Prova Segurança da Informação 3

Prévia do material em texto

1.
	Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a alternativa CORRETA:
	 a)
	BS 7799-2.
	 b)
	BS/ISO 9001.
	 c)
	ISO 4217.
	 d)
	ISO/IEC 13335.
	2.
	A segurança da informação envolve toda a estrutura de uma organização, como, por exemplo, as informações lógicas, como a base de dados, arquivos, mídias e informações. Estas estruturas precisam ser asseguradas. Alguns componentes da tecnologia da informação são essenciais, como aqueles que disponibilizam serviços íntegros e funcionais; toda a infraestrutura, como hardware e software, deve ser estável; a segurança com o vazamento de informações; e sistemas que sejam desenvolvidos de forma planejada e segura. A segurança da informação deve preocupar-se com quatro razões principais. Sobre essas razões, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Instalação e divulgação dos dados e sistemas sensíveis.
(    ) Dependência e segurança da tecnologia da informação.
(    ) Manutenibilidade e acesso aos recursos de espionagem.
(    ) Vulnerabilidade da infraestrutura e dos dados armazenados.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - F - V.
	 b)
	F - V - F - V.
	 c)
	V - V - F - F.
	 d)
	V - F - V - F.
	3.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
III- Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	 a)
	As afirmativas I e III estão corretas.
	 b)
	As afirmativas I e II estão corretas.
	 c)
	As afirmativas II, III e IV estão corretas.
	 d)
	As afirmativas I e IV estão corretas.
	4.
	É comum que os executivos das organizações tenham uma visão distorcida com relação à segurança das informações da organização. Segurança significa corrigir as falhas no ambiente de tecnologia. Precisamos estar com o antivírus atualizado, firewall bem configurado etc. Essa associação da segurança com a tecnologia é bastante utilizada pelo simples fato de que, realmente, a área de TI da empresa é a responsável pelo suporte e manutenção dos processos de negócio existentes. No entanto, a segurança não envolve somente o ambiente de tecnologia. Existe outra preocupação, que nem sempre é tratada com a devida importância, que é a segurança física dos ambientes. Com relação à segurança ambiental todos fazer parte, assinale a alternativa INCORRETA:
FONTE: https://www.portaleducacao.com.br/conteudo/artigos/conteudo/seguranca/19075. Acesso em: 30 out. 2019.
	 a)
	Climatização.
	 b)
	Localização.
	 c)
	Armazenamento em nuvem.
	 d)
	Energia alternativa.
	5.
	A informação utilizada pela organização é um bem valioso e necessita ser protegido e gerenciado. Isso é feito para garantir a disponibilidade, a integridade, a confidencialidade, a legalidade e a auditabilidade da informação, independentemente do meio de armazenamento, de processamento ou de transmissão utilizado. Toda informação também deve ser protegida para que não seja alterada, acessada e destruída indevidamente. Com relação aos possíveis ataques à segurança, analise as afirmativas a seguir:
I- O roubo de dados armazenados em arquivos magnéticos é um problema para a segurança lógica.
II- A sabotagem de equipamentos e de arquivos de dados é uma forma de ataque físico.
III- A limitação de acessos aos arquivos, através da disponibilidade limitada de acesso, é uma forma de segurança lógica.
IV- A estrutura de controle da segurança da informação pode ser centralizada ou descentralizada.
Assinale a alternativa CORRETA
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	 a)
	As afirmativas II, III e IV estão corretas.
	 b)
	Somente a afirmativas IV está correta.
	 c)
	As afirmativas I, II e III estão corretas.
	 d)
	As afirmativas I, II e IV estão corretas.
	6.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	 a)
	Somente a sentença III está correta.
	 b)
	As sentenças I e IV estão corretas.
	 c)
	As sentenças I, II e III estão corretas.
	 d)
	As sentenças II e IV estão corretas.
	7.
	A política de segurança deve capacitar a organização com instrumentos jurídicos, normativos e processuais. Com o objetivo de fornecer orientação e apoio às ações de gestão da segurança, a política possui uma função fundamental e de grande abrangência. Os elementos que uma política de segurança deve possuir é o essencial para o combate as adversidades. Sobre os elementos paraa definição e implantação de uma politica de segurança, assinale a alternativa CORRETA:
	 a)
	Atitude, vigilância e equipe.
	 b)
	Estratégia, sequência e ordem.
	 c)
	Vigilância, tecnologia e atitude.
	 d)
	Tecnologia, equipamento e estratégia.
	8.
	O interesse do ser humano em guardar informações é muito antigo, mas era feito de forma rudimentar apenas para registro pessoal. Hoje, o valor da informação é quase imensurável para as empresas, e todo seu ciclo deve ser controlado. Para auxiliar e obter melhor uso das informações, é necessário o gerenciamento da informação. Esse gerenciamento é um conjunto estruturado de atividades que reflete a forma pela qual uma organização captura, distribui e usa informação e conhecimento. Com base no exposto, quais são as etapas do ciclo de vida da informação?
	 a)
	Identificação das necessidades e dos requisitos, obtenção, tratamento, distribuição, uso, armazenamento e descarte.
	 b)
	Obtenção, identificação das necessidades e dos requisitos, tratamento, distribuição, uso, armazenamento e descarte.
	 c)
	Identificação das necessidades e dos requisitos, tratamento, distribuição, armazenamento e descarte.
	 d)
	Tratamento, identificação, obtenção, distribuição, uso, armazenamento e descarte.
	9.
	No momento atual, a política de segurança da informação é adotada em grande parte das organizações em todo o mundo. Até mesmo aquelas empresas que ainda não têm uma política efetivamente definida, reconhecem a necessidade de elaborar e implementar uma. A política de segurança deve contar com o apoio e o comprometimento da alta direção da organização, pois é fundamental para que ela seja efetiva, sem a presença deste apoio, iniciar qualquer ação neste sentido é algo inviável. Existem algumas formas de auxiliar na divulgação e aplicação dessas políticas. Sobre essas formas, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Deve-se promover treinamento adequado a todos os funcionários e prestadores de serviço para que se adéquem às mudanças.
(    ) A comunicação com os funcionários pode ser feita através de avisos, palestras de conscientização, elaboração de guias rápidos de consulta e treinamento específico.
(    ) Periodicamente, deve-se promover auditorias independentes para a aplicação das políticas de segurança.
(    ) As políticas de segurança são estáticas e uma vez definidas, devem apenas ser seguidas, sem a necessidade de revisão.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - V - V - F.
	 b)
	F - F - V - V.
	 c)
	V - F - F - V.
	 d)
	F - V - V - F.
	10.
	A segurança da informação está relacionada com a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. Temos como características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade. Com base nessas características e objetivando reduzir os riscos, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A empresa deve criar processos confiáveis para a seleção de funcionários, independente do cargo.
(    ) A empresa deve promover maneiras de informar e conscientizar os funcionários com relação à importância da segurança.
(    ) Caso a empresa demita um funcionário, deve-se imediatamente proibir o seu acesso às informações, de maneira física e lógica.
(    ) Deve-se haver a centralização de autoridade e ter apenas uma pessoa responsável por todas as etapas de um processo.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
	 a)
	V - F - V - V.
	 b)
	V - F - F - V.
	 c)
	F - V - V - F.
	 d)
	V - V - V - F.
	11.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	 a)
	Plano de negócio.
	 b)
	Plano de negócio de gerenciamento de projetos.
	 c)
	Plano de contingência.
	 d)
	Plano de negócio de gerência de riscos.
	12.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede.
É correto apenas o que se afirma em:
	 a)
	III e IV.
	 b)
	II, III e IV.
	 c)
	I e II.
	 d)
	I, II e III.