Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 1/9 Avaliação Geral da Disciplina Iniciado: 22 ago em 14:46 Instruções do teste 0,66 ptsPergunta 1 As afirmações I, II e III são incorretas. As afirmações I e II são incorretas e a firmação III é correta. As afirmações II e III são corretas e a afirmação I é incorreta. As afirmações I, II e III são corretas. As afirmações I e III são incorretas e a afirmação II é correta. Com relação a norma ABNT NBR ISO/IEC 27002, julgue as afirmações seguintes: I. Para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. II. Quanto aos objetivos de controles e diretrizes pata implementação, cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização. III. Considerando-se que no desenvolvimento de um novo sistema para a empresa, um analista seja encarregado de avaliar e monitorar a utilização de normas e padrões de segurança da informação, o sistema em desenvolvimento deverá ser integrado à parte da gestão dos ativos da empresa, sendo conveniente que seja designada uma pessoa que detenha os direitos de propriedade sobre o ativo. Assinale uma das alternativas abaixo: 0,66 ptsPergunta 2 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 2/9 Alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. O processo de compilação de um inventário de ativos é importante, mas não é pré- requisito no gerenciamento de riscos. A implementação de controles específicos não pode ser delegada pelo proprietário do ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos. O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são as únicas informações relevantes para o caso da recuperação de um desastre. Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua importância, possuem valor para o negócio. A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT NBR ISO/IEC 27002:2005, é correto afirmar que: Assinale uma das alternativas abaixo: 0,66 ptsPergunta 3 Define política como sendo as intenções e diretrizes globais formalmente expressas pela direção e define risco como sendo a combinação da probabilidade de um evento e de suas consequências. Tem como objetivo geral especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Define avaliação de riscos como um conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. Define segurança da informação como forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal. Com relação a estrutura, objetivos e conceitos da norma ABNT NBR ISO/IEC 27002, é correto afirmar que: Assinale uma das alternativas abaixo: 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 3/9 Contém 21 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais que abordam a análise/avaliação e o tratamento de riscos. 0,66 ptsPergunta 4 Ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes. Identificação de nova vulnerabilidade no ambiente de tecnologia da informação. Permissão para que pessoas não autorizadas trafeguem em perímetro físico. Análise de logs de auditoria. Negação de serviço. Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a: Assinale uma das alternativas abaixo: 0,66 ptsPergunta 5 Em questões de segurança da informação, existe uma norma brasileira, a ABNT NBR ISO/IEC 27002:2013, que versa sobre a Tecnologia da Informação – Técnicas de Segurança – Código de Prática para controles de segurança da informação. Esta norma foi projetada para ser utilizada como referência na seleção de controles, no processo de implementação de um Sistema de Gestão de Segurança da Informação (SGSI), ou também como documento de orientação, para que as organizações implementem controles de segurança da informação normalmente aceitos. Esta norma define os controles de segurança da informação, bem como seus respectivos objetivos de controle. É necessário que seja mantido um registro de auditoria de todos os procedimentos realizados e recomenda-se contemplar em primeiro lugar os sistemas com altos riscos, são 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 4/9 Restrições quanto à instalação de software. Instalação de software nos sistemas operacionais. Controles de auditoria de sistemas de informação. Gestão da vulnerabilidade técnica. Definições de riscos. duas diretrizes de implementação de um dos objetivos. Assinale, a seguir, este objetivo. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 6 Auditoria Interna Contabilidade ou Finanças Controles Internos Auditoria Externa Controladoria O conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa é representada pela área de: Assinale uma das alternativas abaixo: 0,67 ptsPergunta 7 A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa estabelecer um número de 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 5/9 Avaliação de riscos Análise de riscos Identificação de riscos Tratamento de riscos Gestão de riscos princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta o respectivo processo. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 8 Percepção do risco Comunicação do risco Monitoramento do risco Gestão do risco A Norma Brasileira ABNT NBR ISO/IEC 27005:2011 é responsável pela Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de Segurança da Informação, fornecendo diretrizes para o processo de gestão de riscos de segurança da informação, de acordo com os padrões do Sistema de Gestão de Segurança da Informação (SGSI). Os gestores, além do pessoal envolvido com a gestão de riscos de segurança da informação em uma organização, são as pessoasque têm maior interesse nesta norma, ou também entidades externas que dão suporte a essas atividades. Esta norma apresenta diversas atividades que possuem: Entrada; Ação; Diretrizes para implementação; e, Saída. A afirmativa anterior trata-se de: Assinale uma das alternativas abaixo: 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 6/9 Avaliação do risco 0,67 ptsPergunta 9 Evitar, monitorar, conter e terceirizar Evitar, monitorar, conter e terceirizar Modificar, aceitar, ignorar, terceirizar Identificar, monitorar, eliminar, divulgar Modificar, reter, evitar e compartilhar Considere, hipoteticamente, que a empresa ABC-DE está diante de um risco de segurança da informação e o analista de sistemas terá que decidir que ação tomar. Resolve se guiar pela seção da norma ABNT NBR ISO/IEC 27005:2011 que discorre sobre o tratamento do risco de segurança da informação. Esta seção indica como ações para o tratamento do risco: Assinale uma das alternativas abaixo: 0,67 ptsPergunta 10 Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Com relação à NBR 27005, assinale a opção correta no que se refere à gestão de riscos de segurança da informação. Assinale uma das alternativas abaixo: 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 7/9 Os riscos residuais são conhecidos antes da comunicação do risco. 0,67 ptsPergunta 11 plano de desenvolvimento. plano de segurança. rotina de backup. controle de acesso. política de informação. A informação é um dos ativos mais importantes em uma empresa. Proteger os processos mais críticos do negócio corporativo, reduzir a probabilidade de ocorrência de incidentes relacionados à segurança e recuperar os danos em casos de desastres e incidentes são objetivos, entre outros, da implementação de um(a) Assinale uma das alternativas abaixo: 0,67 ptsPergunta 12 O N-IDS (Network Based Intrusion Detection System) assegura a segurança no nível da rede, e o H-IDS (Host Based Intrusion Detection System) assegura a segurança no nível dos hosts. São usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema, como ataques pela rede contra serviços vulneráveis e ataques baseados em uma estação, como aumento de privilégio e logins não autorizados. Possuem componentes como: sensores, que geram eventos de segurança; console, para monitorar eventos e alertas e controlar os sensores; um mecanismo central que Sobre os Sistemas de Detecção de Intrusão, é incorreto afirmar: Assinale uma das alternativas abaixo: 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 8/9 grava os eventos registrados pelo sensor na base de dados. Podem bloquear imediatamente as intrusões, independentemente do tipo de protocolo de transporte utilizado, podendo identificar e impedir muitas ameaças, programas backdoor e outros ataques conforme eles vão passando através do dispositivo. Identificam e respondem, de maneira preventiva, a atividades suspeitas que possam interferir nos princípios da integridade, confiabilidade e disponibilidade, sendo capazes de distinguir de onde se originaram os ataques, se de dentro ou de fora da rede. 0,67 ptsPergunta 13 Independentemente de outros fatores, as empresas devem sempre optar pelo nível mais alto de segurança da informação. A assinatura digital garante a confidencialidade do documento ao qual ela esteja associada. Para se obter um nível aceitável de segurança, é suficiente reunir as melhores ferramentas de software e implementá-las de acordo com as práticas recomendáveis. A principal vantagem dos servidores de arquivos na Internet é que eles desprezam a proteção de arquivos locais. Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta. Com relação à segurança da informação, assinale a opção correta. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 14 Adware, bloqueador de pop-ups e bloqueador de cookies Os mecanismos de proteção aos ambientes computacionais destinados a garantir a segurança da informação incluem: Assinale uma das alternativas abaixo: 22/08/2021 Teste: Avaliação Geral da Disciplina https://cruzeirodosul.instructure.com/courses/19432/quizzes/54348/take 9/9 Salvo em 16:11 Assinatura digital, política de chaves e senhas, e honeypots Firewall, spyware e antivirus Controle de acesso físico, token e keyloggers Política de segurança, criptografia e rootkit 0,67 ptsPergunta 15 Diretrizes Funções Política Responsabilidades Padrão Informação pode ser considerada o bem mais valioso de uma organização. Proteger a informação pode ser vital para qualquer organização, principalmente na atualidade. A segurança da informação deve ser fator primordial para qualquer organização, de qualquer segmento. O tripé da segurança da informação é baseado em disponibilidade, integridade e confidencialidade. Definir uma Política de Segurança para TI (Tecnologia da Informação) é vital para a continuidade dos negócios da organização, e quatro componentes básicos devem ser seguidos. São consideradas alguns desses componentes, exceto: Assinale uma das alternativas abaixo: Enviar teste
Compartilhar