A maior rede de estudos do Brasil

Grátis
10 pág.
SEG_E_AUDIT_SIST_EAD_EXERCÍCIOS_4_UNIDADE_4_E_GABARITO

Pré-visualização | Página 1 de 3

1 
 
 
UNIVERSIDADE SALGADO DE OLIVEIRA 
 
 
 
 
 
Professor Celso Cardoso Neto 
celsocn17@gmail.com 
1-1 
mailto:celsocn@oi.com.br
 
 2 
UNIDADE 4 – POLÍTICA DE SEGURANÇA 
I - MARQUE COM UM X A RESPOSTA CORRETA 
1. A figura abaixo ilustra o ciclo PDCA, relacionado à implementação de política de 
segurança nas organizações. 
 
 
Os identificadores I, II, III e IV são denominados: 
( ) , , e 
( ) , , e 
( ) , , e 
( ) , , e 
( ) , , e 
 
2. No que diz respeito às recomendações do Comitê de Padrões da Associação de 
Controle e Auditoria de Tecnologia de Informação dos Estados Unidos, no que tange 
aos trabalhos do auditor de TI, assinale V para a afirmativa verdadeira e F para a falsa. 
( ) A responsabilidade, a autoridade e a prestação de contas sobre a função de 
auditor de tecnologia de informação devem ser apropriadamente 
documentadas numa carta proposta ou de aderência ao escopo. 
( ) Em todas as questões relativas a auditoria, o auditor de TI deve ser 
independente, seja em atitude ou aparência. No relacionamento 
organizacional a função de auditor de tecnologia de informação deve ser 
suficientemente independente da área sob auditoria para permitir uma 
conclusão objetiva da auditoria. 
( ) Para o desenvolvimento de suas atividades, não há necessidade do auditor 
de TI aderir ao código de ética profissional da Associação de Controle e 
Auditoria de Tecnologia de Informação. 
( ) O planejamento das atividades para direcionar os objetivos da auditoria e 
seguir os padrões profissionais de auditoria é dispensável entre as 
atribuições do auditor de TI. 
 
As afirmativas são, respectivamente, 
( ) V, V, F e F ( ) V, F, F e F ( ) F, V, V e V 
( ) V, F, V e F ( ) V, F, F e V 
 
 3 
3. No contexto da Política de Segurança, em particular aos Planos de Segurança, 
relacione a coluna TIPO com a coluna FOCO. 
a) TIPO: 
(I) Plano de Contingência 
(II) Plano de Continuidade de Negócios 
(III) Plano de Recuperação de Desastres 
 
b) FOCO: 
( ) Em ativos de TI e sinistros com efeitos de longo prazo. 
( ) Em interrupções nos sistemas de TI com efeitos de curto prazo. 
( ) Em processos de negócio: questões relacionadas aos ativos de TI 
somente abordadas no que se refere à sua importância para os processos 
críticos do negócio. 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, III e II ( ) II, I e III ( ) II, III e I 
( ) III, I e II ( ) III, II e I 
 
4. De acordo com o Modelo de Planejamento e Desenvolvimento do Plano de 
Continuidade de Negócios (PCN), uma etapa trata das atividades relacionadas à 
avaliação e controle de riscos, que definem os possíveis e prováveis cenários que 
fazem parte do ambiente corporativo e que podem afetar a organização tanto com 
interrupções quanto com desastres. Nesta etapa serão determinados quais os 
possíveis danos relacionados a cada evento e quais as medidas necessárias para 
prevenir e reduzir os efeitos de uma potencial perda. É possível incluir nesta etapa 
uma análise de ROI - Return of lnvestment - para facilitar a justificativa dos custos 
no controle de redução de riscos. Essa etapa é denominada 
( ) AVALIAÇAO E CONTROLE DOS RISCOS 
( ) INÍCIO E ADMINISTRAÇÃO DO PROJETO 
( ) DESENVOLVIMENTO E IMPLEMENTAÇÃO DO PCN 
( ) IMPLEMENTAÇÃO DOS PROGRAMAS DE TREINAMENTO 
( ) DESENVOLVIMENTO DE ESTRATÉGIAS DE CONTINUIDADE DE NEGÓCIOS 
 
 
 
 4 
5. Planos de Contingência são desenvolvidos para cada ameaça considerada em 
cada um dos processos do negócio pertencentes ao escopo, definindo em detalhes 
os procedimentos a serem executados em estado de contingência. Nesse contexto, 
relacione a coluna ESTRATÉGIA DE CONTINGÊNCIA com a coluna DESCRIÇÃO. 
a) ESTRATÉGICA DE CONTINGÊNCIA: 
(I) HOT-SITE 
(II) COLD-SITE 
(III) WARM-SITE 
(IV) BUREAU DE SERVIÇOS 
(V) ACORDO DE RECIPROCIDADE 
(VI) REALOCAÇÃO DE OPERAÇÃO 
 
b) DESCRIÇÃO: 
 
( ) Estratégia conveniente para atividades que demandariam investimentos 
de contingência inviáveis ou incompatíveis com a importância da 
mesma, esta estratégia propõe a aproximação e um acordo formal com 
empresas que mantêm características físicas, tecnológicas ou humanas 
semelhantes à sua, e que estejam igualmente dispostas a possuir uma 
alternativa de continuidade operacional. 
( ) Estratégia considera a possibilidade de transferir operacionalização da 
atividade atingida para um ambiente terceirizado, fora dos domínios da 
empresa. 
( ) Estratégia "quente" ou pronta para entrar em operação assim que uma 
situação de risco ocorrer. O tempo de operacionalização desta 
estratégia está diretamente ligado ao tempo de tolerância a falhas do 
objeto. 
( ) Estratégia que se aplica a objetos com maior tolerância à paralisação, 
podendo se sujeitar à indisponibilidade por mais tempo, até o retorno 
operacional da atividade. Por exemplo, o serviço de e-mail dependente 
de uma conexão de comunicação. 
( ) Estratégia objetiva desviar a atividade atingida pelo evento que provocou 
a quebra de segurança, para outro ambiente físico, equipamento ou link, 
pertencentes à mesma empresa. Só é possível com a existência de 
"folgas" de recursos que podem ser alotados em situações de crise. 
( ) Estratégia propõe uma alternativa de contingência a partir de um 
ambiente com os recursos mínimos de infraestrutura e 
telecomunicações, desprovido de recursos de processamento de dados. 
É aplicável a situações com tolerância de indisponibilidade ainda maior. 
 
 
Assinale a alternativa que mostra a sequência correta, de cima para baixo. 
( ) I, III, VI, II, V e IV ( ) III, VI, II, V, IV e I 
( ) IV, I, III, VI, II e V ( ) V, IV, I, III, VI e II 
( ) VI, II, V, IV, I e III 
 
 
 
 5 
6. Entre as Normas da ISO/IEC 27000, uma define os requisitos para um Sistema de 
Gestão da Segurança da Informação (SGSI), sendo a principal norma que uma 
organização deve utilizar como base para obter a certificação empresarial em 
gestão da segurança da informação. Por isso, é conhecida como a única norma 
internacional que pode ser auditada e que define os requisitos para um Sistema de 
Gestão de Segurança da Informação (SGSI). 
 
Essa Norma é conhecida por 
( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 
( ) ISO/IEC 27004 ( ) ISO/IEC 27005 
 
7. Entre as Normas da ISO/IEC 27000, uma representa um código de boas práticas 
com um conjunto completo de controles que auxiliam na aplicação do Sistema de 
Gestão da Segurança da Informação. Essa Norma é conhecida por 
 ( ) ISO/IEC 27001 ( ) ISO/IEC 27002 ( ) ISO/IEC 27003 
( ) ISO/IEC 27004 ( ) ISO/IEC 27005 
 
8. Na atualidade a segurança dos ativos de uma empresa é uma das atividades que 
mais chamam a atenção e que preocupam os administradores de rede. No que diz 
respeito aos sistemas operacionais uma palavra é assim definida: 
• uma técnica de blindagem de sistemas que envolve um processo de 
mapeamento das ameaças, mitigação dos riscos e execução das atividades 
corretivas com foco na infraestrutura. Seu objetivo principal é tornar o sistema 
preparado para enfrentar tentativas de ataque. 
• É traduzida como endurecimento. Alguns autores utilizam blindagem e se refere 
a ajustes finos efetuados no sistema após uma instalação. 
• O conceito caracteriza-se por medidas e ações que visam proteger um 
determinado sistema de invasores. 
• Representa um processo de proteger um sistema contra ameaças 
desconhecidas. Os administradores de sistema devem endurecer uma 
instalação contra o que eles acham que poderia ser uma ameaça. 
Essa palavra é conhecida por 
( ) Hardening ( ) Deepening ( ) Shapening 
( ) Weakening ( ) Awakening 
 
9. Na atualidade a segurança dos ativos de uma empresa

Crie agora seu perfil grátis para visualizar sem restrições.