Avaliação Final Objetiva (Com Gabarito) | Segurança em Tecnologia da Informação

Prévia do material em texto

1) Segurança da informação significa proteger seus dados e sistemas de informação
de acessos e uso não autorizados, divulgação, modificação, leitura, gravação,
inspeção e destruição. O conceito de segurança da informação está ligado à
confidencialidade, à integridade e à disponibilidade da informação. O conceito de
segurança de processamento está ligado à disponibilidade e à operação da
infraestrutura computacional. Esses conceitos são complementares e asseguram a
proteção e a disponibilidade das informações das organizações. O impacto da
perda e/ou violação de informações para empresa é enorme e pode, em alguns
casos, levá-la à falência. Com relação à segurança ambiental das informações,
analise as seguintes afirmativas:
I- O cuidado com a proteção de documentos em papel, como transmissões de
correio e fax, são parte fundamental da segurança lógica de informação.
II- A empresa deve criar procedimentos para a impressão e a transmissão via fax de
documentos confidenciais, garantindo assim a segurança de suas informações.
III- Informações ou mídias deixadas sobre mesas e computadores desbloqueados
facilitam que a informações sejam acessadas indevidamente.
IV- A empresa deve ter políticas e procedimentos para a troca de informação
através da comunicação verbal, seja por fax, vídeo etc.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30
out. 2019.
A) As afirmativas I e II estão corretas.
B) As afirmativas II, III e IV estão corretas.✅
C) As afirmativas I e III estão corretas.
D) As afirmativas I e IV estão corretas.
2) As diretrizes de segurança precisam ser estudadas, formuladas e implementadas
com o objetivo de obter normas rígidas na política de segurança dos ativos
tecnológicos da organização. Essas diretrizes de segurança fazem parte da área de
tecnologia da informação e possuem suas especificidades. No entanto, não podem
fugir das normas gerais de segurança da organização. Pode-se afirmar que os dois
somam para uma segurança ainda maior para a tecnologia da informação. Segundo
Caruso e Stefan (1999), as diretrizes de segurança devem ter alguns aspectos. Sobre
esses aspectos, classifique V para as opções verdadeiras e F para as falsa:
( ) Documentação, estimativa de riscos e desenvolvimento de requisitos.
( ) Sensibilização, responsabilidade e estabilidade dos sistemas funcionais.
( ) Treinamento, apoio da direção, conscientização dos usuários e responsabilização.
( ) Sustentabilidade, familiaridade, flexibilidade com as estruturas físicas e lógicas.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de
informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São Paulo, 1999.
A) F - V - F - F.
B) V - V - F - F.
C) V - F - V - F.✅
D) V - F - F - V.
3) O controle de auditoria organizacional possui a finalidade de garantir que todos
os dados e as informações referentes ao fluxo e às transações financeiras da
organização estejam em plena segurança. O controle organizacional possui a
configuração específica para cada atividade que precisa ser realizada através de
ferramentas e sistemas de informação. Todos os processos de alteração ou inclusão
de dados ficam registrados neste controle, o que permite que os gestores tenham
total controle das economias da organização. Sobre as responsabilidades dos
controles organizacionais, classifique V para as opções verdadeiras e F para as
falsas:
( ) Planejamento, aquisição e restruturação dos sistemas de informação seguras.
( ) Responsabilidades operacionais delineadas conforme políticas de segurança.
( ) Manutenção realizada de forma planejada, com controle de documentação e
versões do sistema.
( ) Desenvolvimento e implementação de políticas de segurança e capacitação dos
usuários.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
A) F - V - V - F.
B) F - V - F - V.✅
C) F - F - V - F.
D) V - F - F - V.
4) O engenheiro de software da AOL Jason Smathers, 24 anos, foi preso em West
Virgínia, próximo à sede do provedor. Promotores entraram com processo na
Justiça Federal americana acusando Smathers e Sean Dunaway, 21 anos e suposto
comprador da lista de endereços de e-mail, por conspiração ao enviar uma enorme
quantidade de mensagens comerciais não solicitadas para milhões de clientes da
AOL. Os advogados alegam que Smathers usou seu conhecimento como membro
do quadro de funcionários da AOL para roubar o banco de dados com os nomes de
assinantes do provedor em maio de 2003. A AOL demitiu Smathers, e se
condenados, ele poderá passar até cinco anos na prisão e pagar multas de até 250
mil dólares. Além das propriedades de confidencialidade, integridade e
disponibilidade que foram violadas, qual foi a outra violação?
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São
Paulo: Saraiva, 2006.
A) Não repúdio de auditoria.
B) Legalidade.✅
C) Confirmação de propriedade.
D) Auditabilidade.
5) A tecnologia da informação, em função de sua natureza complexa, necessita
constantemente de novos planejamentos e revisões periódicas em seus processos,
visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano
de Continuidade de Negócio alcance os seus objetivos, algumas características
devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta
expectativa:
A) No PCN, devem ser criados os procedimentos corretivos e de recuperação
desenhados para trazer os negócios de volta à posição em que se encontravam
antes do incidente ou desastre.
B) As comunicações a respeito da existência do PCN devem ser restritas ao
pessoal da TI, pois se trata de um processo sigiloso.✅
C) O plano de continuidade deve ser revisado e testado periodicamente.
D) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
6) Os sistemas de informação computadorizados e o acesso às dependências onde
eles se encontram são em muitos casos negligenciados. Muito se ouve falar de
criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para
dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco
sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas
estão funcionando. Quando o assunto é colocado em pauta, as informações não
são divulgadas como deveriam. Os profissionais usuários com pouco conhecimento
de segurança em informática acabam por desacreditar da possibilidade de
ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico,
classifique V para as sentenças verdadeiras e F para as falsas:
( ) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no
computador ou na rede.
( ) Como exemplo de uma barreira física, podemos citar uma simples parede ou até
mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
( ) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas
de controle de acesso físico.
( ) Quando a empresa define um acesso físico restrito, a segurança lógica acaba
sendo desnecessária.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI:
Segurança física da informação em pequenas empresas e estudo de caso em
Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
A) F - V - F - V.
B) V - F - V - F.
C) V - V - V - F.✅
D) V - V - F - V.
7) A política de segurança da informação visa a comunicar e a estabelecer a
responsabilidade de todos os usuários de informações e dos sistemas de
informações nos aspectos da confidencialidade, integridade e disponibilidade deste
manancial informativo. O documento desta política deve ser muito claro na sua
forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas
em sua interpretação. Todos para os quais forem destinados devem conhecer
também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as
sentenças verdadeirase F para as falsas:
( ) A política estabelece os objetivos e expectativas com relação ao tratamento a
serem dados por cada integrante na organização às informações.
( ) A política estabelece seus controles, padrões e procedimentos.
( ) Os detalhes e descrições a respeito do cumprimento da política estarão em
outros documentos subordinados em hierarquia à política, que são definidos pelo
Security Officer.
( ) Em geral, a política é a cabeça da pirâmide da função segurança da informação,
sustentada por padrões e procedimentos.
( ) O Security Officer auxilia estrategicamente na definição e manutenção da política
e que, portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
A) V - F - F - V - F.
B) F - V - F - F - F.
C) V - V - V - V - F.✅
D) F - F - V - F - V.
8) Para avaliar se os controles de segurança da informação são eficazes e assim
mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser
utilizada é a auditoria. O auditor pode utilizar alguns softwares generalistas, que
possuem a capacidade de processar, analisar e simular amostras, sumarizar,
apontar possíveis duplicidades, gerar dados estatísticos e diversas outras funções
que o auditor pode desejar. Com base nesses softwares generalistas, analise as
sentenças a seguir:
I- Galileo: é um software integrado de gestão de auditoria. Inclui gestão de riscos de
auditoria, documentação e emissão de relatórios para auditoria interna.
II- Pentana: software de planejamento estratégico de auditoria, sistema de
planejamento e monitoramento de recursos, controle de horas, registro de checklist
e programas de auditoria, inclusive de desenho e gerenciamento de plano de ação.
III- Audition: é um software para extração e análise de dados, desenvolvido no
Canadá
IV- Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que
desenvolve consultoria e dá suporte sobre o produto.
Agora, assinale a alternativa CORRETA:
A) As sentenças II, III e IV estão corretas.
B) As sentenças I, III e IV estão corretas.
C) Somente a sentença II está correta.
D) As sentenças I, II e IV estão corretas.✅
9) A auditoria dos sistemas de informação trata-se de uma atividade que visa a
realizar o exame de operações, processos, sistemas e responsabilidades gerenciais
de uma organização, tendo por objetivo verificar a sua conformidade com a política
de segurança, padrões ou normas. Esta auditoria pode assumir três abordagens
distintas, ou seja, ao redor do computador, através do computador ou com o
computador. Acerca da abordagem ao redor do computador, analise as sentenças a
seguir:
I- O auditor analisará os documentos fonte, conferindo as saídas conhecidas por
meio de entradas específicas.
II- Esta abordagem somente é recomendada para grandes organizações, devido aos
altos custos de aplicação.
III- Exige um vasto conhecimento na tecnologia da informação, já que faz uso dos
variados recursos que o computador fornece.
IV- Por não possuir parâmetros bem definidos gera uma maior dificuldade aos
auditores e consequentemente menor eficiência no resultado final.
Assinale a alternativa CORRETA:
A) As sentenças I e III estão corretas.
B) As sentenças II e IV estão corretas.
C) As sentenças I e IV estão corretas.✅
D) As sentenças II, III e IV estão corretas.
10) Muito antes que se possa auditar um sistema, você precisará criar as políticas e
os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja,
antes de determinar se algo funcionou, primeiramente será preciso definir como se
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o
momento onde você avalia todos os componentes de seu sistema e determina
como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma
vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema
a suas expectativas de linha de base para ver se tudo funcionou conforme
planejado. Para garantir a qualidade do sistema de gestão da segurança da
informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma
ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de
facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o
mundo passaram a investir muito mais em segurança da informação, muitas vezes
sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser
referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é
necessária a adoção de todos, além disso, é necessária a integração de outros
padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC
61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá
apresentar algumas características para ser aprovada pelos colaboradores,
divulgada e publicada de forma ampla para todos da direção e, por último, a criação
do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de
Janeiro: LTC, 2014.
A) Somente a sentença III está correta.
B) As sentenças I e IV estão corretas.
C) As sentenças II e IV estão corretas.
D) As sentenças I, II e III estão corretas.✅
11) (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos
de segurança capazes de garantir autenticidade, confidencialidade e integridade
das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma
pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar
uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital
tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores
por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
A) I e II.
B) I, II e III.✅
C) III e IV.
D) II, III e IV.
12) (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa
dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é
preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os
impactos na imagem e na reputação da empresa, se cada um dos processos de
negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis
riscos, é recomendável documentar um plano para eliminar ou reduzir a
possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
A) Plano de negócio de gerência de riscos.
B) Plano de contingência.✅
C) Plano de negócio.
D) Plano de negócio de gerenciamento de projetos.