AVALIAÇÃO FINAL (OBJETIVA) - SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO

Prévia do material em texto

Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	Avaliação:
	Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:668753) ( peso.:3,00)
	Prova:
	32296631
	Nota da Prova:
	10,00
	
	
Legenda:  Resposta Certa   Sua Resposta Errada  
Parte superior do formulário
	1.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	As sentenças II e IV estão corretas.
	 b)
	As sentenças I e IV estão corretas.
	 c)
	Somente a sentença III está correta.
	 d)
	As sentenças I, II e III estão corretas.
	2.
	O plano de contingência deve ser parte da política de segurança de uma organização, complementando assim, o planejamento estratégico desta. Neste documento são especificados procedimentos preestabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser verificados. Sobre esses itens, analise as sentenças a seguir:
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil recuperação.
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram eventualidades.
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, confidencialidade e disponibilidade.
IV- Deve-se ter relatórios de acompanhamento para os funcionários, não há necessidade de relatórios gerenciais.
Agora, assinale a alternativa CORRETA:
	 a)
	Somente a sentença II está correta.
	 b)
	As sentenças I, II e III estão corretas.
	 c)
	As sentenças I, III e IV estão corretas.
	 d)
	As sentenças II, III e IV estão corretas.
	3.
	Ter um Plano de Continuidade de Negócios - PCN -(do termo inglês Business Continuity Plan - BCP) é definir todos os possíveis riscos inerentes ao negócio, em todas as áreas da empresa e formalizar as medidas contingenciais cabíveis de serem executadas no caso de concretização de eventos danosos, ou seja, em qualquer situação que afete a normal condução dos negócios. Com base no Plano de Continuidade de Negócios (BCP), classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O BCP auxilia na preparação para enfrentar incidentes dos processos operacionais, que poderiam colocar a missão e a saúde financeira da organização em risco.
(    ) É recomendável no BCP, a utilização de um plano de reinicialização de negócios (Business Resumption Planning - BRP).
(    ) Devido às suas características de construção da documentação do BCP, ele não possui uma fase de testes.
(    ) Na fase de documentação e desenvolvimento do plano BCP, encontra-se a etapa conhecida por Gestão de Crises (Crisis Management - CM).
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	F - V - F - F.
	 c)
	V - V - F - V.
	 d)
	V - F - V - F.
	4.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O cuidado com a proteção de documentos em papel, como transmissões de correio e fax, são parte fundamental da segurança lógica de informação.
(    ) A empresa deve criar procedimentos para a impressão e a transmissão via fax de documentos confidenciais, garantindo assim a segurança de suas informações.
(    ) Informações ou mídias deixadas sobre mesas e computadores desbloqueados facilitam que a informações sejam acessadas indevidamente.
(    ) A empresa deve ter políticas e procedimentos para a troca de informação através da comunicação verbal, seja por fax, vídeo etc.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
	 a)
	V - F - V - F
	 b)
	F - V - V - V.
	 c)
	F - F - F - V.
	 d)
	F - V - V - F.
	5.
	A segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações podem ser afetadas por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações. Com relação aos conceitos da segurança, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O conceito que garante que a informação seja acessada, alterada e distribuída, por pessoas autorizadas é a comunicabilidade.
(    ) Quando dizemos que uma informação não deve ser alterada ou excluída sem autorização, estamos falando do conceito de integridade.
(    ) O conceito de disponibilidade diz respeito à divulgação das normas de segurança para todos.
(    ) Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://seguranca-da-informacao.info/. Acesso em: 28 mar. 2018.
	 a)
	V - V - F - F.
	 b)
	F - V - F - V.
	 c)
	V - F - V - F.
	 d)
	V - F - F - V.
	6.
	A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Temos como características básicas da segurança da informação os atributos de confidencialidade, integridade,disponibilidade e autenticidade. Com base nessas características e objetivando reduzir os riscos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A empresa deve criar processos confiáveis para a seleção de funcionários, independente do cargo.
(    ) A empresa deve promover maneiras de informar e conscientizar os funcionários com relação à importância da segurança.
(    ) Caso a empresa demita um funcionário, deve-se imediatamente proibir o seu acesso às informações, de maneira física e lógica.
(    ) Deve-se haver a centralização de autoridade e ter apenas uma pessoa responsável por todas as etapas de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F.
	 b)
	F - V - V - F.
	 c)
	V - F - V - V.
	 d)
	V - F - F - V.
	7.
	A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, assinale a alternativa INCORRETA:
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada.
	 b)
	A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
	 c)
	O roubo de dados armazenados em arquivos magnéticos é um exemplo de um problema para a segurança lógica.
	 d)
	A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
	8.
	Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
	 a)
	Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
	 b)
	É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.
	 c)
	Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
	 d)
	Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser contingenciada.
	9.
	Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma entidade específica, com o objetivo de verificar sua conformidade com certos objetivos e padrões. Para realizar essa tarefa, existem vários tipos de auditoria, um exemplo é a auditoria de controles organizacionais. Neste tipo de auditoria, a responsabilidade de controles acontece em algumas tarefas. Sobre quais são essas tarefas, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Gerenciamento de orçamento do capital de informática e bases.
(    ) Criação e implementação das políticas globais de informática.
(    ) Intermediação com funcionários e cliente (networking).
(    ) Geração de plano de capacitação.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro: Axcel Books do Brasil, 2000.
	 a)
	F - F - V - V.
	 b)
	F - V - V - F.
	 c)
	V - F - F - V.
	 d)
	V - V - F - V.
	10.
	A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos contábeis da organização, mas, sim, do próprio ambiente informatizado, garantindo a integridade dos dados manipulados pelo computador. Assim, ela estabelece e mantém procedimentos documentados para planejamento e utilização dos recursos computacionais da empresa, verificando aspectos de segurança e qualidade. Baseado nas atividades da auditoria, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Garantir que os custos sejam diminuídos e a eficiência seja aumentada.
(    ) Garantir a utilização dos sistemas de controle já implantados na empresa.
(    ) Garantir que os livros fiscais estejam de acordo com as leis e os tributos.
(    ) A formação do auditor em tecnologia da informação deve ser específica, pois é uma área com características bem definidas.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	F - V - V - F.
	 b)
	F - F - V - V.
	 c)
	V - V - F - F.
	 d)
	V - V - F - V.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de contingência.
	 b)
	Plano de negócio de gerência de riscos.
	 c)
	Plano de negócio de gerenciamento de projetos.
	 d)
	Plano de negócio.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
	 a)
	III e IV.
	 b)
	II, III e IV.
	 c)
	I, II e III.
	 d)
	I e II.