Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação Geral da Disciplina Iniciado: 28 ago em 21:52 Instruções do teste 0,66 ptsPergunta 1 Ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes. Análise de logs de auditoria. Negação de serviço. Permissão para que pessoas não autorizadas trafeguem em perímetro físico. Identificação de nova vulnerabilidade no ambiente de tecnologia da informação. Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a: Assinale uma das alternativas abaixo: 0,66 ptsPergunta 2 Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua importância, possuem valor para o negócio. O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são as únicas informações relevantes para o caso da recuperação de um desastre. A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT NBR ISO/IEC 27002:2005, é correto afirmar que: Assinale uma das alternativas abaixo: O processo de compilação de um inventário de ativos é importante, mas não é pré- requisito no gerenciamento de riscos. A implementação de controles específicos não pode ser delegada pelo proprietário do ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos. Alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. 0,66 ptsPergunta 3 As afirmações I e II são incorretas e a firmação III é correta. As afirmações II e III são corretas e a afirmação I é incorreta. As afirmações I, II e III são incorretas. As afirmações I e III são incorretas e a afirmação II é correta. As afirmações I, II e III são corretas. Com relação a norma ABNT NBR ISO/IEC 27002, julgue as afirmações seguintes: I. Para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. II. Quanto aos objetivos de controles e diretrizes pata implementação, cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização. III. Considerando-se que no desenvolvimento de um novo sistema para a empresa, um analista seja encarregado de avaliar e monitorar a utilização de normas e padrões de segurança da informação, o sistema em desenvolvimento deverá ser integrado à parte da gestão dos ativos da empresa, sendo conveniente que seja designada uma pessoa que detenha os direitos de propriedade sobre o ativo. Assinale uma das alternativas abaixo: 0,66 ptsPergunta 4 Confidencialidade, Integridade, Disponibilidade Consistência, Integridade, Disponibilidade Confidencialidade, Persistência, Disponibilidade Confidencialidade, Integridade, Durabilidade Confiabilidade, Integridade, Disponibilidade “Segurança da informação é a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou organização. O conceito de Segurança da Informática ou Segurança de Computadores está intimamente relacionado ao de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si". Os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um grupo de informações que se deseja proteger são: Assinale uma das alternativas abaixo: 0,66 ptsPergunta 5 A gestão de riscos geralmente inclui a análise/avalição de riscos, o tratamento de riscos e a comunicação de riscos. Não inclui aceitação de riscos. Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimular a magnitude do risco (análise de riscos) e o processo de comparar riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para ignorar o risco, nas opções para tratamento do De acordo com a NBR ISO/IEC 27002: Assinale uma das alternativas abaixo: risco e no enfoque geral da gestão de risco aplicado à organização. Convém que esteja sujeito apenas às legislações e regulamentações nacionais relevantes. O escopo de uma análise/avaliação de riscos deve ser sempre em toda a organização, pois todas as áreas estão sujeitas aos riscos A análise /avaliação de riscos não deve ser feita periodicamente para não impactar nos custos dos projetos de software ou hardware. 0,67 ptsPergunta 6 Tratamento de riscos Gestão de riscos Análise de riscos Avaliação de riscos Identificação de riscos A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa estabelecer um número de princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta o respectivo processo. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 7 Segundo a Norma ABNT NBR ISO/IEC 27002:2005 – Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, Identificar os riscos de segurança presentes. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Aplicar controles apropriados para reduzir os riscos. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Assinale uma das alternativas abaixo: 0,67 ptsPergunta 8 dos controles existentes. das ameaças. das vulnerabilidades. dos ativos. das consequências. De acordo com a norma NBR ISO/IEC 27005, a etapa em que se identifica qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança é a identificação Assinale uma das alternativas abaixo: 0,67 ptsPergunta 9 As ameaças, que podem afetar mais de um ativo são identificadas durante a fase de avaliação de riscos. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 10 Controladoria Contabilidade ou Finanças Controles Internos Auditoria Interna Auditoria ExternaO conjunto de procedimentos, métodos ou rotinas com os objetivos de proteger os ativos, produzir dados contábeis confiáveis e ajudar a administração na condução ordenada dos negócios da empresa é representada pela área de: Assinale uma das alternativas abaixo: 0,67 ptsPergunta 11 Controles físicos são barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta. A principal vantagem dos servidores de arquivos na Internet é que eles desprezam a proteção de arquivos locais. Para se obter um nível aceitável de segurança, é suficiente reunir as melhores ferramentas de software e implementá-las de acordo com as práticas recomendáveis. Independentemente de outros fatores, as empresas devem sempre optar pelo nível mais alto de segurança da informação. A assinatura digital garante a confidencialidade do documento ao qual ela esteja associada. Com relação à segurança da informação, assinale a opção correta. Assinale uma das alternativas abaixo: 0,67 ptsPergunta 12 A respeito de segurança e privacidade na Internet, analise as afirmativas. I - Ao acessar e-mails, o usuário não precisa ter cuidados especiais ao usar computadores de terceiros ou potencialmente infectados, pois a segurança da conexão irá evitar que suas senhas sejam obtidas e seus e-mails indevidamente acessados. II - Ao navegar na Web, é altamente recomendado utilizar, quando disponível, a navegação anônima, por meio de anonymizers ou de opções disponibilizadas pelos navegadores Web (chamadas de privativa ou "InPrivate"), pois, ao fazer isto, informações, como sites acessados e dados de formulários, não são gravadas pelo navegador Web. III - Ao usar navegadores Web, é importante que o usuário priorize o uso de cookies, caso deseje ter mais privacidade, pois eles são programas que evitam que se possa rastrear as preferências de navegação do usuário. IV - Ao efetuar transações bancárias e acessar sites de Internet Banking, o usuário deve desconsiderar mensagens de instituições bancárias com as quais ele não tenha relação, principalmente aquelas que solicitem dados pessoais ou a instalação de módulos de segurança. Apenas em I, III e IV Apenas em I, II e III Apenas em II e IV Apenas em I e IV Apenas em II e III Está correto o que se afirma em: Assinale uma das alternativas abaixo: 0,67 ptsPergunta 13 à criação de um planejamento estratégico. à implantação da governança de TI. ao levantamento dos processos da TI. à implantação de uma certificação empresarial. à implantação de uma certificação digital. O controle da criação dos processos de tecnologia da informação (TI), a garantia de que a TI faça o que for preciso para atender às necessidades do negócio, o gerenciamento correto dos recursos, a minimização ou o tratamento dos riscos e a garantia de que as operações estejam em conformidade com as leis estão relacionados Assinale uma das alternativas abaixo: 0,67 ptsPergunta 14 A informação é um dos ativos mais importantes em uma empresa. Proteger os processos mais críticos do negócio corporativo, reduzir a probabilidade de ocorrência de incidentes relacionados à segurança e recuperar os danos em rotina de backup. controle de acesso. plano de desenvolvimento. política de informação. plano de segurança. casos de desastres e incidentes são objetivos, entre outros, da implementação de um(a) Assinale uma das alternativas abaixo: 0,67 ptsPergunta 15 Podem bloquear imediatamente as intrusões, independentemente do tipo de protocolo de transporte utilizado, podendo identificar e impedir muitas ameaças, programas backdoor e outros ataques conforme eles vão passando através do dispositivo. São usados para detectar vários tipos de comportamentos maliciosos que podem comprometer a segurança e a confiabilidade de um sistema, como ataques pela rede contra serviços vulneráveis e ataques baseados em uma estação, como aumento de privilégio e logins não autorizados. Possuem componentes como: sensores, que geram eventos de segurança; console, para monitorar eventos e alertas e controlar os sensores; um mecanismo central que grava os eventos registrados pelo sensor na base de dados. Identificam e respondem, de maneira preventiva, a atividades suspeitas que possam interferir nos princípios da integridade, confiabilidade e disponibilidade, sendo capazes de distinguir de onde se originaram os ataques, se de dentro ou de fora da rede. O N-IDS (Network Based Intrusion Detection System) assegura a segurança no nível da rede, e o H-IDS (Host Based Intrusion Detection System) assegura a segurança no nível dos hosts. Sobre os Sistemas de Detecção de Intrusão, é incorreto afirmar: Assinale uma das alternativas abaixo: Salvo em 22:39 Enviar teste
Compartilhar