Segurança em Tecnologia da Informação - Avaliação II

Prévia do material em texto

1Todo processo, seja ele novo ou continuado, precisa de um plano para ser seguido, como também criar normas para a utilização das ferramentas e das informações existentes em uma organização. A documentação dos processos é outro fator muito importante para a área de sistemas de informações. Para que a empresa esteja segura com seus dados e os sistemas sempre em funcionamento, devem ser utilizados os processos do Plano de Continuidade dos Negócios - BCP. A continuidade dos negócios deve conter itens do BCP. Sobre esses itens, analise as seguintes opções:
I- Desenvolvimento do processo de revisão de eventuais riscos e identificação.
II- Análise das alterações de segurança, sua legislação, incidentes e vulnerabilidade.
III- Plano de reinicialização de negócios, teste de emergência e recuperação.
IV- Gestão de crise, plano de recuperação de tecnologia e sistemas de informação.
Agora, assinale a alternativa CORRETA:
A
As opções II e III estão corretas.
B
Somente a opção II está correta.
C
As opções III e IV estão corretas.
D
As opções I e II estão corretas.
2A política de segurança da informação visa a comunicar e a estabelecer a responsabilidade de todos os usuários de informações e dos sistemas de informações nos aspectos da confidencialidade, integridade e disponibilidade deste manancial informativo. O documento desta política deve ser muito claro na sua forma de declarar sobre a responsabilidade de cada um e que não restem dúvidas em sua interpretação. Todos para os quais forem destinados devem conhecer também as sanções pelo não cumprimento de suas diretrizes. Classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A política estabelece os objetivos e expectativas com relação ao tratamento a serem dados por cada integrante na organização às informações.
(    ) A política estabelece seus controles, padrões e procedimentos.
(    ) Os detalhes e descrições a respeito do cumprimento da política estarão em outros documentos subordinados em hierarquia à política, que são definidos pelo Security Officer.
(    ) Em geral, a política é a cabeça da pirâmide da função segurança da informação, sustentada por padrões e procedimentos.
(    ) O Security Officer auxilia estrategicamente na definição e manutenção da política e que, portanto, assina e exige seu cumprimento.
Assinale a alternativa que apresenta a sequência CORRETA:
A
F - F - V - F - V.
B
F - V - F - F - F.
C
V - V - V - V - F.
D
V - F - F - V - F.
3A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política. Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V para as sentenças verdadeiras e F para as falsas:
(    ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da proatividade das equipes de segurança.
(    ) A abordagem proativa define claramente as responsabilidades individuais,
(    ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
(    ) A política proativa trata da questão da segurança das informações com a visão “Será que o sistema será atacado?”.
(    ) A política proativa irá reduzir consideravelmente os custos das não conformidades.
Assinale a alternativa que apresenta a sequência CORRETA:
A
F - V - V - F - V.
B
V - V - F - V - F.
C
V - F - F - V - V.
D
F - F - V - V - V.
4A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
A
O plano de continuidade deve ser revisado e testado periodicamente.
B
Deve-se fazer a avaliação de risco e impacto no negócio (BIA).
C
No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os negócios de volta à posição em que se encontravam antes do incidente ou desastre.
D
As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um processo sigiloso.
5Garantir que a informação seja íntegra, esteja disponível quando necessária e acessível somente por quem é de direito, é uma preocupação nas empresas. Para auxiliar nessa tarefa, deve-se ter claro e disponível a todos os funcionários suas políticas de segurança. Este documento é composto por um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. Para que esse documento seja desenvolvido da melhor maneira possível, algumas considerações devem ser verificadas. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) Conhecer quais são as vulnerabilidades da empresa e os pontos fracos é de suma importância para a criação de uma boa política.
(    ) Consiga a adesão dos funcionários, pois de nada adianta políticas se os funcionários não colocarem em prática.
(    ) O controle e as barreiras físicas são uma técnica antiga de segurança e não há necessidade dessa preocupação nas políticas de segurança. Basta ter uma boa segurança lógica dos dados.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
A
V - F - F.
B
V - V - V.
C
F - V - F.
D
V - V - F.
6O contexto empresarial é altamente dependente da informação e implicitamente à tecnologia da informação. Diante de tal dependência, não é possível imaginar que os ativos informacionais, ao qual se incluem a infraestrutura de hardware e todos os sistemas de informação, possam não estar disponíveis para uso nos momentos em que estes se fizerem necessários. Desta forma, para prover esta disponibilidade, as organizações empreendem esforços e desenvolvem planos que venham a garantir a continuidade de suas atividades. Assim, as melhores práticas prescrevem que seja elaborado o PCN. A partir desta visão, assinale a alternativa CORRETA que não está em conformidade com estes planos:
A
Cada organização deve estar preparada para enfrentar situações de contingência e de desastre que tornem indisponíveis recursos que possibilitam seu uso.
B
A organização deverá desenvolver o PCN, que tem o objetivo de contingenciar situações e incidentes de segurança que não puderem ser evitados.
C
O PCN visa a prover meios da continuidade operacional.
D
Na prática, o PCN não se mostrou tão eficiente; portanto, deve-se planejar, ao menos, sobre as cópias de segurança. Outro aspecto negativo a ser considerado é o seu alto custo.
7O plano de contingência deve ser parte da política de segurança de uma organização, complementando assim, o planejamento estratégico desta. Neste documento são especificados procedimentos preestabelecidos a serem observados nas tarefas de recuperação do ambiente de sistemas e negócios, de modo a diminuir o impacto causado por incidentes que não poderão ser evitados pelas medidas de segurança em vigor. Com relação à avaliação do plano de contingência, alguns itens devem ser verificados. Sobre esses itens, analise as sentenças a seguir:
I- Deve-se verificar se os backups estão ou não atualizados e se são de fácil recuperação.
II- Deve-se verificar se a equipe de contingência está preparada caso ocorram eventualidades.
III- Deve-se verificar se os planos de contingência abrangem aspectos de integridade, confidencialidade e disponibilidade.
IV- Deve-se ter relatórios de acompanhamento para os funcionários,não há necessidade de relatórios gerenciais.
Agora, assinale a alternativa CORRETA:
A
As sentenças I, II e III estão corretas.
B
As sentenças I, III e IV estão corretas.
C
As sentenças II, III e IV estão corretas.
D
Somente a sentença II está correta.
8Em geral, os planos de contingenciamento das organizações estabelecem uma rápida ação para que se consiga restaurar o mais breve possível os serviços essenciais. Estes serviços essenciais devem ser apontados pelos próprios departamentos da empresa, no tocante à sua importância nos processos operacionais de negócio. Estas informações são avaliadas pelos comitês de segurança, os quais devem validar o escopo do plano para assim colocá-lo em prática. Agora, assinale a alternativa INCORRETA:
A
Se uma das atividades de uma função de negócio, considerada crítica, for avaliada como risco moderado, esta não deverá ser contingenciada.
B
Os relatórios gerenciais devem facilitar o acompanhamento dos procedimentos.
C
É fundamental que todos os departamentos que possuem funções críticas aos negócios sejam contingenciados.
D
Os planos devem ser suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades intelectuais, de pessoas, transacionais, entre outros.
9Devido ao valor da informação nas empresas, que é quase imensurável em muitos casos, medidas devem ser tomadas para minimizar os danos provocados por desastres ou ataques, que colocam em risco as informações e geram perdas dos dados. Segundo o BIA (Business Impact Analysis), alguns impactos podem ser medidos quantitativamente e categorizados. Quais são essas categorias?
A
Incêndio, greve e sabotagem.
B
Alto, médio e baixo.
C
Necessário, prioritário e urgente.
D
Ataques, falta de luz e sabotagem.
10Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, assinale a alternativa INCORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2019.
A
Fontes de energias alternativas, como no-breaks e geradores, são importantes para empresas que possuem aplicações on-line.
B
Com relação à energia alternativa para a segurança da informação, temos: sistema short break, sistema motor/alternador - síncrono, sistema elétrico ininterrupto de corrente alternada e um grupo gerador diesel.
C
Para-raios e iluminação de emergência devem ser observados no projeto de uma instalação elétrica.
D
A escolha da localização não é uma medida que precise de atenção, uma vez respeitado o acesso devido e restrito à informação.