GESTÃO DE SEGURANÇA DA INFORMAÇÃO - A4

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO 
Pergunta 1
1 em 1 pontos
O conceito de auditoria é o de um estudo crítico que tem o objetivo de avaliar a eficácia e eficiência de um departamento ou uma instituição. Dito de outro modo, toda e qualquer auditoria é a atividade que consiste na emissão de uma opinião profissional sobre o objeto de análise, a fim de confirmar se ele cumpre adequadamente as condições que lhe são exigidas. As auditorias necessitam ser planejadas e são divididas em fases distintas. (CARNEIRO, A. Auditoria de Sistemas de Informação. Lisboa: FCA, 2004.)
Qual é a fase responsável pela elaboração de recomendação de ações corretivas e elaboração de uma avaliação geral do ambiente que foi auditado? Assinale a alternativa correta.
Resposta Selecionada:	
Correta Pós-auditoria.
Resposta Correta:	
Correta Pós-auditoria.
Comentário da resposta:	Resposta correta. A fase da auditoria que tem o papel de recomendar ações corretivas e realizar a avaliação geral do ambiente auditado é a pós-auditoria.
Pergunta 2
1 em 1 pontos
A função da auditoria de sistemas é promover adequação, revisão, avaliação e recomendações para o aprimoramento dos controles internos nos sistemas de informação da empresa, bem como avaliar a utilização dos recursos humanos, materiais e tecnológicos envolvidos no processamento. A auditoria em um departamento, especialmente na área de TI, é de extrema importância para a organização, visto que é por meio dela que a alta gestão terá subsídios para determinar o foco da empresa, dente outros objetivos. (SANTOS, J. L.; SCHMIDT, P.; ARIMA, C. H. Fundamentos de auditoria de sistemas. Vol. 9. Coleção Resumos de Contabilidade. São Paulo: Atlas, 2006. LAUREANO, M. A. P. Segurança da Informação. Curitiba: Livro Técnico, 2012.)
 
O processo de auditoria é composto por fases. Quais são elas? Assinale a alternativa correta.
Resposta Selecionada:	
Correta Pré-auditoria, auditoria e pós-auditoria.
Resposta Correta:	
Correta Pré-auditoria, auditoria e pós-auditoria.
Comentário da resposta:	Resposta correta. Um procedimento de auditoria perpassa as seguintes fases: pré-auditoria (processos de preparação, como envio da notificação), auditoria (a auditoria em si acontece nessa fase) e o pós-auditoria (emissão de relatório com detalhes da área auditada).
Pergunta 3
1 em 1 pontos
A perícia forense computacional é definida por Freitas (2006) como a aplicação de conhecimentos de informática a técnicas de investigação com a finalidade de obter evidências. Trata-se de uma área relativamente nova e em grande ascensão. Justamente por isso, tornou-se uma prática importante nas corporações e polícias, que utilizam resultados científicos e matemáticos estudados na Ciência da Computação. (FREITAS, A. R. Perícia forense aplicada à informática. Rio de Janeiro: Brasport, 2006.)
Na perícia forense computacional, existe um recurso tido como o principal objeto de estudo. Qual é este recurso? Assinale a alternativa correta.
Resposta Selecionada:	
Correta Computador.
Resposta Correta:	
Correta Computador.
Comentário da resposta:	Resposta correta. O objeto principal de estudo da perícia forense computacional é o computador, em função de que ele é o principal meio da execução do crime através de tecnologia.
Pergunta 4
1 em 1 pontos
No Brasil, a gestão da continuidade de negócios é oficialmente abordada pela Associação Brasileira de Normas Técnicas (ABNT) na NBR ISO/IEC 27002:2005. A norma trata da Segurança da Informação como um todo, desde critérios básicos de segurança, gestão de riscos, gestão de ativos, gestão de pessoas, segurança física, operações, acesso, desenvolvimento de sistemas, contingência, continuidade e conformidade de negócio (NBR ISO IEC 27002, 2005). A NBR ISO/IEC 27002 estabelece também que certos tópicos precisam ser considerados na estrutura de um plano de continuidade de negócios. (ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002: Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação. ABNT, 2005.)
Leia as afirmativas abaixo e, depois, assinale a alternativa correspondente às corretas.
I. Descrição dos ativos e recursos críticos que necessitam estar aptos ao desempenho dos procedimentos de emergência, recuperação e reativação.
II. Designação das responsabilidades gerais, descrevendo quem é responsável pela execução de que item do plano. Não é necessária a definição de suplentes.
III. Estabelecimento de procedimentos operacionais definitivos depois que concluídas a recuperação e a restauração.
Resposta Selecionada:	
Correta I, apenas.
Resposta Correta:	
Correta I, apenas.
Comentário da resposta:	Resposta correta. Quando a organização elabora um plano de continuidade de negócios, ela precisar levar em consideração diversos fatores imprescindíveis para a sua sobrevivência, dentre eles os ativos e as atividades necessárias para a reconstrução da empresa em caso de desastre.
Pergunta 5
1 em 1 pontos
Os ativos de TI são recursos que dão sustentação para uma empresa ou organização. Realizar a gestão de ativos de TI é de extrema importância para que ela atinja seus objetivos, busque oportunidades de negócios, resolva seus problemas e pontos fracos e se mantenha competitiva no mercado. Segundo Moraes Neto (2016), a gestão de ativos de TI – no inglês IT Asset Management
(ITAM) – pode ser resumidamente classificada como a atividade de coleta de informações de ativos de hardware e software que propicia a geração de ____________________, monitoramento e controle do ciclo de vida do ativo. (MORAES NETO, M. F. Gestão dos ativos do datacenter. Palhoça: Unisul Virtual, 2016.)
Assinale a alternativa que preenche a lacuna corretamente.
Resposta Selecionada:	
Correta Inventário.
Resposta Correta:	
Correta Inventário.
Comentário da resposta:	Resposta correta. O inventário é o nome dado a um documento completo que registra todos os ativos de TI, hardware e software.
Pergunta 6
1 em 1 pontos
As preocupações com a segurança das redes devem abranger os problemas de autenticação de usuários e equipamentos e os de restrições do acesso dos usuários aos serviços autorizados, contemplando o estabelecimento de interfaces seguras entre a rede interna e a rede pública ou de outra organização. Além da implementação desses recursos, organizações têm feito uso de profissionais de tecnologia da informação que trabalham em equipe com o objetivo de proteger os sistemas da empresa de ataques internos e externos à organização. (LYRA, M. R. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. FONSECA, F. Cybersecurity: prepare-se para o pior.
Fonte, Belo Horizonte, ano 14, n. 18, p. 109-115, dez. 2017.)
Qual é o nome desta equipe de profissionais?
Resposta Selecionada:	
Correta Blue Team.
Resposta Correta:	
Correta Blue Team.
Comentário da resposta:	Resposta correta. A equipe denominada Blue Team é a responsável pela proteção da organização aos ataques do Red Team ou aos ataques reais que possam acontecer contra a empresa em questão.
Pergunta 7
1 em 1 pontos
Depois de terminado o estudo do plano, o auditor solicita os procedimentos necessários para descrever as diversas atividades que exigem segurança em informática. Esses procedimentos serão confrontados com a realidade do dia a dia dentro do departamento, ou seja, verificando se todos os procedimentos necessários são corretamente utilizados no departamento que está sendo auditado. Existe uma relação de dependência entre a área de auditoria e a de segurança em informática para que a organização alcance seus objetivos propostos. (LAUREANO, M. A. P. Segurança da Informação. Curitiba: Livro Técnico, 2012.)
Qual é o objetivo da Segurança da Informação e o objetivo da auditoria? Assinale a alternativa que apresenta respectivamente as respostas corretas.
Resposta Selecionada:	
Correta Garantir a integridade dos dados; garantir que estes dados estejam íntegros e levem ao exato processamento e resultados dentro do planejado.
Resposta Correta:	
Correta Garantir a integridade dosdados; garantir que estes dados estejam íntegros e levem ao exato processamento e resultados dentro do planejado.
Comentário da resposta:	Resposta correta. Podemos dizer que existe uma interdependência entre segurança e auditoria, visto que a segurança garante que os dados sejam íntegros e a auditoria, por sua vez, que os dados estejam realmente íntegros e continuem íntegros para que o processamento seja realizado com sucesso.
Pergunta 8
1 em 1 pontos
A auditoria em ambiente de tecnologia de informação (TI), ora chamada de auditoria de sistemas de informação (SI), não muda a formação exigida para a profissão de auditor. Apenas se percebe que as informações, até então disponíveis em forma de papel, são agora guardadas em forma eletrônica. Assim, o enfoque de auditoria teria que mudar, de modo a assegurar que essas informações em forma eletrônica sejam confiáveis, antes de emitir a sua opinião. Auditorias de TI ou de quaisquer outros departamentos de uma organização necessitam percorrer as fases de pré-auditoria, auditoria e pós-auditoria. (LAUREANO, M. A. P. Segurança da Informação. Curitiba: Livro Técnico, 2012. IMONIANA, J. O. Auditoria de sistemas de informação. São Paulo: Atlas, 2016.)
Enumere a segunda coluna de acordo com a primeira. Depois, assinale a alternativa correta.
 
(1) Pré-auditoria
(2) Auditoria
(3) Pós-auditoria
 
( ) O departamento ou pessoa auditada deverá preparar as atividades administrativas de apoio à equipe auditora, informar o pessoal envolvido no departamento e realizar a revisão final no setor.
( ) Faz-se a elaboração de um relatório no qual deverá constar objetivos, áreas cobertas, fatos encontrados e ações corretivas de recomendação.
( ) A equipe auditora avalia os controles, isto é, como o departamento ou área auditada funciona, documenta as irregularidades, não-conformidades e falhas encontradas.
Resposta Selecionada:	
Correta 1, 3, 2.
Resposta Correta:	
Correta 1, 3, 2.
Comentário da resposta:	Resposta correta. A auditoria demostra à alta gestão como estão os processos da empresa. Também pode evitar fraudes e garantir o adequado funcionamento e desempenho das áreas ou departamentos da empresa. Para tanto, são necessárias as três fases: pré-auditoria, auditoria e pós-auditoria.
Pergunta 9
1 em 1 pontos
A ________________ computacional tem ganhado importância cada vez maior para as autoridades policiais e judiciárias, assim como para empresas e organizações, à medida que utiliza conhecimentos em informática aliados a técnicas de investigação a fim de obter evidências sobre incidentes de segurança em sistemas computacionais. (FREITAS, A. R. Perícia forense aplicada à informática. Rio de Janeiro: Brasport, 2006.)
De qual ciência estamos falando? Assinale a alternativa correta.
Resposta Selecionada:	
Correta Perícia forense.
Resposta Correta:	
Correta Perícia forense.
Comentário da resposta:	Resposta correta. A perícia forense é a ciência que faz uso de metodologias científicas para identificação, coleta, preservação, análise e documentação de evidências digitais em dispositivos eletrônicos.
Pergunta 10
1 em 1 pontos
Um dos recursos mais utilizados para que informações e dados sejam protegidos e não acessados por pessoas sem permissão é a senha. Uma senha serve justamente para realizar a autenticação de um usuário perante uma atividade ou sistema. Para Laureano (2012), um auditor precisa revisar o plano aprovado e constatar se a metodologia utilizada para a proteção de informações atende às necessidades ou precisa de atualizações. Dentre os itens verificados, estão as senhas. (LAUREANO, M. A. P. Segurança da Informação. Curitiba: Livro Técnico, 2012.)
Sobre as senhas e sua relação com auditorias, assinale a alternativa correta.
Resposta Selecionada:	
Correta Solicitação de alterações automáticas para garantir que a organização não corra riscos de sofrer algum ataque.
Resposta Correta:	
Correta Solicitação de alterações automáticas para garantir que a organização não corra riscos de sofrer algum ataque.
Comentário da resposta:	Resposta correta. Em auditorias, as verificações referentes a senhas são justamente para ver se elas são alteradas com frequência através de solicitação automática dos sistemas, para, com isso, evitar que ele sofra ameaças, vulnerabilidades e ataques.