SIMULADO 1

Prévia do material em texto

SIMULADO Segurança em Tecnologia da Informação 
PROVA I 
 
1) O ciclo PDCA, que permite entender a gestão da segurança da informação como um ciclo 
contínuo de planejamento, execução, avaliação e ação corretiva. Conforme Beal (2008, 
p. 37), “é útil para fornecer uma visualização global das etapas que devem compor a 
gestão da segurança da informação”. Segundo o mesmo autor, qual o significado da sigla 
PDCA vem de: 
O significado da sigla PDCA, conforme Beal (2008, p. 37), vem de: 
• P = Plan, de planejar: estabelecer objetivos metas e meios de alcançá-los. 
• D = Do, de executar. 
• C = Check, de verificar, avaliar (comparação do resultado com o planejado). 
• A = Act, de agir corretivamente (caso sejam detectados desvios ou falhas a serem 
corrigidos) 
 
 
2) Adaptado de Ferreira e Araújo (2008, p. 82). 
Relacione os critérios de armazenamento e descarte de informações. 
1 - Informações públicas 
2 - Informações internas 
3 - Informações confidenciais 
(1- Informações públicas) Armazenamento: devem ser armazenadas com a utilização de 
recursos considerando o menor investimento, sem a preocupação com 
confidencialidade. 
Descarte: pode-se proceder de forma simples, sem o uso de recursos e procedimentos. 
(2- Informações internas) Armazenamento: as informações com tal classificação devem 
ser armazenadas de acordo com a necessidade, em áreas de acesso reservado. 
Descarte: tais informações devem ser descartadas utilizando-se recursos e 
procedimentos específicos. As informações confidenciais devem servir de base para o 
desenvolvimento do processo e aquisição dos recursos. 
(3- Informações confidenciais) Armazenamento: os locais onde as informações estão 
armazenadas devem possuir acessos controlados, havendo uma concessão formal e por 
meio de procedimento que envolva o proprietário da informação. 
Descarte: deve ser efetuado por meio de procedimentos e ferramentas que destruam a 
informação por completo. 
 
 
3) Adaptado de Caruso e Stepen (1999, p. 72). 
Relacione as etapas da gestão do risco. 
1 - Alto risco 
2 - Médio risco 
3 - Baixo risco 
(1 - alto risco) A organização como um todo, ou parte importante dela, tem suas 
atividades fortemente reduzidas a curto ou médio prazo, não permitindo a continuidade 
normal de suas atividades, ou até mesmo pondo em risco a sobrevivência da 
organização. 
(2 - médio risco) As atividades da organização, ou de parte da mesma, sofrem 
dificuldades sérias, que acarretam prejuízos sensíveis, mas que não chegam a afetar a 
sobrevivência da organização como um todo. 
(3 - alto risco) As atividades da organização não são afetadas de forma significativa pela 
ocorrência. 
 
 
4) Sobre classificação de informações, segundo Ferreira e Araújo (2008, p. 79), relacione 
algumas definições no início do processo. 
1 - Classificação 
2 - Proprietário 
3 - Custodiante 
4 - Criptografa 
5 - Perfil de acesso 
(1 - Classificação) é a atividade pela qual se atribuirá o grau de sigilo às informações, 
sejam meios magnéticos, impressos etc. 
(2 - Proprietário) é o profissional de uma determinada área responsável pelos ativos de 
informação da organização. 
(3 - Custodiante) trata-se do profissional responsável por assegurar que as informações 
estejam de acordo com o estabelecido pelo proprietário da informação. 
(4 - Criptografa) é uma codificação que permite proteger documentos contra acessos 
e/ou alterações indevidas. 
(5 - Perfil de acesso) trata-se de uma definição de direitos de acesso às informações, 
transações, em meios magnéticos ou impressos de acordo com a necessidade de uso de 
cada usuário. 
 
5) Em relação ao processo e organização da função de auditoria de TI, é correto afirmar: 
Assinale a alternativa CORRETA: 
a) Auditores são parte do modelo governamental de controle interno, mas eles não 
são responsáveis pela implementação dos procedimentos de controle em uma 
organização. Esse trabalho é do gestor. RESPOSTA 
b) As estas de uma auditoria de TI são: planejar, organizar, adquirir, implementar, 
entregar, monitorar e avaliar 
O processo de organização dos trabalhos de auditoria de tecnologia de informações 
segue a norma de execução de trabalhos, o principal componente das normas de 
auditoria geralmente aceitas. Segundo Imoniana (2011, p. 22), essa norma contempla: 
• Planejamento de auditoria. 
• Avaliação de riscos de auditoria. 
• Supervisão e controle de qualidade. 
• Estudo e avaliação do sistema contábil e de controles internos e aplicação dos 
procedimentos de auditoria. 
• Documentação da auditoria. 
• Avaliação da continuidade normal dos negócios da entidade. 
• Aplicação de amostragens estatísticas. 
c) O gestor e a alta Adm são responsáveis pelos controles da organização, mas os 
processos de gestão de risco são delegados pela de TI 
d) Controle externo é uma ferramenta do gestor usada para promover razoável certeza 
que os objetivos da adm estão sendo alcançados. 
 
 
6) No dia 27 de abril de 2017, o CEO da United Airlines enviou um e-mail aos participantes 
do programa de fidelidade retratando-se sobre o ocorrido no início do mesmo mês, com 
a retirada forçada de um passageiro já embarcado, que teve repercussões muito 
negativas à imagem da Organização. Parte do conteúdo é apresentado abaixo e retrata 
a materialização do conceito de “alinhamento estratégico”: 
“... 
Ao longo das últimas semanas, estivemos trabalhando com forte senso de urgência 
para responder a duas perguntas: como isso pôde ocorrer e de que forma podemos 
assegurar que nunca mais aconteça algo semelhante? Aquele fato ocorreu porque 
nossas políticas corporativas foram colocadas acima dos valores que 
compartilhamos. Nossos procedimentos impediram que nossos funcionários 
fizessem o que eles sabem ser o certo. 
... 
Além disso, lançaremos um novo aplicativo para os nossos funcionários que lhes 
permitirá realizar diretamente gestos de boa vontade na forma de milhas, créditos 
de viagem e outras comodidades quando estivermos em falta com você. 
... ” 
 A respeito do conteúdo acima e a relação com o conceito de alinhamento 
estratégico, avalie as afirmações a seguir: 
CERTA I. Alinhamento estratégico é o processo de transformar a estratégia do 
negócio em estratégias e ações de Tecnologia da Informação que garantam que 
os objetivos de negócio sejam apoiados. 
CERTA II. O alinhamento estratégico é bidirecional, ou seja, da estratégia do 
negócio para a estratégia de Tecnologia da Informação e vice-versa, pois a 
Tecnologia da Informação pode potencializar estratégias de negócio que seriam 
impossíveis de ser implantadas sem o auxílio da tecnologia da informação. No 
caso da United Airlines, vê-se apenas a direção da estratégia de negócios para a 
área de Tecnologia da Informação. 
III. O alinhamento estático é a derivação da estratégia de TI a partir da concepção 
do Plano Estratégico ou de Negócios da empresa e o alinhamento dinâmico ocorre 
a cada marco de revisão do Plano Estratégico ou de Negócios, conforme agendado 
previamente na sua institucionalização. ERRADA 
 
 
7) Considere a seguinte ação estabelecida na Norma NBR ISO/IEC 27001:2006 para o 
Sistema de Gestão de Segurança da Informação − SGSI: 
 
Definir como medir a eficácia dos controles ou grupos de controles selecionados, e 
especificar como estas medidas devem ser usadas para avaliar a eficácia dos 
controles de modo a produzir resultados comparáveis e reproduzíveis. 
De acordo com a Norma, essa atividade é parte da fase: 
A) Implementar e Operar o SGSI. RESPOSTA 
B) Estabelecer o SGSI. 
C) Gerenciar o SGSI. 
D) Monitorar e Analisar o SGSI. 
 
8) Segundo a norma ABNT NBR ISO/IEC 27001, "uma ocorrência identificada de um estado 
de sistema, serviço ou rede, indicando uma possível violação da política de segurança 
da informação [...]" é um(a): 
Assinale a alternativa CORRETA: 
a) evento. RESPOSTA 
b) incidente. 
c) problema. 
d) risco residual.9) Com relação a Segurança da Informação, o que você entende por confidencialidade? 
Assinale a alternativa correta: 
A) garantir acesso à informação apenas aos seus usuários legítimos. 
B) garantir acesso à informação apenas a um grupo de usuários distintos. 
C) garantir acesso à informação apenas a um grupo de usuários restritos. RESPOSTA 
D) garantir acesso à informação apenas a um grupo de usuários únicos. 
 
10) Com relação a Segurança da Informação, o que você entende por disponibilidade? 
Assinale a alternativa correta: 
A) Garantir que a informação e seus ativos associados estejam disponíveis aos usuários 
legítimos. 
B) Garantir que a informação e seus ativos associados estejam disponíveis aos usuários 
ilegítimos. 
C) Garantir que a informação e seus ativos associados estejam indisponíveis aos 
usuários legítimos. 
D) Garantir que a informação e seus ativos associados estejam indisponíveis aos 
usuários ilegítimos. 
RESPOSTA O GABARITO DIZ QUE É A A, MAS A D TAMBÉM ESTÁ CORREITA.