Segurança em Tecnologia da Informação - prova final

Prévia do material em texto

Legenda: Resposta Certa Sua Resposta Errada 
1. Segurança da informação significa proteger seus dados e sistemas de informação de 
acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e 
destruição. O conceito de segurança da informação está ligado à confidencialidade, à 
integridade e à disponibilidade da informação. O conceito de segurança de 
processamento está ligado à disponibilidade e à operação da infraestrutura 
computacional. Esses conceitos são complementares e asseguram a proteção e a 
disponibilidade das informações das organizações. O impacto da perda e/ou violação 
de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. 
Com relação aos itens que devem ser observados na segurança ambiental das 
informações, analise as afirmativas a seguir: 
 
I- Para-raios e iluminação de emergência devem ser observados no projeto de uma 
instalação elétrica. 
II- Fontes de energias alternativas, como no-breaks e geradores, são importantes para 
empresas que possuem aplicações on-line. 
III- Com relação à energia alternativa para a segurança da informação, temos: 
sistema short break, sistema motor/alternador - síncrono, sistema elétrico 
ininterrupto de corrente alternada. 
IV- A escolha da localização não é uma medida que precise de atenção, uma vez 
respeitado o acesso devido e restrito à informação. 
 
Assinale a alternativa CORRETA: 
 
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 
2018. 
 a) Somente a afirmativa IV está correta. 
 b) As afirmativas II, III e IV estão corretas. 
 c) As afirmativas I, II e III estão corretas. 
 d) As afirmativas I e IV estão corretas. 
 
2. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de 
informação das organizações, há a necessidade da adoção de um sistema de gestão 
de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, 
minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição 
do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a 
alternativa CORRETA: 
 a) BS 7799-2. 
 b) BS/ISO 9001. 
 c) ISO/IEC 13335. 
 d) ISO 4217. 
 
3. A auditoria é uma atividade que inclui a análise das operações, processos, sistemas e 
responsabilidades gerenciais de uma entidade. Ela busca verificar sua conformidade 
com certos objetivos e padrões. A auditoria para sistema aplicativo deve fazer 
algumas verificações. Com base nessa auditoria, classifique V para as sentenças 
verdadeiras e F para as falsas: 
 
I- As operações apontadas nos sistemas são derivadas das operações habituais da 
empresa. 
II- Os princípios são de maneira uniforme empregados nos sistemas, subsistemas e 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_1%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_2%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_3%20aria-label=
sistemas consolidadores das contas ou grupos de contas contábeis, em relação aos 
exercícios anteriores. 
III- As operações estão perfeitamente contabilizadas nos sistemas, independente das 
legislações vigentes. 
IV- Os controles independentes introduzidos nos sistemas aplicativos são 
plenamente aplicados para garantir as consistências dos lançamentos, garantia dos 
processamentos e a geração de relatórios que espelham o resultado das operações. 
 
Agora, assinale a alternativa CORRETA: 
 a) As sentenças I, III e IV estão corretas. 
 b) Somente a sentença III está correta. 
 c) As sentenças II, III e IV estão corretas. 
 d) As sentenças I, II e IV estão corretas. 
 
4. Os sistemas de informação computadorizados e o acesso às dependências onde eles 
se encontram são em muitos casos negligenciados. Muito se ouve falar de 
criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para 
dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco 
sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas 
estão funcionando. Quando o assunto é colocado em pauta, as informações não são 
divulgadas como deveriam. Os profissionais e usuários, com pouco conhecimento de 
segurança em informática acabam por desacreditar da possibilidade de ocorrência de 
graves prejuízos para a empresa. Com relação ao acesso ao físico, analise as 
sentenças a seguir: 
 
I- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo 
desnecessária. 
II- Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas 
de controle de acesso físico. 
III- Como exemplo de uma barreira física, podemos citar uma simples parede ou até 
mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede. 
IV- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no 
computador ou na rede. 
 
Assinale a alternativa CORRETA: 
 
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente 
de TI: Segurança física da informação em pequenas empresas e estudo de caso em 
Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 
2017. 
 a) Somente a sentença IV está correta. 
 b) As sentenças II, III e IV estão corretas. 
 c) As sentenças I e IV estão corretas. 
 d) As sentenças I, II e III estão corretas. 
 
5. A política de segurança da informação de uma organização deve considerar a 
informação um recurso de alto valor e, como tal, protegê-la de ameaças externas e 
internas. Neste sentido, é essencial considerar os aspectos referentes à segurança nos 
contextos lógico, físico e ambiental. Referente aos contextos de segurança da 
informação e suas particularidades, classifique V para as sentenças verdadeiras e F 
para as falsas: 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_4%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_5%20aria-label=
( ) A segurança lógica compreende os aspectos relacionados à integridade, à 
confidencialidade e à disponibilidade das informações armazenadas em dispositivos 
computacionais e nas redes que os interligam. 
( ) A segurança física diz respeito às áreas e aos ambientes físicos da organização 
que não devem ser acessados por pessoas que não têm autorização. Por exemplo: a 
sala de servidores deve estar sempre trancada e a chave desta sala somente acessível 
por usuários que estejam autorizados a trabalhar nos servidores. 
( ) Roubo de recursos computacionais (fitas, disquetes, discos rígidos etc.), acesso 
de pessoas não autorizadas em ambientes protegidos (sala de impressão, sala de 
servidores etc.) e sabotagem de equipamentos ou arquivos de dados são aspectos 
relacionados à segurança ambiental. 
( ) A segurança ambiental refere-se à colocação dos recursos computacionais em 
local adequado, ao controle da temperatura e umidade no ambiente onde estes 
recursos serão instalados e ainda com cuidados quanto à rede elétrica (correto 
aterramento, utilização de para-raios, iluminação de emergência) que alimentará os 
equipamentos. 
( ) A preocupação com a proteção da informação restringe-se a informações 
armazenadas em mídias digitais. 
 
Agora, assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - V - V - F - F. 
 b) F - V - F - V - F. 
 c) V - F - V - V - V. 
 d) V- V - F - V - F. 
 
6. ?Dados, informação e conhecimento, por sua alta capacidade de adicionar valor a 
processos, produtos e serviços, constituem recursos cada vez mais críticos para o 
alcance da missão e dos objetivos organizacionais? (BEAL, 2008, p. 96). No trecho 
citado, a autora destaca a importância que a informação vem assumindo para as 
organizações como ativo, principalmente devido à evolução dos computadores e da 
internet. No que se refere à utilização da informação como um ativo organizacional, 
analise as sentenças a seguir: 
 
I- A etapa mais importante em todo o processo de gestão da informação é a de 
aquisição, pois é nesta etapa que a organização delimita quais são suas necessidades 
e requisitos em termos de informação. 
II- A preocupação com a proteção da informação restringe-se às informações 
armazenadas em mídias digitais. 
III- A etapa de tratamento da informação consiste em um ou n processos, com a 
finalidade de torná-la mais organizada e, consequentemente, mais acessível aos 
usuários. 
IV- No sentido de maximizar o aproveitamento dos recursos de segurança, deve-se 
separar as informações em duas categorias: as informações obtidas sem custo para a 
organização e as informações obtidas com custo para a organização, priorizando 
sempre estas últimas na alocação dos recursos disponíveis. 
 
Agora, assinale a alternativa CORRETA: 
 
FONTE: BEAL, Adriana. Segurança da informação: princípios e melhores práticas 
para a proteção dos ativos de informação nas organizações. São Paulo: Atlas, 2008. 
 a) As sentenças I, II e III estão corretas. 
 b) As sentenças I e II estão corretas. 
 c) Somente a sentença III está correta. 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_6%20aria-label=
 d) As sentenças I e IV estão corretas. 
 
7. Com o objetivo de guiar a análise, o planejamento e a implementação da política de 
segurança de uma organização, deve-se levar em consideração os princípios da 
integridade, confidencialidade e disponibilidade das informações. Neste sentido, 
classifique V para as sentenças verdadeiras e F para as falsas: 
 
( ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias 
organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar 
a eficiência no gerenciamento da segurança de TI. 
( ) O plano de continuidade visa a estabelecer exclusivamente critérios para a 
recuperação das atividades que envolvem os recursos tecnológicos. 
( ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no 
aspecto físico e lógico. 
( ) Entre os principais objetivos de um sistema geral de controle interno é a 
manutenção da integridade das informações. 
( ) Avaliação dos controles internos em ambientes informatizados é uma atividade 
decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor 
tenha conhecimento na área TI. 
 
Assinale a alternativa que apresenta a sequência CORRETA: 
 a) F - F - V - F - V. 
 b) V - V - F - F - V. 
 c) V - F - V - V - V. 
 d) F - V - F - V - F. 
 
8
. 
O Plano de Continuidade de Negócios, mais conhecido como PCN, tem por objetivo 
principal ser um documento que auxilia a organização no tratamento de desastres, 
tentando diminuir perdas, oferecendo mais disponibilidade, segurança e confiabilidade 
na TI para que suporte com valor e qualidade o negócio da organização. Dada a 
importância que a elaboração de um Plano de Continuidade de Negócios (PCN) tem 
atualmente para as organizações, é essencial que este plano seja auditado e testado 
antes de sua implantação efetiva. Com relação ao teste e à auditoria de PCN, assinale a 
alternativa CORRETA: 
 
FONTE: Disponível em: 
<http://iso27000.com.br/index.php?option=com_content&view=article&id=52:import
pcn&catid=34:seginfartgeral&Itemid=53>. Acesso em: 10 fev. 2017. 
 a) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão 
desempenhar as funções que se espera deles no caso de um evento de falha de 
segurança. 
 b) Visto que a alta diretoria não desempenhará nenhum papel operacional na 
execução de um PCN, seu envolvimento somente ocorrerá na etapa de sua 
definição. 
 c) A auditoria de PCN deve verificar se os contatos de fornecedores externos 
atendem aos requisitos definidos no projeto interno. 
 d) O PCN deve ser divulgado para todos os colaboradores da organização, no 
sentido de aumentar a conscientização. 
 
9. Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que 
nenhum intermediário consiga interceptar as mensagens e entendê-las, uma das 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_7%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_8%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_9%20aria-label=
alternativas é a utilização de criptografia. Com relação à criptografia, analise as 
afirmativas a seguir: 
 
I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia 
(chave) e somente pode ser desencriptada com a utilização do mesmo algoritmo. 
II- A combinação da autenticação e da criptografia constituem os chamados canais 
seguros, que fornecem serviços de segurança para as tecnologias de comunicação 
existentes. 
III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na 
criptografia de mensagens. 
IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na 
utilização de informações de login e senha por parte dos usuários que quiserem se 
comunicar. 
 
Assinale a alternativa CORRETA: 
 a) As afirmativas I, II e IV estão corretas. 
 b) As afirmativas I e II estão corretas. 
 c) As afirmativas II, III e IV estão corretas. 
 d) As afirmativas I e IV estão corretas. 
 
10. Muito antes que se possa auditar um sistema, você precisará criar as políticas e os 
procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes 
de determinar se algo funcionou, primeiramente será preciso definir como se 
esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento 
onde você avalia todos os componentes de seu sistema e determina como cada um 
deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha 
isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas 
expectativas de linha de base para ver se tudo funcionou conforme planejado. Para 
garantir a qualidade do sistema de gestão da segurança da informação, utilizamos 
normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o 
exposto, assinale a alternativa INCORRETA: 
 
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de 
Janeiro: LTC, 2014. 
 a) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é 
necessária a adoção de todos, além disso, é necessária a integração de outros 
padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 
61508. 
 b) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o 
mundo passaram a investir muito mais em segurança da informação, muitas vezes 
sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser 
referenciada como sinônimo de segurança da informação.c) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da 
Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de 
facilitar o gerenciamento do projeto de Segurança da Informação. 
 d) Conforme especificado pela ISO/ IEC17799, a política de segurança deverá 
apresentar algumas características para ser aprovada pelos colaboradores, 
divulgada e publicada de forma ampla para todos da direção e, por último, a 
criação do comitê de segurança. 
 
11. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de 
segurança capazes de garantir autenticidade, confidencialidade e integridade das 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_10%20aria-label=
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_11%20aria-label=
informações. Com relação a esse contexto, avalie as afirmações a seguir: 
 
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma 
pública e uma privada. 
II. Certificado digital é um documento assinado digitalmente que permite associar 
uma pessoa ou entidade a uma chave pública. 
III. Assinatura digital é um método de autenticação de informação digital 
tipicamente tratado como análogo à assinatura física em papel. 
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores 
por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
 
É correto apenas o que se afirma em: 
 a) II, III e IV. 
 b) I e II. 
 c) I, II e III. 
 d) III e IV. 
 
12. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo 
empreendedorismo e pela busca de meios que levem a uma maior produtividade, 
competitividade e inovação. Os avanços das tecnologias da informação e 
comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela 
significativa dos negócios tem uma dependência forte das TIC. 
Desse modo, manter a disponibilidade da informação e comunicação e manter os 
negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso 
analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na 
imagem e na reputação da empresa, se cada um dos processos de negócio sofresse 
uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável 
documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de 
indisponibilidade da TIC. Nessa situação, é preciso elaborar: 
 a) Plano de negócio de gerência de riscos. 
 b) Plano de negócio de gerenciamento de projetos. 
 c) Plano de negócio. 
 d) Plano de contingência. 
 
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php?action1=RkxYMjA1Nw==&action2=R1RJMDg=&action3=NTE0NzUw&action4=MjAyMC8x&prova=MjAwMDA0MjI=#questao_12%20aria-label=