Teste_ Avaliação Geral da Disciplina (1)

Prévia do material em texto

22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 1/9
Avaliação Geral da Disciplina
Iniciado: 22 ago em 14:46
Instruções do teste
0,66 ptsPergunta 1
As afirmações I, II e III são incorretas.
As afirmações I e II são incorretas e a firmação III é correta.
As afirmações II e III são corretas e a afirmação I é incorreta.
As afirmações I, II e III são corretas.
As afirmações I e III são incorretas e a afirmação II é correta.
Com relação a norma ABNT NBR ISO/IEC 27002, julgue as afirmações
seguintes:
I. Para manutenção e reavaliação dos planos de continuidade do negócio, deve
haver testes de interrupção e recuperação dos serviços, em que se identifiquem
informações relevantes que precisam ser atualizadas. Entre essas informações,
por serem desnecessárias, não constam nomes, endereços e telefones de
participantes e estratégias de negócio.
II. Quanto aos objetivos de controles e diretrizes pata implementação, cabe
exclusivamente aos gestores e administradores a coordenação da segurança da
informação dentro de uma organização.
III. Considerando-se que no desenvolvimento de um novo sistema para a
empresa, um analista seja encarregado de avaliar e monitorar a utilização de
normas e padrões de segurança da informação, o sistema em desenvolvimento
deverá ser integrado à parte da gestão dos ativos da empresa, sendo
conveniente que seja designada uma pessoa que detenha os direitos de
propriedade sobre o ativo.
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 2
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 2/9
Alguns ativos de informação, como documentos em forma eletrônica, não podem ser
fisicamente rotulados, sendo necessário usar um rótulo eletrônico.
O processo de compilação de um inventário de ativos é importante, mas não é pré-
requisito no gerenciamento de riscos.
A implementação de controles específicos não pode ser delegada pelo proprietário do
ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada
de seus ativos.
O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são
as únicas informações relevantes para o caso da recuperação de um desastre.
Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua
importância, possuem valor para o negócio.
A informação é um ativo que, como qualquer outro ativo importante, é essencial
para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT
NBR ISO/IEC 27002:2005, é correto afirmar que:
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 3
Define política como sendo as intenções e diretrizes globais formalmente expressas pela
direção e define risco como sendo a combinação da probabilidade de um evento e de
suas consequências.
Tem como objetivo geral especificar os requisitos para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do
contexto dos riscos de negócio globais da organização.
Define avaliação de riscos como um conjunto de atividades coordenadas para direcionar
e controlar uma organização no que se refere a riscos. Geralmente inclui o tratamento
de riscos, a aceitação de riscos e a comunicação de riscos.
Define segurança da informação como forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas ou estruturas organizacionais que podem ser de
natureza administrativa, técnica, de gestão ou legal.
Com relação a estrutura, objetivos e conceitos da norma ABNT NBR ISO/IEC
27002, é correto afirmar que:
Assinale uma das alternativas abaixo:
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 3/9
Contém 21 seções de controles de segurança da informação, que juntas totalizam 59
categorias principais que abordam a análise/avaliação e o tratamento de riscos.
0,66 ptsPergunta 4
Ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois
discos rígidos redundantes.
Identificação de nova vulnerabilidade no ambiente de tecnologia da informação.
Permissão para que pessoas não autorizadas trafeguem em perímetro físico.
Análise de logs de auditoria.
Negação de serviço.
Na gestão de incidentes de segurança da informação, de acordo com a norma
ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam
estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os
eventos que demandam a criação de procedimentos para o seu tratamento
incluem a:
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 5
Em questões de segurança da informação, existe uma norma brasileira, a ABNT
NBR ISO/IEC 27002:2013, que versa sobre a Tecnologia da Informação –
Técnicas de Segurança – Código de Prática para controles de segurança da
informação. Esta norma foi projetada para ser utilizada como referência na
seleção de controles, no processo de implementação de um Sistema de Gestão
de Segurança da Informação (SGSI), ou também como documento de orientação,
para que as organizações implementem controles de segurança da informação
normalmente aceitos. Esta norma define os controles de segurança da
informação, bem como seus respectivos objetivos de controle. É necessário que
seja mantido um registro de auditoria de todos os procedimentos realizados e
recomenda-se contemplar em primeiro lugar os sistemas com altos riscos, são
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 4/9
Restrições quanto à instalação de software.
Instalação de software nos sistemas operacionais.
Controles de auditoria de sistemas de informação.
Gestão da vulnerabilidade técnica.
Definições de riscos.
duas diretrizes de implementação de um dos objetivos. Assinale, a seguir, este
objetivo.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 6
Auditoria Interna
Contabilidade ou Finanças
Controles Internos
Auditoria Externa
Controladoria
O conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger
os ativos, produzir dados contábeis confiáveis e ajudar a administração na
condução ordenada dos negócios da empresa é representada pela área de:
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 7
A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão
de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer
organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser
gerenciados de alguma forma, esta norma visa estabelecer um número de
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 5/9
Avaliação de riscos
Análise de riscos
Identificação de riscos
Tratamento de riscos
Gestão de riscos
princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz.
Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da
incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão
de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco
na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e
alteração das consequências são ações/atividades de um desses Processos.
Assinale a alternativa correta que apresenta o respectivo processo.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 8
Percepção do risco
Comunicação do risco
Monitoramento do risco
Gestão do risco
A Norma Brasileira ABNT NBR ISO/IEC 27005:2011 é responsável pela
Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de
Segurança da Informação, fornecendo diretrizes para o processo de gestão de
riscos de segurança da informação, de acordo com os padrões do Sistema de
Gestão de Segurança da Informação (SGSI). Os gestores, além do pessoal
envolvido com a gestão de riscos de segurança da informação em uma
organização, são as pessoasque têm maior interesse nesta norma, ou também
entidades externas que dão suporte a essas atividades. Esta norma apresenta
diversas atividades que possuem: Entrada; Ação; Diretrizes para implementação;
e, Saída. A afirmativa anterior trata-se de:
Assinale uma das alternativas abaixo:
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 6/9
Avaliação do risco
0,67 ptsPergunta 9
Evitar, monitorar, conter e terceirizar
Evitar, monitorar, conter e terceirizar
Modificar, aceitar, ignorar, terceirizar
Identificar, monitorar, eliminar, divulgar
Modificar, reter, evitar e compartilhar
Considere, hipoteticamente, que a empresa ABC-DE está diante de um risco de
segurança da informação e o analista de sistemas terá que decidir que ação
tomar. Resolve se guiar pela seção da norma ABNT NBR ISO/IEC 27005:2011
que discorre sobre o tratamento do risco de segurança da informação. Esta seção
indica como ações para o tratamento do risco:
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 10
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer
apenas após a aceitação do plano de tratamento do risco pelos gestores da
organização.
A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de
valor.
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
Com relação à NBR 27005, assinale a opção correta no que se refere à gestão
de riscos de segurança da informação.
Assinale uma das alternativas abaixo:
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 7/9
Os riscos residuais são conhecidos antes da comunicação do risco.
0,67 ptsPergunta 11
plano de desenvolvimento.
plano de segurança.
rotina de backup.
controle de acesso.
política de informação.
A informação é um dos ativos mais importantes em uma empresa. Proteger os
processos mais críticos do negócio corporativo, reduzir a probabilidade de
ocorrência de incidentes relacionados à segurança e recuperar os danos em
casos de desastres e incidentes são objetivos, entre outros, da implementação de
um(a)
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 12
O N-IDS (Network Based Intrusion Detection System) assegura a segurança no nível da
rede, e o H-IDS (Host Based Intrusion Detection System) assegura a segurança no nível
dos hosts.
São usados para detectar vários tipos de comportamentos maliciosos que podem
comprometer a segurança e a confiabilidade de um sistema, como ataques pela rede
contra serviços vulneráveis e ataques baseados em uma estação, como aumento de
privilégio e logins não autorizados.
Possuem componentes como: sensores, que geram eventos de segurança; console,
para monitorar eventos e alertas e controlar os sensores; um mecanismo central que
Sobre os Sistemas de Detecção de Intrusão, é incorreto afirmar:
Assinale uma das alternativas abaixo:
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 8/9
grava os eventos registrados pelo sensor na base de dados.
Podem bloquear imediatamente as intrusões, independentemente do tipo de protocolo
de transporte utilizado, podendo identificar e impedir muitas ameaças, programas
backdoor e outros ataques conforme eles vão passando através do dispositivo.
Identificam e respondem, de maneira preventiva, a atividades suspeitas que possam
interferir nos princípios da integridade, confiabilidade e disponibilidade, sendo capazes
de distinguir de onde se originaram os ataques, se de dentro ou de fora da rede.
0,67 ptsPergunta 13
Independentemente de outros fatores, as empresas devem sempre optar pelo nível mais
alto de segurança da informação.
A assinatura digital garante a confidencialidade do documento ao qual ela esteja
associada.
Para se obter um nível aceitável de segurança, é suficiente reunir as melhores
ferramentas de software e implementá-las de acordo com as práticas recomendáveis.
A principal vantagem dos servidores de arquivos na Internet é que eles desprezam a
proteção de arquivos locais.
Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à
infraestrutura que a suporta.
Com relação à segurança da informação, assinale a opção correta.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 14
Adware, bloqueador de pop-ups e bloqueador de cookies
Os mecanismos de proteção aos ambientes computacionais destinados a garantir
a segurança da informação incluem:
Assinale uma das alternativas abaixo:
22/08/2021 Teste: Avaliação Geral da Disciplina
https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 9/9
Salvo em 16:11 
Assinatura digital, política de chaves e senhas, e honeypots
Firewall, spyware e antivirus
Controle de acesso físico, token e keyloggers
Política de segurança, criptografia e rootkit
0,67 ptsPergunta 15
Diretrizes
Funções
Política
Responsabilidades
Padrão
Informação pode ser considerada o bem mais valioso de uma organização.
Proteger a informação pode ser vital para qualquer organização, principalmente
na atualidade. A segurança da informação deve ser fator primordial para qualquer
organização, de qualquer segmento. O tripé da segurança da informação é
baseado em disponibilidade, integridade e confidencialidade.
Definir uma Política de Segurança para TI (Tecnologia da Informação) é vital para
a continuidade dos negócios da organização, e quatro componentes básicos
devem ser seguidos.
São consideradas alguns desses componentes, exceto:
Assinale uma das alternativas abaixo:
Enviar teste