Baixe o app para aproveitar ainda mais
Prévia do material em texto
27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 1/6 Local: Sala 1 - BT - Prova On-line / Andar / Polo Barra da Tijuca / POLO UVA BARRA MARAPENDI - RJ Acadêmico: EAD-IL10317-20212A Aluno: WILSON ROBSON DE SOUZA Avaliação: A2- Matrícula: 20201301034 Data: 18 de Junho de 2021 - 08:00 Finalizado Correto Incorreto Anulada Discursiva Objetiva Total: 9,00/10,00 1 Código: 31840 - Enunciado: “Em primeiro lugar, muitas vezes é difícil obter o apoio da própria alta administração da organização para realizar os investimentos necessários em segurança da informação. Os custos elevados das soluções contribuem para esse cenário, mas o desconhecimento da importância do tema é provavelmente ainda o maior problema.” (Fonte: <https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/>. Acesso em: 30 nov. 2018.) Ao se falar em segurança da informação, deve-se levar em consideração esses três princípios básicos, pois toda ação que venha a comprometer qualquer um desses princípios estará atentando contra a sua segurança.Identifique quais são esses três princípios básicos: a) Integridade, disponibilidade, volatilidade. b) Confidencialidade, integridade, robustez. c) Confidencialidade, volatilidade, robustez. d) Integridade, confidencialidade, disponibilidade. e) Integridade, disponibilidade, robustez. Alternativa marcada: d) Integridade, confidencialidade, disponibilidade. Justificativa: Resposta correta: Integridade, confidencialidade, disponibilidade.A confidencialidade é a garantia de que a informação é acessível somente por pessoas autorizadas (NBR ISO/IEC 27002:2005). Caso a informação seja acessada por uma pessoa não autorizada, intencionalmente ou não, ocorre a quebra da confidencialidade. A quebra desse sigilo pode acarretar danos inestimáveis para a empresa ou a pessoa física. Um exemplo simples seria o furto do número e da senha do cartão de crédito ou dos dados da conta bancária de uma pessoa; a integridade é a garantia da exatidão e completude da informação e dos métodos de processamento (NBR ISO/IEC 27002:2005). “Garantir a integridade é permitir que a informação não seja modificada, alterada ou destruída sem autorização, que ela seja legítima e permaneça consistente” (DANTAS, 2011, p. 11). Quando a informação é alterada, falsificada ou furtada, ocorre a quebra da integridade. A integridade é garantida quando se mantém a informação no seu formato original; a disponibilidade é a garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário (NBR ISO/IEC 27002:2005). Quando a informação está indisponível para o acesso, ou seja, quando os servidores estão inoperantes por conta de ataques e invasões, considera-se um incidente de segurança da informação por quebra de disponibilidade. Mesmo as interrupções involuntárias de sistemas, ou seja, não intencionais, configuram quebra de disponibilidade. Distratores:Confidencialidade, volatilidade, robustez. Incorreta. Volatilidade é uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro e robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade, volatilidade. Incorreta. Volatilidade uma medida estatística que aponta a frequência e a intensidade das oscilações no preço de um ativo em um período determinado de tempo. Por meio dela o investidor pode ter uma ideia estimada da variação do preço de um título no futuro.Confidencialidade, integridade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação.Integridade, disponibilidade, robustez. Incorreta. Robustez é uma característica da disponibilidade. Significa que não há 1,00/ 1,00 27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 2/6 capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. 2 Código: 32277 - Enunciado: "A senha é a forma mais convencional de identificação e acesso do usuário. Se um terceiro tem acesso a sua senha, ele poderá utilizá-la ilegalmente ou para se passar por você."Fonte: http://seguranca-da-informacao.info/politicas-de-seguranca.html. Acesso em 07 de jan. de 2020.Em determinadas corporações, pode existir a chamada 'política de senhas', que possuem algumas regras. Identifique quais afirmativas são válidas em relação a essas regras:I - Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período.II - Proibir a repetição de caracteres.III - Obrigar a inserção de quantidade de letras e números. IV - Criar uma lista de senhas que não podem ser utilizadas.V - Uso do nome como parte da senha. É correto o que se afirma em: a) III, IV e V, apenas. b) II, III, IV e V, apenas. c) I, III, IV e V, apenas. d) I, II, III, IV e V. e) I, II, III e V, apenas. Alternativa marcada: e) I, II, III e V, apenas. Justificativa: Resposta correta: I, II, III e V, apenas.Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas senhas nesse período. Correto, pois com a validade em prática o usuário se habilitará a um processo de renovação que trará maior segurança.Proibir a repetição de caracteres. Correto, pois isto dificultará o entendimento da senha.Obrigar a inserção de quantidade de letras e números. Correto, pois quanto maior a senha melhor o nível de dificuldade.Criar uma lista de senhas que não podem ser utilizadas. Correto, pois se este arquivo for acesso pelo hacker irá criar uma grande confusão e tirar o foco dele de uma busca mais direcionada. Distrator:Uso do nome como parte da senha. Errado, pois como é fácil o acesso ao nome da pessoa que está recebendo a invasão, esta nunca deve fazer parte da construção da senha, pois facilitará saber qual é o valor da senha. 1,00/ 1,00 3 Código: 32272 - Enunciado: A norma ISO 27001 estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são: política de segurança da informação; organização da segurança da informação; gestão de ativos; segurança em recursos humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; gestão da continuidade do negócio, e conformidade. Essas seções totalizam trinta e nove categorias principais de segurança, e cada categoria contém um objetivo de controle e um ou mais controles que podem ser aplicados, bem como algumas diretrizes e informações adicionais para a sua implementação.(Fonte: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/)O texto acima retrata qual ponto do sistema de gestão de segurança da informação? a) Segurança física. b) Elaborando a política de segurança. c) Risco. d) Vulnerabilidade. e) Backup. 1,00/ 1,00 27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 3/6 Alternativa marcada: b) Elaborando a política de segurança. Justificativa: GabaritoElaborando a política desegurança. Correto, pois deve-se formar um comitê de segurança da informação, constituído por profissionais de diversos departamentos, como informática, jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário.DistratoresRisco. Errado, pois com relação a segurança, os riscos são compreendidos como condições que criam ou aumentam o potencial de danos e perdas. É medido pela possibilidade de um evento vir a acontecer e produzir perdas.Backup. Errado, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja armazenado em outro local, o mais longe possível do ambiente atual, como em outro prédio. É evidente que o procedimento de backup é um dos recursos mais efetivos para assegurar a continuidade das operações em caso de paralisação na ocorrência de um sinistro.Segurança Física. Errado, pois o objetivo é prevenir o acesso físico não autorizado. Convém que sejam utilizados perímetros de segurança para proteger as áreas que contenham informações e instalações de processamento da informação, segundo a ISO/IEC 27002:2005 (2005).Vulnerabilidade. Errado, pois a vulnerabilidade como uma fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Segundo Campos (2007), vulnerabilidade são as fraquezas presentes nos ativos, que podem ser exploradas, seja ela intencionalmente ou não, resultando assim na quebra de um ou mais princípios da segurança da informação. 4 Código: 31851 - Enunciado: Cuidar das infecções de vírus no computador é uma das tarefas mais chatas. Ao baixar um arquivo ou conectar um pen drive, você pode ter seu computador infectado por um vírus que pode desde utilizar sua internet quanto quebrar o sistema operacional, impedindo o de ligar.Existem muitos tipos de infecções e malwares para computadores, que podem fazer muito mal ao computador, quebrando o disco rígido até serem silenciosos e capazes de roubar seus dados, fotos e senhas.(Fonte:http://www.vejaisso.com/10-tipos-de-virus-de- computador-sintomas-do-pc-com-virus-e-malwares/)Indique quais itens a seguir são suspeitas de infecção por um vírus ou worm:I. Computador fica lento.II. Novos arquivos aparecem no Windows Explorer.III. Computar reinicia sozinho.IV. Erros do Windows frequentemente.V. Não é possível atualizar ou instalar antivírus. a) I, II e V apenas. b) III, IV e V apenas. c) II, III, IV e V apenas. d) I, II, III, IV e V. e) I, II, III e IV apenas. Alternativa marcada: d) I, II, III, IV e V. Justificativa: GabaritoI. Computador fica lento. Correto, pois o vírus afeta a parte do processamento do computador.II. Novos arquivos aparecem no Windows Explorer. Correto, pois o vírus cria novos ícones.III. Computar reinicia sozinho. Correto, pois o vírus pode atuar na área de boot do computador.IV. Erros do Windows frequentemente. Correto, pois o vírus afeta o sistema operacional do computador.V. Não é possível atualizar ou instalar antivírus. Correto, pois ele próprio cria bloqueios contra essses aplicativos. 1,00/ 1,00 5 Código: 31844 - Enunciado: “ISO/IEC 17799/2007-27002 É uma norma de segurança da informação que foi revisada em 2005 pela ISO e pela IEC e atualizada em 2007. Ela estabelece princípios para a gestão de segurança da informação de uma organização e também pode servir como um guia prático de desenvolvimento de procedimentos para empresas.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso 1,00/ 1,00 27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 4/6 em: 30 out. 2018.) Identifique as principais seções: Avaliação de risco. Política de segurança. Organização da segurança da informação. Gerência de recursos. Segurança dos recursos humanos. a) II, III, IV e V. b) I, II, IV e V. c) I, II, III, IV e V. d) III, IV e V. e) I, II, III e IV. Alternativa marcada: c) I, II, III, IV e V. Justificativa: Resposta correta: I, II, III, IV e V.Avaliação de risco. Correta. É preciso mensurar os problemas que podem acontecer.Política de segurança. Correta. É preciso que a empresa esteja já com plano estratégico para contingência de invasão.Organização da segurança da informação. Correta. É preciso que haja todo um planejamento para a política de segurança da informação.Gerência de recursos. Correta. A empresa precisa ter em seu orçamento o investimento necessário em tecnologia.Segurança dos recursos humanos. Correta. Os funcionários precisam estar cientes de como funciona a política de segurança de sua empresa, evitando, assim, acessos indevidos. 6 Código: 32266 - Enunciado: "A segurança da informação diz respeito a como as pessoas usam as informações que chegam até elas. E não há dúvida quanto a isso: seja um e-mail particular ou um relatório empresarial sobre uma grande venda, nada pode escapar do ecossistema de proteção criado para aquela pessoa."Fonte: https://medium.com/@hacklabs/o-que-é-segurança-da- informação-8a66a6f08837 Acesso em 28/09/2020Diante do exposto, leia as afirmativas a seguir:I - A segurança da informação é o passo inicial para que as empresas se protejam de invasões. II - É saudável que aplicativos que militam com informações financeiras trabalhem com criptografia. III - As empresas investem apenas em hardware como políticas e processos segurança. IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares para cuidarem disto. É correto o que se afirma em: a) I e III, apenas. b) I e IV, apenas. c) I e IV, apenas. d) I e II, apenas. e) II e III, apenas. Alternativa marcada: b) I e IV, apenas. Justificativa: Resposta correta: I e II, apenasI - A segurança da informação é aquele conceito por trás da defesa dos dados. Correto, pois ele atua diretamente em prol da defesa dos dados e/ou informações.II - É natural e saudável que esses dados sejam sigilosos, mas sempre existe o risco de uma ou outra informação vazar. Correto, pois apesar de todo o sigilo, a empresa necessita de um departamento de TI para tratar das políticas, dos métodos e dos processos de segurança da informação da empresa.Distratores:III - As empresas investem apenas em hardware como políticas e processos segurança. Errado, pois as políticas, os métodos e os processos estão ligados para garantir a integridade da informação da empresa e para isso é preciso que haja investimento em hardware, so�ware e capacitação profissional.IV - Ter um departamento de TI é fator preponderante para o processo de segurança da empresa, pois usarão apenas os so�wares para cuidarem disto.. Os so�wares utilizados cuidam disto. Errado, pois a empresa pode 0,00/ 1,00 27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 5/6 terceirizar este serviço e para tratar da segurança da informação é preciso que haja investimento em hardware, so�ware e capacitação profissional. 7 Código: 31853 - Enunciado: Quase 90% das empresas que me procuram tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam de um Plano de Recuperação de Desastres, de Contingência Operacional ou de Continuidade de Negócios.A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de “contingência” como sinônimo da solução, quando na verdade o conceito do dicionário é de que trata-se do problema em si.(Fonte: https://blogsucessoempresarial.com/lano-de-contingencia- continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/)Diante desse cenário, uma empresa necessitará de um Plano de Contingência Operacional - PCO. Defina esse plano. Resposta: Plano de Recuperação de Desastres – PRD No processo de Plano de Recuperação de Desastres, é a documentação formal de recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas) críticos (exigidos para funcionamento) da organização. Esta criticidade é indicada pela análise do tempo de tolerância(por quanto tempo o ativo ou processo pode ser interrompido sem que acarrete perdas significativas para a organização) e pelo custo de parada (quais os custos, uma vez ultrapassado esse “prazo de tolerância”). Plano de Contingência Operacional – PCO Também dentro do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de processos alternativos para atuação da empresa durante um evento que afete as atividades normais (ou aplicativos), necessários para funcionamento da organização. O exemplo mais comum é a falha de um sistema no SAC (Serviço de Atendimento ao Cliente) onde as atendentes passam a utilizar um formulário de preenchimento manual, durante a indisponibilidade no sistema de registro de atendimento ao cliente. Plano de Continuidade de Negócios – PCN Plano de Continuidade de Negócios é mais um item do Plano de Recuperação de Desastres. Sendo o PCN, o conjunto deste dois Planos, normalmente coberto por um Plano de Gerenciamento de Crises ou de Comunicação, necessário para “disparar” as ações contidas nos dois primeiros Planos. Normalmente as pessoas confundem os conceitos, mas é facilmente explicável , considerando-se a similaridade entre eles. Na verdade, a diferença básica entre os Planos de recuperação de desastres é que o PRD é focado em ativos, o PCO é destinado a processos (ou sistemas) e o PCN é o conjunto de ambos os Planos. Justificativa: Expectativa de respostaPlano de Contingência Operacional – PCO, também dentro do Plano de Recuperação de Desastres, o Plano de Contingência Operacional é a definição de processos alternativos para atuação da empresa durante um evento que afete as atividades normais (ou aplicativos), necessários para funcionamento da organização. 2,00/ 2,00 27/06/2021 Ilumno ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/6384464/fad9c73c-59af-11ea-8ff0-0242ac110034/ 6/6 8 Código: 31841 - Enunciado: “A maior parte das empresas tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam de um plano de recuperação de desastres, de contingência operacional ou de continuidade de negócios.A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de contingência como sinônimo da solução, quando, na verdade, o conceito do dicionário é de que se trata do problema em si.”(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou- recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/>. Acesso em: 25 out. 2018.) Defina plano de recuperação de desastres. Resposta: O propósito de um plano de continuidade de negócios, é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Justificativa: Expectativa de resposta:Plano de recuperação de desastres é a documentação formal de recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas) críticos (exigidos para funcionamento) da organização. Essa criticidade é indicada pela análise do tempo de tolerância (por quanto tempo o ativo ou processo pode ser interrompido sem que acarrete perdas significativas para a organização) e pelo custo de parada. 2,00/ 2,00
Compartilhar