Prévia do material em texto

Acadêmico: Rubens Zambolin dos Santos (2460900)
Disciplina: Segurança em Tecnologia da Informação (GTI08)
Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
Prova: 18410536
Nota da Prova: 9,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de
determinar se algo funcionou, primeiramente será preciso definir como se esperava que
funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia
todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define
suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você
compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo
funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança
da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC
17799. Sobre o exposto, analise as sentenças a seguir:
I- O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela
Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do
projeto de Segurança da Informação.
II- A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo
passaram a investir muito mais em segurança da informação, muitas vezes sem orientação.
Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de
segurança da informação.
III- A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a
adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre
os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
IV- Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar
algumas características para ser aprovada pelos colaboradores, divulgada e publicada de
forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro:
LTC, 2014.
 a) As sentenças I, II e III estão corretas.
 b) As sentenças II e IV estão corretas.
 c) As sentenças I e IV estão corretas.
 d) Somente a sentença III está correta.
2. Dentro do ciclo de vida das informações de uma organização, a etapa do descarte pode
representar um risco para os objetivos de segurança quando não são observados os devidos
cuidados. Neste contexto, analise as sentenças a seguir:
I- Deve-se tomar cuidado especial com o descarte de equipamentos de hardware, pois estes
podem conter informações valiosas que não foram devidamente apagadas de seus
dispositivos de armazenamento.
II- Informações armazenadas em meio analógico (documentos em papel, atas de reuniões,
contratos etc.) devem seguir critérios rígidos de destruição segura para evitar a recuperação
de informações confidenciais.
III- A simples exclusão de informações confidenciais de um microcomputador cumpre
totalmente o objetivo de confidencialidade, uma vez que essas informações não podem ser
recuperadas através do uso de utilitários de recuperação de dados.
IV- O descarte de informações não precisa atentar para a questão da legalidade, uma vez
que os objetivos de confidencialidade, integridade e disponibilidade têm prioridade sobre os
demais.
Agora, assinale a alternativa CORRETA:
 a) As sentenças III e IV estão corretas.
 b) As sentenças I e II estão corretas.
 c) As sentenças I, II e IV estão corretas.
 d) As sentenças I, II e III estão corretas.
3. O controle de auditoria organizacional possui a finalidade de garantir que todos os dados e as
informações referentes ao fluxo e às transações financeiras da organização estejam em
plena segurança. O controle organizacional possui a configuração específica para cada
atividade que precisa ser realizada através de ferramentas e sistemas de informação. Todos
os processos de alteração ou inclusão de dados ficam registrados neste controle, o que
permite que os gestores tenham total controle das economias da organização. Sobre as
responsabilidades dos controles organizacionais, classifique V para as opções verdadeiras e
F para as falsas:
( ) Planejamento, aquisição e restruturação dos sistemas de informação seguras.
( ) Responsabilidades operacionais delineadas conforme políticas de segurança.
( ) Manutenção realizada de forma planejada, com controle de documentação e versões do
sistema.
( ) Desenvolvimento e implementação de políticas de segurança e capacitação dos
usuários.
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F - V.
 b) F - F - V - F.
 c) F - V - V - F.
 d) F - V - F - V.
4. A auditoria de sistemas de informação é conhecida por sua abordagem diferenciada com
relação à auditoria tradicional. As abordagens mais comuns são dependentes da sofisticação
do sistema computadorizado e se classificam em abordagem ao redor do computador,
através do computador e com o computador. Com relação às abordagens utilizadas pela
auditoria de sistemas de informação, analise as sentenças a seguir:
I- Na abordagem ao redor do computador, o auditor deve ter conhecimento extenso de
tecnologia da informação.
II- A abordagem ao redor do computador é apropriada para organizações e sistemas
menores, em que a maior parte das atividades de rotina é executada manualmente.
III- Uma vantagem da abordagem através do computador é que ela capacita o auditor com
relação a conhecimentos sobre processamento eletrônico de dados.
IV- A abordagem através do computador é uma melhoria da abordagem com o computador.
V- Na abordagem com o computador, é possível customizar programas específicos para
serem usados na auditoria, de acordo com as necessidades específicas.
Agora, assinale a alternativa CORRETA:
 a) As sentenças I e IV estão corretas.
 b) As sentenças II e III estão corretas.
 c) As sentenças I, II e V estão corretas.
 d) As sentenças III e IV estão corretas.
5. Garantir que a informação seja íntegra, esteja disponível quando necessária e acessível
somente por quem é de direito, é uma preocupação nas empresas. Para auxiliar nessa
tarefa, deve-se ter claro e disponível a todos os funcionários suas políticas de segurança.
Este documento é composto por um conjunto de normas, métodos e procedimentos, os quais
devem ser comunicados a todos os funcionários, bem como analisado e revisado
criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. Para que
esse documento seja desenvolvido da melhor maneira possível, algumas considerações
devem ser verificadas. Sobre o exposto, classifique V para as sentenças verdadeiras e F para
as falsas:
( ) Conhecer quais são as vulnerabilidades da empresa e os pontos fracos é de suma
importância para a criação de uma boa política.
( ) Consiga a adesão dos funcionários, pois de nada adianta políticas se os funcionários
não colocarem em prática.
( ) O controle e as barreiras físicas são uma técnica antiga de segurança e não há
necessidade dessa preocupação nas políticas de segurança. Basta ter uma boa segurança
lógica dos dados. 
Agora, assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - F.
 b) F - V - F.
 c) V - V - F.
 d) V - V - V.
6. Analisando a estrutura de sistemas de informação e suas tecnologias, todos os processos, as
atividades e as funcionalidades são dependentes das tecnologias, pois todos eles precisam
ser processados pelos sistemas informatizados. Outro fator que deve ser analisado é que
toda a informação da organização possui um custo, tanto as informações quanto a estrutura
que este setor precisa ter para disponibilizar a segurança dos dados. De acordo com Caruso
e Steffen (1999), existem duas classes principais de materiais e atividades em processo.
Sobre essas classes, análise as seguintes afirmativas:
I- Recuperação desenhada para trazer os negócios de volta,cuidados com incidentes e
desastres de processamento.
II- Acervo de informações destinadas a confeccionar as ferramentas de processamento de
informação.
III- Sistemas de programas de aplicações ou de controle da atividade e informações
relacionadas.
IV- Plano formal que esteja desenvolvido, testado e amplamente divulgado, seguindo normas
de processo de informação.
Agora, assinale a alternativa CORRETA:
FONTE: CARUSO, Carlos A. A.; STEFFEN, Flávio Deny. Segurança em informática e de
informações. 2. ed. rev. e ampl. São Paulo: Editora SENAC São Paulo, 1999.
 a) Somente a afirmativa IV está correta.
 b) Somente a afirmativa III está correta.
 c) As afirmativas I e II estão corretas.
 d) As afirmativas II e III estão corretas.
7. Os sistemas de informação computadorizados e o acesso às dependências onde eles se
encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio,
restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não
autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger
o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado
em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários
com pouco conhecimento de segurança em informática acabam por desacreditar da
possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao
físico, assinale a alternativa INCORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI:
Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP.
Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
 a) Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou
na rede.
 b) Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de
controle de acesso físico.
 c) Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo
uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
 d) Quando a empresa define um acesso físico, a segurança lógica acaba sendo
desnecessária.
8. Segurança da informação significa proteger seus dados e sistemas de informação de
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e
destruição. O conceito de segurança da informação está ligado à confidencialidade, à
integridade e à disponibilidade da informação. O conceito de segurança de processamento
está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos
são complementares e asseguram a proteção e a disponibilidade das informações das
organizações. O impacto da perda e/ou violação de informações para empresa é enorme e
pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das
informações, classifique V para as sentenças verdadeiras e F para falsas:
( ) A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários
somente na utilização do ambiente.
( ) Em decorrência da necessidade do controle das condições ambientais e de
confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de
condicionadores do tipo compacto (self-contained) ou de central de água gelada.
( ) Sistemas de detecção de incêndio e sensores automáticos, além de brigada de incêndio,
devem ser constantemente verificados e treinados.
( ) A retirada do descarte e do transporte são fatores ambientais que devem ter controles
específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
 a) F - V - V - V.
 b) F - F - F - V.
 c) V - F - V - F.
 d) V - V - F - F.
9. A auditoria de Tecnologia da Informação (TI) tem por principais objetivos a auditoria da
utilização dos recursos de TI no ambiente empresarial e a automatização dos processos de
auditoria através destes recursos. Com relação à auditoria de TI em ambiente empresarial,
assinale a alternativa CORRETA:
 a) Não é foco da auditoria de TI a verificação da adequação dos controles internos
implantados por ela mesma.
 b) A auditoria de TI não se envolve diretamente na atividade de escolha de softwares e
hardwares a serem implantados.
 c) A auditoria é uma ferramenta capaz de auxiliar na análise de custo benefício dos recursos
de TI em função da utilização dos mesmos.
 d) As abordagens para auditoria de TI mais comuns são: ao redor do computador, sobre o
computador e através do computador.
10.Muitas organizações, mesmo tendo conhecimento de vários escândalos de espionagem
ocorridos na internet, ainda não compreenderam a eminente necessidade da segurança da
informação. Os riscos de acessos indevidos são uma ameaça constante e com um potencial
enorme de causar danos irreparáveis e de grande prejuízo às organizações. Desta forma,
faz-se necessário a análise e a adoção de medidas que visem a minimizar os riscos da
segurança da informação. No que tange ao tratamento do risco, analise as sentenças a
seguir:
I- O tratamento de risco pode ser implementado através de medidas preventivas, como a
instituição de uma política de segurança, a definição de controles de acesso físicos e lógicos,
entre outros.
II- A fase do tratamento de risco busca eliminar, reduzir, reter ou transferir os riscos
identificados nas fases anteriores.
III- Para um tratamento de risco adequado, devem-se utilizar todos os controles e práticas de
segurança da informação disponíveis.
IV- A ISO 17799 dispõe sobre os controles e práticas de segurança da informação,
estabelecendo uma diretriz e os princípios gerais para gestão da segurança da informação
em uma organização a partir dos riscos identificados.
V- As medidas reativas são ações tomadas sempre após o incidente, a fim de minimizar as
consequências dos danos gerados.
Assinale a alternativa CORRETA:
 a) As sentenças I, III e IV estão corretas.
 b) As sentenças I, II e IV estão corretas.
 c) As sentenças II, IV e V estão corretas.
 d) As sentenças I, II e V estão corretas.
11.(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo
empreendedorismo e pela busca de meios que levem a uma maior produtividade,
competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC)
auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma
dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios
operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que
pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação
da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da
TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou
reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é
preciso elaborar:
 a) Plano de contingência.
 b) Plano de negócio.
 c) Plano de negócio de gerência de riscos.
 d) Plano de negócio de gerenciamento de projetos.
12.(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de
segurança capazes de garantir autenticidade, confidencialidade e integridade das
informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e
uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma
pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado
como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do
qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
 a) I e II.b) III e IV.
 c) II, III e IV.
 d) I, II e III.
Prova finalizada com 9 acertos e 3 questões erradas.