SIMULADO 2

Prévia do material em texto

SIMULADO Segurança em Tecnologia da Informação 
PROVA II 
1) Considere as afirmações abaixo. 
 
I. Consiste na separação entre as funções de autorização, aprovação de operações, 
execução, controle e contabilização, de tal maneira que nenhum funcionário detenha 
poderes e atribuições em desacordo com este princípio de controle interno. 
 
II. Está relacionado com o RBAC (Role Based Access Control), que denomina um projeto 
do NIST/INCITS, cujo objetivo é padronizar um modelo para prover e administrar 
privilégios de acesso em uma organização. 
 
III. Proíbe o usuário de, exercendo certa atividade, executar outra atividade ao mesmo 
tempo que implique em risco operacional para o negócio; a hierarquia organizacional 
reflete a estrutura dos papéis desempenhados pelos colaboradores dentro da organização. 
 
IV. Refere-se ao controle de acesso baseado no papel, na atividade ou na função que o 
colaborador exerce dentro da organização; possibilita ter uma visão do privilégio de 
acesso de forma corporativa e não apenas por sistema. 
Sabendo que SF refere-se à Segregação de Funções e PF refere-se à Perfil por Função, 
as afirmativas de I a IV são correta e respectivamente, relacionadas a: 
 A SF; PF; SF; PF. 
B SF; PF; PF; PF. 
C PF; SF; SF; SF. 
D PF; PF; SF; SF. 
 
2) As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente 
auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos 
de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário 
vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto a essas 
técnicas e ferramentas utilizadas nas auditorias de TI é correto afirmar que a técnica 
denominada "Rastreamento e Mapeamento" envolve 
Assinale a alternativa CORRETA: 
 A o desenvolvimento e implementação de uma trilha de auditoria para 
acompanhar certos pontos da lógica do processamento de algumas transações. 
B a simulação de operações normais com o objetivo de estimular a verificação de 
resultados recorrentes que são inconsistentes. 
C o uso de um programa especialmente desenvolvido para processar transações e dados 
anteriormente executados numa rotina normal e operacional com o objetivo de verificar 
se os resultados são idênticos. 
D a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. 
 
 
3) Analise as seguintes afirmações relacionadas às responsabilidades da gerência quanto 
à manipulação e salvaguarda dos ativos da organização do ponto de vista de um 
processo de Auditoria de Controles de hardware, acesso, suporte técnico e operação 
de computadores. 
 
I. A gerência é responsável por planejar e executar os backups dos servidores de 
banco de dados da organização. 
II. A gerência é responsável por desenvolver os procedimentos de 
conscientização em todos os níveis da organização. 
III. A gerência é responsável por implementar sistemas seguros para atender às 
políticas de Tecnologia da Informação. 
IV. A gerência é responsável por realizar suporte técnico aos usuários do 
ambiente. 
Indique a opção que contenha todas as afirmações verdadeiras. 
 A II e III 
B III e IV 
C I e III 
D II e IV 
 
4) Considere as seguintes afirmações sobre a Governança de TI nas organizações: 
 
I. São padrões de autoridade relacionados à TI de uma organização, para direcionar, 
controlar e coordenar a gestão da infraestrutura de TI, gerenciamento do uso da TI e 
gerenciamento dos projetos. 
 
II. É a capacidade organizacional exercida pelo alto escalão, gestores de negócios e 
gestores de TI para controlar a formulação e a implantação da estratégia de TI, garantindo 
a fusão entre o negócio e a TI. 
 
III. É o termo utilizado para descrever como as pessoas encarregadas da governança de 
uma organização consideram a TI nas suas atribuições de supervisionar, monitorar, 
controlar e dirigir a empresa. 
 
IV. É como a empresa governa a TI para garantir desempenho satisfatório. 
 
V. É o processo de decisão em TI sobre certos ativos: hardware, software, processos, 
pessoal e objetivos estratégicos. 
Assinale a alternativa correta: 
 A Todas as afirmativas estão corretas. 
B Todas as afirmativas estão incorretas. 
C Somente as afirmativas I e III estão corretas. 
D Somente a afirmativa II é incorreta. 
 
 
5) A Tecnologia da Informação no século XXI propiciou avanços de tal ordem que a 
forma pela qual as organizações estruturam seus negócios modificou-se 
profundamente. 
Um exemplo que corrobora essa afirmação é a adoção, por parte das organizações, 
 A das aplicações mashup, tecnologia de gerenciamento da informação que 
combina dados de múltiplas fontes e publica o resultado de forma organizada. 
B da técnica de virtualização, que cria camadas de máquinas virtuais em uma máquina 
lógica real e, com isso, vários equipamentos físicos aparentam ser um único lógico. 
C das private clouds, que oferecem estrutura de armazenamento de dados e aplicações 
nos servidores do provedor do serviço, em vez dos da companhia contratante. 
D dos Master Data Management (MDM), que servem como interface entre os sistemas 
integrados de gestão e os modelos de aplicação web feeds, screen scrapping e SOAP. 
 
 
6) Leia o para responder à questão. 
 
Texto 
 
O cenário que se tem atualmente na empresa é de real necessidade de troca de um 
software, que reflete a aplicação de nível crítico para a vida da organização, pois trata-se 
do sistema tributário de um órgão público, que realiza todas as operações de pagamentos 
de impostos a recebimentos automáticos de retorno de arrecadação. A necessidade 
ocorreu devido à obsolência tecnológica do sistema e seu banco de dados, no qual ainda 
trabalha sobre uma plataforma Z, uma tecnologia que caiu em desuso a muitos anos. Tal 
tecnologia configura-se em linguagem de programação e sistema gerenciador de banco 
de dados. 
 
Realizada a análise do problema proposto no Texto, constata-se as seguintes premissas: 
 
I. Adquirir de terceiros um novo sistema tributário, com banco de dados padrão SQL 
baseado em plataforma Windows. 
 
II. Utilizar da mão de obra interna do Departamento de Informática para migrar a 
tecnologia do sistema tributário para a tecnologia de banco de dados SQL baseado em 
plataforma Windows utilizando apoio de consultoria externa. 
 
 Realizando uma análise estratégica utilizando o framework SWOT, conclui-se que: 
 
 A deve ser feita uma análise dos pontos fortes, fracos, oportunidades e ameaças 
em ambas as premissas. 
B a Análise dos pontos fortes deve ser feita somente na premissa I, enquanto que na 
premissa II deverá ser feita a análise dos pontos fracos, ameaças e riscos. 
C a análise dos pontos fortes e fracos deve ser feita na premissa I e na premissa II a análise 
dos riscos 
D a análise dos pontos fortes e oportunidades deve ser feita na premissa I e dos pontos 
fracos e ameaças na premissa II. 
 
 
7) Quais são os principais dos ativos de informação? 
Assinale a alternativa correta: 
 A Confidencialidade, Integridade e Disponibilidade. 
B Confidencialidade e Disponibilidade. 
C Integridade e Disponibilidade. 
D Confidencialidade e Integridade. 
 
8) Com relação a Segurança da Informação, o que você entende por integridade? 
Assinale a alternativa correta: 
 A A informação deve ser verdadeira, ou seja, correta e não corrompida. 
B A informação deve ser falsa e não corrompida. 
C A informação deve ser verdadeira, ou seja, correta e corrompida. 
D A informação deve ser falsa e corrompida. 
 
 
9) Além da Disponibilidade, Integridade e Confidencialidade, qual são as outras 
propriedades que devemos levar em consideração quando abordamos o assunto de 
Segurança da Informação? 
Assinale a alternativa correta: 
 A Legalidade, Auditabilidade e Não repúdio de autoria. 
B Legalidade e Não repúdio de autoria. 
C Auditabilidade e Não repúdio de autoria. 
D Legalidade e Auditabilidade.10) O que quer dizer Auditabilidade em relação a Segurança da Informação? 
Assinale a alternativa correta: 
 A O acesso e uso das informações devem ser registrados, permitindo identificar 
quem a acessou e o que este fez com a informação obtida. 
B O acesso e uso das informações não devem ser registrados, permitindo identificar 
quem a acessou. 
C O acesso e uso das informações não devem ser registrados e nem identificar quem a 
acessou e o que este fez com a informação obtida. 
D O acesso e uso das informações não devem ser registrados, e nem identificar quem a 
acessou e nem o que fez com a informação coletada.