Segurança em Tecnologia da Informação (GTI08) 3

Prévia do material em texto

Ronaldo Belizário Lima da Silva (2663890)
	
	
	
	Disciplina:
	Segurança em Tecnologia da Informação (GTI08)
	
	Avaliação:
	Avaliação Final (Objetiva) - Individual FLEX ( Cod.:514750) ( peso.:3,00)
	
	Prova:
	19219398
	Nota da Prova:
	9,00
	
Legenda: Ícone representando resposta correta Resposta Certa  Ícone representando resposta incorreta Sua Resposta Errada  
	1.
	O engenheiro de software da AOL Jason Smathers, 24 anos, foi preso em West Virgínia, próximo à sede do provedor. Promotores entraram com processo na Justiça Federal americana acusando Smathers e Sean Dunaway, 21 anos e suposto comprador da lista de endereços de e-mail, por conspiração ao enviar uma enorme quantidade de mensagens comerciais não solicitadas para milhões de clientes da AOL. Os advogados alegam que Smathers usou seu conhecimento como membro do quadro de funcionários da AOL para roubar o banco de dados com os nomes de assinantes do provedor em maio de 2003. A AOL demitiu Smathers, e se condenados, ele poderá passar até cinco anos na prisão e pagar multas de até 250 mil dólares. Além das propriedades de confidencialidade, integridade e disponibilidade que foram violadas, qual foi a outra violação?
FONTE: FONTES, Eduardo. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
	Ícone representando resposta correta a)
	Legalidade.
	fundo_transparente_16x16.png b)
	Não repúdio de auditoria.
	fundo_transparente_16x16.png c)
	Auditabilidade.
	fundo_transparente_16x16.png d)
	Confirmação de propriedade.
	2.
	Os sistemas de informação computadorizados e o acesso às dependências onde eles se encontram são em muitos casos negligenciados. Muito se ouve falar de criptografia, bloqueio, restrição de acesso e tantas outras técnicas criadas para dificultar o acesso de pessoas não autorizadas a dados sigilosos, no entanto, pouco sobre técnicas de segurança para proteger o hardware sobre o qual esses sistemas estão funcionando. Quando o assunto é colocado em pauta, as informações não são divulgadas como deveriam. Os profissionais e usuários, com pouco conhecimento de segurança em informática acabam por desacreditar da possibilidade de ocorrência de graves prejuízos para a empresa. Com relação ao acesso ao físico, analise as sentenças a seguir:
I- Quando a empresa define um acesso físico restrito, a segurança lógica acaba sendo desnecessária.
II- Um exemplo de barreira física que limita o acesso seria uma sala-cofre ou roletas de controle de acesso físico.
III- Como exemplo de uma barreira física, podemos citar uma simples parede ou até mesmo uma cerca elétrica, já na estrutura lógica, um logon em uma rede.
IV- Um firewall pode ser configurado para bloquear todo e qualquer tráfego no computador ou na rede.
Assinale a alternativa CORRETA:
FONTE: SILVA, Gilson Ferreira; SCHIMIGUEL, Juliano. Segurança em ambiente de TI: Segurança física da informação em pequenas empresas e estudo de caso em Jundiaí/SP. Revista Observatorio de la Economía Latinoamericana, Brasil, mar. 2017.
	fundo_transparente_16x16.png a)
	As sentenças I, II e III estão corretas.
	fundo_transparente_16x16.png b)
	Somente a sentença IV está correta.
	Ícone representando resposta correta c)
	As sentenças II, III e IV estão corretas.
	fundo_transparente_16x16.png d)
	As sentenças I e IV estão corretas.
	3.
	Saber que uma pessoa é realmente quem diz ser é uma das questões mais complexas no mundo real e também no virtual. No mundo corporativo, quando você acessa o ambiente computacional, é necessário ter uma identificação e uma forma de se autenticar, seja por meio de senha, cartão, característica biométrica ou uma combinação desses meios. A partir desse momento, o computador entende que, se houver identificação e autenticação de forma correta, o acesso às informações pode ser liberado. A autenticação da pessoa é um fator básico para a existência da segurança da informação. Sobre as possíveis formas de incidentes, analise as seguintes afirmativas:
I- Os incidentes acidentais são os decorrentes de ignorância de algum funcionário.
II- Podem ser considerados incidentes intencionais a distração e a negligência.
III- Os acidentes acidentais podem ser gerados por fraudes ou vingança.
IV- Os incidentes intencionais, podem ser causados por descontentamento.
Assinale a alternativa CORRETA:
	fundo_transparente_16x16.png a)
	Somente a afirmativa II está correta.
	Ícone representando resposta correta b)
	As afirmativas I e IV estão corretas.
	fundo_transparente_16x16.png c)
	As afirmativas II e III estão corretas.
	fundo_transparente_16x16.png d)
	Somente a afirmativa IV está correta.
	4.
	Segurança da informação é a proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou organização. O conceito de Segurança da Informática ou Segurança de Computadores está intimamente relacionado ao de
Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si. Quais são os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um grupo de informações que se deseja proteger?
	fundo_transparente_16x16.png a)
	Consistência, integridade e disponibilidade.
	fundo_transparente_16x16.png b)
	Confidencialidade, persistência e disponibilidade.
	fundo_transparente_16x16.png c)
	Confidencialidade, integridade e durabilidade.
	Ícone representando resposta correta d)
	Confidencialidade, integridade e disponibilidade.
	5.
	Com o objetivo de guiar a análise, o planejamento e a implementação da política de segurança de uma organização, deve-se levar em consideração os princípios da integridade, confidencialidade e disponibilidade das informações. Neste sentido, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O ITIL propõe um conjunto de boas práticas alicerçado na experiência de várias organizações, e que permitirá estabelecer um conjunto de técnicas, a fim de aumentar a eficiência no gerenciamento da segurança de TI.
(    ) O plano de continuidade visa a estabelecer exclusivamente critérios para a recuperação das atividades que envolvem os recursos tecnológicos.
(    ) A auditoria nas redes de computadores visa a certificar a sua confiabilidade no aspecto físico e lógico.
(    ) Entre os principais objetivos de um sistema geral de controle interno é a manutenção da integridade das informações.
(    ) Avaliação dos controles internos em ambientes informatizados é uma atividade decisiva na realização dos trabalhos de auditoria, sendo interessante que o auditor tenha conhecimento na área TI.
Assinale a alternativa que apresenta a sequência CORRETA:
	fundo_transparente_16x16.png a)
	F - V - F - V - F.
	fundo_transparente_16x16.png b)
	F - F - V - F - V.
	Ícone representando resposta correta c)
	V - F - V - V - V.
	Ícone representando resposta incorreta d)
	V - V - F - F - V.
	6.
	Segurança da informação significa proteger seus dados e sistemas de informação de acessos e uso não autorizados, divulgação, modificação, leitura, gravação, inspeção e destruição. O conceito de segurança da informação está ligado à confidencialidade, à integridade e à disponibilidade da informação. O conceito de segurança de processamento está ligado à disponibilidade e operação da infraestrutura computacional. Esses conceitos são complementares e asseguram a proteção e a disponibilidade das informações das organizações. O impacto da perda e/ou violação de informações para empresa é enorme e pode, em alguns casos, levá-la à falência. Com relação à segurança ambiental das informações, analise as afirmativas a seguir:
I- A parte de climatização na segurança ambiental refere-se ao bem-estar dos usuários somente na utilização do ambiente.
II- Em decorrência da necessidade do controle das condições ambientais e de confiabilidade para o sistema de condicionamento de ar, é recomendável a instalação de condicionadores do tipo compacto (self-contained) ou de central de água gelada.
III- Sistemas de detecção de incêndio e sensoresautomáticos, além de brigada de incêndio, devem ser constantemente verificados e treinados.
IV- A retirada do descarte e do transporte são fatores ambientais que devem ter controles específicos, evitando que informações sejam acessadas indevidamente.
Assinale a alternativa CORRETA:
FONTE: http://efagundes.com/artigos/seguranca-da-informacao/. Acesso em: 30 out. 2018.
	fundo_transparente_16x16.png a)
	As afirmativas I e IV estão corretas.
	Ícone representando resposta correta b)
	As afirmativas II, III e IV estão corretas.
	fundo_transparente_16x16.png c)
	As afirmativas I e II estão corretas.
	fundo_transparente_16x16.png d)
	As afirmativas I e III estão corretas.
	7.
	É comum que os executivos das organizações tenham uma visão distorcida com relação à segurança das informações da organização. Segurança significa corrigir as falhas no ambiente de tecnologia. Precisamos estar com o antivírus atualizado, firewall bem configurado etc. Essa associação da segurança com a tecnologia é bastante utilizada pelo simples fato de que, realmente, a área de TI da empresa é a responsável pelo suporte e manutenção dos processos de negócio existentes. No entanto, a segurança não envolve somente o ambiente de tecnologia. Existe outra preocupação, que nem sempre é tratada com a devida importância, que é a segurança física dos ambientes. Com relação à segurança ambiental todos fazer parte, assinale a alternativa INCORRETA:
FONTE: https://www.portaleducacao.com.br/conteudo/artigos/conteudo/seguranca/19075. Acesso em: 30 out. 2019.
	Ícone representando resposta correta a)
	Climatização.
	fundo_transparente_16x16.png b)
	Energia alternativa.
	fundo_transparente_16x16.png c)
	Localização.
	fundo_transparente_16x16.png d)
	Armazenamento em nuvem.
	8.
	A Gestão da Continuidade de Negócios ajuda a empresa a definir os processos chave e os impactos que resultariam da concretização de situações de interrupções, e preparar-se para responder a estes cenários, continuar os negócios e recuperar-se no menor tempo possível. Sobre os procedimentos que devem ser gerenciados, analise as afirmações: 
I- Deve-se garantir a formalidade do plano, através de um documento escrito, além de ser testado e amplamente divulgado e deve ser disponibilizado treinamento.
II- Os procedimentos de urgência/emergência devem ser descritos e também testados.
III- Deve-se garantir os procedimentos corretivos e de recuperação para trazer os negócios de volta à posição inicial, antes do incidente ou desastre.
IV- Procedimentos para comunicação interna de reporte de erros.
Assinale a alternativa CORRETA:
FONTE: http://www.abseg.org.br/textos-associados-abseg/gestao-da-continuidade-de-negocios-gcn/. Acesso em: 4 abr. 2018.
	fundo_transparente_16x16.png a)
	Somente a sentença III está correta.
	Ícone representando resposta correta b)
	As sentenças I, II e III estão corretas.
	fundo_transparente_16x16.png c)
	As sentenças II e IV estão corretas.
	fundo_transparente_16x16.png d)
	As sentenças I e IV estão corretas.
	9.
	Muito antes que se possa auditar um sistema, você precisará criar as políticas e os procedimentos que estabeleçam as regras e os requisitos desse sistema, ou seja, antes de determinar se algo funcionou, primeiramente será preciso definir como se esperava que funcionasse. Isso é conhecido como avaliação de sistema. É o momento onde você avalia todos os componentes de seu sistema e determina como cada um deve funcionar. Isso define suas expectativas de linha de base. Uma vez que tenha isso, você poderá auditá-lo. Você compara o desempenho do sistema a suas expectativas de linha de base para ver se tudo funcionou conforme planejado. Para garantir a qualidade do sistema de gestão da segurança da informação, utilizamos normas e padrões como o Padrão BS7799 e a Norma ISO/IEC 17799. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas:
(    ) O Ciclo PDCA foi criado em 1920 e, ainda hoje, é o principal método da Administração pela Qualidade Total, sendo indicado na BS7799-2 como meio de facilitar o gerenciamento do projeto de Segurança da Informação.
(    ) A norma ISO/IEC 17799 surgiu num momento em que as organizações de todo o mundo passaram a investir muito mais em segurança da informação, muitas vezes sem orientação. Devido a sua notoriedade, a norma ISO 17799 passou a ser referenciada como sinônimo de segurança da informação.
(    ) A ISO/IEC 17799 contempla ao todo 127 controles, porém nem sempre é necessária a adoção de todos, além disso, é necessária a integração de outros padrões e normas, dentre os quais podem ser destacados ISO/IEC 13335 e IEC 61508.
(    ) Conforme especificado pela ISO/ IEC17799, a política de Segurança deverá apresentar algumas características para ser aprovada pelos colaboradores, divulgada e publicada de forma ampla para todos da direção e, por último, a criação do comitê de segurança.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: KIM, David. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
	Ícone representando resposta correta a)
	V - V - V - F.
	fundo_transparente_16x16.png b)
	V - F - F - F.
	fundo_transparente_16x16.png c)
	F - V - V - V.
	fundo_transparente_16x16.png d)
	F - F - F - V.
	10.
	Os administradores de sistemas, analistas e programadores sempre buscam evitar que imprevistos ocorram e que os sistemas, servidores e aplicações não tenham problemas de acesso. Para evitar esses problemas, as organizações desenvolvem estruturas físicas e lógicas para suprir qualquer contingência que venha a ocorrer. Alguns procedimentos devem ser realizados quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos que devem ser adotados, assinale a alternativa CORRETA:
	Ícone representando resposta correta a)
	Servidores atualizados, substituição de equipamentos de rede.
	fundo_transparente_16x16.png b)
	Divulgação dos problemas de rede e conscientização dos funcionários.
	Ícone representando resposta incorreta c)
	Manutenção periódica, backups e restauração das redes.
	fundo_transparente_16x16.png d)
	Treinamento dos programas incorporados e utilização de hardware.
	11.
	(ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir:
I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada.
II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública.
III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel.
IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. 
É correto apenas o que se afirma em:
	fundo_transparente_16x16.png a)
	II, III e IV.
	Ícone representando resposta correta b)
	I, II e III.
	fundo_transparente_16x16.png c)
	I e II.
	fundo_transparente_16x16.png d)
	III e IV.
	12.
	(ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC.
Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade deocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar:
	Ícone representando resposta correta a)
	Plano de contingência.
	fundo_transparente_16x16.png b)
	Plano de negócio.
	Ícone representando resposta incorreta c)
	Plano de negócio de gerência de riscos.
	fundo_transparente_16x16.png d)
	Plano de negócio de gerenciamento de projetos.