Baixe o app para aproveitar ainda mais
Prévia do material em texto
12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/4 Acadêmico: Disciplina: Política de segurança e Inventário e Ativos de Informação (20217) Avaliação: Avaliação Final (Objetiva) - Individual Semipresencial Prova: Nota da Prova: 8,00 Legenda: Resposta Certa Sua Resposta Errada 1. Uma política de segurança da informação (PSI), que fica na gaveta de um gerente de segurança da informação ou de qualquer funcionário é quase inútil. Portanto, para reverter esse cenário é necessário divulgar e educar os usuários para que entendam os benefícios da segurança da informação. A conscientização é sempre uma boa ferramenta para prevenir incidentes. Portanto, a PSI não se resume a uma lista de proibições, permissões e regras, mas também deve ser considerada pelos usuários como uma ferramenta de trabalho que faz parte do seu trabalho rotineiro. Com base nas formas de divulgação e aplicação das PSI, analise as afirmativas a seguir: I- Uma boa prática que as organizações podem adotar é a de valorizar os funcionários que mantêm a organização das suas estações de trabalho. II- O protetor de tela não deve ser o mesmo sempre, assim evita que o usuário desinteresse. III- A utilização de palestras é uma boa forma de divulgação, e todos devem estar presentes, independente de horário e localização. IV- Para divulgação de trechos curtos como "mantenha sua mesa organizada", podem ser feitos através de pôsteres. Assinale a alternativa CORRETA: a) Somente a afirmativa II está correta. b) As afirmativas I, II e IV estão corretas. c) As afirmativas III e IV estão corretas. d) Somente a afirmativa I está correta. 2. Quando falamos de segurança da informação, não devemos apenas pensar nos equipamentos e redes. É preciso estar atento aos comportamentos dos colaboradores. A engenharia social refere-se à manipulação psicológica do comportamento humano ou à divulgação de informações confidenciais. É usada para descrever um método de ataque no qual alguém usa a persuasão para obter acesso não autorizado a informações ou informações no computador. Com relação à Engenharia Social, assinale a alternativa CORRETA: a) Envolve práticas e técnicas de hacker e cracker para capturar informações do sistema das pessoas e extrair suas informações sigilosas de forma anônima. b) Trata da forma como os engenheiros burlam pessoas para obter informações sigilosas de maneira fácil e sem que estas pessoas se deem conta. c) A engenharia social somente se aplica ao contexto empresarial, pois os engenheiros sociais são contratados para melhorar a segurança. d) Envolve aspectos das interações humanas, habilidades para enganar pessoas a fim de violar a segurança da informação, utilizando instruções da vivência social ao invés de instruções técnicas para acessar as informações. 12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/4 3. Sabemos que a Segurança da Informação (SI) é a responsável por proteger um conjunto de dados, no sentido de preservar o valor que detém um indivíduo ou uma organização. Confidencialidade, integridade, disponibilidade, autenticidade e legalidade são propriedades básicas da SI. No entanto, acima de tudo, é importante lembrar que SI sem conscientização do usuário é igual fechar as portas e deixar as janelas abertas. Com relação ao papel do usuário em uma PSI, assinale a alternativa INCORRETA: FONTE: https://computerworld.com.br/seguranca/a-importancia-da-conscientizacao-do- usuario-na-seguranca-da-informacao/. Acesso em: 24 fev. 2021. a) Não adianta a organização possuir a melhor Política de Segurança da Informação, se os funcionários não lerem, entenderem e cumprirem o que está definido. b) A boa fé e o descuido das pessoas de uma organização, independentemente do cargo que ocupam, são uma porta de entrada para pessoas que pretendem roubar informações. c) Durante a criação de uma Política de Segurança da Informação (PSI), a sua forma de divulgação não é fundamental, isso é função do RH. d) A segurança da informação vai além de colocar uma senha complexa no computador, o fato de descartar papéis importantes sem a total destruição, também pode colocar em risco a organização. 4. Não é segredo que a tecnologia é fundamental em qualquer negócio, independente do porte. Além disso, é necessário para a continuidade dos negócios das organizações que suas informações estejam protegidas, quanto à integridade, confidencialidade e disponibilidade. Por isso, a necessidade de uma política de segurança da informação nas empresas. O Modelo PDCA (Plan-Do-Check-Act) permite o Planejamento, a Operação, a Avaliação e a Melhoria contínua da segurança da informação. Com base nesse ciclo PDCA e na criação de uma PSI, assinale a alternativa INCORRETA: a) A segunda fase do ciclo PDCA (DO) é o momento em que se coloca em uso o que foi proposto na fase anterior. b) O Sistema de Gestão de Segurança da Informação (SGSI), pode ser substituído por um ERP, ou outro sistema de controle de produtos. c) A fase Check é o momento em que deve-se verificar se a implantação do SGSI está de acordo com o previsto, além de realizar o monitoramento e análise. d) A identificação dos ativos e dos seus respectivos proprietários é um exemplo de atividade realizada durante a primeira fase Plan. 5. As empresas atualmente possuem uma grande quantidade de dados. O que antigamente se resolvia com um fichário para armazenar os telefones dos clientes, já não acontece mais. Hoje, temos acesso a várias coisas, como preferências de compras entre outras informações, e essas bases continuam crescendo. Baseado nisso, é fundamental que esses dados estejam seguros e disponíveis quando necessário e somente para quem tem direito. Sobre estes princípios, analise as afirmativas a seguir: I- A confidencialidade de uma informação refere-se ao fato dela não estar disponível para quem não é autorizado. II- Não há necessidade de limitar o acesso dos funcionários aos sistemas para garantir a confidencialidade, basta confiar. III- A informação não é um ativo, pois para ser considerada como tal, deve ter passado pelo filtro C.I.D. IV- O uso de senha nos computadores não é uma maneira de aumentar a confidencialidade, é só burocracia. Assinale a alternativa CORRETA: a) Somente a afirmativa I está correta. b) As afirmativas I e IV estão corretas. c) Somente a afirmativa IV está correta. d) As afirmativas II, III e IV estão corretas. 12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/4 6. Quando uma organização decide fazer um inventário de seus ativos, além de ter um controle dos seus equipamentos e softwares, ela também busca evitar desperdícios com investimentos desnecessários, pois otimiza as atividades do negócio, permite a adesão a diversos controles de padrões de gestão, além da qualidade e segurança. Essas ações são fundamentais para a sobrevivência da empresa em um mercado cada vez mais competitivo. Com relação ao processo de inventariados, analise as afirmativas a seguir: I- Ao fazer a identificação dos ativos, a organização pode fazer a melhor gestão dos equipamentos, por exemplo, se uma impressora não está sendo usada. II- O inventário de licenças de softwares não é necessário, pois não há inventário para software e licenças. III- O inventário de equipamentos como notebook é essencial para saber quem é o responsável pelo equipamento da empresa. IV- O gerenciamento de ativos de Hardware ou Hardware Asset Management (SAM) trata-se do processo empregado para tomar decisões de aquisição ou cancelamento de programas. Assinale a alternativa CORRETA: a) As afirmativas II e IV estão corretas. b) As afirmativasIII e IV estão corretas. c) As afirmativas I e IV estão corretas. d) As afirmativas I, II e III estão corretas. 7. A segurança da informação nas organizações é um assunto de extrema importância e não deve ser deixado para depois, ou pensar que invasões e ataques só acontecem com os outros. Por isso, adotar medidas, boas práticas e adquirir ferramentas seguras é essencial para qualquer negócio, independentemente do seu tamanho ou segmento. Com relação à Matriz de risco, classifique V para as sentenças verdadeiras e F para as falsas: ( ) A classificação dos riscos é uma medida universal e seguida por todas as organizações, que buscam proteger os ativos. ( ) Além da identificação dos ativos, deve-se fazer um levantamento de quais ameaças e qual o grau de exposição os ativos estão submetidos. ( ) Antes de começar a construção da matriz de risco, devemos começar fazer o inventário dos ativos de segurança da informação. ( ) A matriz de RISCO é a mesma que a matriz de responsabilidade, apenas com nome diferente. Assinale a alternativa que apresenta a sequência CORRETA: a) F - F - F - V. b) V - V - F- F. c) V - V - V - F. d) F - V - V - F. 8. A origem da palavra inventário vem da palavra inventarium, que era um termo Romano (latim) para designar um grande documento/lista onde se encontravam registrados os produtos dos armazéns. Na maioria dos casos, um inventário é basicamente é uma lista de bens e materiais disponíveis em estoque que estão armazenados na empresa ou então armazenados externamente, mas pertencentes à empresa. Com relação ao inventário de ativos de TI, assinale a alternativa INCORRETA: a) Em um inventário de ativos, a norma ISO recomenda a identificação de uma pessoa responsável pelo respectivo ativo. b) Convém que a organização identifique os ativos relevantes em seu respectivo momento no ciclo de vida da informação e documente a sua importância. c) Os ativos que a organização deve manter são apenas os físicos, pois os lógicos não podem ser inventariados. d) Em um inventário de ativos de TI, a organização deve identificar qual é o ativo e qual a sua importância dentro da organização. 12/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/4 9. Quando se pretende implementar uma política de segurança em uma organização, o quanto antes for feito, mais fácil será e melhores serão os resultados, pois processos e procedimentos podem ser estipulados e implementados, gerando bons resultados. Por exemplo, deve-se verificar o tipo de estrutura de segurança física, como clima e restrição de acesso. Também quem serão os profissionais e quais serão suas qualificações. Além disso, devem ser criadas e implantadas diretrizes de segurança, quais equipamentos e sistemas serão utilizados, responsáveis pela execução do projeto e quais normas de segurança deverão ser utilizadas. Portanto, no que diz respeito à segurança lógica e física, assinale a alternativa CORRETA: a) Na segurança física, deve-se observar as áreas e ambientes físicos da organização que não devem ser acessados por pessoas não autorizadas. Por exemplo: a sala do servidor deve estar sempre trancada e a chave dessa sala só pode ser acessada por usuários autorizados a trabalhar nos servidores. b) A segurança ambiental compreende os aspectos relacionados ao ambiente tecnológico e envolve a integridade, confidencialidade e disponibilidade das informações armazenadas nos dispositivos de computação e nas redes que os interligam. c) Com relação à segurança física, a única preocupação diz respeito à proteção das informações armazenadas em meio digital. d) Barreiras de controle e físicas, como catracas, são uma técnica de segurança antiga e não há necessidade dessa preocupação nas políticas de segurança, pois basta ter uma boa segurança lógica dos dados. 10.O ditado popular diz que "cachorro de dois donos morre de fome". Isso serve de alerta para as dificuldades de um acompanhamento a várias mãos, da responsabilidade compartilhada, ou seja, enquanto um dono acredita que seu cachorro foi alimentado pelo outro, este segundo pensa a mesma coisa do primeiro e, por esse raciocínio, o animal acaba não sendo alimentado por ninguém. Por isso, precisamos levantar informações sobre processos ou serviços de TI para tomada de decisões e definir um responsável. Para facilitar esse processo, podemos fazer uso de ferramentas que auxiliam nesse controle, por exemplo a matriz R.A.C.I Com base nessa matriz, assinale a alternativa INCORRETA: a) Na letra I (Informed) de informado, são as pessoas que devem apenas receber a informação de que uma atividade foi executada. b) O consultado (Consulted) indica quem deve responder por determinado item do inventário, ele é consultado porque é o dono. c) R.A.C.I é uma abreviação para identificar: o responsável, a autoridade, o consultado e o informado (do inglês Responsible, Accountable, Consulted e Informed). d) A pessoa que deve responder pela atividade é chamada de Autoridade (Accountable), ela será única na planilha, e considerada como o dono. Prova finalizada com 8 acertos e 2 questões erradas.
Compartilhar