Avaliação II - Individual Semipresencial - Segurança Em Tecnologia da Informação

Prévia do material em texto

Disciplina: Segurança Em Tecnologia da Informação
Avaliação II - Individual Semipresencial ( peso.:1,50)
Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as seguintes afirmativas:
I- O cuidado com a proteção de documentos em papel, como transmissões de correio e fax, são parte fundamental da segurança lógica de informação.
II- A empresa deve criar procedimentos para a impressão e a transmissão via fax de documentos confidenciais, garantindo assim a segurança de suas informações.
III- Informações ou mídias deixadas sobre mesas e computadores desbloqueados facilitam que a informações sejam acessadas indevidamente.
IV- A empresa deve ter políticas e procedimentos para a troca de informação através da comunicação verbal, seja por fax, vídeo etc.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
A) As afirmativas I e II estão corretas.
B) As afirmativas I e III estão corretas.
C) As afirmativas II, III e IV estão corretas.
D) As afirmativas I e IV estão corretas.
Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, assinale a alternativa INCORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
A) Quando a empresa define um acesso físico, a segurança lógica acaba sendo desnecessária.
B) Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
C) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede.
D) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico.
A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de todos os usuários de informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste manancial informativo. O documento desta política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças verdadeiras e F para as falsas:
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por cada integrante na organização às informações.
( ) A política estabelece seus controles, padrões e procedimentos.
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros documentos subordinados em hierarquia à política, que são definidos pelo Security Officer. 
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por padrões e procedimentos. 
( ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
A) V - F - F - V - F.
B) F - V - F - F - F.
C) V - V - V - V - F.
D) F - F - V - F - V.
Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também criar normas para a utilização das ferramentas e das informações existentes em uma organização. A documentação dos processos é outro fator muito importante para a área de sistemas de informações. Para que a empresa esteja segura com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções:
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
III- Plano de reinicialização de negócios, teste de emergência e recuperação.
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação. 
Agora, assinale a alternativa CORRETA:
A) As opções II e III estão corretas.
B) As opções I e II estão corretas.
C) Somente a opção II está correta.
D) As opções III e IV estão corretas.
Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as atividades e as funcionalidades são dependentes das tecnologias, pois todos eles precisam ser processados pelos sistemas informatizados. Outro fator que deve ser analisado é que toda a informação da organização possui um custo, tanto as informações quanto a estrutura que este setor precisa ter para disponibilizar a segurança dos dados. De acordo com Caruso e Steffen (1999), existem duas classes principais de materiais e atividades em processo. Sobre essas classes, análise as seguintes afirmativas:
I- Recuperação desenhada para trazer os negócios de volta, cuidados com incidentes e desastres de processamento.
II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de informação.
III- Sistemas de programas de aplicações ou de controle da atividade e informações relacionadas.
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas de processo de informação.
Agora, assinale a alternativa CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São Paulo, 1999.
A) As afirmativas II e III estão corretas.
B) As afirmativas I e II estão corretas.
C) Somente a afirmativa IV está correta.
D) Somente a afirmativa III está correta.
Quanto maior a dependência das organizações com relação à tecnologia da informação, maior a necessidade da elaboração de um plano de continuidade de negócios (PCN). Em qualquer PCN, o elo mais fraco são os recursos humanos e há a necessidade de se tratar essa situação. Com relação ao exposto, analise as sentenças a seguir:
I- O descumprimento das políticas de segurança é um dos principais riscos que o fator humano traz para as organizações no que se refere à utilização de recursos de Tecnologia da Informação.
II- A padronização dos procedimentos relacionados à utilização dos recursos de Tecnologia da Informação é um dos métodos mais eficientes para minimizar incidentes de segurança causados por falha humana.
III- Campanhas de conscientização com relação à política de segurança da organização são essenciais para o envolvimento das pessoas e consequente minimização da probabilidade de ocorrência de falha humana.
IV- O tipo de conhecimento necessário para a operacionalização de um PCN é homogêneo para todos os profissionais envolvidos.
Agora, assinalea alternativa CORRETA:
A) As sentenças III e IV estão corretas.
B) As sentenças II, III e IV estão corretas.
C) As sentenças I, II e IV estão corretas.
D) As sentenças I, II e III estão corretas.
O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
A) Todas as sentenças estão corretas.
B) As sentenças I e III estão corretas.
C) As sentenças II e IV estão corretas.
D) As sentenças I e II estão corretas.
Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações, por algum momento, ficarem desativados. Os administradores de sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar sistemas de backup e possuir configurado sempre mais do que um servidor em funcionamento; estes são os itens mais importantes para o funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos, classifique V para as opções verdadeiras e F para as falsas:
( ) Servidores atualizados, substituição de equipamentos de rede.
( ) Divulgação dos problemas de rede e conscientização dos funcionários.
( ) Manutenção da estrutura de rede e restauração dos backups.
( ) Treinamento dos programas incorporados e utilização de hardware.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
A) F - V - V - F.
B) V - F - V - F.
C) F - V - F - V.
D) V - V - F - F.
O PCN - Plano de Continuidade de Negócios (BCP - Business Continuity Plan), com relação ao escopo das políticas de continuidade dos negócios, deve prover alternativas para o processamento de transações econômicas e financeiras das organizações em casos de falhas graves de sistemas ou desastres. Para que o plano, no caso da necessidade de uso, possa dar a garantia de eficiência desejada, deve haver ações que monitorem e testem a sua eficiência. Desta forma, podemos afirmar que:
I- A gerência deve identificar suas informações críticas, níveis de serviços necessários e o maior tempo que poderia ficar sem o sistema.
II- A gerência deve assinalar prioridades aos sistemas de informações para que possa determinar as necessidades de backup e sua periodicidade.
III- O BCP deve ser desenvolvido e documentado, além ter as manutenções atualizadas, para garantir as operações pós-desastres.
IV- São considerados objetos da contingência uma aplicação, um processo de negócio, um ambiente físico e também uma equipe de funcionários.
Assinale a alternativa CORRETA:
A) Todas as sentenças estão corretas.
B) As sentenças I e III estão corretas.
C) As sentenças II e IV estão corretas.
D) As sentenças I e II estão corretas.
Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações, por algum momento, ficarem desativados. Os administradores de sistemas, analistas e programadores sempre buscam que os imprevistos não ocorram. As organizações e estes departamentos desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar sistemas de backup e possuir configurado sempre mais do que um servidor em funcionamento; estes são os itens mais importantes para o funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos, classifique V para as opções verdadeiras e F para as falsas:
( ) Servidores atualizados, substituição de equipamentos de rede.
( ) Divulgação dos problemas de rede e conscientização dos funcionários.
( ) Manutenção da estrutura de rede e restauração dos backups.
( ) Treinamento dos programas incorporados e utilização de hardware.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
A) F - V - V - F.
B) V - F - V - F.
C) F - V - F - V.
D) V - V - F - F.
A perda de acesso às informações ou à infraestrutura de tecnologia da informação representa um risco concreto e uma ameaça para qualquer organização. É nesse enfoque que atua o plano de continuidade de negócios. O objetivo principal do plano de continuidade de negócios é manter as operações de uma organização funcionando no caso da ocorrência de um evento de falha de segurança. Com relação ao plano de continuidade de negócios, assinale a alternativa CORRETA:
A) O plano de continuidade de negócios tem sua atuação restrita a processos de negócio.
B) O plano de continuidade de negócios objetiva manter todas as operações da organização em funcionamento, no caso da ocorrência de um evento de falha de segurança.
C) As atualizações no plano de continuidade de negócios ocorrem somente após um evento de falha de segurança.
D) O plano de continuidade de negócios deve priorizar as operações cuja paralisação traga maior impacto para a organização.
A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
A) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
B) O plano de continuidade deve ser revisado e testado periodicamente.
C) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
D) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.