Disciplina: Segurança em Tecnologia da Informação (GTI08)

Avaliação: Avaliação II - Individual FLEX ( peso.:1,50)

Nota da Prova: 10,00
Legenda: Resposta Certa Sua Resposta Errada

1. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a
confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o
comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a
disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI,
analise as sentenças a seguir:

I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se
ao elemento vigilância.
II- A postura é a conduta com relação à segurança, refere-se ao elemento postura.
III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do
plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças.
IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas
da organização.

Agora, assinale a alternativa CORRETA:

a) As sentenças I, III e IV estão corretas.
b) Somente a sentença III está correta.
c) As sentenças II, III e IV estão corretas.
d) As sentenças I, II e IV estão corretas.

2. Para o sucesso da implementação do plano de contingência em uma empresa, é de suma importância que
sejam observadas as funções críticas dos negócios, as quais podem estar enquadradas como de alto, médio ou
baixo risco. Com esta avaliação feita, serão aplicadas as proteções mais apropriadas para cada caso. Assim, os
planos de contingência de uma empresa devem garantir que:

I- Sejam suficientemente abrangentes para cobrir aspectos físicos, lógicos, de redes, de propriedades
intelectuais, de pessoas, transacionais, entre outros.
II- No momento da ocorrência de algum sinistro, a equipe deve realizar o planejamento da solução e da sua
recuperação.
III- Estejam previstos testes periódicos destes planos.
IV- Na existência de backups com diversas periodicidades, os backups mensais estejam atualizados.
V- Os backups possam ser recuperados com pouca ou nenhuma dificuldade.

Assinale a alternativa CORRETA:

a) As sentenças I, III e V estão corretas.
b) As sentenças II, IV e V estão corretas.
c) As sentenças I, II e III estão corretas.
d) As sentenças I, III, IV e V estão corretas.

3. Periodicamente os Planos de Continuidade de Negócios devem ser avaliados. Esta ação com visão de
auditoria tem como um dos objetivos averiguar se o seu contexto e aplicabilidade estão em conformidade com
as necessidades atuais da empresa, visto que é necessário acompanhar as atualizações tecnológicas
promovidas nesses ambientes. Essas atualizações podem ser percebidas, tanto nos seus recursos físicos de
infraestrutura quanto nos aplicativos, ambos a serviço dos negócios da empresa. Então, é correto afirmar que:

I- Não são aceitos equipamentos de contingenciamento que não forem exatamente iguais aos principais, pois
 compromete este contingenciamento.
II- Deve-se manter uma relação completa e atualizada dos aplicativos.
III- A matriz de responsabilidade é algo opcional, visto que cada um deve saber sobre suas responsabilidades.
IV- No caso de ocorrência de sinistros, deve haver clareza quanto às prioridades de ativação dos sistemas com
relação à sua importância no contexto geral.

Assinale a alternativa CORRETA:

a) As sentenças I, II e III estão corretas.
b) Somente a sentença IV está correta.
c) As sentenças III e IV estão corretas.
d) As sentenças II e IV estão corretas.

4. A rotina da geração das cópias de segurança em ambiente de informação é um ponto muito importante e que
deve ser amplamente planejado. A frequência com que estas cópias serão geradas, normalmente, pode seguir a
frequência com que as informações sofrem as atualizações. Assim, como exemplo, se um banco de dados de
um sistema de informação de uma organização recebe atualizações constantes e diárias, também diária deverá
ser a geração das cópias de segurança. Entretanto, tão importante quanto gerar as cópias de segurança é poder
utilizá-las para a pronta restauração. Desta forma, os testes de restauração (restore) devem ser periódicos, com
o objetivo de garantir a qualidade dos backups. Sobre os testes de restauração das cópias de segurança,
classifique V para as sentenças verdadeiras e F para as falsas:

( ) Nos testes deve ser verificada a integridade da informação armazenada.

( ) Nos testes deve ser avaliada a funcionalidade dos procedimentos.
( ) Nos testes devem ser verificadas a capacitação e a falta de treinamento da equipe.
( ) Nos testes, mesmo que tenha sido identificado algum procedimento desatualizado ou ineficaz, o mais
importante é que a cópia seja gerada.
( ) Nos testes, se identificadas falhas ou defeitos no processo do backup, sempre a solução será fazer novas
cópias.

Assinale a alternativa que apresenta a sequência CORRETA:

a) F - V - F - V - F.
b) V - F - V - V - V.
c) V - V - V - F - F.
d) F - F - V - F - F.

5. Dada a importância que a elaboração de um plano de continuidade de negócios (PCN) tem atualmente para as
organizações, é essencial que este plano seja auditado e testado antes de sua implantação efetiva. Com relação
ao teste e à auditoria de PCN, classifique V para as sentenças verdadeiras e F para as falsas:

( ) Os testes do PCN devem avaliar se as responsabilidades atribuídas às pessoas e às equipes de

contingência estão de acordo com o perfil e as habilidades das mesmas.
( ) A auditoria de PCN precisa verificar se os sistemas de informação conseguirão desempenhar as funções
que se espera deles no caso de um evento de falha de segurança.
( ) Visto que a alta diretoria não desempenhará nenhum papel operacional na execução de um PCN, seu
envolvimento somente ocorrerá na etapa de definição do mesmo.
( ) A auditoria de PCN deve verificar se os contratos de fornecedores externos atendem aos requisitos
definidos no plano.
( ) O PCN deve ser divulgado para todos os colaboradores da organização, no sentido de aumentar a
conscientização.

Agora, assinale a alternativa que apresenta a sequência CORRETA:

a) F - V - F - V - F.
 b) V - F - V - V - F.
c) V - V - F - V - F.
d) V - V - F - F - V.

6. A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes tarefas para
que sua composição atenda plenamente aos requisitos de segurança e retomada de atividades. É fundamental
que os processos críticos sejam identificados, que a análise e a classificação dos impactos sejam devidamente
realizadas, que a documentação necessária seja gerada, assim como o treinamento e a conscientização de
pessoal. Sobre a análise e a classificação dos impactos, assinale a alternativa CORRETA que apresenta o
nome da ferramenta de apoio para esta atividade:
a) CM.
b) BIA.
c) BRP.
d) EP.

7. A tecnologia da informação, em função de sua natureza complexa, necessita constantemente de novos

planejamentos e revisões periódicas em seus processos, visto que muitas evoluções decorrem, com elevada
frequência. Para que um Plano de Continuidade de Negócio alcance os seus objetivos, algumas características
devem ser observadas. Assinale a alternativa CORRETA que não corresponde a esta expectativa:
a) As comunicações a respeito da existência do PCN devem ser restritas ao pessoal da TI, pois se trata de um
processo sigiloso.
b) O plano de continuidade deve ser revisado e testado periodicamente.
c) No PCN, devem ser criados os procedimentos corretivos e de recuperação desenhados para trazer os
negócios de volta à posição em que se encontravam antes do incidente ou desastre.
d) Deve-se fazer a avaliação de risco e impacto no negócio (BIA).

8. As questões da segurança da informação envolvem também recursos de hardware, que igualmente devem ser
salvaguardados quanto a possíveis ações de mal uso. A destruição ou danificação destes equipamentos
também devem ser pontos a considerar. As informações necessitam dos meios para suportá-las, e sua pronta
recuperação deve ser possível. Portanto, se foi realizado um backup, deverá ser possível fazer o seu restore.
Sobre as cópias de segurança, classifique V para as sentenças verdadeiras e F para as falsas:

( ) O conceito de volatilidade da informação se refere ao tempo que ela permanece ativa e necessária para a
organização.
( ) O conceito de velocidade da informação se refere a como estas podem ser recuperadas a partir de uma
mídia.
( ) Para todos os backups devem existir registros das operações envolvidas na ação de realizar a cópia.
Sugere-se constar as informações da frequência, como diários, semanais, mensais e anuais.
( ) Deve-se especificar o recurso de mídia utilizado (CD, DVD, fita DAT, disquete etc.).
( ) Deve-se especificar o período de tempo em que as informações constantes na mídia devem ficar retidas
para assegurar uma maior proteção ao negócio.

Assinale a alternativa que apresenta a sequência CORRETA:

a) V - V - F - F - V.
b) F - V - F - V - F.
c) F - F - V - V - V.
d) V - F - F - V - F.

9. Em sistemas de informação, existe grande possibilidade de que sistemas, servidores e aplicações, por algum
momento, ficarem desativados. Os administradores de sistemas, analistas e programadores sempre buscam
 que os imprevistos não ocorram. As organizações e estes departamentos desenvolvem estruturas físicas e
lógicas para suprir qualquer contingência que venha a ocorrer. Exemplo disso é implantar sistemas de backup
e possuir configurado sempre mais do que um servidor em funcionamento; estes são os itens mais importantes
para o funcionamento de uma estrutura de um Datacenter. Alguns procedimentos devem ser realizados
quando servidores, switchs e equipamentos de rede deixam de funcionar. Sobre esses procedimentos,
classifique V para as opções verdadeiras e F para as falsas:

( ) Servidores atualizados, substituição de equipamentos de rede.

( ) Divulgação dos problemas de rede e conscientização dos funcionários.
( ) Manutenção da estrutura de rede e restauração dos backups.
( ) Treinamento dos programas incorporados e utilização de hardware.

Agora, assinale a alternativa que apresenta a sequência CORRETA:

a) V - F - V - F.
b) F - V - V - F.
c) F - V - F - V.
d) V - V - F - F.

10.A fase do planejamento da política de segurança necessita por parte de seus agentes, um entendimento global
e abrangente sobre todos os recursos de informação, sejam eles físicos ou lógicos, para que as
vulnerabilidades, pontos fracos e riscos sejam mapeados, compreendidos e tratados dentro da política.
Normalmente, a visão que se tem com relação à segurança, em geral, está pautada nas ações reativas, mas que
representam sérios problemas no tocante aos esforços e dispêndio financeiro, quando na busca da
recuperação. Esta visão muda a partir do momento em que é criada uma política de segurança. Classifique V
para as sentenças verdadeiras e F para as falsas:

( ) A abordagem proativa é essencial, mas, não depende diretamente de uma política de segurança e sim da
proatividade das equipes de segurança.
( ) A abordagem proativa define claramente as responsabilidades individuais,
( ) A abordagem proativa deve facilitar o gerenciamento da segurança em toda a organização,
( ) A política proativa trata da questão da segurança das informações com a visão ?Será que o sistema será
atacado??.
( ) A política proativa irá reduzir consideravelmente os custos das não conformidades.

Assinale a alternativa que apresenta a sequência CORRETA:

a) V - F - F - V - V.
b) F - V - V - F - V.
c) V - V - F - V - F.
d) F - F - V - V - V.