Gestão da Segurança da Informação - Q21

A Tecnologia da Informação criou diferenciais competitivos importantes para as empresas. A utilização de Sistemas de Informação tornou possível a expansão das atividades de negócio das organizações, principalmente pela automatização de processos de negócio. A esse respeito, considere os objetivos a seguir. 

I - Excelência operacional 

II - Auxílio do processo de tomada de decisões 

III - Vantagem Competitiva 

IV - Sobrevivência da organização 

São objetivos organizacionais dos sistemas de informação

•  a) I e II, apenas.

•  b) I e IV, apenas.

•  c) II e III, apenas.

•  d) II, III e IV, apenas.

•  e) I, II, III e IV.

Gestão da Segurança da Informação - Q20

Uma pessoa leiga no assunto pediu informações a um Analista de TI sobre o papel da Engenharia da Informação (EI) em empresas. O Analista explicou que a EI

•  a) aplica técnicas estruturadas à empresa como um todo ou a um de seus setores.

•  b) tem como objetivo oferecer informações transacionais para tomada de decisão.

•  c) visa a melhorar o desempenho de algoritmos de complexidade exponencial.

•  d) é uma metodologia de desenvolvimento de software com base no RUP.

•  e) é uma ferramenta que busca o conhecimento em dados não estruturados.

Engenharia da Informação (EI):

Definição - A aplicação de um conjunto interligado de técnicas formais de planejamento, análise,
projeto e construção de Sistemas de Informações (SI) sobre uma organização como um todo ou
em um dos seus principais setores.

Gestão da Segurança da Informação - Q19

Assinale a alternativa correta. 

•  a) O custo total de propriedade na área de TI, (Total Cost of Ownership - TCO) refere-se aos custos relacionados à aquisição, ao uso e à manutenção das tecnologias de informação

•  b) O TCO (Total Cost of Ownership - TCO) foi inicialmente desenvolvido pelo Kelvner Group.

•  c) O TCO (Total Cost of Ownership) inclui somente os custos diretos.

•  d) Somente é possível calcular o TCO (Total Cost of Ownership) de um microcomputador.

•  e) O TCO (Total Cost of Ownership) somente é utilizado em empresas de grande porte ( mais de 4.000 funcionários).

TCO (Total Cost of Ownership, ou Custo total de possessão) representa o custo global de um bem (um sistema informático, por exemplo) ao longo de todos o seu ciclo de vida, tendo em conta não somente os aspectos directos (custos materiais como computadores, infra-estruturas redes, etc. ou "software" como o custo das licenças), mas igualmente todos os custos indirectos (custos escondidos) como a manutenção, a administração, a formação dos utilizadores e dos administradores, a evolução, o apoio técnico e custos recorrentes (consumíveis, eletricidade, aluguer, etc.).  

Gestão da Segurança da Informação - Q18

Sobre os riscos e dificuldades que podem surgir ao terceirizar algumas atividades de Tecnologia da Informação, analise as afirmativas a seguir. 

I. Criar uma "colcha de retalhos" com sistemas de informação de difícil integração. 

II. Perder o controle sobre o domínio de padrões coorporativos. 

III. Vazar informações estratégicas e confidenciais. 

Assinale 

•  a) se somente a afirmativa I estiver correta.

•  b) se somente a afirmativa II estiver correta

•  c) se somente a afirmativa III estiver correta.

•  d) se somente as afirmativas I e II estiverem corretas.

•  e) se todas as afirmativas estiverem corretas.

Gestão da Segurança da Informação - Q17

Uma métrica normalmente usada em planos de recuperação de desastres (retorno à normalidade) é:

•  a) ALE

•  b) RTO

•  c) NPV

•  d) ROI

•  e) SLE

O Recovery Time Objective (RTO) é a duração do tempo e um nível de serviço em que um processo de negócio deve ser restabelecido após um desastre (ou interrupção), a fim de evitar consequências inaceitáveis associados a uma ruptura na continuidade dos negócios .

Gestão da Segurança da Informação - Q16

O Decreto n.º 3.505/2000 instituiu a política de segurança da informação nos órgãos e entidades da administração pública federal. Tal atividade consistiu em uma comunicação de metas e(ou) direcionamentos da administração superior e está, portanto, mais relacionada ao domínio de planejamento e organização de TI (área A) que ao domínio de monitoramento (área D).

•  Certo       Errado

PO6 - Comunicar objetivos gerenciais e direção. 
Portanto está relacionado ao domínio de planejamento e organização. Questão correta.

Gestão da Segurança da Informação - Q15

De acordo com as normas de segurança de informações relativas aos processos de definição, implantação e gestão de políticas de segurança, assinale a opção correta.

•  a) Convém que a alta administração da empresa esteja comprometida com a implantação, mas não é necessário aprovar-se o documento da política de segurança.

•  b) Convém que, de acordo com um processo de revisão específico, a política possua um gestor que seja responsável por sua manutenção e análise crítica.

•  c) Convém que as responsabilidades gerais e específicas na gestão da segurança da informação sejam definidas, excluindo-se o registro dos incidentes de segurança.

•  d) Entre outras informações, convém incluir-se no documento de política uma definição de segurança da informação e a importância da segurança como mecanismo que desabilita o compartilhamento da informação.

Gestão da Segurança da Informação - Q14

Os agentes envolvidos com a informação como ativo são:

•  a) proprietário, custodiante, desenvolvedor e implantador.

•  b) proponente, executor, controlador e servidor.

•  c) proprietário, gestor, auditor e avaliador.

•  d) adquirente, customizador, descentralizador e usuário.

•  e) proprietário, custodiante, controlador e usuário.

Segurança da informação – Agentes Envolvidos:

Proprietário, Custodiante, Usuário, e Controlador.

Gestão da Segurança da Informação - Q13

A criptografia simétrica oferece sigilo, integridade, autenticidade e irretratabilidade.

•  Certo       Errado

Criptografia simétrica

     Para proteger uma informação, garantindo a privacidade, ou confidencialidade, é necessário um algoritmo de criptografia capaz de transformar a mensagem original em uma mensagem cifrada, ou seja, não compreensível por uma terceira entidade. O método ou algoritmo para cifrar e decifrar é chamado de cifra.

       Alguns métodos criptográficos baseiam-se no segredo dos algoritmos. Estes algoritmos têm apenas interesse histórico e não são adequados para as necessidades do mundo atual, pois descobrindo o algoritmo pode-se abrir qualquer texto cifrado. 

Gestão da Segurança da Informação - Q12

Segundo as normas ABNT sobre segurança da informação, o tratamento de risco está inserido no processo de

•  a) gestão de riscos.

•  b) aceitação do risco.

•  c) análise de riscos.

•  d) avaliação de riscos.

•  e) análise/avaliação de riscos.

Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]

Gestão da Segurança da Informação - Q11

As ações a serem tomadas imediatamente após a ocorrência de um incidente que coloque em risco as operações do negócio devem estar descritas no plano de continuidade de negócios como procedimentos

•  a) operacionais temporários.

•  b) de ensaio geral.

•  c) de recuperação.

•  d) de restauração.

•  e) de emergência.

Gestão da Segurança da Informação - Q10

Se qualquer não-conformidade for encontrada como um resultado da análise crítica nas áreas sobre o cumprimento das políticas e normas de segurança da informação, NÃO convém que os gestores

•  a) determinem as causas da não-conformidade.

•  b) determinem e implementem ação corretiva apropriada.

•  c) analisem criticamente a ação corretiva tomada.

•  d) avaliem a necessidade de ações para assegurar que a conformidade não se repita.

•  e) registrem os resultados das análises e das ações corretivas e que esses registros sejam mantidos.

d) avaliem a necessidade de ações para assegurar que a conformidade não se repita.
A conformidade deve se repetir. Quem não deve se repetir é a não-conformidade.

Gestão da Segurança da Informação - Q9

No modelo PDCA adotado para estruturar todos os processos do SGSI - Sistema de Gestão de Segurança da Informação, os resultados das atividades da auditoria interna do SGSI estão vinculados ao ciclo PDCA como entrada dos processos na etapa

•  a) Plan (Planejar): estabelecer o SGSI.

•  b) Do (Fazer): implementar e operar o SGSI.

•  c) Check (Verificar): monitorar o SGSI.

•  d) Control (Controlar): analisar criticamente o SGSI.

•  e) Act (Agir): manter e melhorar o SGSI.

Gestão da Segurança da Informação - Q8

As mídias de armazenamento de dados são mais suscetíveis aos riscos provocados por

•  a) obsolescência das informações, decomposição química e desatualização dos sistemas.

•  b) campos eletromagnéticos, decomposição química e obsolescência das informações.

•  c) choques mecânicos, campos eletromagnéticos e decomposição química.

•  d) choques mecânicos, incompatibilidade tecnológica e desatualização dos sistemas.

•  e) incompatibilidade tecnológica, campos eletromagnéticos e obsolescência das informações.

Gestão da Segurança da Informação - Q7

Os riscos quanto à segurança física de determinadas informações dos aplicativos normalmente estão relacionados aos

•  a) conteúdos dessas informações.

•  b) meios de registro ou armazenamento.

•  c) acessos físicos diretos nos computadores.

•  d) acessos físicos por meio das redes.

•  e) mecanismos de proteção contra desastres.

Gestão da Segurança da Informação - Q6

Os sistemas de detecção de intrusos baseados em host (HIDS) executam, entre outras, ações para

•  a) detectar e bloquear tentativa de ataque em um mau sinal.

•  b) permitir que pacotes legítimos passem pela rede.

•  c) fechar a sessão e gerar uma resposta automática quando um pacote parecer quebrar a segurança.

•  d) descobrir tentativas de abertura de sessões TCP ou UDP em portas não autorizadas.

•  e) identificar "IP spoofing" de vários tipos.

O Objetivo do HIDS - Sistema de detecção de intrusão baseado em host - tem o objetivo de monitorar as atividades existentes em um determinaod host, sendo que captura somente o tráfego destinado a um único host e não gera carga para a CPU.

Vantagens dos HIDS

• Podem trabalhar em rede com criptografia, como analisam os hosts, verifica os dados antes de serem criptográficos e depois de serem descriptografados
• 
  Conseguem monitorar eventos locais
• 
  Não tem problema em rede com switches
• Detecta cavalo de tróia e outros ataques que envolve brechas na integridade dos softwares.Vantagens dos HID

Desvantagens do HIDS

• Dificuldade de gerar vários HIDS
• 
  O ataque que conseguir invadir um host em que o IDS está instalado pode comprometer ou desabilitar o IDS
• 
  Não pode detectar scan de porta ou outra ferramente da varredura que tenha com o alvo a rede
• Se a quantidade de informação for muita pode ser necessário adicional mais espaço para armazenamento do log
• 
  Influencia no desempenho do host que está instalado, porque consome recursos para o processamento das informações e regras de IDS.

Gestão da Segurança da Informação - Q5

Nas atividades operacionais de elaboração de um plano de contingência NÃO deverão envolver-se diretamente representantes das áreas de

•  a) operações e infra-estrutura de TI.

•  b) segurança da informação.

•  c) negócios da empresa.

•  d) desenvolvimento de sistemas.

•  e) auditoria de sistemas.

Gestão da Segurança da Informação - Q4

Instrumento que define as normas a serem aplicadas na empresa e praticadas por seus funcionários, colaboradores, prestadores de serviço, clientes e fornecedores, com o objetivo de preservar os ativos de informação livres de risco, assegurando a continuidade dos negócios. É a definição de

•  a) Informação.

•  b) Gerência de Relacionamento de Clientes.

•  c) Gestão de Tecnologia da Informação.

•  d) Política de Segurança da Informação.

•  e) Infraestrutura de Tecnologia da Informação.