Segurança em Tecnologia da Informação (GTI08)

Prévia do material em texto

02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/6
Acadêmico: Bruno da Costa Lengler (2929039)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual Semipresencial ( Cod.:668753) (peso.:3,00)
Prova: 32291499
Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Entende-se por informação baseada em Tecnologia da Informação, ?a informação residente
em base de dados, arquivos informatizados, mídias magnéticas ou outras que exijam
soluções de informática para acessá-las? (BEAL, 2008, p. 33). Sobre os motivos pelos quais
as organizações tomam medidas relacionadas à segurança dos componentes de TI e da
informação neles contida, classifique V para as sentenças verdadeiras e F para as falsas:
( ) A maioria das organizações depende intensamente dos recursos de tecnologia da
informação para manter a continuidade de suas operações.
( ) A infraestrutura tecnológica é vulnerável a diversos tipos de ameaças, podendo estas ser
de origem lógica, física ou ambiental.
( ) A segurança, como requisito não funcional, não recebe a devida atenção em projetos de
desenvolvimento de software, seja ele interno ou externo.
( ) A obscuridade apresenta características suficientes para garantir a segurança das
informações baseadas em Tecnologia da Informação.
( ) A simples exclusão de informações confidenciais de um microcomputador não cumpre
totalmente o objetivo de confidencialidade, uma vez que essas informações podem ser
recuperadas através do uso de utilitários de recuperação de dados.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas para a
proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008.
 a) V - F - V - F - V.
 b) F - F - V - V - F.
 c) F - V - F - V - V.
 d) V - V - V - F - V.
2. A auditoria de sistemas de informação visa verificar a conformidade não dos aspectos
contábeis da organização, mas, sim, do próprio ambiente informatizado, garantindo a
integridade dos dados manipulados pelo computador. Assim, ela estabelece e mantém
procedimentos documentados para planejamento e utilização dos recursos computacionais
da empresa, verificando aspectos de segurança e qualidade. Baseado nas atividades da
auditoria, classifique V para as sentenças verdadeiras e F para as falsas:
( ) Garantir que os custos sejam diminuídos e a eficiência seja aumentada.
( ) Garantir a utilização dos sistemas de controle já implantados na empresa.
( ) Garantir que os livros fiscais estejam de acordo com as leis e os tributos.
( ) A formação do auditor em tecnologia da informação deve ser específica, pois é uma área
com características bem definidas.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - V - F - V.
02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/6
 b) V - V - F - F.
 c) F - V - V - F.
 d) F - F - V - V.
3. Dentro do ciclo de vida das informações de uma organização, a etapa do descarte pode
representar um risco para os objetivos de segurança quando não são observados os devidos
cuidados. Neste contexto, analise as sentenças a seguir:
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, pois estes
podem conter informações valiosas que não foram devidamente apagadas de seus
dispositivos de armazenamento.
II- Informações armazenadas em meio analógico (documentos em papel, atas de reuniões,
contratos etc.) devem seguir critérios rígidos de destruição segura para evitar a recuperação
de informações confidenciais.
III- A simples exclusão de informações confidenciais de um microcomputador cumpre
totalmente o objetivo de confidencialidade, uma vez que essas informações não podem ser
recuperadas através do uso de utilitários de recuperação de dados.
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma vez
que os objetivos de confidencialidade, integridade e disponibilidade têm prioridade sobre os
demais.
Agora, assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças I, II e IV estão corretas.
 c) As sentenças I, II e III estão corretas.
 d) As sentenças I e II estão corretas.
4. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente
de novos planejamentos e revisões periódicas em seus processos, visto que muitas
evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de
Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale
a alternativa CORRETA que não corresponde a esta expectativa:
 a) O plano de continuidade deve ser revisado e testado periodicamente.
 b) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados
para trazer os negócios de volta à posição em que se encontravam antes do incidente ou
desastre.
 c) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
 d) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI,
pois se trata de um processo sigiloso.
5. Ter um Plano de Continuidade de Negócios - PCN -(do termo inglês Business Continuity Plan
- BCP) é definir todos os possíveis riscos inerentes ao negócio, em todas as áreas da
empresa e formalizar as medidas contingenciais cabíveis de serem executadas no caso de
concretização de eventos danosos, ou seja, em qualquer situação que afete a normal
condução dos negócios. Com base no Plano de Continuidade de Negócios (BCP), classifique
V para as sentenças verdadeiras e F para as falsas:
( ) O BCP auxilia na preparação para enfrentar incidentes dos processos operacionais, que
poderiam colocar a missão e a saúde financeira da organização em risco.
( ) É recomendável no BCP, a utilização de um plano de reinicialização de negócios
(Business Resumption Planning - BRP).
( ) Devido às suas características de construção da documentação do BCP, ele não possui
uma fase de testes.
( ) Na fase de documentação e desenvolvimento do plano BCP, encontra-se a etapa
conhecida por Gestão de Crises (Crisis Management - CM).
Agora, assinale a alternativa que apresenta a sequência CORRETA:
02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/6
 a) V - V - F - V.
 b) V - F - V - F.
 c) V - F - F - V.
 d) F - V - F - F.
6. Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem
ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da
informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial
enorme de causar danos irreparáveis e de grande prejuízo às organizações. Desta forma,
faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da
segurança da informação. No que tange ao tratamento do risco, analise as sentenças a
seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a
instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos,
entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos
identificados nas fases anteriores.
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de
segurança da informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação,
estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação
em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente,a fim de minimizar as
consequências dos danos gerados.
Assinale a alternativa CORRETA:
 a) As sentenças II, IV e V estão corretas.
 b) As sentenças I, II e IV estão corretas.
 c) As sentenças I, III e IV estão corretas.
 d) As sentenças I, II e V estão corretas.
7. Qualquer processo, regra ou metodologia necessita de atualizações e continuidade da sua
manutenção, principalmente quando se fala em tecnologias da informação. Esses
procedimentos são essenciais para a continuidade dos negócios e segurança dos dados e
informações. A atualização e a manutenção do plano de continuidade devem ser organizadas
formalmente, devem ser realizadas em períodos como uma ou duas vezes por ano. Não
existe algo predefinido, pois, a cada momento que surgir a necessidade de atualizar e
realizar a manutenção do plano de continuidade dos negócios, esses procedimentos devem
ocorrer conforme a necessidade identificada. Segundo Ferreira e Araújo (2008), o processo
de revisão do plano deve ocorrer seguindo alguns itens. Sobre esses itens, análise as
seguintes opções:
I- Perda da credibilidade no mercado e irregularidades dos recursos.
II- Eventuais riscos identificados e incidentes de segurança.
III- Ocorrências de inatividade dos ativos e imagem do negócio.
IV- Vulnerabilidades encontradas e alterações na legislação.
Agora, assinale a alternativa CORRETA:
FONTE: FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de
segurança da informação ? guia prático para elaboração e implementação. 2. ed. revisada.
Rio de Janeiro: Editora Ciência Moderna Ltda., 2008.
 a) Somente a opção II está correta.
 b) Somente a opção III está correta.
 c) As opções II e IV estão corretas.
 d) As opções I e IV estão corretas.
02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/6
8. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela
Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do
projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre
os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) As sentenças I, II e III estão corretas.
 b) As sentenças II e IV estão corretas.
 c) Somente a sentença III está correta.
 d) As sentenças I e IV estão corretas.
9. Para Dias (2000), a auditoria é uma atividade que engloba o exame das operações,
processos, sistemas e responsabilidades gerenciais de uma entidade específica, com o
objetivo de verificar sua conformidade com certos objetivos e padrões. Para realizar essa
tarefa, existem vários tipos de auditoria, um exemplo é a auditoria de controles
organizacionais. Neste tipo de auditoria, a responsabilidade de controles acontece em
algumas tarefas. Sobre quais são essas tarefas, classifique V para as sentenças verdadeiras
e F para as falsas:
( ) Gerenciamento de orçamento do capital de informática e bases.
( ) Criação e implementação das políticas globais de informática.
( ) Intermediação com funcionários e cliente (networking).
( ) Geração de plano de capacitação.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
FONTE: DIAS, Cláudia. Segurança e auditoria da tecnologia da informação. Rio de Janeiro:
Axcel Books do Brasil, 2000.
 a) V - V - F - V.
 b) F - F - V - V.
 c) V - F - F - V.
 d) F - V - V - F.
02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 5/6
10.Segurança da informação significa proteger seus dados e sistemas de informação de
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e
destruição. O conceito de segurança da informação está ligado à confidencialidade, à
integridade e à disponibilidade da informação. O conceito de segurança de processamento
está ligado à disponibilidade e à operação da infraestrutura computacional. Esses conceitos
são complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação aos itens que devem ser observados
na segurança ambiental das informações, analise as afirmativas a seguir:
I- Para-raios e iluminação de emergência devem ser observados no projeto de uma
instalação elétrica.
II- Fontes de energias alternativas, como no-breaks e geradores, são importantes para
empresas que possuem aplicações on-line.
III- Com relação à energia alternativa para a segurança da informação, temos: sistema short
break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente
alternada.
IV- A escolha da localização não é uma medida que precise de atenção, uma vez respeitado
o acesso devido e restrito à informação.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
 a) As afirmativas I e IV estão corretas.
 b) As afirmativas II, III e IV estão corretas.
 c) As afirmativas I, II e III estão corretas.
 d) Somente a afirmativa IV está correta.
11.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou
reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de contingência.
 b) Plano de negócio de gerenciamento de projetos.
 c) Plano de negócio.
 d) Plano de negócio de gerência de riscos.
02/07/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci -Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 6/6
12.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de
segurança capazes de garantir autenticidade, confidencialidade e integridade das
informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma
pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I e II.
 b) I, II e III.
 c) II, III e IV.
 d) III e IV.
Prova finalizada com 10 acertos e 2 questões erradas.