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade
realizada durante a primeira fase Plan.
5. As empresas atualmente possuem uma grande quantidade de dados. O que antigamente se
resolvia com um fichário para armazenar os telefones dos clientes, já não acontece mais.
Hoje, temos acesso a várias coisas, como preferências de compras entre outras informações,
e essas bases continuam crescendo. Baseado nisso, é fundamental que esses dados
estejam seguros e disponíveis quando necessário e somente para quem tem direito. Sobre
estes princípios, analise as afirmativas a seguir:
I- A confidencialidade de uma informação refere-se ao fato dela não estar disponível para
quem não é autorizado.
II- Não há necessidade de limitar o acesso dos funcionários aos sistemas para garantir a
confidencialidade, basta confiar. 
III- A informação não é um ativo, pois para ser considerada como tal, deve ter passado pelo
filtro C.I.D.
IV- O uso de senha nos computadores não é uma maneira de aumentar a confidencialidade,
é só burocracia.
Assinale a alternativa CORRETA:
 a) Somente a afirmativa I está correta.
 b) As afirmativas I e IV estão corretas.
 c) Somente a afirmativa IV está correta.
 d) As afirmativas II, III e IV estão corretas.
12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/4
6. Quando uma organização decide fazer um inventário de seus ativos, além de ter um controle
dos seus equipamentos e softwares, ela também busca evitar desperdícios com
investimentos desnecessários, pois otimiza as atividades do negócio, permite a adesão a
diversos controles de padrões de gestão, além da qualidade e segurança. Essas ações são
fundamentais para a sobrevivência da empresa em um mercado cada vez mais competitivo.
Com relação ao processo de inventariados, analise as afirmativas a seguir:
I- Ao fazer a identificação dos ativos, a organização pode fazer a melhor gestão dos
equipamentos, por exemplo, se uma impressora não está sendo usada.
II- O inventário de licenças de softwares não é necessário, pois não há inventário para
software e licenças.
III- O inventário de equipamentos como notebook é essencial para saber quem é o
responsável pelo equipamento da empresa.
IV- O gerenciamento de ativos de Hardware ou Hardware Asset Management (SAM) trata-se
do processo empregado para tomar decisões de aquisição ou cancelamento de programas.
Assinale a alternativa CORRETA:
 a) As afirmativas II e IV estão corretas.
 b) As afirmativasIII e IV estão corretas.
 c) As afirmativas I e IV estão corretas.
 d) As afirmativas I, II e III estão corretas.
7. A segurança da informação nas organizações é um assunto de extrema importância e não
deve ser deixado para depois, ou pensar que invasões e ataques só acontecem com os
outros. Por isso, adotar medidas, boas práticas e adquirir ferramentas seguras é essencial
para qualquer negócio, independentemente do seu tamanho ou segmento. Com relação à
Matriz de risco, classifique V para as sentenças verdadeiras e F para as falsas:
( ) A classificação dos riscos é uma medida universal e seguida por todas as organizações,
que buscam proteger os ativos.
( ) Além da identificação dos ativos, deve-se fazer um levantamento de quais ameaças e
qual o grau de exposição os ativos estão submetidos.
( ) Antes de começar a construção da matriz de risco, devemos começar fazer o inventário
dos ativos de segurança da informação.
( ) A matriz de RISCO é a mesma que a matriz de responsabilidade, apenas com nome
diferente.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - F - F - V.
 b) V - V - F- F.
 c) V - V - V - F.
 d) F - V - V - F.
8. A origem da palavra inventário vem da palavra inventarium, que era um termo Romano (latim)
para designar um grande documento/lista onde se encontravam registrados os produtos dos
armazéns. Na maioria dos casos, um inventário é basicamente é uma lista de bens e
materiais disponíveis em estoque que estão armazenados na empresa ou então
armazenados externamente, mas pertencentes à empresa. Com relação ao inventário de
ativos de TI, assinale a alternativa INCORRETA:
 a) Em um inventário de ativos, a norma ISO recomenda a identificação de uma pessoa
responsável pelo respectivo ativo.
 b) Convém que a organização identifique os ativos relevantes em seu respectivo momento no
ciclo de vida da informação e documente a sua importância.
 c) Os ativos que a organização deve manter são apenas os físicos, pois os lógicos não
podem ser inventariados.
 d) Em um inventário de ativos de TI, a organização deve identificar qual é o ativo e qual a sua
importância dentro da organização.
12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/4
9. Quando se pretende implementar uma política de segurança em uma organização, o quanto
antes for feito, mais fácil será e melhores serão os resultados, pois processos e
procedimentos podem ser estipulados e implementados, gerando bons resultados. Por
exemplo, deve-se verificar o tipo de estrutura de segurança física, como clima e restrição de
acesso. Também quem serão os profissionais e quais serão suas qualificações. Além disso,
devem ser criadas e implantadas diretrizes de segurança, quais equipamentos e sistemas
serão utilizados, responsáveis pela execução do projeto e quais normas de segurança
deverão ser utilizadas. Portanto, no que diz respeito à segurança lógica e física, assinale a
alternativa CORRETA:
 a) Na segurança física, deve-se observar as áreas e ambientes físicos da organização que
não devem ser acessados por pessoas não autorizadas. Por exemplo: a sala do servidor
deve estar sempre trancada e a chave dessa sala só pode ser acessada por usuários
autorizados a trabalhar nos servidores.
 b) A segurança ambiental compreende os aspectos relacionados ao ambiente tecnológico e
envolve a integridade, confidencialidade e disponibilidade das informações armazenadas
nos dispositivos de computação e nas redes que os interligam.
 c) Com relação à segurança física, a única preocupação diz respeito à proteção das
informações armazenadas em meio digital.
 d) Barreiras de controle e físicas, como catracas, são uma técnica de segurança antiga e não
há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa
segurança lógica dos dados.
10.O ditado popular diz que "cachorro de dois donos morre de fome". Isso serve de alerta para
as dificuldades de um acompanhamento a várias mãos, da responsabilidade compartilhada,
ou seja, enquanto um dono acredita que seu cachorro foi alimentado pelo outro, este
segundo pensa a mesma coisa do primeiro e, por esse raciocínio, o animal acaba não sendo
alimentado por ninguém. Por isso, precisamos levantar informações sobre processos ou
serviços de TI para tomada de decisões e definir um responsável. Para facilitar esse
processo, podemos fazer uso de ferramentas que auxiliam nesse controle, por exemplo a
matriz R.A.C.I Com base nessa matriz, assinale a alternativa INCORRETA:
 a) Na letra I (Informed) de informado, são as pessoas que devem apenas receber a
informação de que uma atividade foi executada.
 b) O consultado (Consulted) indica quem deve responder por determinado item do inventário,
ele é consultado porque é o dono.
 c) R.A.C.I é uma abreviação para identificar: o responsável, a autoridade, o consultado e o
informado (do inglês Responsible, Accountable, Consulted e Informed).
 d) A pessoa que deve responder pela atividade é chamada de Autoridade (Accountable), ela
será única na planilha, e considerada como o dono.
Prova finalizada com 8 acertos e 2 questões erradas.