Teste_ Avaliação Geral da Disciplina

Prévia do material em texto

Avaliação Geral da Disciplina
Iniciado: 28 ago em 21:52
Instruções do teste
0,66 ptsPergunta 1
Ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois
discos rígidos redundantes.
Análise de logs de auditoria.
Negação de serviço.
Permissão para que pessoas não autorizadas trafeguem em perímetro físico.
Identificação de nova vulnerabilidade no ambiente de tecnologia da informação.
Na gestão de incidentes de segurança da informação, de acordo com a norma
ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam
estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os
eventos que demandam a criação de procedimentos para o seu tratamento
incluem a:
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 2
Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua
importância, possuem valor para o negócio.
O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são
as únicas informações relevantes para o caso da recuperação de um desastre.
A informação é um ativo que, como qualquer outro ativo importante, é essencial
para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT
NBR ISO/IEC 27002:2005, é correto afirmar que:
Assinale uma das alternativas abaixo:
O processo de compilação de um inventário de ativos é importante, mas não é pré-
requisito no gerenciamento de riscos.
A implementação de controles específicos não pode ser delegada pelo proprietário do
ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada
de seus ativos.
Alguns ativos de informação, como documentos em forma eletrônica, não podem ser
fisicamente rotulados, sendo necessário usar um rótulo eletrônico.
0,66 ptsPergunta 3
As afirmações I e II são incorretas e a firmação III é correta.
As afirmações II e III são corretas e a afirmação I é incorreta.
As afirmações I, II e III são incorretas.
As afirmações I e III são incorretas e a afirmação II é correta.
As afirmações I, II e III são corretas.
Com relação a norma ABNT NBR ISO/IEC 27002, julgue as afirmações
seguintes:
I. Para manutenção e reavaliação dos planos de continuidade do negócio, deve
haver testes de interrupção e recuperação dos serviços, em que se identifiquem
informações relevantes que precisam ser atualizadas. Entre essas informações,
por serem desnecessárias, não constam nomes, endereços e telefones de
participantes e estratégias de negócio.
II. Quanto aos objetivos de controles e diretrizes pata implementação, cabe
exclusivamente aos gestores e administradores a coordenação da segurança da
informação dentro de uma organização.
III. Considerando-se que no desenvolvimento de um novo sistema para a
empresa, um analista seja encarregado de avaliar e monitorar a utilização de
normas e padrões de segurança da informação, o sistema em desenvolvimento
deverá ser integrado à parte da gestão dos ativos da empresa, sendo
conveniente que seja designada uma pessoa que detenha os direitos de
propriedade sobre o ativo.
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 4
Confidencialidade, Integridade, Disponibilidade
Consistência, Integridade, Disponibilidade
Confidencialidade, Persistência, Disponibilidade
Confidencialidade, Integridade, Durabilidade
Confiabilidade, Integridade, Disponibilidade
“Segurança da informação é a proteção de um conjunto de dados, no sentido de
preservar o valor que possuem para um indivíduo ou organização. O conceito de
Segurança da Informática ou Segurança de Computadores está intimamente
relacionado ao de Segurança da Informação, incluindo não apenas a segurança
dos dados/informação, mas também a dos sistemas em si".
Os principais atributos que orientam a análise, o planejamento e a implementação
da segurança para um grupo de informações que se deseja proteger são:
Assinale uma das alternativas abaixo:
0,66 ptsPergunta 5
A gestão de riscos geralmente inclui a análise/avalição de riscos, o tratamento de riscos
e a comunicação de riscos. Não inclui aceitação de riscos.
Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimular a
magnitude do risco (análise de riscos) e o processo de comparar riscos estimados
contra os critérios de risco para determinar a significância do risco (avaliação do risco).
A seleção de controles de segurança da informação depende das decisões da
organização, baseadas nos critérios para ignorar o risco, nas opções para tratamento do
De acordo com a NBR ISO/IEC 27002:
Assinale uma das alternativas abaixo:
risco e no enfoque geral da gestão de risco aplicado à organização. Convém que esteja
sujeito apenas às legislações e regulamentações nacionais relevantes.
O escopo de uma análise/avaliação de riscos deve ser sempre em toda a organização,
pois todas as áreas estão sujeitas aos riscos
A análise /avaliação de riscos não deve ser feita periodicamente para não impactar nos
custos dos projetos de software ou hardware.
0,67 ptsPergunta 6
Tratamento de riscos
Gestão de riscos
Análise de riscos
Avaliação de riscos
Identificação de riscos
A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão
de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer
organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser
gerenciados de alguma forma, esta norma visa estabelecer um número de
princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz.
Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da
incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão
de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco
na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e
alteração das consequências são ações/atividades de um desses Processos.
Assinale a alternativa correta que apresenta o respectivo processo.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 7
Segundo a Norma ABNT NBR ISO/IEC 27002:2005 – Código de Prática para a
Gestão de Segurança da Informação, para cada um dos riscos identificados,
Identificar os riscos de segurança presentes.
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
Aplicar controles apropriados para reduzir os riscos.
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à
política da organização e aos critérios para a aceitação do risco.
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou
fornecedores.
seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco
precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o
tratamento do risco, exceto:
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 8
dos controles existentes.
das ameaças.
das vulnerabilidades.
dos ativos.
das consequências.
De acordo com a norma NBR ISO/IEC 27005, a etapa em que se identifica
qualquer mecanismo administrativo, físico ou operacional capaz de tratar os
riscos da ocorrência de um incidente de segurança é a identificação
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 9
As ameaças, que podem afetar mais de um ativo são identificadas durante a fase de
avaliação de riscos.
Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a
probabilidade de incidentes de segurança.
O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível
de risco.
A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo
previamente estabelecido.
As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de
ameaças de origem humana.
Assinale a opção correta acerca da análise de riscos de segurança da
informação, de acordo com a ABNT NBR ISO/IEC 27005.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 10
Controladoria
Contabilidade ou Finanças
Controles Internos
Auditoria Interna
Auditoria ExternaO conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger
os ativos, produzir dados contábeis confiáveis e ajudar a administração na
condução ordenada dos negócios da empresa é representada pela área de:
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 11
Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à
infraestrutura que a suporta.
A principal vantagem dos servidores de arquivos na Internet é que eles desprezam a
proteção de arquivos locais.
Para se obter um nível aceitável de segurança, é suficiente reunir as melhores
ferramentas de software e implementá-las de acordo com as práticas recomendáveis.
Independentemente de outros fatores, as empresas devem sempre optar pelo nível mais
alto de segurança da informação.
A assinatura digital garante a confidencialidade do documento ao qual ela esteja
associada.
Com relação à segurança da informação, assinale a opção correta.
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 12
A respeito de segurança e privacidade na Internet, analise as afirmativas.
I - Ao acessar e-mails, o usuário não precisa ter cuidados especiais ao usar
computadores de terceiros ou potencialmente infectados, pois a segurança da
conexão irá evitar que suas senhas sejam obtidas e seus e-mails indevidamente
acessados.
II - Ao navegar na Web, é altamente recomendado utilizar, quando disponível, a
navegação anônima, por meio de anonymizers ou de opções disponibilizadas
pelos navegadores Web (chamadas de privativa ou "InPrivate"), pois, ao fazer
isto, informações, como sites acessados e dados de formulários, não são
gravadas pelo navegador Web.
III - Ao usar navegadores Web, é importante que o usuário priorize o uso de
cookies, caso deseje ter mais privacidade, pois eles são programas que evitam
que se possa rastrear as preferências de navegação do usuário.
IV - Ao efetuar transações bancárias e acessar sites de Internet Banking, o
usuário deve desconsiderar mensagens de instituições bancárias com as quais
ele não tenha relação, principalmente aquelas que solicitem dados pessoais ou a
instalação de módulos de segurança.
Apenas em I, III e IV
Apenas em I, II e III
Apenas em II e IV
Apenas em I e IV
Apenas em II e III
Está correto o que se afirma em:
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 13
à criação de um planejamento estratégico.
à implantação da governança de TI.
ao levantamento dos processos da TI.
à implantação de uma certificação empresarial.
à implantação de uma certificação digital.
O controle da criação dos processos de tecnologia da informação (TI), a garantia
de que a TI faça o que for preciso para atender às necessidades do negócio, o
gerenciamento correto dos recursos, a minimização ou o tratamento dos riscos e
a garantia de que as operações estejam em conformidade com as leis estão
relacionados
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 14
A informação é um dos ativos mais importantes em uma empresa. Proteger os
processos mais críticos do negócio corporativo, reduzir a probabilidade de
ocorrência de incidentes relacionados à segurança e recuperar os danos em
rotina de backup.
controle de acesso.
plano de desenvolvimento.
política de informação.
plano de segurança.
casos de desastres e incidentes são objetivos, entre outros, da implementação de
um(a)
Assinale uma das alternativas abaixo:
0,67 ptsPergunta 15
Podem bloquear imediatamente as intrusões, independentemente do tipo de protocolo
de transporte utilizado, podendo identificar e impedir muitas ameaças, programas
backdoor e outros ataques conforme eles vão passando através do dispositivo.
São usados para detectar vários tipos de comportamentos maliciosos que podem
comprometer a segurança e a confiabilidade de um sistema, como ataques pela rede
contra serviços vulneráveis e ataques baseados em uma estação, como aumento de
privilégio e logins não autorizados.
Possuem componentes como: sensores, que geram eventos de segurança; console,
para monitorar eventos e alertas e controlar os sensores; um mecanismo central que
grava os eventos registrados pelo sensor na base de dados.
Identificam e respondem, de maneira preventiva, a atividades suspeitas que possam
interferir nos princípios da integridade, confiabilidade e disponibilidade, sendo capazes
de distinguir de onde se originaram os ataques, se de dentro ou de fora da rede.
O N-IDS (Network Based Intrusion Detection System) assegura a segurança no nível da
rede, e o H-IDS (Host Based Intrusion Detection System) assegura a segurança no nível
dos hosts.
Sobre os Sistemas de Detecção de Intrusão, é incorreto afirmar:
Assinale uma das alternativas abaixo:
Salvo em 22:39 Enviar teste