Prévia do material em texto
11/08/2019 AVA UNIVIRTUS 1/13 1. Curso: CST ANÁLISE E DESENVOLVIMENTO DE SISTEMAS Segurança em Sistemas de Informação Roteiro de Estudo Avaliações Tutoria Fórum Trabalhos Chat Rádio Web Avisos 1. Avaliação 2. novo Nota: 80 Disciplina(s): Segurança em Sistemas de Informação Data de início: 23/07/2019 15:27 Prazo máximo entrega: 23/07/2019 16:27 Data de entrega: 23/07/2019 15:39 Atenção. Este gabarito é para uso exclusivo do aluno e não deve ser publicado ou compartilhado em redes sociais ou grupo de mensagens. O seu compartilhamento infringe as políticas do Centro Universitário UNINTER e poderá implicar sanções disciplinares, com possibilidade de desligamento do quadro de alunos do Centro Universitário, bem como responder ações judiciais no âmbito cível e criminal. Questão 1/12 - Segurança em Sistemas de Informação A gestão de configuração (ou Configuration Management) e a gestão de mudanças (ou change management ) são partes do processo da qualidade de software baseado em padrões que tem por objetivo manter o controle 11/08/2019 AVA UNIVIRTUS 2/13 e a confiabilidade do software. Sobre estes processos é correto afirmar que: Nota: 10.0 A A gestão de configuração limita-se à utilização de software que possibilite a rastreabilidade das alterações e ao controle de versão do sistema. B Não faz parte do escopo de atividades da gestão de configuração o acompanhamento das mudanças, seja do ambiente, seja do próprio sistema, uma vez que isso compete a gestão de mudanças. C Diferentemente da gestão de configuração, a gestão de mudanças é suportada por ferramentas de automação para o uso adequado e aderente aos padrões, como o IEEE 828-1983, a ISO 9000 e o CMMI, do SEI. D A gestão de configuração é um processo que tem por finalidade reduzir o impacto das alterações e evoluções do software, uma vez que é sabido que estas intervenções tendem a gerar problemas, falhas e interrupções. E A gestão de configuração e a gestão de mudança fazem parte do framework ITIL, e tem importância significativa na segurança da informação e dos sistemas, uma vez que atuam para a prevenção de falhas e na manutenção da qualidade do software. Você acertou! Conteúdo apresentado nos temas “Software para Dispositivos Móveis” e “Internet das Coisas” da Aula 06, páginas de 12 a 20 da Rota de Aprendizagem. Questão 2/12 - Segurança em Sistemas de Informação A legislação brasileira aplicada à área de segurança da informação tem como base a Constituição de 1988. O Título II, Capítulo I, Artigo 5º (Casa Civil, 2016) trata do assunto em seus incisos, de maneira ampla e geral. Já a legislação específica tem sido objeto de constante evolução, tendo como maior destaque nos últimos tempos a aplicação de regulamentos legais ao uso da Internet. Decorrente da violação do direito constitucional à privacidade e ao direito de imagem, foi aprovada em tempo recorde a seguinte legislação: Nota: 10.0 A MP (medida provisória) 2.200-2/2001, que instituiu a ICP-Brasil (Infraestrutura de Chaves Públicas), iniciando o uso da certificação digital e assinatura eletrônica de documentos. 11/08/2019 AVA UNIVIRTUS 3/13 B MP 2.026-7, que instituiu a modalidade de compras por meio de pregão eletrônico. C Lei 9.609/98, denominada “Lei do Software”, que dispõe sobre a proteção de propriedade intelectual de programa de computador, sua comercialização no país, etc. D Lei 12.737/12, conhecida como “Lei Carolina Dieckmann” devido ao vazamento de fotos íntimas da atriz de mesmo nome na internet. Você acertou! Conteúdo apresentado em tema da aula "A Organização da Segurança da Informação", Aula 2, páginas 5, 6 e 7 da Rota de Aprendizagem (versão impressa). E Lei nº 12.965/14, o Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Questão 3/12 - Segurança em Sistemas de Informação Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas. Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para as finanças, decorrente de problemas financeiros causados à economia mundial devido a fraudes contábeis, e que, portanto, não tem nenhum impacto na segurança da informação e dos sistemas. II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, sem impacto nos demais países. III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: Nota: 10.0 A Somente as afirmações I e III são corretas. 11/08/2019 AVA UNIVIRTUS 4/13 B Somente as afirmações II e IV são corretas. C Somente as afirmações III e IV são corretas. Você acertou! Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). D Somente as afirmações I e IV são corretas. E Todas as afirmações são corretas. Questão 4/12 - Segurança em Sistemas de Informação A análise de impacto nos negócios ou BIA – Business Impact Analysis é uma ferramenta essencial para a gestão da continuidade dos negócios. O propósito da BIA é o conhecimento dos processos de negócio e a avaliação dos mesmos quanto as possibilidades de incidentes que possam interrompê-los. No que se refere à BIA é correto afirmar que: Nota: 10.0 A A análise de riscos, para a BIA, é necessária para identificar todas as ameaças às quais os sistemas e as informações estão sujeitas e que demandam um tratamento preventivo. B Os dois insumos básicos da BIA são os relatórios de BCP – Business Continuity Plan e a análise de riscos. C As perdas ou interrupções da capacidade produtiva da organização são avaliadas por meio de atividades do BPM – Business Process Management ou gerenciamento dos processos de negócio D A BIA é apoiada nas normas ISO/IEC 27005 e ISO/IEC 22301 e visa principalmente manter a confidencialidade da informação. E Riscos de negócios, para a BIA, referem-se à possibilidade de perda de recursos requeridos para a entrega de produtos e serviços, como por exemplo pessoal, instalações, equipamentos, fornecedores e 11/08/2019 AVA UNIVIRTUS 5/13 tecnologia. Você acertou! Conteúdo apresentado no tema 2 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 6, 5 e 7 da Rota de Aprendizagem (versão impressa). Questão 5/12 - Segurança em Sistemas de Informação A norma ABNT NBR ISO/IEC 27002:2103 define informação como sendo um ativo – isto é, bem, patrimônio – da organização, de grande importância e valor, e que por isso necessitade proteção adequada. Para isso, deve-se considerar a informação em suas diversas formas e nos diversos meios utilizados para obter, armazenar, transportar e modificar a informação. Avalie as afirmações a seguir quanto à abrangência, classificação e proteção da informação: ( ) O valor da informação é restrito ao que se pode representar com palavras escritas, números e imagens. ( ) Conhecimentos, conceito, ideias e marcas são exemplos de formas intangíveis da informação. ( ) Em um mundo interconectado como o atual somente os sistemas e as redes têm valor para o negócio da organização, necessitando, portanto, de proteção. ( ) A necessidade de classificar a informação decorre da existência de uma grande diversidade de informações no ambiente pessoal e no ambiente corporativo, o que torna inviável a proteção total de todas essas informações. Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as verdadeiras) as afirmativas, de acordo com o conteúdo apresentado na disciplina: Nota: 10.0 A V-F-F-V B F-V-V-F C F-V-F-V Você acertou! Conteúdo apresentado no tema Fundamentos de Segurança da Informação, Aula 1, página 4 da Rota de Aprendizagem (versão impressa). D F-V-V-V E V-V-V-F 11/08/2019 AVA UNIVIRTUS 6/13 Questão 6/12 - Segurança em Sistemas de Informação Os sistemas operacionais para ambientes de computação móvel são especialmente importantes para a segurança da informação nestes ambientes, uma vez que são profundamente adaptados aos recursos computacionais e à infraestrutura de serviços e funcionalidades específicas do ambiente e dos equipamentos. Quanto a estes ambientes, é correto afirmar que: Nota: 0.0 A O Windows Phone, apesar dos avanços, ainda apresenta problemas como a autenticação do usuário, as permissões requeridas pelas aplicações e o tratamento de informações entre aplicações multitarefas. B A arquitetura do iOS apresenta características diferenciadas de segurança, que provê APIs de segurança na camada Core Services e a evolução dos security services. Conteúdo apresentado no tema Aspectos práticos da Segurança da Informação e de Sistemas, da Aula 4, páginas 6 e 7 da Rota de Aprendizagem (versão impressa). C O Google Android é um sistema operacional de código parcialmente aberto, pois algumas de suas interfaces são proprietárias, além de ter sido o primeiro SO para sistemas de computação móvel com interface gráfica, o que traz problemas para a segurança da informação. D A arquitetura específica do Android dificultou os ataques por algum tempo, porém este sistema operacional do consórcio entre as fabricantes Nokia, Sony Ericsson e a operadora NTT DoCoMo acabou sendo vítima do primeiro ataque por um worm – o Cabir – registrado em 2004. E Todos os sistemas operacionais dos dispositivos móveis são confiáveis e seguros, pois tem uma arquitetura robusta desenvolvida com base no sistema operacional Unix, exceto o Android. Questão 7/12 - Segurança em Sistemas de Informação Uma abordagem bastante efetiva no sentido de prover a segurança da informação é a que adota os mecanismos de segurança desde o início do processo de desenvolvimento do software. O quão mais cedo neste processo se pensar em riscos, ameaças e formas de proteger a informação, mais efetivas e abrangentes tornam-se as medidas, além de aumentarem as opções quanto à estratégias e mecanismos de segurança a serem adotados, métodos, técnicas e ferramentas auxiliares e disponíveis para o processo de desenvolvimento e a redução do custo para a implementação da segurança. Quanto à segurança no processo de desenvolvimento de software, analise as seguintes afirmações: I – A segurança da informação somente pode ser garantida pelos procedimentos de teste de software, os quais são geralmente enfatizados pelas organizações devido à sua importância, agilidade e baixo custo. 11/08/2019 AVA UNIVIRTUS 7/13 II – O uso de técnicas e métodos que estabelecem uma abordagem precoce das questões de segurança do software é uma prática comum, o que tem elevado continuamente o padrão de segurança da informação e dos sistemas. III – Um dos efeitos da negligencia quanto ao teste de software é a identificação de faltas, erros e vulnerabilidades tardiamente, quando a correção ou eliminação tornam-se muito dispendiosas ou inviáveis. IV – O padrão internacional para o desenvolvimento de software seguro, contemplando a segurança do software, a segurança do ambiente de desenvolvimento e a garantia de segurança do software desenvolvido é estabelecido pela norma ISO/IEC 15.408. Assinale a única alternativa que confere com o conteúdo que foi apresentado e com a sua análise: Nota: 10.0 A Somente as afirmações I, II e III são corretas. B Somente as afirmações I, II e IV são corretas. C Somente as afirmações II, III e IV são corretas. D Somente as afirmações III e IV são corretas. Você acertou! Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 3, páginas de 17 a 20 da Rota de Aprendizagem (versão impressa). E Todas as afirmações são corretas. Questão 8/12 - Segurança em Sistemas de Informação Uma análise interessante sobre a manutenção do software foi a proposta por Meir Lehman. Ele nasceu na Alemanha e mudou para a Inglaterra na década de 30, onde trabalhou na IBM entre 1964 e 1972. Em 1974 publicou o texto conhecido como as “Leis de Lehman” sobre evolução de software. São afirmações pertinentes à essas “leis”: I - Os sistemas evoluem e a mudança é contínua, por isso a manutenção é inexorável. Os cenários mudam, os requisitos mudam e por isso o sistema precisa ser alterado. E uma vez alterado, o sistema também altera o ambiente ao qual pertence. II - A complexidade dos sistemas aumenta à medida em que evolui ou sofre mudanças, o que faz com que sua estrutura também sofra uma evolução e melhore cada vez mais. III - Um sistema abrangente gera um meio ambiente próprio que tende à auto regulação, e isso reflete-se nos seus atributos, como tamanho, taxa de erros e tempo para novas versões; 11/08/2019 AVA UNIVIRTUS 8/13 IV - Durante o ciclo de vida de um software sua taxa de manutenção é crescente, exigindo um aumento contínuo dos recursos e do pessoal envolvido. V - À medida em que o software passa por manutenções, evolução e incrementos, aumenta também a sua qualidade, já que as falhas são corrigidas e o sistema evolui de maneira quase constante. Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em aula: Nota: 10.0 A Somente as afirmações I e II são corretas. B Somente as afirmações I, II e V são corretas. C Somente as afirmações I e III são corretas. Você acertou! Conteúdo apresentado no tema “Operação e Manutenção” da Aula 06, páginas de 9 a 11 da Rota de Aprendizagem. D Somente as afirmações II, IV e V são corretas. E Todas as afirmações são corretas. Questão 9/12 - Segurança em Sistemas de Informação A GCN - Gestão da Continuidade dos Negócios é um processo diretamente relacionado com a segurança da informação e dos sistemas. Seu objetivo é evitar a interrupção ou reduzir a interferência dos incidentes nos processos críticos e nas informações vitais para a preservação da organização e de seus negócios. Para isso, a GCN contempla os seguintes aspectos: I - Resposta a incidentes. II - A gestão de crises. III – Análise de Sistemas. IV – Desenvolvimento e Testes. Avalie as afirmações e selecione a única alternativa a seguir que confere com o conteúdo apresentado em aula: Nota: 0.0 11/08/2019 AVA UNIVIRTUS 9/13 A Somente as afirmações I e II são corretas. Conteúdo apresentado no tema 1 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, página 3 da Rota de Aprendizagem. B Somente as afirmações I, II e III são corretas. C Somenteas afirmações I, II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 10/12 - Segurança em Sistemas de Informação Marcos regulatórios são leis e acordos internacionais que governam e servem de base para a definição e a aplicação das práticas de segurança da informação e de sistemas. Isso também implica em um aspecto de grande importância: a legalidade dessas medidas. Essa questão é de tamanha importância que alguns autores chegam mesmo a considerar a legalidade como um dos pilares da segurança da informação e dos sistemas. Com relação aos marcos regulatórios de maior abrangência ou impacto pode-se considerar que: I – A SOX (Sarbanes Oxley), promulgada em 2002 pelo Senado dos Estados Unidos, é uma lei voltada para a gestão financeira, transparência e publicidade dos dados contábeis.É consequência de prejuízos causados a investidores por meio de fraudes contábeis, resultando em impacto na segurança da informação e dos sistemas por todo o mundo. II – O HIPAA (Health Insurance Portability and Accountability Act ou Lei de Portabilidade e Responsabilidade de Seguros de Saúde), que estabelece regras para a proteção das informações de usuários de planos de saúde nos Estados Unidos, tem reflexo direto no tratamento da segurança das informações dos usuários desse segmento. III – O IFRS (International Financial Reporting Standards ou Padrão Internacional para Relatórios Financeiros) é um conjunto de recomendações do IASB (International Accounting Standards Board ou Comitê Internacional de Padrões Contábeis) que estabelece padrões para o tratamento e publicação de informações financeiras e contábeis, adotado principalmente por bancos, financeiras, seguradoras e agentes do mercado financeiro. IV - Os acordos de Basiléia são parte do complexo mecanismo de auto-regulamentação dos bancos centrais de diversos países, e estabelecem princípios de governança, transparência e auditoria, com impacto direto na segurança da informação e de sistemas. Assinale a única alternativa que confere com o material e com o que foi apresentado na aula: Nota: 10.0 11/08/2019 AVA UNIVIRTUS 10/13 A Somente as afirmações I, II e III são corretas. B Somente as afirmações I, II e IV são corretas. C Somente as afirmações I, III e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Você acertou! Conteúdo apresentado no tema A Organização da Segurança da Informação, Aula 2, páginas 5 e 6 da Rota de Aprendizagem (versão impressa). Questão 11/12 - Segurança em Sistemas de Informação (questão opcional) A recuperação de desastres é o conjunto de procedimentos que, após um incidente, visa restabelecer a normalidade da operação da organização no menor espaço de tempo possível e minimizando os danos. A regra é retomar a normalidade o quanto antes e com o menor prejuízo possível. Com relação ao DRP – Disaster Recovery Plan, pode-se afirmar que: I – Para a área de TI, o DRP compreende o desenho das atividades do planejamento e a recuperação do ambiente e da infraestrutura de tecnologia da informação. II – A política de segurança da informação e a BIA – Business Impact Analysis são documentos necessários para elaboração do DRP. III – O DRP faz parte do conjunto de medidas preventivas para enfrentar as ameaças e preservar a segurança das informações e dos sistemas. IV – Faz parte do DRP a decisão sobre a caracterização da gravidade do incidente e a ativação do regime de operação em contingência. Avalie as alternativas a seguir e selecione a única que está de acordo com o conteúdo apresentado em aula: Nota: 0.0 A Somente as afirmações I e II são corretas. Conteúdo apresentado no tema 5 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 12, 13 e 14 da Rota de Aprendizagem. 11/08/2019 AVA UNIVIRTUS 11/13 B Somente as afirmações I e III são corretas. C Somente as afirmações II e IV são corretas. D Somente as afirmações II, III e IV são corretas. E Todas as afirmações são corretas. Questão 12/12 - Segurança em Sistemas de Informação (questão opcional) O Plano de Continuidade dos Negócios - PCN ou BCP - Business Continuity Plan é um documento ou conjunto de documentos que estabelece as estratégias e planos de ação para o enfrentamento de situações de emergência que afetem a operação normal da organização. Do ponto de vista da segurança da informação e dos sistemas o PCN aborda os sistemas críticos e seus componentes, além dos processos de negócio dos quais fazem parte. Com relação ao PCN é correto afirmar que: Nota: 0.0 A O objetivo do PCN é a prevenção, isto é, assegurar a continuidade das operações da organização, mitigando os riscos e prevenindo a ocorrência de um incidente. B A elaboração e atualização do PCN é atribuição exclusiva da área de Tecnologia da Informação, devido a seu conhecimento dos processos críticos do negócio. C O procedimento operacional de contingência do Plano de Continuidade dos Negócios – PCN, ou BCP - Business Continuity Plan, é ativado para mitigar os riscos e assim evitar a ocorrência de incidentes. D A elaboração do PCN inicia-se com a análise dos riscos e a análise do impacto nos negócios, e avança com a definição de estratégias de abordagem e elaboração dos planos de ação. Conteúdo apresentado no tema 3 da Aula 05, “Segurança da Informação e Sistemas e a continuidade dos negócios”, páginas 7, 8 e 9 da Rota de Aprendizagem. E É um padrão do PCN estabelecer que sempre será ativado o procedimento operacional de contingência e declarada a situação de crise quando ocorrer um incidente de segurança da informação. 11/08/2019 AVA UNIVIRTUS 12/13 Orientações para realização da avaliação. Dicas da coordenação: Tempo máximo: 0 Deseja iniciar a prova agora? NÃO SIM, quero iniciar Para realizar essa avaliação é necessário estar no polo e o tutor deve autorizar o início. Caso você esteja no polo, chame o tutor para autorizar o início da avaliação. RU Senha 11/08/2019 AVA UNIVIRTUS 13/13 UNINTER carregando...