GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

Curso
	GRA0781 GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO GR1533211 - 202110.ead-15146.01
	Teste
	ATIVIDADE 2 (A2)
	Iniciado
	03/03/21 23:47
	Enviado
	04/03/21 00:22
	Status
	Completada
	Resultado da tentativa
	8 em 10 pontos  
	Tempo decorrido
	34 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	Controle de Acesso é uma tarefa primordial para a Administração de Redes e Sistemas, deve estar bem definida na Política de Segurança de uma organização em relação à autenticação e à autorização dos recursos que devem ser entregues aos usuários.
 
A partir do que foi apresentado, analise as afirmativas a seguir:
 
I. Autenticação relaciona-se à identificação apropriada dos usuários diante do sistema ou rede.
II. Geralmente, a autenticação está relacionada a algo que o usuário possua (senha, por exemplo) ou seja algo único.
III. A autorização é a seção do controle de acesso que possui restrições impostas a usuários autenticados e, porém podem ser aplicadas a usuários não autenticados.
IV. O Firewall pode ser conceituado como um mecanismo de controle de acesso de usuários.
 
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	 
I, II e III, apenas.
	Resposta Correta:
	 
I, II e III, apenas.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a autenticação está diretamente relacionada à identificação correta dos usuários, através de senha única e, a autorização restringe usuários de acessar algo que não deveria estar disponível para o perfil de um determinado usuário, por exemplo.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	O framework COBIT parte da premissa de que não se pode gerenciar o que não se mede. Assim, ele propõe uma série de objetivos de controle e seus respectivos indicadores de desempenho. Considera que a TI precisa entregar a informação que a empresa precisa para alcançar os seus objetivos de negócio.
 
Dentre as principais características do COBIT relacionadas a seguir, assinale a alternativa que apresenta características dele.
 
1. Direcionado a controles.
2. Foco em serviço.
3. Foco em negócio.
4. Orientação em controles.
5. Base em métricas.
 
	
	
	
	
		Resposta Selecionada:
	 
I, III, IV, V..
	Resposta Correta:
	 
I, III, IV, V..
	Comentário da resposta:
	Resposta correta. O COBIT é focado no negócio, preocupa-se com requisitos regulatórios, orientado a processos, direcionado por métricas e baseado em controles. Tem como objetivo principal a governança de TI, aplicando práticas de controle da informação, planejamento e monitoramento de resultados.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	O COBIT (Control Objectives for Information and related Technology) tem como objetivo a governança de TI, através da aplicação de práticas de controle da informação, planejando e monitorando resultados. Porém, serve para dar atenção ao foco do negócio ao invés de simplesmente verificar os serviços de TI.
 
Assinale a alternativa que apresenta seus benefícios:
	
	
	
	
		Resposta Selecionada:
	 
Aumenta a eficiência da Tecnologia da Informação, melhora a segurança da informação e cria uma linguagem comum.
	Resposta Correta:
	 
Aumenta a eficiência da Tecnologia da Informação, melhora a segurança da informação e cria uma linguagem comum.
	Comentário da resposta:
	Resposta correta. O COBIT ajuda as empresas a desenvolver, organizar e implementar estratégias no que diz respeito ao gerenciamento de informações e governança. Aumenta a eficiência da tecnologia da informação, melhora a segurança da informação e, otimiza investimentos em TI.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	De acordo com a norma NBR ISO/IEC 27002, na Gestão da Segurança da Informação, implantar a segurança envolve a adoção de mecanismos para a segurança física, lógica e humana. A segurança lógica, por exemplo, é aplicada por meio de procedimentos que protejam os dados e sistemas contra tentativas de acessos não autorizados.
 
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013 : Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.
 
De acordo com o assunto assinale a alternativa correta de uma das formas de prover a segurança física em uma empresa:
	
	
	
	
		Resposta Selecionada:
	 
manter todas as portas corta-fogo dentro do perímetro de segurança tenham alarme, sejam monitoradas e testadas, bem como as paredes.
	Resposta Correta:
	 
manter todas as portas corta-fogo dentro do perímetro de segurança tenham alarme, sejam monitoradas e testadas, bem como as paredes.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois devem ser realizados procedimentos e obter recursos para prevenção de acessos não autorizados, quaisquer dano ou interferência nas informações e instalações físicas da organização. Ela deve ser realizada inclusive nas imediações das organizações e deve levar em conta problemas causados por inundações e incêndios.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	De acordo com a norma NBR ISO/IEC 27002, a gestão de ativos de uma empresa é primordial para a gestão de segurança da informação, pois caso o acesso ou a utilização seja realizada de forma errada, pode ocasionar prejuízos e, estes não são somente sob o ponto de vista da segurança de informação, mas também para o negócio em si.
 
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013 : Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.
 
Dentre os ativos citados pela norma, assinale a alternativa que corresponda como a Documentação de Sistema é classificada:
	
	
	
	
		Resposta Selecionada:
	 
ativo de sistema.
	Resposta Correta:
	 
ativo de informação.
 
 
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois não se trata de um software, nem de sistema, também não se pode dizer que seja uma ativo físico ou intangível. Pois trata-se de toda a especificação onde estão os conceitos de segurança do sistema e a relação dos procedimentos que devem ser realizado para que as informações permaneçam protegidas.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	A TI da empresa ficou responsável por entregar um sistema de Controle de Ponto em 10/01/2020, este depende dos requisitos que serão coletados no RH, ou seja, Recursos Humanos. Diante de grande volume de trabalho, o departamento de RH pode ou não ter número de pessoas suficientes que possam fornecer as informações para o desenvolvimento do sistema. Dúvidas relacionadas ao fornecimento de informações mostram que, o departamento de RH pode não conceder informações necessárias em tempo hábil para o desenvolvimento e entrega do sistema. Em uma declaração de riscos deve constar, o evento de risco, causas e impactos nos objetivos.
 
Assim, é correto afirmar que, a partir da situação apresentada o evento de risco é:
 
	
	
	
	
		Resposta Selecionada:
	 
RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema.
	Resposta Correta:
	 
RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois é correto afirmar este evento de risco, pois devem ser apresentados os eventos de riscos que podem influenciar na data da entrega do projeto para que os gestores tomem decisões corretas, o que significa que o RH poderá ou não entregar a tempo os requisitos para o desenvolvimento do sistema.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Gerência de riscos na segurança da informação utiliza vários tipos e recursos de segurança, entre eles o estabelecimento do contexto, a identificação, a análise, a avaliação, o tratamento e a comunicação dos riscos, bem como o monitoramento e análise crítica .
 
De acordo com o assunto, assinale a alternativa correta de um recurso de segurança classificado como instrumento de controlede acesso lógico:
	
	
	
	
		Resposta Selecionada:
	 
biometria.
	Resposta Correta:
	 
biometria.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois a biometria é considerada um mecanismo de controle de acesso lógico, pois são utilizadas características próprias para o processo de autenticação, como por exemplo, leitor de impressão digital, reconhecimento facial e reconhecimento de voz
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	O malware, programa criado com o intuito de executar ações que causem danos e atividades maliciosas em um computador é capaz de propagar-se sozinho, agindo sobre vulnerabilidades ou falhas existentes na configuração de programas instalados e, que pode ser controlado por acesso remoto pelo hacker é denominado:
 
Assinale a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	 
Vírus
	Resposta Correta:
	 
Spyware
	Comentário da resposta:
	Sua resposta está incorreta.  Pois somente o spyware tem a característica de passar as informações a terceiros sem que o usuário saiba, bem como propagar-se sozinho. O vírus faz a propagação inserindo cópias dele mesmo e acaba se tornando parte de outros programas ou arquivos. O Trojan além de implementar funções para as quais foi desenvolvido, também executa outras funções sem o conhecimento do usuário. Sniffers inspecionam os dados trafegados em redes de computadores e verme (worm), trata-se de um programa independente que se propaga ou é ativado em sistemas atacados procurando novos sistemas acessíveis para atacar.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	A gerência de riscos faz a avaliação dos riscos da empresa, esta avaliação tem a finalidade de identificar ameaças e vulnerabilidades em seus ativos. Permite que sejam identificados riscos e que sejam determinadas ações para que o risco seja aceitável para a organização.
 
Esta avaliação de riscos deve ser:
	
	
	
	
		Resposta Selecionada:
	 
quantitativa e qualitativa.
	Resposta Correta:
	 
quantitativa e qualitativa.
	Comentário da resposta:
	Resposta correta. A avaliação deve ser feita de modo qualitativo, fazendo a qualificação dos riscos e quantitativo em relação a quantidade de riscos existentes. Dentro da avaliação de riscos são considerados o valor estratégico do processo, o nível de criticidade dos ativos, as ocorrências de eventos de segurança, o valor que existe no ativo para o processo e a probabilidade de que ocorram outros eventos.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Algo muito importante para o sistema de gestão de segurança da informação é que seja realizado o monitoramento e análise crítica deste. Desta forma, há um acompanhamento de resultados, implantação de controles e uma análise para que ocorra sempre a melhoria contínua referente ao processo de gestão de riscos.
 
Diante desse monitoramento e análise, a empresa deve:
	
	
	
	
		Resposta Selecionada:
	 
realizar fases de correções no SGSI, sem identificar novamente possíveis novos riscos.
	Resposta Correta:
	 
realizar fases de correções no SGSI, sem identificar novamente possíveis novos riscos.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois um SGSI deve identificar os riscos de um sistema, analisá-los e avaliá-los, bem como definir contextos, implementar controles, ações de revisão e, diante dos resultados, identificar e avaliar opções para tratamento desses riscos, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.
	
	
	
	Curso
	GRA0781 GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO GR1533211 - 202110.ead-15146.01
	Teste
	ATIVIDADE 4 (A4)
	Iniciado
	08/03/21 22:07
	Enviado
	13/03/21 19:19
	Status
	Completada
	Resultado da tentativa
	8 em 10 pontos  
	Tempo decorrido
	117 horas, 11 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	João está realizando testes em diferentes navegadores para verificar se há problemas (como quebra de layout ) em relação ao site, visualizando o que fez no Chrome e em outros navegadores. Para testar nas versões do IE (Internet Explorer), baixou e instalou programa em sua máquina, sem que fosse comprado pela empresa. Poderia ser usado somente por 7 dias, período que foi excedido e trouxe complicações à empresa.
 
Assinale a alternativa correta, que apresenta qual teria sido uma efetiva solução em compliance para que isso não ocorresse.
	
	
	
	
		Resposta Selecionada:
	 
Monitoramento de TI, pois assim pode-se verificar se houve a instalação de softwares piratas ou que exijam a compra para utilização por empresas.
	Resposta Correta:
	 
Monitoramento de TI, pois assim pode-se verificar se houve a instalação de softwares piratas ou que exijam a compra para utilização por empresas.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois, com o monitoramento por meio de ferramentas, é possível verificar a utilização dos recursos de TI, bem como as ações dos usuários. Assim, podem-se identificar as principais falhas, o que pode ser feito para corrigi-las e tornar a produtividade mais eficiente. Dessa forma, pode-se identificar o uso de softwares não licenciados, evitando-se que a legislação não seja cumprida e, ao mesmo tempo, garantindo o uso apenas de ferramentas aprovadas pela empresa.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	É grande a quantidade de informações sensíveis, como, por exemplo, financeiras e operacionais, que trafegam por sistemas de informação. Assim, é de grande importância que gestores que tomam decisões sobre o negócio tenham confiança nos dados e informações que estão nos sistemas.
 
Assinale a alternativa correta, que diz respeito à forma de garantir que esses dados sejam reais.
	
	
	
	
		Resposta Selecionada:
	 
Utilizando governança de TI, pois uma de suas funções é criar controles rígidos para que a TI trabalhe com informações que apresentem a realidade da empresa a todos os executivos, acionistas e ao conselho de administração.
	Resposta Correta:
	 
Utilizando governança de TI, pois uma de suas funções é criar controles rígidos para que a TI trabalhe com informações que apresentem a realidade da empresa a todos os executivos, acionistas e ao conselho de administração.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois a governança em TI é responsável por estruturas de relacionamentos e processos que irão dirigir e controlar a empresa, para que esta consiga realizar suas metas, somando valor e trazendo equilíbrio em relação ao retorno da TI e a todos os processos.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Compliance em TI é o processo que busca atender aos requisitos de terceiros para segurança digital. Tem como objetivo principal viabilizar operações comerciais em um mercado específico ou com um cliente específico. Enquanto a segurança é a prática que visa implementar controles técnicos eficazes para proteger ativos digitais (informações e dados).
 
Assinale a alternativa correta, que diz respeito aos conceitos de segurança.
	
	
	
	
		Resposta Selecionada:
	 
Estimulada pela necessidade de proteção aos ativos e deve ser continuamente melhorada.
	Resposta Correta:
	 
Estimulada pela necessidade de proteção aos ativos e deve ser continuamente melhorada.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois, entre as características e conceitos de segurança da informação em TI, estão a execução de diligência  e o cuidado em proteger a confidencialidade, integridade e disponibilidade de ativos, mediante a adoção de um programa que implemente controles físicos, técnicos e administrativos.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Software as a service é uma maneira de deixar softwares e soluções disponíveis por meio da internet como forma de serviço. Assim, o acesso é mais fácil, sendo preciso somente conexão com a internet. Entre os benefícios da utilização dessa tecnologia, podem-se citar:
 
Assinale a alternativa correta, que contempla três benefíciosna utilização do Saas.
	
	
	
	
		Resposta Selecionada:
	 
Alta acessibilidade, integração facilitada e abordagem gradual de implementação.
	Resposta Correta:
	 
Alta acessibilidade, integração facilitada e abordagem gradual de implementação.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois, entre os benefícios na utilização do Saas, estão: alta acessibilidade, integração facilitada, abordagem gradual de implementação, baixos custos (uma vez que se pode utilizar licenças de acordo com a necessidade do negócio e pagar somente por elas), facilidade de realizar upgrades, integração simplificada, o sistema é mantido mesmo sem a capacitação dos funcionários da organização, poder aumentar ou reduzir o número de licenças de acordo com a necessidade do negócio e a implementação não depende ou depende pouco da equipe da TI, pois esta só atua na configuração.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Realizar auditoria está ligado à avaliação de mecanismos de controle que estão estabelecidos na organização, determinando se estes são compatíveis e culminam em suas estratégias, firmando mudanças necessárias para a obtenção de seus objetivos. Diante da afirmativa, analise as alternativas a seguir.
 
Assinale a alternativa correta, que contempla mecanismos de controle utilizados na auditoria.
	
	
	
	
		Resposta Selecionada:
	 
Prevenção, detecção, correção.
	Resposta Correta:
	 
Prevenção, detecção, correção.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois realizar auditoria está ligado à avaliação de mecanismos de controle que estão estabelecidos na organização, determinando se estes são compatíveis e culminam em suas estratégias, firmando mudanças necessárias para a obtenção de seus objetivos. Os mecanismos de controle utilizados para auditoria são prevenção, detecção, correção (caso ocorram eventos relacionados a acidentes).
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	Compliance em TI está ligado à determinação de normatizações e faz parte do departamento jurídico. Gestores de TI, em conjunto com o departamento jurídico, trabalham para garantir que tudo esteja conforme a lei e para determinar regras que garantam a correta utilização das ferramentas tecnológicas da empresa.
 
Assinale a alternativa que contempla ao menos dois benefícios que a empresa tenha de estar em conformidade.
	
	
	
	
		Resposta Selecionada:
	 
Geração de oportunidades de negócios e vantagem competitiva.
	Resposta Correta:
	 
Geração de oportunidades de negócios e vantagem competitiva.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois tem se tornado comum que organizações que tenham compliance implementado queiram relacionar-se somente com outras que também mantenham um programa efetivo de compliance. Pois, a existência deste passa a ser um critério para selecionar os parceiros, como, por exemplo, fornecedores e prestadores de serviços.
	
	
	
· Pergunta 7
0 em 1 pontos
	
	
	
	A governança de TI se materializa como um diferencial competitivo a partir do momento em que torna-se capaz de trazer novos resultados e aumentar as possibilidades da organização por meio da tecnologia, passando a ser mais competitiva. Dessa forma, as organizações passam a ter mais benefícios.
 
Assinale a alternativa correta, que contenha dois benefícios relacionados à governança de TI.
	
	
	
	
		Resposta Selecionada:
	 
Plano de contingência, desenvolvimento de infraestrutura, padronização de processos.
	Resposta Correta:
	 
Padronização de processos, estabelecimento de regras e priorização de demandas.
 
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois a governança de TI não tem como benefício o desenvolvimento de infraestrutura nem a análise de riscos. Também não se trata de benefício, por trabalhar com governança de TI o plano de contingência.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	O compliance e a governança corporativa estão relacionados e se completam, pois compliance é um dos aspectos em governança corporativa e a governança de TI direciona e controla o uso da TI, bem como direciona e avalia, dando suporte à empresa, incluindo estratégias e políticas de utilização.
 
Considerando o apresentado, analise as afirmativas a seguir.
 
I. Métodos e políticas internas que facilitam o planejamento, monitoramento e controle de atividades em TI. Cumprimento das normas externas, como, por exemplo, leis, regulamentos, decretos e instruções normativas.
II. Métodos e políticas internas que obedeçam a leis, regulamentos e decretos. Cumprimento a normas externas que facilitem o planejamento e controle de atividades em TI.
III. Cumprimento a normas externas, como, por exemplo, leis, regulamentos, decretos e instruções normativas. Métodos que são voltados para a computação em nuvem diminuem o trabalho das equipes e contribuem para a redução de custos.
IV. Cumprimento a normas externas que facilitem o planejamento e controle de atividades em TI. Métodos e políticas internas que facilitam o planejamento, monitoramento e controle de atividades em TI.
 
Está correto o que se afirma em:
	
	
	
	
		Resposta Selecionada:
	 
I, apenas.
	Resposta Correta:
	 
I, apenas.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois governança em TI trata-se de um conjunto de boas práticas adotadas por gestores, analistas, técnicos e usuários, cujo objetivo é melhorar a utilização da tecnologia dentro da empresa, reduzindo riscos, diminuindo custos e melhorando a forma de tomar decisões. O compliance trata-se de obedecer a normas externas, como leis, decretos, regulamentos e normas, ou seja, adequa-se a regulamentações externas.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	A Lei Anticorrupção aborda, de forma clara, a responsabilidade da empresa em relação aos conteúdos acessados pelos funcionários. Mesmo tendo sido implantada em algumas empresas, gestores ainda têm receio de que esses profissionais não façam uso dos próprios aparelhos de maneira segura e correta. Diante dos riscos, podem ser tomadas algumas medidas preventivas.
 
Assinale a alternativa correta em que essas medidas são abordadas.
	
	
	
	
		Resposta Selecionada:
	 
Assinatura de termos de responsabilidade e utilização de senhas.
	Resposta Correta:
	 
Assinatura de termos de responsabilidade e utilização de senhas.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois, diante dos riscos relacionados à segurança dos dados, sistemas e redes corporativas, é possível criar formas que colaborem com a inibição de atitudes maliciosas ou de equívocos decorrentes do desconhecimento. Assim, entre os recursos que podem ser utilizados estão: assinatura de termos de responsabilidade, backups dos dados, uso de senhas e bloqueio automático dos dispositivos.
	
	
	
· Pergunta 10
0 em 1 pontos
	
	
	
	Geralmente, para realizar investigação em ocorrências em ambientes de tecnologia da informação (TI), é importante que as evidências sejam apresentadas e isso se dá por meio de procedimento aprimorado, a fim de evitar que informações de grande importância sejam perdidas.
 
Assinale a alternativa correta, que contém as tarefas realizadas pela perícia forense computacional.
	
	
	
	
		Resposta Selecionada:
	 
Avaliação de mecanismos de controle que estão implantados em uma empresa ou organização, determinando se são adequados e cumprem com seus objetivos.
	Resposta Correta:
	 
Preservação das provas para que deem suporte aos processos, verificação de roubo ou furto de informações, verificação de propriedades intelectuais violadas.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, entre as tarefas pertinentes à perícia forense computacional, não estão capacitação de funcionários para que riscos sejam avaliados, assim como não são avaliados mecanismos de controle para que objetivos sejam cumpridos. Além de que a perícia forense computacional nãoserve para expor a empresa, mas, sim, para realizar análise de forma sigilosa sobre as evidências.
	
	
	
	Curso
	GRA0781 GOVERNANÇA E SEGURANÇA DA INFORMAÇÃO GR1533211 - 202110.ead-15146.01
	Teste
	20211 - PROVA N2 (A5)
	Iniciado
	06/04/21 20:20
	Enviado
	06/04/21 20:59
	Status
	Completada
	Resultado da tentativa
	8 em 10 pontos  
	Tempo decorrido
	39 minutos
	Instruções
	Caso necessite a utilização do "EXCEL" clique no link ao lado -----------> excel.xlsx
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	De acordo com a norma NBR ISO/IEC 27002, a gestão de ativos de uma empresa é primordial para a gestão de segurança da informação, pois caso o acesso ou a utilização seja realizada de forma errada, pode ocasionar prejuízos e, estes não são somente sob o ponto de vista da segurança de informação, mas também para o negócio em si.
 
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013 : Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.
 
Dentre os ativos citados pela norma, assinale a alternativa que corresponda como a Documentação de Sistema é classificada:
	
	
	
	
		Resposta Selecionada:
	 
ativo de informação.
 
 
	Resposta Correta:
	 
ativo de informação.
 
 
	Comentário da resposta:
	Resposta correta.A alternativa está correta, pois a Documentação de Sistema é classificada com um ativo de informação, segundo a norma NBR ISO/IEC 27002, pois trata-se de toda a especificação onde constam os conceitos de segurança do sistema e procedimentos a serem tomados para que tudo permaneça protegido.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Há um tipo de ataque que invalida por sobrecarga um determinado sistema, onde o ataque normalmente é feito por um computador mestre que tem controle de vários outros computadores zumbis. Desta forma, o ataque é distribuído entre as várias máquinas e as fazem acessar um determinado recurso ou servidor.
Analisando os tipos de ataques abaixo, podemos afirmar corretamente que o ataque distribuído de negação de serviço é:
	
	
	
	
		Resposta Selecionada:
	 
DDoS
	Resposta Correta:
	 
DDoS
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois um computador mestre utiliza vários computadores para manter um site em ataque. Assim, servidores e websites não tem como suportar tantas demandas de conexões e caem, redirecionando para o local onde serão roubadas as informações.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Segurança da informação trata-se de um conjunto de métodos adotados de maneira estratégica para gerenciar e prevenir riscos: de roubo, perdas e danos dos dados, sistemas, redes, servidores, assim como de dispositivos., ou seja, protege a informação de ameaças.
Assinale a alternativa que diz respeito ao objetivo de segurança da informação.
	
	
	
	
		Resposta Selecionada:
	 
Detectar, documentar e eliminar as ameaças digitais e não-digitais.
	Resposta Correta:
	 
Detectar, documentar e eliminar as ameaças digitais e não-digitais.
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois dentre as atividades realizadas na segurança da informação para a realização dos objetivos estão o estabelecimento de um conjunto de procedimentos executados de uma forma sincronizada que irá proteger ativos físicos e digitais ligados à informação. Onde deve-se detectar possíveis ameaças digitais e não-digitais, realizar a documentação das mesmas e, após documentar, eliminá-las.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Segurança da Informação é definida pelo ISACA como algo que tem como objetivo garantir que a informação seja protegida da divulgação a pessoas não autorizadas , de modificações inadequadas e de falta de acesso quando solicitado nas organizações.
Considere as alternativas abaixo e responda se são verdadeiras ou falsas.:
 
I. Segurança da Informação é definida pelo ISACA como algo que tem como objetivo garantir que a informação seja protegida da divulgação a pessoas não autorizadas está relacionado a confidencialidade.
II. Segurança da Informação é definida pelo ISACA como algo que tem como objetivo garantir que a informação seja protegida da divulgação a pessoas não autorizadas está relacionado a integridade.
III. Segurança da Informação é definida pelo ISACA como algo que tem como objetivo garantir que a informação seja protegida da divulgação a pessoas não autorizadas está relacionado à disponibilidade.
IV. Segurança da Informação é definida pelo ISACA como algo que tem como objetivo atuar em medidas paliativas de não-conformidade, tratar a situação pós-não-conformidade, com plano de ação e com treinamentos.
	
	
	
	
		Resposta Selecionada:
	 
I apenas
	Resposta Correta:
	 
I apenas
	Comentário da resposta:
	Resposta correta. A alternativa está correta, pois o  ISACA define segurança da informação como algo que dá garantia que a informação será protegida da divulgação em relação a pessoas não autorizadas, de modificações que não sejam apropriadas e de que elas estarão disponíveis para as organizações.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	Ao profissional da segurança da informação cabe a responsabilidade de supervisionar a área da segurança das informações e implementar corretamente políticas de controle de acessos, bem como tomar as medidas cabíveis para os casos de incidentes ocorrerem.
 
Analise as afirmações a seguir e assinale a alternativa correta.
 
1. O trabalho realizado pelo auditor deverá ser documentado para que se tenham evidências de tudo o que está escrito no relatório.
2. Quando o auditor encontra uma não conformidade, ele deve apresentar a solução que deverá ser utilizada para resolver a questão com base em sua opinião.
3. O cadastro de senhas não deve exigir um número mínimo de caracteres para que seja aceitável para a segurança da informação.
4. O auditor deve realizar a análise da eficiência de processos, primar pela segurança dos dados e manter o cumprimento de leis.
 
Assinale a alternativa correta.
 
	
	
	
	
		Resposta Selecionada:
	 
II, III e IV, apenas.
	Resposta Correta:
	 
I e IV, apenas.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois, quando o auditor encontra uma não conformidade, ele deve disponibilizá-la em seu relatório, baseando-se em normas e não em opiniões pessoais. O número de caracteres em senhas é importante para que se mantenha a segurança da informação nas empresas. Por esse motivo, frequentemente ao criarmos senhas para cadastros, são solicitados caracteres especiais ou, ainda, um número mínimo de caracteres, visando dificultar que elas sejam descobertas.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	A NBR ISO/IEC 27002 diz que as empresas não devem aceitar que ocorram interrupções das atividades do negócio e devem defender os processos críticos contra problemas causados por falhas ou desastres significativos, assegurando sua retomada em tempo hábil.
 
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 27002 : Tecnologia da informação: técnicas de segurança: Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. Disponível em: http://www.fieb.org.br/download/senai/NBR_ISO_27002.pdf . Acesso em: 09 fev. 2020.
 
Assinale a alternativa correta em que a NBR ISO/IEC 27002 referencia o tipo de ação de segurança.
 
	
	
	
	
		Resposta Selecionada:
	 
Gestão da continuidade do negócio.
	Resposta Correta:
	 
Gestão da continuidade do negócio.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois a gestão de continuidade do negócio engloba ações que se referem aos requisitos estratégicos relacionados às atividades, às pessoas, aos processos e à infraestrutura da organização. A continuidade dos negócios é assegurada por meio de um plano de gerenciamento de negócios.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	A auditoria de sistemas é uma atividade independente,que tem como objetivo gerenciar o risco operacional existente e avaliar a adequação das tecnologias e dos sistemas de informação utilizados na empresa. Ela deve ser baseada em confiança e nos controles internos e verificar se os controles internos existem e se estão corretamente implementados.
 
Assinale a alternativa correta que condiz com as atividades executadas na auditoria.
 
	
	
	
	
		Resposta Selecionada:
	 
Revisa e avalia controles, desenvolvimento de softwares, procedimentos de tecnologia de informação, infraestrutura, operação, desempenho e segurança da informação.
	Resposta Correta:
	 
Revisa e avalia controles, desenvolvimento de softwares, procedimentos de tecnologia de informação, infraestrutura, operação, desempenho e segurança da informação.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois o processo de auditoria faz a revisão e a avaliação de controles internos, de desenvolvimento de softwares, de procedimentos de tecnologia de informação (TI), bem como a revisão e avaliação da infraestrutura, da operação, do desempenho e da segurança da informação, verificando se existem os controles internos para cada um deles e se estes estão implementados de maneira correta.
	
	
	
· Pergunta 8
1 em 1 pontos
	
	
	
	Compliance em TI é o processo que busca atender aos requisitos de terceiros para segurança digital. Tem como objetivo principal viabilizar operações comerciais em um mercado específico ou com um cliente específico. Enquanto a segurança é a prática que visa implementar controles técnicos eficazes para proteger ativos digitais (informações e dados).
 
Assinale a alternativa correta, que diz respeito aos conceitos de segurança.
	
	
	
	
		Resposta Selecionada:
	 
Estimulada pela necessidade de proteção aos ativos e deve ser continuamente melhorada.
	Resposta Correta:
	 
Estimulada pela necessidade de proteção aos ativos e deve ser continuamente melhorada.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois, entre as características e conceitos de segurança da informação em TI, estão a execução de diligência  e o cuidado em proteger a confidencialidade, integridade e disponibilidade de ativos, mediante a adoção de um programa que implemente controles físicos, técnicos e administrativos.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	Auditoria de Sistemas de TI trata-se de uma atividade independente, que tem a finalidade de gerenciar riscos operacionais envolvidos e estimar a adequação de tecnologias e sistemas de informação aplicados na organização, por meio de revisão e avaliação dos controles.
 
Verifique as afirmativas a seguir.
 
1. Tem como base segurança e controles internos.
2. Tem como objetivo verificar se os controles internos estão implementados corretamente e se têm a efetividade comprovada.
3. Realiza verificação em operações, sistemas, processos e responsabilidades gerenciais de organizações.
4. Desenvolve e administra as métricas e indicadores referentes à área de operações de segurança.
 
Assinale a alternativa correta.
 
	
	
	
	
		Resposta Selecionada:
	 
I, II e IV, apenas.
	Resposta Correta:
	 
I, II e III, apenas.
	Comentário da resposta:
	Sua resposta está incorreta. A alternativa está incorreta, pois a criação e a administração de métricas e indicadores no que se referem à área de operações de segurança estão atreladas à gestão da segurança da informação e não se trata de uma atribuição da auditoria de sistemas.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Hoje em dia, o computador está inserido em grande parte da população, nas casas das pessoas ou nos escritórios onde trabalham. Além disso, a utilização da internet, seja por meio de computadores ou de dispositivos móveis, tem crescido consideravelmente e disseminado cada vez mais informações aos usuários. A partir disso, os crimes virtuais também têm ocorrido com maior facilidade e em diversos setores.
 
Assinale a alternativa que contenha evidências que podem ser consideradas para crimes virtuais.
	
	
	
	
		Resposta Selecionada:
	 
Periféricos, câmeras digitais, campos magnéticos.
	Resposta Correta:
	 
Periféricos, câmeras digitais, campos magnéticos.
	Comentário da resposta:
	Sua resposta está correta. A alternativa está correta, pois as evidências podem ser encontradas tanto por meios físicos quanto por meios digitais. Abrangem os meios físicos os computadores, dispositivos móveis, pen drives, CDs, DVDs, cartões de memória, câmeras digitais, celulares, entre outros. Entre os meios digitais, podem-se citar campos magnéticos, campos elétricos e pulsos eletrônicos, os quais podem ser analisados a partir de técnicas e ferramentas específicas.