SóProvas



Prova CESPE - 2010 - TCU - Auditor Federal de Controle Externo - Tecnologia da Informação - Parte II


ID
195271
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de engenharia de requisitos.

Para o desenvolvimento de casos de uso, é fundamental a identificação dos atores, tanto os principais quanto os secundários, já na primeira iteração do levantamento de requisitos.

Alternativas
Comentários
  • Na primeira iteração do levantamento de requisitos, identifica-se primeiramente APENAS os atores principais.

  •  Não há impedimento que outros atores sejam identificados em outras iterações.

  • Eu penso que nada garante que os atores estarão claros ou bem definidos na primeira iteração.
    Pode ser necessário uma compreensão do sistema antes de identificar os atores, o que pode acontecer em iterações posteriores.
  • Atores secundários são aqueles que existem apenas para que os atores primários utilizem o sistema. (Fonte: Princípios de Análise e projeto de Sistemas com UML). Logo, é pouco provável que já na primeira iteração, possa-se identificá-los.
  • Capítulo 7, Engenharia de Requisitos (PRESSMAN), página 130:

    “Como o levantamento de requisitos é uma atividade evolutiva, nem todos os atores são identificados durante a primeira iteração. É possível identificar atores principais durante a primeira iteração, e os atores secundários quando se fica sabendo mais a respeito do sistema. O atores principais interagem para conseguir a função desejada do sistema e derivar o benefício pretendido com o sistema. Eles trabalham direta e frequentemente com o software. Os atores secundários dão suporte ao sistema, de modo que os atores principais possam fazer o seu trabalho."

    Errado. Apenas os atores PRINCIPAIS são identificados na primeira iteração.

ID
195274
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de engenharia de requisitos.

O checklist de validação é uma forma útil de averiguar se determinado requisito pode ser testado e, em caso afirmativo, se os testes podem ser especificados.

Alternativas
Comentários
  •  É frequentemente útil examinar cada requisito em face de um conjunto de questões do tipo checklist. Eis aqui um pequeno subconjunto de questões que poderiam ser formuladas:
    (…)
    O requisito pode ser testado? Em caso positivo, podemos especificar os testes (algumas vezes chamados critérios de validação) para exercitar o requisito? (…)

     

    comentado por Alessandra Lima
    http://waltercunha.com/blog/index.php/2010/09/22/questoes-de-engenharia-de-requisitos-da-prova-tcu-2010/

  • Fonte: Engenharia de Software - Roger s. Pressman (Sexta Edição)
    Página: 120

    7.2.6 - Validação
    Checklist de Validação dos Requisitos
    É frequentemente útil examinar cada requisito em face de um conjunto de questões do tipo checklist. Eis aqui um pequeno subconjunto de questões que poderiam ser formuladas: (...) O requisito pode ser testado? Em caso positivo, podemos especificar os testes (algumas vezes chamados critérios de validação) para exercitar o requisito? (…)
  • Para sommerville:

    Os artefatos produzidos como consequência da engenharia de requisitos são avaliados quanto à qualidade durante a etapa de validação

    A validação examina a especificação (Em alguns casos, a especificação é um conjunti de cenários de usuários e pouco mais do que isso. Em outros, a especificação pode ser um documento contentando cenários, modelos e descrições por escrito) para garantir que todos os requisitos tenham sido declarados de forma não ambígua, que as inconsistências, omissões e erros tenham sido detectados e corrigidos e que os artefatos estejam de acordo com os padrões estabelecidos para o processo, projeto e produto

    O principal mecanismo de validação de requisitos é a revisão técnica. A equipe de revisão (engenheiros, clientes, usuários e outros interessados) examinam a especificação em busca de erros no conteúdo ou na interpretação, áreas em que talvez sejam necessários esclarecimentos de informações faltantes, de inconsistências, requisitos conflitantes ou requisitos irreais (inatingíveis)

    Para isso, pode ser usada um check list de validação de requisitos: examina cada requisito em relação a um conjunto de perguntas contidas em uma lista de controle


  • Isso não é Verificação não?



ID
195277
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens seguintes, a respeito de engenharia de requisitos.

Por se tratar de função essencial da engenharia de requisitos, a gestão formal de requisitos é indispensável mesmo para projetos de pequeno porte, com apenas duas ou três dezenas de requisitos identificáveis.

Alternativas
Comentários
  • Questão de Rodapé.

    Pressman 6ed, p121

    Veja link abaixo

    http://screencast.com/t/OWFmNWJhZDct

  • Conforme o livro do Pressman.

    A gestão formal de requisitos é iniciada somente para grandes projetos com centenas de requisitos identificáveis, Para projetos pequenos, essa função de engenharia de requisitos é consideravelmente menos formal.

  • Desculpem, mas pedir nota de rodapé já é demais!
  • Quer o que tb, né? Pra entrar no TCU é isso ae, saber até nota de rodapé!
  • Essa tava na cara que tava errada, não precisava nem saber de requisito.


    Quem vai limitar ou não os requisitos em duas ou três dezenas!?

  • gestão formal de requisitos é algo dispendioso... para sistemas pequenos, a rastreabilidade pode ser informal...


ID
195280
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Com referência à engenharia de usabilidade, julgue os próximos
itens.

Vantagem competitiva e redução de custos de manutenção estão entre os benefícios mensuráveis que podem ser obtidos de um sistema usável.

Alternativas
Comentários
  • Um investimento em usabilidade pode trazer diversos benefícios para as partes envolvidas no desenvolvimento do produto de software. Esses benefícios advêm não só da qualidade do produto, mas também da utilização de técnicas que torna o processo de desenvolvimento mais eficiente e efetivo.

    Em termos de benefícios pra o negócio, podemos citar:

    • Diminuição no custo e tempo de desenvolvimento
    • Satisfação do cliente
    • melhoria em credibilidade no mercado
    • Diminuição do risco do projeto
    • Melhoria radical de chances de  sucesso no mercado
    • maiores vendas: produto tem melhor aceitação, por ser mais ituitivo de se usar --> vantagem competitiva.

    fonte: http://homepages.dcc.ufmg.br/~clarindo/arquivos/disciplinas/eu/material/referencias/apostila-usabilidade.pdf

     

  • Alguém tem uma fonte que comprove a redução do custo de manutenção?

    O texto da colega acima fala apenas da redução do custo de desenvolvimento.

    Não consigo perceber uma ligação entre desenvolver com usabilidade e reduzir o custo de manutenção. Na minha opnião, devido a tantos testes e um desenvolvimento cuidadoso, só faz com que o desenvolvimento e a manutenção sejam mais demoradas, e como consequencia mais cara.
  • Pressman, Roger S.; Engenharia de Software - 6ª ed.;

    Capítulo 12, pg. 268:

    "Entre os muitos benefícios mensuráveis derivados de um sistema usável [DON99] estão o aumento de vendas e a satisfação do usuário, vantagem competitiva, melhores opiniões na mídia, melhores comentários, custos de manutenção reduzidos, produtividade do usuário final melhorada, custos de treinamento reduzidos, custos de documentação reduzidos, probabilidade reduzida de litígio por clientes insatisfeitos."

  • Fonte: NBR ISO/IEC 9126-1/2003

    McLovin, veja:

    Segundo a NBR 9126 - Modelo de qualidade - Trata da qualidade de uso de um software - que é a evolução da usabilidade.

    A necessidade de qualidade gera requisitos interno e externos e para satisfazê-los existem as característica de qualidade interna, externa e qualidade de uso.

    As categorias de qualidade interna e externa dividem-se em

    Funcionalidade: Adequação, Acurácia, Interoperabilidade, Segurança de acesso, Conformidade relacionada à funcionalidade

    Confiabilidade: Maturidade, Tolerância a falhas, Recuperabilidade, conformidade relacionada à confiabilidade;

    Usabilidade: Inteligibilidade, Apreensibilidade, Operacionalidade, Atratividade, Conformidade relacionada à Usabilidade;

    Eficiência: Comportamento em relação ao tempo, Utilização de recursos, Conformidade relacionada à Eficiência;

    Manutenibilidade: Analisabilidade, Modificabilidade, Estabilidade, Testabilidade, Conformidade relacionada à Manutenibilidade;

    Portabilidade: Adaptabilidade, Capacidade para se instalado,Coexistência, Capacidade para substituir, Conformidade relacionada à Portabilidade.

    Veja, a observação de certas categorias leva a aplicação a ter um número menor de erros, e a observação da categoria Manutenibilidade leva a aplicação a ser mais fácil de manutenir, reduzindo assim os custos de manutenção.

    Bons estudos!!


ID
195283
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Com referência à engenharia de usabilidade, julgue os próximos
itens.

Identificar categorias e definir os objetivos de teste para cada categoria são recomendações normalmente consideradas para a elaboração de teste de usabilidade.

Alternativas
Comentários
  • A única maneira de determinar se existe ou não "usabilidade" em um sistema que estamos construindo é realizar a avaliação ou teste de usabilidade.

    Fonte: Pressman, Cap. 11, 7ª edição, pg. 291.

ID
195286
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Com referência à engenharia de usabilidade, julgue os próximos
itens.

Se um sistema é utilizável com instrução ou ajuda contínua, então há usabilidade nesse sistema.

Alternativas
Comentários
  •  A usabilidade e? relacionada a? efica?cia e eficie?ncia da interface diante do usua?rio e pela reac?a?o do usua?rio diante da interface.

    Se o sistema é utilizável com ajuda contínua, sua interface não é eficaz ou eficiente. 

  • Apud, questão comentada por Leoh

    Pressman, 6ed, pg268

    Imagem abaixo

    http://screencast.com/t/M2VjMmQ4

  • Não gostei dessa questão. Não tá falando que o sistema é utilizável APENAS com instrução ou ajuda contínua. Às vezes uma função é utilizada com instrução ou ajuda e por isso podemos dizer que não há usabilidade em todo sistema? 


ID
195289
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Com referência à engenharia de usabilidade, julgue os próximos
itens.

Uma questão do tipo A interação é simples? jamais deve ser utilizada para determinar se a usabilidade foi atingida em um sistema.

Alternativas
Comentários
  • Pressman, 6ed, pg268

    Imagem abaixo

    http://screencast.com/t/M2VjMmQ4

  • Errada.

    Outra fonte para questão:


    Dez regras heurísticas de usabilidade segundo Nielsen que são:

    §Visibilidade do estado atual do sistema: O sistema deve manter o usuário avisado do que está acontecendo por trás dos processos, por meio de feedbacks em tempo hábil. O uso de barras de progressos e avisos textuais, por exemplo, é uma prática muito utilizada.
    §Correlação entre o sistema e o mundo real: O sistema deve conter uma analogia ao mundo real, usando um dialeto conhecido por um usuário. Utilizar a frase “Erro na transação SQL na thread 502, a query sofreu um rollback, e foi cancelada” é muito técnico, a mesma mensagem pode obedecer a esta proposta com a frase “Não foi possível enviar seus dados para serem armazenados, consulte a ajuda sobre o erro 109″.
    §Controle versus liberdade do usuário: O sistema deve ser capaz de prever possíveis erros do usuário, quando selecionam opções erradas. O sistema deve ter mecanismos que possam desfazer os erros inseridos pelos usuários.
    §Controle e Consistência: O usuário não deve ter que se preocupar em deduzir que palavras e situações diferentes podem significar a mesma coisa. Ele deve entender e ter certeza.
    §Prevenção de Erros: Uma boa interface não é aquela que exibe boas mensagens de erros, e sim, as que evitam em sua maioria.
    §Reconhecimento ao invés de memorização: Uma interface usual, também é aquela que não exige que o usuário memorize todas as funções, objetos e ações de uma tela, qualquer texto explicativo ou disposição que não dê dúvidas ao usuário é bem vindo!
    §Flexibilidade e eficiência de uso: Deve ser permitido que usuários possam personalizar ou programar as ações mais freqüentes. Teclas aceleradoras (teclas de atalho) devem ser implementados para serem usadas por usuários mais experientes.
    §Projeto estético e minimalista: Toda a informação em uma caixa de dialogo, mensagem, tela, balão deve ser extremamente objetivo, evitando conteúdo não útil ou pouco usual, isso confunde ou desacelera o uso do produto.
    §Suporte aos usuários no reconhecimento, diagnostico e recuperação de erros: Mensagensde erros devem ser claras, objetivas, sem códigos, devem expor o local exato do erro, se houve perdas e sugerir soluções.
    §Informações de ajuda e documentaçãoNão restam dúvidas que uma boa documentação faz com que os problemas sejam dirimidos rapidamente, evitando ligações para o suporte técnico ou banco de ajuda (HelpDesk).
  • Que viagem...


ID
195292
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca do processo unificado de software, julgue os itens
subsequentes.

UML (unified modeling language) é uma tecnologia concorrente com o processo unificado, no que diz respeito ao apoio à prática de engenharia de software orientada a objetos.

Alternativas
Comentários
  •  Na verdade a UML é um modelo para diagramação de sistemas orientados a objetos. O processo unificado faz uso do UML.

    Errado: UML (unified modeling language) é uma tecnologia concorrente com o processo unificado

    Certo: ao apoio à prática de engenharia de software orientada a objetos. (O UML apoia a pratica, ao invés de ser concorrente ao PU).

     

  •  UML não é uma tecnologia. É uma linguagem de modelagem. Ela é usada no RUP.

  • Errado pois

    O UML é obrigatório e usado em quase todas as etapas do RUP.
  • UML não é obrigatório no RUP. Ela é uma boa prática, na qual se for usada em conjunto com o RUP trará resultados satisfatórios.

  • questão ERRADA:

    O erro da questão está na língua portuguesa e não na linguagem de notação.

    o verbo concorrer pode ser intransitivo ou transitivo indireto, neste caso  com as seguintes regências:

    concorrer com: disputar, competir em busca de vitória;

    concorrer em: coexistir, ao mesmo tempo;

    concorrer para: contribuir, ter parte em um resultado.

    Assim, o uso da preposição com na assertiva tornou o RUP rival da UML, e a questão ficou errada por este motivo.

    Seria mais correto uma das seguintes:

    UML e RUP são tecnologias concorrentes no (coexistem) apoio à prática de engenharia de software orientada a objetos.

    UML e RUP são tecnologias que concorrem para (contribuem) apoiar à prática de engenharia de software orientada a objetos. 

  • O que a questão está perguntando é se UML é concorrente com PU no que diz respeito à metodologia de desenvolvimento de SW, o que sabemos que NÃO, por ser uma linguagem de modelagem e não uma metodologia de desenvolvimento como RUP,  XP, Scrum etc. Acredito que o autor tentou fazer uma pegadinha, já que tanto PU como UML possuem os mesmos autores (Booch, Jacobson e Rumbaugh).

  • UML é uma linguagem, não necessariamente método ou tecnologia, que se enquadra perfeitamente bem às práticas de formalização do RUP. Não há concorrência. 

  • O erro está em "UML (unified modeling language) é uma tecnologia concorrente com o processo unificado". UML não é concorrente, e sim atua com o Processo Unificado. Concorrente sugere substituição de uma tecnologia por outra.


ID
195295
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca do processo unificado de software, julgue os itens
subsequentes.

O processo unificado de software é centrado na arquitetura e orientado por casos de uso, o que sugere um fluxo de processo iterativo e incremental.

Alternativas
Comentários
  • Resposta correta.

    A questão traz consigo apenas a descrição das principais características do processo unificado, que são:

    - Iterativo e Incremental
    - Guiado por casos de uso
    - Centrado na arquitetura
    - Orientado a Objetos
    - Planejado por riscos

  • Apenas acrescentando:

    O fato de um modelo ser centrado na arquitetura sugere que o sistema será o mais modularizado e componentizado possível, isso facilta na inserção de novos módulos e componentes (Ver Pressman, Sommerville ou Wilson).

  • Esse "sugere" me matou!

  • nossa, cespe cobra essa questao faz tempo hein

     

    2015
    Orientação a casos de uso, arquitetura e iteração são os princípios básicos nos quais o RUP está fundamentado.

    certa

     


ID
195298
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens que se seguem, a respeito da análise e do projeto
orientados a objetos.

Na fase de projeto, diagramas de implantação em UML são construídos inicialmente sob a forma de instância, com a descrição explícita da configuração do ambiente de implantação.

Alternativas
Comentários
  • No RUP não existe fase de projeto, as fase são: Concpeção, Elaboração, Construção e Transição. Cinco disciplinas atravessam o conjunto destas fases sendo elas: Modelagem de Negócios, RequisitosAnálise e Projeto("Design"), Implementação, Testes e Implantação.

  • Não vejo que o ponto em abordado nessa questão seja o apontado pelo colega. Alguém pode comentar?

  • "Na fase de projeto, diagramas de implantação em UML são construídos inicialmente sob a forma de instância, com a descrição explícita da configuração do ambiente de implantação."

    Página 201, capítulo 9, Engenharia de Projeto

    “O diagrama de implantação mostra o ambiente computacional, mas não indica explicitamente detalhes de configuração. (…) Esses detalhes são fornecidos quando o diagrama de implantação é revisitado na forma de instância durante estágios posteriores do projeto ou quando a construção começa.


    Fonte: http://alessandramclima.wordpress.com/2010/09/22/tcu-2010-engsw-parte-2/

  • Na fase de projeto, diagramas de implantação em UML são construídos inicialmente sob a forma de instância, com a descrição explícita da configuração do ambiente de implantação.



    “O diagrama de implantação mostra o ambiente computacional, mas não indica explicitamente detalhes de configuração. (…) Esses detalhes são fornecidos quando o diagrama de implantação é revisitado na forma de instância durante estágios posteriores do projeto ou quando a construção começa.
  • e-

    Diagramas de implantação mostram topologia do sistema em runtime, mostrando configuração em relação aos componnetes e hardware. Sao formados por nodes & associações


ID
195301
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens que se seguem, a respeito da análise e do projeto
orientados a objetos.

Uma classe pode ser vista como uma descrição generalizada de uma coleção de objetos semelhantes.

Alternativas
Comentários
  • Livro Pressman

    http://alessandramclima.wordpress.com/2010/09/22/tcu-2010-engsw-parte-2/
     

    Página 152, capítulo 5, “Modelagem de Análise”, quadro “Conceitos Orientados a Objetos”.

    Classe – encapsula dados e abstrações procedurais necessárias para descrever o conteúdo e o comportamento de alguma entidade do mundo real. Dito de outro modo, classe é uma descrição generalizada (…) que descreve uma coleção de objetos semelhantes.

  • realmente, é uma boa definição para uma classe


ID
195304
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens a seguir, relativos a modelos ágeis de processo.

O desenvolvimento adaptativo de software (DAS) é uma técnica para construção de sistemas e software complexos que foca na colaboração e na auto-organização da equipe.

Alternativas
Comentários
  • DAS - Desenvolvimento Adaptativo de software - é uma técnica paraa construção de sistemas e software complexos. O apoio filosofico do DAS concentra-se na colaboração humana e na auto-organização da equipe

  • Desenvolvimento adaptativo de software (adaptive software development -- ASD): Prioriza a velocidade e a flexibilidade. Funciona melhor em cenários onde a organização precisa produzir  resultados com rapidez para um aplicativo que pode crescer à medida que os clientes o utilizam. Foi desenvolvido por Jim Highsmith. 

    fonte: http://cio.uol.com.br/tecnologia/2007/11/19/idgnoticia.2007-11-19.18...

  • Livro Pressman


    Página 66, capítulo 4, “Desenvolvimento Ágil”.


    O DAS (Desenvolvimento Adaptativo de Software) foi proposto por Jim Highsmith como uma técnica para construção de sistemas e software complexos. O apoio filosófico do DAS concentra-se na colaboração humana e na auto-organização da equipe.


    Fonte: https://alessandramclima.wordpress.com/2010/09/22/tcu-2010-engsw-parte-2/


ID
195307
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens a seguir, relativos a modelos ágeis de processo.

A agilidade não pode ser aplicada a todo e qualquer processo de software.

Alternativas
Comentários
  • A agilidade pode ser empregada a qualquer processo de software. Entretanto, para conseguir isso, é essencial que o processo seja projetado de modo que permita a equipe de projeto adaptar tarefas e aperfeiçoá-las, conduzir o planejamento para que se entenda a fluidez de uma abordagem de um desenvolvimento ágil, eliminar tudo, menos o produto do trabalho mais essenciais e mantê-los simples, e enfatizar uma estrategia de entrega incremental que forneça o software funcionando ao cliente o mais rápido possível para o tipo de produto e ambiente operacional.

     

    Pressman, 6º edição. pag. 60

  • Então a agilidade pode ser a plicada a todo e qualquer processo de software, desde que seja o processo adequado! Logo... não é mais 'todo e qualquer processo de software'.

    Questão vergonhosa. Nada menos que isso...
  • O Pressman é bem parecido com o Cespe. Ele meio que diz assim: 1+1 = 2, MAS se vc adicionar um terá o resultado 3. Que nem na questão, ele fala que TODO...e depois....DESDE QUE.....

    Então não é TODO !!!!
  • Para ampliar a discussão: "SOMMERVILLE, 9 ed., pág. 53: "O escalamento de métodos ágeis para sistemas de grande porte é difícil. ...A integração contínua é praticamente impossível quando existem várias equipes de desenvolvimento separadas trabalhando em um projeto". E mais (pág. 52): "A introdução de métodos ágeis em grandes empresas é dificil por diversas razões: 1)...2) Nas grandes organizações existem procedimentos e padrões de qualidade que todos os projetos devem seguir e, por causa de sua natureza burocrática, geralmente são incompatíveis com os métodos ágeis". Ora, quem está certo? Os doutores do CESPE ou as referências clássicas?

  • Há um tempo atrás existia um certo preconceito por parte dos autores com esse tipo de metodologia... Acho que depois do http://agilemanifesto.org ficou mais fácil marcar errado nessa questão

  • É possível aplicar agilidade ao modelo em cascata? Não! Questão correta.

  • Pressman também erra. Dessa vez falou bobagem.

  • #partiu aplicar agilidade em software de aviônica, pra quê métodos formais né, se o avião cair caiu


ID
195310
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens a seguir, relativos a modelos ágeis de processo.

O processo XP (extreme programming) envolve a realização das atividades de planejamento, de projeto, de codificação e de teste.

Alternativas
Comentários
  • o XP usa a abordagem orientada a objeto com oparadigma de desenvolvimento predileto. Inclui um conjunto de regras e práticas que ocorrem no contexto de 4 atividades:

    1. Planejamento

    2. Projeto

    3. Codificação

    4. Teste

  • 4 atividades básicas do desenvolvimento: Programar, testar, ouvir, projetar (Kent Beck)

    4 atividades de arcabouço:Planejamento,  projeto, codificação e teste (Pressman)

    Questão correta , seguindo a definição dada por Pressman.


ID
195313
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens a seguir, relativos a modelos ágeis de processo.

A atividade de planejamento XP inclui a criação das denominadas histórias de usuário, nas quais devem ser descritas as características e as funcionalidades requeridas para o software em desenvolvimento.

Alternativas
Comentários
  • A atividade de planejamento começa com a criação de um conjunto de histórias ( também chamadas de história dos usuários) que descrevem as caracteristicas e as funcionalidade requerida para o software  a ser construído. Cada história é escrita pelo cliente e é colocada em um cartão de indexação. O cliente atribui uma valor ( prioridade) para a história com base  no valor do negeócio global da caracterisitca ou da função. Membros da equipe XP avaliam cada história e lhe atribui um custo - medido em semanas de desenvolvimento.


ID
195316
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Julgue os itens a seguir, relativos a modelos ágeis de processo.

A atividade de projeto é uma desvantagem do processo XP, pelo fato de requerer uma quantidade de produtos de trabalho considerada excessiva pela comunidade de desenvolvimento de software.

Alternativas
Comentários
  • o XP segue rigorosamente o principio KIS ( Keep it  simple - mantenha a simplicidade).

     O XP encoraja o uso de cartões CRC ( class-Responsibility-Colaborator) que identifica e organizam as classes orientadas a objetos., que são relevantes para o incremento do software atual. OS  cartões CRC são o único produto de trabalho do projeto que é realizado como parte do projeto XP.

    pressamn, 6º edição. pág. 64

  • Prática do XP: Projeto simples - O código está, a qualquer momento, na forma mais simples que passe todos os testes.

ID
195334
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca da métrica de análise por ponto de função, julgue os itens
seguintes.

O IFPUG (International Function Point Users Group), além de disponibilizar o Function Point Counting Practices Manual, provê estudos de casos ilustrando a contagem no processo de desenvolvimento, tanto no fim da fase de análise, quanto no final da construção do sistema.

Alternativas
Comentários
  •  O IFPUG regulamenta a contagem dos pontos de função, organização internacional sem fins lucrativos. O IFPUG publica o counting Practices Manual ( manual de prática de contagem), que estabelece padrões para o cálculo dos pontos de funções.

  • Aparentemente o enunciado foi extraído de uma tradução do site do IFPUG:
    Each case illustrates function point counting at two points in the development process - at the end of the analysis phase, and at the end of system construction. The information below describes the implementation approaches illustrated by each case.

    [1] Referência: http://www.ifpug.org/publications/case.htm
  • Certo!
    Lembrando que a contagem pode ser realizada bem no inicio,
    • no estudo preliminar no caso se chama Contagem Indicativa ou Estimada, 
    • no final da especificação, que no caso chama Contagem Detalhada do Projeto, 
    • e no final do projeto depois da implantação que chamada Contagem Detalhada da Aplicação
       
  • Murilo,

    esta contagem que você citou é do NESMA e, não, do IFPUG. No IFPUG, há apenas a contagem detalhada.
  • Murilo,

    esta contagem que você citou é do NESMA e, não, do IFPUG. No IFPUG, há apenas a contagem detalhada.

  • O IFPUG regulamenta a contagem dos pontos de função, organização internacional sem fins lucrativos. O IFPUG publica o Counting Practices Manual (manual de prática de contagem), que estabelece padrões para o cálculo dos pontos de funções. Também é responsável pelo processo de certificação.

    Resposta: Certo


ID
195337
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca da métrica de análise por ponto de função, julgue os itens
seguintes.

Essa análise pode ser utilizada para se estimar o custo relativo a codificação e teste, mas não, para se estimar o custo referente ao projeto do software.

Alternativas
Comentários
  • A contagem de pontos de função é realizada para medir o tamanho funcional de um sistema, independentemente de sua forma de implementação. Podem ser medidos:

     

    • Um projeto de sistema – neste caso, a contagem inclui tanto o sistema entregue ao final, quanto as modificações efetuadas ao longo do projeto e os programas destinados especificamente à implantação.
    • Uma alteração em sistema – neste caso, a contagem inclui os novos componentes incluídos, os alterados e, também, os removidos do sistema original.
    • Um sistema – esta contagem é efetuada exclusivamente sobre o sistema entregue aos usuários, medindo o tamanho do sistema propriamente dito.
  • Minha duvida ficou quanto à palavra PROJETO: a banca fez referência à etapa de desenvolvimento ou ao processo? Quanto ao processo, ok. Mas, quanto à etapa de projeto, os elementos tecnicos referentes ao projeto ficam implicitos dentro dos fatores de ajustes. Como separar os custos exatos por etapa? Não sei onde isso é feito, quer dizer, uma separação clara dos custos de cada etapa.
  • A realização da contagem de pontos de função é medir o tamanho funcional de um sistema, independe de sua forma de implementação.

    Resposta: Errado


ID
195340
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca da métrica de análise por ponto de função, julgue os itens
seguintes.

A análise por ponto de função não permite prever o número de erros que serão encontrados durante o teste; por isso, é necessário o uso de uma métrica adicional para tal fim.

Alternativas
Comentários
  • Conforme exposto no livro do Pressman.

    O Ponto por Função pode ser usado para:
    1) Estimar o custo ou esforço necessário para projetar, codificar e testar o software;
    2) Prever o número de erros que vão ser encontrados durante o teste;
    3) Prever o número de componentes e/ou o número de linhas de código projetadas no sistema implementado.

  • Questão muito controversa porque:

    1º APF é USADO para realizar previsões e não o faz por si só;
    2º para realizar tais previsões (de custo, de tempo, de erros, etc.), é necessário um levantamente baseado em dados históricos.

    Portanto, esta questão deveria ser anulada.

  • Você pode até prever que existirão erros de requisitos funcionais. Mas como prever o número de erros?!
    Ainda mais sem saber linguagem, plataforma, arquitetura, requisitos não funcionais...

  • Certamente uma questão a ser anulada. O ponto de função por si só mede/estima TAMANHO de software. Qualquer outro dado , deve partir de outro tipo de métrica, como por exemplo inforações históricas de erros.
  • Me parece jurisprudência da banca que a APF mede apenas tamanho, mas permite prever ou estimar sim o custo, o esforço, o número de erros que serão encontrados durante o teste e etc, que são uma decorrência dessa medição de tamanho.
  • Ratificando o que o primeiro colega respondeu:

    livro Engenharia d Software -Press man 
    6° edição - página 357

    Usando dados históricos, o FP pode ser então usado para: ... (2) Prever o número de erros que vão ser encontrados durante o teste.

    bons estudo galera
  • APF é a solução para todos os erros de software!

    Desculpem-me pelo comentário, mas não pude evitar.

  • também achei zuadíssima essa questão

  • A análise por ponto de função NÃO permite prever o número de erros que serão encontrados durante o teste; por isso, é necessário o uso de uma métrica adicional para tal fim.

    O correto seria: ela PERMITE mas pra isso é necessário o uso de uma métrica adicional para tal fim.

  • O objetivo da análise por ponto de função é, permite e prever o número de erros, esta é uma de suas funções.

    Resposta: Errado


ID
195343
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Acerca da métrica de análise por ponto de função, julgue os itens
seguintes.

A partir de diagramas UML de classe e de sequência, é possível calcular o número de pontos de função de um sistema ou módulo.

Alternativas
Comentários
  • Segundo Pressman (pg 359), "pontos por função podem também ser calculados a partir dos diagramas UML de classe e seqüência"

  • Diagrama de Classe e Sequência = Projeto Lógico da Aplicação. Como a análise de pontos de função é baseada primariamente no projeto lógico da aplicação, então é possível, sim, calcular o número de pontos de função a partir disso.


ID
195346
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às diferentes arquiteturas e tecnologias que, se
escolhidas, impactarão as características do sistema descrito no
texto, julgue os itens de 26 a 29.

A web profile da plataforma JEE apresenta, em relação ao perfil application server definido em edições anteriores da plataforma Java, as seguintes vantagens: fornece suporte para POJOs (plain old Java objects) e annotations; possui modelo de empacotamento de componentes mais simples; a configuração dos seus descritores XML (extensible markup language) é mais fácil; é aderente ao padrão SOA.

Alternativas
Comentários
  • JEE 5 já possuia todas essas características, por isso está errada.

  • O Java EE Web Profile define um container "menor", com apenas as tecnologias que a maioria dos desenvolvedores realmente precisam: servlets, JPA, JTA, CDI, EJB Lite. Ele não é aderente ao padrão SOA porque não define os containers de WebServices: JAX-WS e JAX-RS.
  • No Java EE 6 só foi lançado o Web Profile, não existindo o "application server"

    Mais sobre Web Profile:

    http://jaxenter.com/introducing-the-java-ee-web-profile-36201.html

  • Estranho.. mas salvo engano o webprofile só foi definido no JavaEE 6.. que foi lançado em 10/12/2009... Como a questão é de 2010, creio que ele esteja se referindo ao JavaEE 6 mesmo.


    Mas essa versão webProfile, só possui EJB-Lite, que não dá suporte ao JAX-WS. Porém, WebProfile dá suporte ao JAX-RS


    Como JAX-RS e JAX-WS estão envolvindo no ecossistema SOA, eu marcaria como correta..


    Mas como o Davi Sales disse, algumas dessas características já existiam no JavaEE 5

  • Só corrigindo o Thiago.. WebProfile tem suporte ao JAX-RS sim


    http://en.wikipedia.org/wiki/Java_Platform,_Enterprise_Edition#Web_profile

  • Não existe Serve Profile.

    Existem:

    Web Profile e Full Profile.

    Como já referidos pelos colegas, o conceito de perfis foi introduzido apenas no Java EE 6.


ID
195349
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às diferentes arquiteturas e tecnologias que, se
escolhidas, impactarão as características do sistema descrito no
texto, julgue os itens de 26 a 29.

POJOs não suportam transações e persistência, por isso são inadequados ao referido projeto, mesmo durante a fase de testes unitários do sistema.

Alternativas
Comentários

ID
195352
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às diferentes arquiteturas e tecnologias que, se
escolhidas, impactarão as características do sistema descrito no
texto, julgue os itens de 26 a 29.

A tecnologia EJB (enterprise Java beans) apresenta, na sua versão 3.1, melhorias que propiciam facilidades para o uso de beans singleton e que permitem o uso de beans de uma classe, sem necessidade de desenvolvimento de sua interface correspondente, e a invocação assíncrona de beans de sessão.

Alternativas
Comentários
  • No EJB 3.1:
    Singleton Beans - Um novo tipo de componente que implementa o Design Pattern Singleton e permite capturar eventos de inicialização e encerramento da aplicação;
    Interface opcional para componentes - Flexibilização na criação de componentes EJBs sem a obrigatoriedade da criação de uma interface remota ou local;
    •Timer Service - Melhorias no serviço de agendamento que permitem novas possibilidades através de uma notação similar ao Unix Cron e agendamento de forma declarativa (por annotation ou XML);
    •Deploy de EJBs na camada web (.war) - Permite o uso de EJBs diretamente na camada Web;
    Chamadas assíncronas a métodos - Uma alternativa simplificada à MDBs para chamada assíncrona que pode ser utilizada em cenários menos complexos;
    •Nomes JNDI globais padronizados - Esse recurso facilita ainda mais a portabilidade;
    •EJB Lite - Define uma versão mais leve para um conteiner de EJBs;
    •Embeddable EJB - Possibilidade de executar EJBs no ambiente JavaSE

    fonte: http://www.globalcode.com.br/noticias/EntrevistaEJB31

  • Outra característica que não foi falada é que o @Local passou a ser default nos session beans.

  • @Singleton e vamos nessa


ID
195355
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às diferentes arquiteturas e tecnologias que, se
escolhidas, impactarão as características do sistema descrito no
texto, julgue os itens de 26 a 29.

O estilo de arquitetura de software denominado REST (representational state transfer) demanda mais recursos computacionais que o modelo de desenvolvimento de sistemas embasado em SOAP (single object access protocol), por isso não é recomendável a adoção do padrão REST de arquitetura de software no desenvolvimento do sistema em questão.

Alternativas
Comentários
  • O REST utiliza as próprias funções do protocolo HTTP, portanto é bem simples q o SOAP.

    Já o SOAP cria uma camada a mais e utiliza o HTTP para a comunicação.

  • Outro ponto..desde quando REST é estilo de arquitetura? Dá para matar a questão aí também.

  • Maria Ribeiro cuidado, este não é o erro da questão, segue explicação logo abaixo:

    ....Representational State Transfer (REST) architectural style for distributed hypermedia systems...

    Fonte:http://www.ics.uci.edu/~fielding/pubs/dissertation/rest_arch_style.htm




  • Muito pelo contrário, o REST deixa as consultas muita mais rápidas em seu tempo de resposta, motivo pelo qual seu crescimento tem aumentado significativamente com o uso do Java.

    Resposta: Errado

  • e-

    soap = + recursos


ID
195358
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às tecnologias para desenvolvimento web em Java que
podem ser empregadas no sistema descrito no texto, julgue os itens
a seguir.

A tecnologia Hibernate 3.5 é apropriada para o projeto em questão: entre as características que a credenciam, estão a integração com servidores de aplicação via JNDI e o suporte a mapeamento objeto relacional em modos básico e avançado, possibilitando o mapeamento de coleções e de associações, entre outros.

Alternativas
Comentários
  • certinho! via jta-datasource rola a integração com servidores JNDI e o mapeamento é feito com @Entity @OneToMany e por ai vai


ID
195361
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às tecnologias para desenvolvimento web em Java que
podem ser empregadas no sistema descrito no texto, julgue os itens
a seguir.

A tecnologia Hibernate 3.5 é apropriada para o sistema a ser desenvolvido: entre as características que a credenciam, está o fato de ela possibilitar a recuperação de objetos por meio da formulação de queries em linguagens HQL (hibernate query language) e SQL (structured query language), bem como pelo uso de APIs (application programming interfaces) de busca por critério, entre outras.

Alternativas
Comentários
  • Correspondem aos 3 tipos de acesso a banco de dados, através do Hibernate:

    HQL - Hibernate Query Language - Linguagem de consulta orientada a objeto
    Criteria API - Uma API orientada a objeto para busca. Mais próximo de desenvolvedores que não conhecem linguagens de consulta
    SQL - a linguagem nativa do BD

    Exemplo de como fica a consulta nestes 3 tipos:



    Logo, questão Correta!
  • A tecnologia Hibernate 3.5 é apropriada para o sistema a ser desenvolvido: entre as características que a credenciam, está o fato de ela possibilitar a recuperação de objetos por meio da formulação de queries em linguagens HQL (hibernate query language) e SQL (structured query language), bem como pelo uso de APIs (application programming interfaces) de busca por critério, entre outras.

    entre outras? quais?
  • Concordo com o Cesar Santos, se alguém souber de uma outra forma de consulta que não seja Criteria, SQL e HQL favor divagar sobre.


ID
195367
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Com relação às tecnologias para desenvolvimento web em Java que
podem ser empregadas no sistema descrito no texto, julgue os itens
a seguir.

No desenvolvimento de conteúdos para apresentação, o uso de facelets traz vantagens em relação ao uso de JSP. Uma delas é a maior modularidade, com o uso de templates e componentes compostos (composite).

Alternativas
Comentários
  •  O Facelets é uma linguagem de descrição de páginas (PDL – Page Description Language) criada especificamente para JSF. Ele estabelece uma linguagem de templates que suporta a criação da árvore de componentes das telas JSF, o que permite o reuso de padrões de telas e a composição de componentes JSF para formar novos componentes.

    fonte: http://www.devmedia.com.br/joliveira

  • Facelts é o renderizador padrão no JSF2.
    Foi uma tecnologia pensada justamente para trabalhar com a compenetização do JSF

ID
195382
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Visando ao bom funcionamento do sistema descrito no texto, julgue os itens subsequentes, que tratam de interoperabilidade de sistemas
web em Java.

Para o projeto em tela, é recomendado que se adote uma arquitetura orientada a serviços web (SOA e web services) porque esse tipo de arquitetura facilita o reúso de componentes de software fisicamente distribuíveis, além de ser embasado em ligação estática entre provedores e consumidores de serviço.

Alternativas
Comentários
  • Apenas um pequeno detalhe quanto a afirmação:

    Para o projeto em tela, é recomendado que se adote uma arquitetura orientada a serviços web (SOA e web services) porque esse tipo de arquitetura facilita o reúso de componentes de software fisicamente distribuíveis, além de ser embasado em ligação estática dinâmica entre provedores e consumidores de serviço.

  • Para as empresas, os Web services podem trazer agilidade para os processos e eficiência na comunicação entre cadeias de produção ou de logística. Toda e qualquer comunicação entre sistemas passa a ser dinâmica e principalmente segura, pois não há intervenção humana.

    OK?
    Marcelo

  • O erro está na palavra ESTÁTICA. O correto é DINÂMICA.

    Vejam:

    "Para o projeto em tela, é recomendado que se adote uma arquitetura orientada a serviços web (SOA e web services) porque esse tipo de arquitetura facilita o reúso de componentes de software fisicamente distribuíveis, além de ser embasado em ligação (estática) dinâmica entre provedores e consumidores de serviço."

    Binding = LIGAÇÃO

    Definições de SOA

    Binding A relação entre os serviços do provedor e do consumidor deve ser idealmente dinâmica; ela é estabelecida em tempo de execução através de um mecanismo de binding.

    Fonte: http://pt.wikipedia.org/wiki/Service-oriented_architecture

ID
195391
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

Alternativas
Comentários
  • Uma das boas práticas para o desenvolvimento de sistemas é a de testar o código o mais cedo possível. Nesta linha a revisão estática de código é uma técnica que se adotada continuamente contribui para a melhoria da qualidade de código produzido. Ela pode ser feita manualmente utilizando a programação em pares, ou de forma automatizada, com o uso de uma ferramenta de software que apresenta as seguintes vantagens:

    1. Utilização de uma base padrão de regras para a revisão de código

    2. Execução da revisão de código de forma automatizada durante a geração do "build" do software

    3. Estabelece uma cultura voltada às boas práticas de codificação, evitando a geração de códigos ruins.

  • No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

    Errado

    As ferramentas de análise estática de código permitem que mais códigos sejam processados por meio da automação, mas as descobertas são rigorosamente limitadas pelo conjunto de padrões predefinidos de tipos conhecidos de problemas. Com freqüência, os resultados também podem conter vários falso-positivos que dificultam a solução de problemas com recursos limitados.

    http://msdn.microsoft.com/pt-br/magazine/cc163312.aspx
  • hum... ok! Errei, mas realmente, "resultados precisos" deu uma forçada na barra

  • Dizer que ...tal abordagem (revisão estática de código) produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado... é forçar a barra demais, hein!

  • ✅Gabarito(Errado)

    No projeto a ser desenvolvido, será apropriado adotar a revisão estática de código, pois tal abordagem produz resultados precisos, objetivos e completos acerca do grau de vulnerabilidade do código analisado, especialmente quando se utilizam ferramentas de software de análise estática que simulem o comportamento da aplicação a partir de seu código-fonte.

    Na análise estática de código não existe a simulação do comportamento, ou seja, a simulação do comportamento é algo dinâmico, relacionado a execução da aplicação, que já deixa de ser estático.

    ➥ Segue uma afirmação a respeito:

     A análise estática de código é uma das práticas que verifica a qualidade do código-fonte. Esta verificação é realizada antes mesmo que haja execução do software (um conceito oposto ao dos testes unitários, que validam o software com base no resultado de sua execução).

     Considera-se, portanto, que a análise estática de código está relacionada à verificação, pois analisa como o código-fonte foi construído internamente.

    Fonte: https://www.devmedia.com.br/como-adotar-a-analise-estatica-de-codigo/32727


ID
195394
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Aplicações web embasadas em SOA são, geralmente, mais vulneráveis a ataques de origem intencional que aplicações web monolíticas; por isso, deve-se adotar no projeto em tela um modelo de desenvolvimento de aplicações com segurança. Para fazer frente a essa característica, deve-se usar a TLS (transport layer sockets), pois ela possibilita obter segurança fim a fim, inclusive em contexto de federação de web services.

Alternativas
Comentários
  • Bom, um dos erros nesta questão está no significado da sigla TLS = Transport Layer Security. A questão fez confusão com sua tecnologia predecessora, o SSL = Secure Sockets Layer.

     

    Não consegui achar algum outro erro, mas este já invalidaria a questão.

  • from TIMasters:
    Questão errada. No contexto de federação de web service usa-se WS-Security, que permite entre outras coisas:
    * Criptografar partes da mensagem SOAP separadamente (header / body)
    * Assinatura digital
    * Autenticação
    * Expirar mensagens

    Livro: Service-Oriented Architecture: Concepts, Technology, and Design[1] (Thomas Erl)

    Chapter 3. Introducing SOA

    3.5. Common pitfalls of adopting SOA

    3.5.6. Not understanding Web services security

    ...
    While SSL can address many immediate security concerns, *it is not the technology of choice for SOA*. When services begin to take on greater amounts of processing responsibility, the need for message-level security begins to arise. The *WS-Security* framework establishes an accepted security model supported by a family of specifications that end up infiltrating service-oriented application and enterprise architectures on many levels.
    ...

    by Daniel Menezes
  • "WS-Security simply provides security from end to end without worrying that every step of the way is secured appropriately as well; SSL only promises security between the endpoints of the SSL tunnel."

    http://cosine.org/2007/10/25/wss-vs-ssl/

ID
195397
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Caso o líder constate que os membros da equipe têm nível insuficiente de conhecimento acerca de programação segura, será correto ele determinar como prática geral de segurança que se use assinatura digital em todos os códigos produzidos durante o desenvolvimento do sistema, especialmente nos applets e nas aplicações distribuídas que usam o modelo Java web start. Nessa situação, o uso de assinatura digital evitará que vulnerabilidades presentes no código produzido pela equipe sejam exploradas indevidamente quando o código for executado na plataforma do cliente.

Alternativas
Comentários
  • A assinatura digital tem como função a integridade, pois ao gerar a assinatura com uma função hash, qualquer modificação no código da aplicação assinada invalida o hash.
  • "Evitará que vulnerabilidades presentes no código produzido pela equipe sejam exploradas indevidamente".  Isto não tem nada haver com assinatura digital.

  • Viagem na maionese !!

  • Uma applet por padrão não pode, por exemplo, acessar recursos da máquina do usuário (o que é chamado de sandbox), logicamente por questões de segurança. O que permite a uma applet realizar este tipo de acesso e vários outros é justamente esta applet ser assinada digitalmente. Logo, se uma applet possuir alguma vulnerabilidade e for assinada digitalmente poderá ser utilizada para atacar a máquina do cliente final.

  • Se o sujeito estivesse preocupado com garantia de autoria do código...


  • Assinatura digital serve para verificar autenticidade e integridade dos dados e, por si só, não é capaz de evitar a exploração de vulnerabilidades presentes no código.

  • "Exploradas Indevidamente" se trata de confidencialidade. Assinatura Digital garante apenas integridade, autenticidade e indiretamente o não repúdio.


ID
195400
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

A respeito de práticas e técnicas de programação para desenvolver
com segurança o sistema integrado referido no texto, julgue os
próximos itens.

Se o líder da equipe decidir adotar como prática geral a sanitização de exceptions na implementação das aplicações, essa medida eliminará do estado dos objetos throwable lançados para tratamento pelas camadas superiores do sistema as informações que possam descrever detalhes internos de funcionamento do sistema que não devem ser apresentados aos usuários finais, tais como informações acerca da inexistência de arquivos que sejam nomeados pelo próprio usuário final, dados descritivos da estrutura do sistema de arquivos e detalhes acerca de conexões com sistemas de gerenciamento de bancos de dados (SGBDs).

Alternativas
Comentários
  • "It is not necessary to sanitize exceptions containing information derived 
    from caller inputs. If a caller provides the name of a file to be opened, 
    for example, do not sanitize any resulting FileNotFoundException thrown when 
    attempting to open that file as it provides useful debugging information. ' 

    Extraído do Secure Coding Guidelines for the Java Programming Language 
    http://java.sun.com/security/seccodeguide.html

     

  • acho que o examinador quis jogar palavras difíceis para confundir
  • Não achei o erro nessa questão! De acordo com o secure coding guidelines do jee, a questão estaria certa:

    Guideline 2-1 / CONFIDENTIAL-1: Purge sensitive information from exceptions

    Exception objects may convey sensitive information. For example, if a method calls thejava.io.FileInputStream constructor to read an underlying configuration file and that file is not present, a java.io.FileNotFoundException containing the file path is thrown. Propagating this exception back to the method caller exposes the layout of the file system. Many forms of attack require knowing or guessing locations of files.

    Exposing a file path containing the current user's name or home directory exacerbates the problem. SecurityManager checks guard this information when it is included in standard system properties (such as user.home) and revealing it in exception messages effectively allows these checks to be bypassed.

    Internal exceptions should be caught and sanitized before propagating them to upstream callers. The type of an exception may reveal sensitive information, even if the message has been removed. For instance, FileNotFoundException reveals whether or not a given file exists.

    It is sometimes also necessary to sanitize exceptions containing information derived from caller inputs. For example, exceptions related to file access could disclose whether a file exists. An attacker may be able gather useful information by providing various file names as input and analyzing the resulting exceptions.

    Be careful when depending on an exception for security because its contents may change in the future. Suppose a previous version of a library did not include a potentially sensitive piece of information in the exception, and an existing client relied upon that for security. For example, a library may throw an exception without a message. An application programmer may look at this behavior and decide that it is okay to propagate the exception. However, a later version of the library may add extra debugging information to the exception message. The application exposes this additional information, even though the application code itself may not have changed. Only include known, acceptable information from an exception rather than filtering out some elements of the exception.

    Exceptions may also include sensitive information about the configuration and internals of the system. Do not pass exception information to end users unless one knows exactly what it contains. For example, do not include exception stack traces inside HTML comments.


  • acertei em 2013 e errei agora.. Será que realmente o examinador quis saber se sanatizar é ou não uma boa prática?

  • Em algumas ferramentas de análise de código como o Sonar, é uma prática, recomendar a retirada de exceções do tipo throwable, pois o mesmo corresponde a hierarquia máxima do java e não seria possível realizar o tratamento adequado a exceção. Entretanto a questão informa que será realizado a sanitização de exception, no meu ver seria sanitização de throwable.

  • Redação horrível.


ID
195403
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

No que se refere a técnicas de análise de desempenho e otimização
de consultas SQL, no contexto do desenvolvimento do sistema
descrito no texto, julgue os itens seguintes.

Para que não ocorram deadlocks no sistema a ser desenvolvido pela equipe, deve-se evitar o desenho de transações do SGBD nas quais o usuário precise realizar entrada de dados, especialmente em sistemas de processamento transacional online.

Alternativas
Comentários
  • Questão que merece ser anulada.

    Justificativa abaixo dado por Marcio Vitorino.

     

    Segundo Elmasri e Navathe (2002, p. 554) as principais estratégias utilizadas em transações OLTP para evitar deadlocks são
     Bloqueio em Duas Fases Conservador, Ordenamento de Registros de Timestamp e > Validação.

    > > No entanto, a questão afirma que "Para que não ocorram deadlocks
    > > no sistema a ser desenvolvido pela equipe, deve-se evitar o desenho de
    > > transações do SGBD nas quais o usuário precise realizar entrada de dados,
    > > especialmente em sistemas de processamento transacional online."
    > >
    > > Esta afirmação afirma que basta evitarmos entradas de dados para
    > > que não ocorram deadlock, quando na verdade as operações de exclusão e
    > > atualização de dados também causam deadlock.
    > >
     

    > > ELMASRI, R.; NAVATHE, S. B. Sistemas de Banco de Dados - Fundamentos e
    > > Aplicações. 3. ed. Rio de Janeiro: LTC S.A., 2002. 837p.
    > >
    > > Marcio Victorino

  • Concordo com o colega. A resposta correta da questão causa muita estranheza. Ao estudarmos o assunto nos deparamos com vários protocolos para evitar deadlocks, já que a entrada de dados é necessária.

    Discordo num ponto. Podemos talvez interpretar por "entrada de dados" qualquer alteração, não apenas inclusão, mas também alteração e exclusão. Digo isso por que neste estudo resumimos as operações em "read"s e "write"s.

    Mesmo considerando isso, discordo do gabarito, principalmente por que a necessidade de entrada de dados será ditada pela necessidade do negócio, não cabendo ao analista/DBA evitá-las ou não. Se num OLTP qualquer é preciso, por exemplo, registrar vendas, não há opção de evitar tais registros (inclusão, exclusão e alteração). Um OLTP implica especialmente nisso na maioria dos casso. Se a questão estivesse salientando a parte OLAP (mencionada implicitamente no enunciado em "suporte a decisão") eu até concordaria.

    Na página da CESPE o gabarito ainda consta como preliminar:

    http://www.cespe.unb.br/concursos/TCU2010/

    Vamos aguardar.

  • O gabarito foi alterado de Certo para Errado em 08/09. Vide questão 145 da prova.

    Link da prova: http://www.cespe.unb.br/concursos/TCU2010/arquivos/TCU10_001_5.pdf

    Link da correção: http://www.cespe.unb.br/concursos/TCU2010/arquivos/TCU_10_TI_JUSTIFICATIVAS_DE_ALTERAO_DE_GABARITO.PDF

    Abs, Edu.

  • Olá, pessoal!
     
    O gabarito foi atualizado para "E", após recursos, conforme edital publicado pela banca, e postado no site.

    Justificativa da banca:
    O item é claro ao indicar que as transações as quais se refere são aquelas do SGBD delimitadas por BEGIN  e END transaction. Dessa forma, ao afirmar que “deve-se evitar o desenho de transações do SGBD nas quais o usuário precise realizar  entrada de dados", está claro que a entrada de dados seria aquela realizada no escopo da transação do SGBD, e não antes ou depois da transação. Sob outro aspecto, não se pode afirmar que as entradas de dados feitas pelo usuário provocam apenas inclusão, uma vez que a exclusão ou atualização de dados também envolvem entrada de dados. O item está errado, pois afirma que evitar o desenho de transações do SGBD nas quais o usuário precise realizar entrada de dados é condição necessária e suficiente para que se obtenha um sistema livre de deadlocks, quando, de fato, existem outros aspectos envolvidos.
     
    Bons estudos!






ID
195406
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

No que se refere a técnicas de análise de desempenho e otimização
de consultas SQL, no contexto do desenvolvimento do sistema
descrito no texto, julgue os itens seguintes.

É correto que duas diferentes abordagens de indexação sejam utilizadas no desenvolvimento do sistema em questão: a parte do sistema que realizará processamento de transações online deve ser embasada em um banco de dados fortemente normalizado e com indexação cuidadosamente ajustada; a parte do sistema que realizará processamento de suporte a decisão deve ser fracamente normalizada, podendo, até, ser denormalizada, e conter grande quantidade de indexação, o que permite a escolha de várias alternativas de índices para processamento de consultas.

Alternativas
Comentários
  • OLTP - On Line Transaction Processing
    É correto que duas diferentes abordagens de indexação sejam utilizadas no desenvolvimento do sistema em questão: a parte do sistema que realizará processamento de transações online deve ser embasada em um banco de dados fortemente normalizado e com indexação cuidadosamente ajustada;

    OLAP - On-line Analytical Processing
    a parte do sistema que realizará processamento de suporte a decisão deve ser fracamente normalizada, podendo, até, ser denormalizada, e conter grande quantidade de indexação, o que permite a escolha de várias alternativas de índices para processamento de consultas.
  • Discordo do fortemente normalizado, porque isso é muito subjetivo quando a questão pede "técnicas de análise de desempenho e otimização
    de consultas SQL". Todos sabem que um banco fortemente normalizado pode afetar o desempenho.
  • Concordo com Davi.

    É o tipo de questão que a banca pode simplesmente escolher se vai considerar certa ou não pelo grau de subjetividade de algumas proposições.

    Trecho do enunciado:
    "deve ser embasada em um banco de dados fortemente normalizado"

    Esse "deve" aí se fosse trocada por preferencialmente, no meu entendimento, deixaria a questão correta de forma inequivoca, já que todas as principais bibliografias de BD indicam a normalização para bancos de dados de sistemas OLTP como uma boa prática, porém todas também definem exceções na sua utilização.
  • Concordo com o Raul e Davi! Esse "deve" o CESPE interpreta do jeito que ele quer! As vezes ele é rigoso com algumas questões colocando-as como erradas justamente por causa deste termo. Já em outras, ele simplesmente ignora.


ID
195409
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Sistemas de Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Considerando que o sistema descrito no texto apresenta
características de suporte para a decisão e a gestão de conteúdos,
julgue os próximos itens.


Para se construir um esquema de nomeação consistente para auxiliar o sistema de navegação do sítio, será mais apropriado usar um glossário que um tesauro.

Alternativas
Comentários
  • Um tesauro é um dicionário com termos integrados, facilitando assim o agrupamento de funcionalidades e itens semelhantes.

  • Glossário é uma lista de determinados termos ou áreas de conhecimento, com significado de tais termos.

  • Para quem não entende os comentários sem o gabarito e não tem acesso a resposta.

    Gaba: ERRADO

     

    Um tesauro é um dicionário com termos integrados, facilitando assim o agrupamento de funcionalidades e itens semelhantes.


ID
195412
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Sistemas de Informação
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Considerando que o sistema descrito no texto apresenta
características de suporte para a decisão e a gestão de conteúdos,
julgue os próximos itens.


Três das características de suporte para a decisão que um sistema pode ter são: apresentar interface para o usuário final embasada em planilha eletrônica; conter um SGBD com uma tabela central e várias tabelas-satélites ou mesmo com estrutura recursiva (floco de neve); integrar informações oriundas de várias fontes de dados heterogêneas tanto no que concerne ao formato de dados de entrada, quanto à frequência de atualização dos dados.

Alternativas
Comentários
  • Olá, pessoal!   O gabarito foi atualizado para "E", após recursos, conforme edital publicado pela banca, e postado no site.

    Justificativa da banca:
    O item claramente refere-se ao desenho de sistemas de suporte a decisão baseados no modelo de datawarehouse. Dentro dessa spectiva, está errado por dois motivos: (i) não é recursiva a estrutura floco de neve, usada na construção de datawarehouses; (ii) não há atualização de dados em datawarehouses, apenas acréscimo de novos registros à bases de dados existente.   Bons estudos!
  • Embora tenha sido a banca que tenha dado as duas justificativas para alteração do gabarito, discordo da 2a justificativa. O comando da questão em nenhum momento diz que a frequência de atualização dos dados é no banco DW. O texto diz que as informações das várias fontes de dados heterogêneas para alimentar o sistema de suporte à decisão (DW) é que possuem formato de entrado diferentes e frequência de atualizações diferentes. Isso está correto.



ID
195418
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Uma equipe de desenvolvimento de software recebeu a
incumbência de desenvolver um sistema com as características
apresentadas a seguir.

* O sistema deverá ser integrado, interoperável, portável e
seguro.
* O sistema deverá apoiar tanto o processamento online, quanto
o suporte a decisão e gestão de conteúdos.
* O sistema deverá ser embasado na plataforma JEE (Java
enterprise edition
) v.6, envolvendo servlets, JSP (Java server
pages
), Ajax, JSF (Java server faces) 2.0, Hibernate 3.5, SOA
e web services.

O líder da equipe iniciou, então, um extenso processo de
coleta de dados com o objetivo de identificar as condições
limitantes da solução a ser desenvolvida e tomar decisões
arquiteturais e tecnológicas que impactarão várias características
funcionais e não funcionais do sistema, ao longo de seu ciclo de
vida. A partir dessa coleta, o líder deverá apresentar à equipe um
conjunto de informações e de decisões.

Considere que o sistema descrito no texto deva ser aderente às
recomendações de acessibilidade do Sistema de Administração dos
Recursos de Informação e Informática (SISP), o denominado
modelo e-Mag. Nesse sentido, julgue os itens subsequentes.

De acordo com o referido modelo, toda figura não decorativa apresentada ao usuário final nas páginas em navegadores deverá possuir valor não nulo para o atributo ALT da tag IMG. O valor desse atributo deverá ser preciso e representar textualmente o conteúdo da figura. Deve-se usar ou poucas palavras ou uma frase curta; deve-se iniciar com o texto "Imagem de (...)", "Gráfico de (...)" ou "Foto de (...)" quando se tratar de uma imagem, um gráfico ou uma fotografia, respectivamente; deve-se fazer referência ao sistema de navegação global do sítio.

Alternativas
Comentários
  • Imagens decorativas ou de acabamento: no caso de uma imagem ter apenas um fim decorativo
    ou de acabamento, como o canto arredondado de uma tabela ou uma régua separadora utiliza-
    se o atributo alt com um espaço em branco(nulo).

  • Acredito que a parte errada da questão encontra-se em "deve-se fazer referência ao sistema de navegação global do sítio.", visto que faz-se necessário "usar ou poucas palavras ou uma frase curta" no atributo ALT.

    abç,
  • Segundo o material de apoio "O uso correto do texto alternativo" indicado no e-Mag.

    "Não iniciar o texto alternativo com “imagem de...”, “gráfico de...” ou “foto de...”
    para descrever a imagem. É desnecessária e redundante a informação de que
    aquele conteúdo apresentado é uma imagem".

    Muito pegadinha essa questão.
  • Segundo o documento O Uso Correto Do Texto Alternativo ...

    Mas toda a imagem deve ter o atributo ALT mesmo que vazio ou nulo isto é um

    requisito dos padrões web. Imagens sem o atributo ALT são inacessíveis 

  • Até o último ";" descreve a recomendação 20 (FORNECER ALTERNATIVA EM TEXTO PARA AS IMAGENS DO SI?TIO ) e está correta. Entretanto, o avaliador colocou a última frase fora de contexto, só para ver se o candidato realmente conhece o modelo e respectivas recomendações. Essa última frase relaciona-se à recomendação 18 (DISPONIBILIZAR INFORMAC?A?O SOBRE A LOCALIZAC?A?O DO USUA?RIO NA PA?GINA ). Foi somente para destilar o veneno... Deve ter derrubado um monte de gente... CESPE na veia nessa.

    Modelo de Acessibilidade de Governo Eletrônico - versão 3.0
  • Toda a imagem deve ter o atributo ALT mesmo que vazio ou nulo isto é um requisito dos padrões web. Imagens sem o atributo ALT são inacessíveis. Quando os leitores de tela encontram uma imagem sem o atributo ALT eles extraem a informação de outro lugar – como o nome do arquivo da imagem, suas dimensões ou sua localização - dados que não representam a função e conteúdo da imagem.
    Fonte: http://www.governoeletronico.gov.br/biblioteca/arquivos/o-uso-correto-do-texto-alternativo/download

ID
195421
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens seguintes, referentes a redes de comunicação
sem fio.

Os protocolos 802.1x e EAP conseguem, em conjunto, eliminar qualquer problema de segurança do WEP, no que se refere a bit fliping e ataques de desassociação.

Alternativas
Comentários
  • Errado.

    A ataque bit flipping funciona assim:

    1. Uma estação está se comunicando, através de uma rede wireless onde os dados estão criptografados com WEP, com o servidor ;

    2. O atacante intercepta um dos pacotes e o altera, depois envia ao destinatario - o ponto de acesso (AP - Access Point);

    3. Quando o pacote chega ao AP ele não aceita a mensagem e devolve o erro também encriptado;

    4. O atacante intercepta a mensagem de erro encriptada e através dela encontra a chave.

    Os protocolos 802.1x e EAP NÃO conseguem, por si só ,impedir os ataques bot flipping. Para isso foi necessária a mudança do algoritmo CRC-32 para MICHAEL (64bits) na implementação do WPA para checar o cabeçalhos e os dados.

    O funcionamento do protocolo EAP - O 802.1x baseia-se no protocolo EAP (Extensible Authentication Protocol), definido pelo IETF, cujo papel é transportar as informações de identificação dos utilizadores. - baseia-se na utilização de um controlador de acesso (em inglês authenticator), encarregado de estabelecer ou não o acesso à rede para um utilizador. O controlador de acesso é um simples fire-wall que serve de intermediário entre o utilizador e um servidor de autenticação (em inglês authentication server), e precisa de muito poucos recursos para funcionar. No caso de uma rede sem fios, é o ponto de acesso que desempenha o papel de controlador de acesso.
     

  • Deverias colocar os créditos de quem realmente resolveu a questão...

    http://leodurans.blogspot.com/2010/08/questoes-comentadas-seguranca-e-redes.html

  • Amigos matei a questão com o trecho abaixo do livro do Nakamura.

    Segundo Nakamura(2010,p.177),"Já o mecanismo de autenticação dos usuários,inexistente no WEP, é feito no WPA pelo 802.1x e pelo Extensible Authentication Protocol(EAP),que formam o framework de autenticação do WPA."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010


ID
195424
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens seguintes, referentes a redes de comunicação
sem fio.

O MTU das redes sem fio que seguem o padrão 802.11 tem o mesmo valor do MTU das redes ethernet.

Alternativas
Comentários
  •  A tabela a seguir resume os tamanhos MTU padrão para mídia de rede diferentes.

       Network             MTU (bytes)   -------------------------------   16 Mbps Token Ring        17914   4 Mbps Token Ring          4464   FDDI                       4352   Ethernet                   1500   IEEE 802.3/802.2           1492   PPPoE (WAN Miniport)       1480   X.25                        576

     

  • MTU

    Redes sem fio = 2304 bytes

    ethernet = 1500 bytes

  • No livro de Redes do Kurose diz que:

    Ethernet - 46bytes à 1500bytes
    802.11    -    0bytes à 2312bytes
  • De acordo com o artigo presente no site da Symantec, há variações conforme métodos de encriptação:

    The 802.11 MTU (Maximum Transmission Unit) for data frames is 2304 bytes (frame payload size before encryption). SEM ENCRIPTAÇÃO
    Based on the encryption method use, the final payload size varies: WEP adds a header of 8 bytes for a total of 2312 bytes, WPA (TKIP) adds a header of 20 bytes for a total of 2324 bytes, and WPA2 (AES) adds a header of 16 bytes, for a total of 2320 bytes.

    Fonte: 
    http://www.symantec.com/connect/articles/wireless-forensics-tapping-air-part-one
  • MTU 

    Em redes de computadores, MPU é o acrónimo para a expresão inglesa Maximum Transmission Unit, que em português significa Unidade Máxima de Transmissão, e refere-se ao tamanho do maior datagrama que uma camada de um protocolo de municação pode transmitir.

     

    16 Mbps Token Ring - 17914 bytes
    4 Mbps Token Ring - 4464 bytes
    FDDI - 4352 bytes
    Ethernet - 1500 bytes
    802.11 - 2304 bytes

    IEEE 802.3/802.2 - 1492 bytes
     

  • Dica: a MTU depende da tecnologia de enlace, de modo que é improvável encontrar dois valores iguais.
  • O MTU das redes sem fio que seguem o padrão 802.11 (2304 bytes) tem valor diferente do MTU das redes ethernet (15oo bytes).  

    O tamanho da Maximum Transfer Unit (MTU) é definido pelas restrições impostas pelo hardware e software usados na rede.

    O valor do MTU depende do protocolo associado à camada física. A tabela a seguir mostra os valores para alguns protocolos.

    olo


ID
195427
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens seguintes, referentes a redes de comunicação
sem fio.

Os protocolos 802.1x e EAP têm por finalidade a autenticação, enquanto os protocolos WEP, WPA e WPA2 se dedicam a confidencialidade e integridade.

Alternativas
Comentários
  • EAP = Protocolo de Autenticação Extensiva

    802.11x = Padrão para controle de acesso à rede com base em portas

  • EAP is not a wire protocol; instead it only defines message formats. Each protocol that uses EAP defines a way to encapsulate EAP messages within that protocol's messages.

    IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Access points sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP).

    WEP, WPA e WPA2 são protocolos que auxiliaram na criptografia dos dados usando algorítimos como 3DES, RC4 ou AES

     

  • complementando:
    802.1x mecanismo de autenticação e autorização para dispositivos IEEE802
    Framework EAP para autenticação, controle de tráfego e link seguro entre as entidades suplicante e servidor de autenticação.
  • Detalhe: O WEP utiliza RC4, não 3-DES.
  • Alerto ao Pires para tomar cuidado e não fazer confusão com essa sopa de letrinhas. 802.1x é uma coisa. 802.11x é outra completamente diferente.

    Conforme diz[1], 802.11x refere-se a um grupo de padrões relacionados à WLAN, pertencentes à família 802.11. Atualmente, há 6 técnicas de modulação 802.11, todos usando o mesmo protocolo. Os mais populares, são: b, a e g. Mas há outros, como o 802.11i que adicionou mais segurança, e o 802.11n, que usa outra técnica de modulação.

    Já o 802.1x é um padrão de acesso de rede baseado em portas, particularmente útil para segurança de redes da família 802.11(a, b,g etc).

    Fontes:

    [1] Network Dictionary, Jielin Dong

  • c-

    Em uma rede sem fio que utiliza WPA2-Personal, o método de autenticação utiliza autenticação baseada em PSK.


ID
195442
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à segurança em redes de computadores, julgue os itens
subsequentes.

Uma das fases do processo de tratamento e resposta a incidentes de segurança em redes de computadores é a preparação, na qual são sanitizadas mídias para armazenamento e confeccionados kits de ferramentas em meio read-only.

Alternativas
Comentários
  • Quando há um incidente, é importante preparar as mídias de armazenamento e as ferramentas para pegar as informações sem alterá-las (modo read-only).

ID
195445
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à segurança em redes de computadores, julgue os itens
subsequentes.

Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.

Alternativas
Comentários
  •  ERRADO. Firewalls não tem a mesma finalidade que o IDS e o IPS. O firewall serve para separar duas redes bloqueando o tráfego indesejado, inspecionando apenas os cabeçalhos dos datagramas e não o datagrama inteiro.

    Fonte: http://socratesfilho.wordpress.com

  • Além disso as definições de IDS e IPS estão invertidas. IDS não reage. IPS reage a anomalias ou assinaturas conhecidas de ataques.

  • Analisando a questão:
    Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, há uma finalidade única: oferecer proteção; porém, aforma com que isso é atingido (ou "as finalidades") são diferentes para cada um: há uma barreira de rede, outro para detecção de intrusão, outro para prevenção.

    porém tipicamente operam de formas distintas:  esta frase está correta

    o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; nem todo FW faz isso: é comum a implementação apenas do filtro de pacotes ou do filtro de estados: filtro de conteúdos é específico por aplicação; a descrição dada na questão está mais próxima à de um IPS

    o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; se houve uma invasão, a busca agora é por padrões comportamentais (combinações específicas de eventos na rede ou host) que caracterizem uma invasão: o objetivo primário é detectar, não parar

    e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado. essa descrição parece mais com um FW filtro de pacotes; a operação do IPS é semelhante à do IDS: buscam-se padrões de comportamento que configurem uma assinatura de ataque (por uma sequência específica ou estatítica).
  • IDS("Intrusion Detection System"): Como o próprio nome ja diz, é uma ferramenta de detecção de intrusos. Geralmente as empresas utilizam o firewall como ferramenta preventiva de detecção de intrusos, mais isso acaba inibindo a ação do IDS.

    O IPS("Intrusion Prevention System"): é uma rede de segurança que monitora dispositivo de rede e / ou sistema de actividades maliciosas ou indesejado comportamento e pode reagir, em tempo real, para bloquear ou impedir essas actividades. Rede de base IPS, por exemplo, irá funcionar em linha para monitorar todo o tráfego de rede para um código malicioso ou ataques. Quando um ataque é detectado, ele pode cair a ofender pacotes permitindo assim o tráfego para todos os outros passam.
  • Alguém explica direito ai, porque ninguém me convenceu do erro da questão.

  • As questões do cespe são tipo:"Caralho! tá certo, então vou marcar errado porque eu acho que tá certo". haha


    não tenho certeza, mas acredito que o erro esteja na descrição de IDS.

  • Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas, porém tipicamente operam de formas distintas: o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas; e o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.

    ERRADO! Pois o IDS pode ser configurar para REAGIR ao tráfego detectado e não apenas emitir alertas

  • Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas.... Parei aqui!

    Errado.

    Finalidade do IDS é detectar intrusão

    Finalidade do IPS é prevenir intrusão

  • Olá, penso que as finalidades não são identicas. O firewall, necessário, é tido como a primeira barreira de segurança e protege a máquina ou a rede de ameaças externas, oriundas da Internet, mas permitindo acesso a serviços autorizados. O IDS e o IPS, já com caráter complementar na segurança,  estendem um maior acompanhamento e monitoramento interno, evitando acessos não autorizados a sistemas, roubo de informações confidenciais, detectando atividades suspeitas, impróprias, incorretas ou anomalas.

    Dizer que o firewall inspeciona integralmente o datagrama também já podemos inferir como um erro, pois comumente ele (de pacotes ou stateful) inspeciona apenas algumas informações de seu cabeçalho, as informações de IP de origem e destino, a porta de origem e destino, flags e protocolo. 

    Para melhor compreensão, podemos fazer uma analogia é como se o Firewall fosse uma porta e o IDS ou IPS uma câmera ou alarme.

    At.te.

    Renato da Costa:.

     

  • De acordo com a própria banca cespe essa assertiva possui vários erros :

    Q48436 Ano: 2009 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Redes - Parte II

    Tipicamente, firewalls realizam a inspeção dos cabeçalhos, enquanto os sistemas de detecção de intrusão verificam todo o conteúdo dos pacotes.Certo

    firewall( padrão -pacotes) ->a inspeção dos cabeçalhos

    IDs->verificam todo o conteúdo dos pacotes.

    --------------------------------------------------------------------------------------------------------------------------------------------------

    verde = certo

    vermelho= errado

    Firewalls, IDS e IPS são dispositivos que têm finalidades idênticas,( Errado-distintas )

    IDS= detecção de intrusos ( passivo)

    Firewall = controle de entrada e saída da rede ( porteiro)

    IPS= sistema de prevenção ( ativo)

    Firewall = o primeiro inspeciona integralmente os datagramas e reage bloqueando o tráfego indesejado( errado)

    inspeciona o cabeçalho de acordo com questão acima .

    IDS= ; o segundo também inspeciona integralmente os datagramas, mas não bloqueia o tráfego indesejado, apenas emite alertas;(Certo)

    IPS =o terceiro inspeciona apenas os cabeçalhos dos datagramas e, como o primeiro, reage bloqueando o tráfego indesejado.( errado) ( como o IDS inspeciona todo o conteúdo dos pacotes e além disso reage )

  • Algumas questões do CESPE sobre o assunto:

    (CESPE - 2017 - SEDF) Relativamente a segurança da informação, julgue o item subsequente.

    Uma das abordagens comuns dos sistemas IDS na realização de suas funções é aprender a reconhecer padrões de intrusões usando métodos como redes neurais.

    Gabarito: Certo

    (CESPE - 2015 - TCE-RN) A respeito de segurança em redes de computadores, julgue o item seguinte.

    Situação hipotética: Uma ferramenta, ao monitorar o tráfego de uma rede, detectou uma anomalia considerada como um possível ataque. Após essa detecção, a ferramenta enviou ao firewall um pedido de bloqueio do endereço de origem que enviou o tráfego de rede considerado um ataque. Assertiva: Nessa situação, a referida ferramenta é considerada um IPS (intrusion prevention system).

    Gabarito: Certo

    (CESPE 2012) Os sistemas IDS (intrusion detection system) e IPS (intrusion prevention system) utilizam metodologias similares na identificação de ataques, visto que ambos analisam o tráfego de rede em busca de assinaturas ou de conjunto de regras que possibilitem a identificação dos ataques. (CERTO)

    (CESPE 2018) Um sistema de detecção de intrusão (intrusion detection system – IDS) consegue detectar comportamentos maliciosos tanto em computadores individuais quanto em redes de computadores. (CERTO)

    (CESPE 2018) O dispositivo de IPS (do inglês intrusion prevention system) utilizado em redes corporativas tem como objetivo bloquear ataques a partir da identificação de assinaturas e(ou) anomalias. (CERTO)

    (CESPE) IDS e IPS são sistemas que protegem a rede de intrusões, diferindo no tratamento dado quando uma intrusão é detectada. Especificamente, o IPS limita-se a gerar alertas e ativar alarmes, e o IDS executa contramedidas, como interromper o fluxo de dados referente à intrusão detectada.

    (E) -> Nessa questão, os conceitos estão invertidos.

    (CESPE) As ferramentas de IDS (sistemas de detecção de intrusão) atuam de forma mais proativa que as ferramentas de IPS (sistemas de prevenção de intrusão).

    (E) Aqui também está invertido, pois é justamente ao contrário.

    Obs: Questões filtradas de outros comentários dos colegas do Q concursos


ID
195448
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Com relação à segurança em redes de computadores, julgue os itens
subsequentes.

VPNs implementam redes seguras a fim de prover confidencialidade, integridade e autenticidade em canais públicos compartilhados.

Alternativas
Comentários
  • •Os conceitos que fundamentam a VPN são a criptografia e o tunelamento.
    •A criptografia é utilizada para garantir a autenticidade, o sigilo e a integridade das conexões, e é a base da segurança dos túneis VPN.
    •Trabalhando na camada 3 do modelo OSI/ISO, a criptografia é independente da rede e da aplicação, podendo ser aplicada em qualquer forma de comunicação possível de ser roteada, como voz, vídeo e dados.
    •O túnel VPN é formado pelo tunelamento que permite a utilização de uma rede pública para o tráfego das informações, até mesmo de protocolos diferentes do IP, por meio da criação de um túnel virtual formado entre as duas partes da conexão.

  • O conceito de VPN surgiu da necessidade de se utilizarem redes de comunicação não confiáveis (internet) para trafegar informações de forma segura. As VPNs são “redes privadas virtuais” (Virtual – Não requer circuitos alugados para interconectar sites e privada – Uso exclusivo de uma instituição. Tecnologia garante que a comunicação entre qualquer par de computadores permaneça oculta ou isolada de estranhos) que possibilitam a economia de custos quando utilizadas em substituição às tradicionais redes baseadas em linhas privadas, reduzindo, assim, investimento em equipamentos, treinamento e manutenção. Elas também podem ajudar a tornar as redes mais flexíveis (imediata escalabilidade, com mínimo esforço), possibilitando respostas rápidas às constantes mudanças ocorridas no enfoque dos negócios. Elas ainda proporcionam um gerenciamento e controle efetivo, por permitir a utilização das facilidades de um provedor público sem perder o controle total da rede, e por controlar de forma efetiva a autenticação, privilégios de acesso, segurança (garantir a confidencialidade, integridade e autenticidade).

    Alternativa: Certa


  • em canais públicos compartilhados?

  • CERTO

    A VPN cria um caminho seguro (túnel) dentro da rede pública, através da encriptação dos dados em uma conexão.

  • CERTO

    GERALMENTE A VPN IRÁ USAR O IPSEC QUE GARANTE A C.I.A (CONFIDENCIALIDADE, INTEGRIDADE E AUTENCIDADE)

    MAS PODERÁ SER USADA COM SSL E SSH QUE TAMBÉM GARANTIRÁ A C.I.A.


ID
195451
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Sistemas Operacionais
Assuntos

Julgue o item abaixo, relativo à tecnologia de virtualização.

Na virtualização, o armazenamento de dados é feito em servidores remotos com grande redundância, aumentando, assim, a disponibilidade de recursos de armazenamento.

Alternativas
Comentários
  • Servidores remotos?!?!?

     

    QUESTÃO ERRADA

  • De praxe, a virtualização cria discos que são armazenados no mesmo servidor físico no qual as máquinas virtuais encontram-se hospedadas. Obviamente, o disco da máquina física pode ser um disco de storage, hospedado virtualmente, mas creio que a questão não pensa em adentrar tais detalhes.

  • Para Waters (2007), virtualização é a tecnologia usada para criar uma camada de abstração entre o hardware e o software, possibilitando uma visão lógica dos recursos de hardware e permitindo que várias máquinas lógicas rodem em um único hardware.
  • Na virtualização, o armazenamento de dados é feito em servidores remotos (ERRADO, não existe nada armazenamento em serviores remotos e sim no servidor local) com grande redundância, aumentando, assim, a disponibilidade de recursos de armazenamento. 

    ERRADA

    Bons estudos! ;)
  • A questão tenta enganar o candidato despreparado, confundindo conceitos (CESPE é Rei nisso), desta forma ficaria correto se:

    Na nuvem, o armazenamento de dados é feito em servidores remotos com grande redundância, aumentando, assim, a disponibilidade de recursos de armazenamento.

    Foco!
  • Só complementando o que o pessoal já citou, na verdade o erro da questão está na afirmação que possui sentido de obrigatoriedade na utilização de armazenamento remoto. Eu penso que a virtualização é um gênero da qual os serviços em nuvem são uma espécie. Dito isto, a solução de virtualização "pura" pode utilizar ou não serviços de armazenamento remoto. Mas, via de regra, soluções de virtualização utilizam armazenamento local (é o tipo mais comum). Soluções de cloud computing, também podem ou não, utilizar armazenamento remoto, porém este último é muito mais comum (através de SANs por exemplo). Como a questão não detalhou bem esta distinção, creio que ela ficou um pouco dúbia. Nada que o CESPE não saiba fazer como nínguém para pegar o candidato pelo "pé"...

  • Virtualização consiste em transformar um ambiente baseado em servidores físicos em um ambiente baseado em servidores virtuais.


ID
195454
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Considerando as tecnologias de servidores de aplicação JEE, julgue
os itens seguintes.

Um servidor de aplicação JEE age como uma máquina virtual estendida que é voltada para a execução de aplicações e que trata de forma transparente as conexões com o banco de dados e com o cliente.

Alternativas
Comentários
  • Não entendi esse "... trata de forma transparente as conexões com o banco de dados e com o cliente.".

    Alguém pode explicar?
  • Servidores de Aplicação JEE normalemente funcionam com containers que abstraem da aplicação as variações do ambiente onde a aplicação está, inclusive a conexão com bases de dados. Desta maneira, uma mesma aplicação pode ser instalada em diferentes servidores de aplicação sem sofrer grandes alterações. 
  • c-

    Anotações solicitam que o AS faça a injeção de um recurso quando necessário na classe. A injeção implica que a instanciação e remoção do objeto ocorrem de forma transparente.


ID
195457
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Considerando as tecnologias de servidores de aplicação JEE, julgue
os itens seguintes.

A diminuição da segurança, a perda de desempenho e o aumento do TCO são alguns dos impactos do emprego de servidores de aplicação JEE.

Alternativas
Comentários
  • Java J2EE • Criado para suportar aplicações corporativas: críticas, alto volume de transações • Resolve problemas como transações, distribuição, escalabilidade, persistência, segurança • Multiplataforma (Java), Padrão aberto • Empresas já confiam na solução para migrar seus sistemas críticos • Complexidade Baixa Produtividade (média 15 H/PF) – Dados do International Software Benchmarking Standards Group (ISBSG) • Necessidade de profissionais muito qualificados (caros), conhecedores de diversas tecnologias e padrões de desenvolvimento além do negócio INSTITUCIONAL

    fonte:http://www.slideshare.net/adorepump/

  • A assertiva erra em todos os pontos:
    - a diminuição da segurança (ERRADO, ocorre o aumento da segurança)
    - a perda de desempenho (ERRADO, ocorre um ganho de desempenho)
    - aumento do TCO (ERRADO, ocorre a diminuição do Custo Total de Propriedade - Total Cost of Ownership (TCO))
  • e-

    Caracteristicas JEE:

     

    Transações: Enterprise Java Beans (EJB) define suporte para transações, integrado com a Java Transaction API (JTA) e oferece transações distribuídas.


    Segurança: autenticação e autorização de forma transparente. lógica de segurança faz parte do JEE.


    Remotabilidade: acesso remoto através de diversos protocolos de comunicação.


    Multithreading e Concorrência: aplicações acessadas por múltiplos usuários simultaneamente controladamente


    Persistência: provedores de persistência seguindo especificação JPA.


    Gerenciamento de Objetos: injeção de dependênciase controle de ciclo de vida , garantindo a escalabilidade


    Integração: integrada com os componentes Java


ID
195460
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Programação
Assuntos

Considerando as tecnologias de servidores de aplicação JEE, julgue
os itens seguintes.

Uma vantagem do uso de servidores de aplicação JEE é a descentralização da configuração.

Alternativas
Comentários
  • Uma vantagem do uso de servidores de aplicação JEE é a centralização da configuração.

    Por exemplo, o servidor Apache que é compatível com o JEE. Tem sua configuração totalmente centralizada no arquivo httpd.conf.
  • e-

    Web Tier é a camada entre as páginas web e a lógica de negócio, sendo Java Server Faces (JSF), JSP e Servlets. Em alguns casos, esta camada é dispensável.

     

    Business Tier: lógica de negócios em Enterprise Beans individuais para a aplicação cliente e para as páginas web.


    Enterprise Information Server (EIS) Tier: fontes de dados através da business tier, normalmente um SGBDR.


    A Web Tier pode ser em Servlet Containers, "mini" servidores de aplicação mais leves e sem todos os serviços dos servidores de aplicação. O Apache Tomcat é um Servlet Container. é mais produtivo aplicações somente com Servlet Containers, colocando a lógica de negócio em Plain Old Java Objects (POJOs) do que acrescentar o peso de um servidor de aplicação com Enterprise Beans.


    Outro detalhe importante é que as layers, com exceção da Client Machine, podem ser em uma única camada física. O atrativo do JEE é que o profissional usa plataforma para facilitar a implementação des serviços-padrão (requisitos não funcionais).


ID
195463
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das tecnologias de alta disponibilidade para SGBDs, julgue
os itens subsequentes.

Uma solução para obter alta disponibilidade dos SGBDs, independentemente das suas características intrínsecas, é o uso de hardware e software mais robustos, incluindo o sistema operacional.

Alternativas
Comentários
  • Alta disponibilidade seria dada por replicação, uma máquina boa e um s.o. não garante alta disponibilidade se o problema estiver na rede por exemplo.
  • Só ter um bom HW e SW não garante alta disponibilidade, pois mesmo sendo "robustos", eles são susceptíveis a erros, além de desastres, como ocorrer queda de energia, rompimento da fibra ótica, alagamento, etc.

    É necessário ter duplicação dos dados em um servidor diferente, se possível, até noutro local físico (conceito de HOT SWAP). Havendo replicação, aí sim, pode garantir a alta disponibilidade (caso 1 servidor venha a parar por algum motivo qualquer, o outro, que estará noutro local físico, assumirá).
  • Para responder a essa pergunta, precisamos entender alguns conceitos.
    Robusto: De constituicao resistente, vigoroso, saldavel, duro, solido, q tem força.
    Disponibilidade: o q esta presente e pronto pra uso, acessivel.
    Sendo assim, um HW/SW robusto é capaz de funcionar em situações anormais, com capacidade de resistir a falhas e saber tratá-las quando elas ocorrem.
    Porem, existem mtas outras caracteriscas alem da robustez de HW e SW para se obter alta disponibilidade. Por exemplo, nao adianta vc ter apenas o Windows Server 2008 Enterprise Edition 64 bits rodando num servidor IBM de 32 nucleos, se vc nao tem redundancia.
    Diversos outros fatores podem contribuir, como:
    - Uso de discos RAID;
    - Uso de RAC;
    - Manutençaõ a quente.
    - etc etc etc.


  • Questão bemmmmmmmmmmmm incompleta! Em determinadas situações, somente com os recursos mencionados já são suficientes para alta disponibilidade no SGBD

  • Eu não entendi o erro também e acho que tem questões que não dá para forçar a barra na interpretação, pois até a interpretação tem limites.A questão é clara ao escrever "UMA SOLUÇÃO para obter alta disponibilidade dos SGBDs, independentemente das suas características intrínsecas, é o uso de hardware e software mais robustos, incluindo o sistema operacional." Não pedia A SOLUÇÃO. E a infraestrutura apontada apresentam UMA SOLUÇÃO para obter alta disponibilidade sim.

  • Dan, o erro está em dizer que a alta disponibilidade é solucionada "independentemente das suas características intrínsecas, com (SIC) o uso de hardware e software mais robustos, incluindo o sistema operacional.". Se vc tem UM SGBD físico e troca por outro mais parrudo, não resultará em alta disponibilidade. A HA será alcançada a partir da replicação do banco em outros ambientes, implementação de tecnologias com maior tolerância a falhas e demais formas de mitigar indisponibilidades no serviço.

  • A disponibilidade refere-se a propriedade do dado estar disponível sempre que for solicitado por um usuário ou programa que tem direito a ter acesso aquele dado. Uma forma de conseguir essa alta disponibilidade é replicando o sistema do banco de dados. Ou seja, usar redundância. Assim, ao invés de um SGBD, podemos ter dois SGBD’s com a mesma base de dados replicada. Se um sistema cair o outro poderá atender os pedidos. Além disso, em caso de alta demanda de consultas, eles podem ser divididos entre os dois sistemas.

    Errado

  • Questão

    Uma solução para obter alta disponibilidade dos SGBDs, independentemente das suas características intrínsecas, é o uso de hardware e software mais robustos, incluindo o sistema operacional. ❌

    A disponibilidade refere-se a propriedade do dado estar disponível sempre que for solicitado por um usuário ou programa que tem direito a ter acesso aquele dado.

    Uma forma de conseguir essa alta disponibilidade é replicando o sistema do banco de dados. Ou seja, usar redundância. Assim, ao invés de um SGBD, podemos ter dois SGBD’s com a mesma base de dados replicada. Se um sistema cair o outro poderá atender os pedidos. Além disso, em caso de alta demanda de consultas, eles podem ser divididos entre os dois sistemas.

    Gabarito errado. ❌


ID
195466
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das tecnologias de alta disponibilidade para SGBDs, julgue
os itens subsequentes.

Algumas das características desejáveis em um SGBD para a obtenção de alta disponibilidade são: backup online ou roll forward journalling; replicação, que é o espelhamento em um servidor secundário; e recuperação de falha, que significa a capacidade de comutação "a quente" para um servidor secundário.

Alternativas
Comentários
  • Recuperação de falha siginifica capacidade de comutação a quente para outro servidor ????

    Gostaria de saber de onde o CESP tira estas afirmações. comutação a quente esta relacionada com troca de Hardware, não faz sentido utiliza-la nesta contexto. A definição da intel para o termo é a seguinte:

    "A comutação a quente é um recurso suportado pela Advanced Host Controller Interface (AHCI) e Intel® RST. A comutação a quente permite que dispositivos sejam removidos e inseridos enquanto o sistema está em execução."
  • * Online Backup --> roll forward journalling,

    * Replication --> mirroring to secondary server

    * Fault Recovery --> hot switch to secondary server.


    http://www.firstsql.com/highavailability.html 


ID
195469
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Banco de Dados
Assuntos

Acerca das tecnologias de alta disponibilidade para SGBDs, julgue
os itens subsequentes.

Entre os principais pontos de falha associados a um SGBD, estão o servidor, que compreende a engine, seu software e seu hardware; o suporte físico dos dados, que compreende os meios de armazenamento juntamente com suas interfaces de hardware e software; e os enlaces de acesso, que incluem o meio físico, as interfaces e os ativos de rede.

Alternativas
Comentários
  • ai eu te pergunto. ativos de rede são pontos de falha associados a um SGBD?

  • Sim, ativos de rede também constituem pontos de falha associados a um SGBD ainda que de forma indireta.

    Segue um trecho do autor Navathe para demonstrarmos isso com um exemplo de relacionamento entre SGBD e redes de computadores.

    Segundo Navathe(2011,p.29),"[...] alguns SGBDs estão fisicamente distribuídos em várias máquinas. Nesse caso, redes de comunicações são necessárias para conectar as máquinas. Estas, com frequência, são redes locais(LANs-Local Area Networks), mas também podem ser outros tipos de redes."

    **Portanto, se considerarmos que um enlace entre SGBDs fisicamente distribuídos possa falhar por algum motivo(Ex: cabo de interconexão cortado.), então as redes de computadores(com todos os seus ativos. Ex: cabos,switches,router) PODE CONSTITUIR SIM UM PONTO FRACO QUE PODE INTERROMPER O FUNCIONAMENTO DA COMUNICAÇÃO COM O SGBD.

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011


ID
195472
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, relativos às tecnologias de
armazenamento DAS, NAS e SAN.

As tecnologias SAN são redes com velocidade de transmissão de dados da ordem de gigabits por segundo ou superior formadas por dispositivos de armazenamento e servidores que acessam tais dispositivos.

Alternativas
Comentários
  • SAN (Storage Area Network). Basicamente é um equipamento remoto com vários discos e um sistema operacional para gerenciar tais discos. Os demais servidores acessam o servidor de disco (Storage) por meio da SAN (ex.: Fibre Channel) para ter acesso a um local onde armazenar dados críticos que necessitam de redundância (fornecida por Storages de mercado).

  • Leoh, acredito que SAN não utiliza sistema operacional e apenas armazenamento. A topologia que utiliza sistema operacional é NAS. se alguém puder fomentar mais....
  • SAN (Storage Area Network) não é nada mais que uma rede de alta velocidade que conecta dispositivos de armazenamento e servidores.

    Fonte: http://www.webopedia.com/TERM/S/SAN.html

    Peço aos colegas que incluam uma referência que embase o comentário. Grato.
  • Gabarito Certo

    Uma Storage Area Network (SAN) é uma rede de armazenamento dedicada que oferece acesso a informações consolidadas. As SANs são usadas principalmente para fabricar dispositivos de armazenamentos como array de discos, ficando acessiveis a servidores e estes dispositivos aparecem como se estivessem conectados localmente ao sistema operacional. Uma SAN normalmente tem sua própria rede de dispositivos de armazenamento que geralmente são são acessiveis através da rede regular por meio dos dispositivos tradicionais.

    A SAN sozinha não fornece a abstração do sistema de arquivos, apenas operações no nível de bloco. Por isso é necessário que seja construído um sistema de arquivos sobre a SAN, esses são conhecidos com sistema de arquivos SAN  ou sistemas de arquivos compartilhados em disco.

    Os computadores que tem acesso a SAN possuem por conseguinte uma interface de rede especifico ligado ao SAN, além da sua interface de rede tradicional.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • SAN é uma “rede” separada e dedicada a dispositivos de armazenamento. Um SAN consiste em um “banco” de discos que oferecem espaço compartilhado de armazenamento, que pode ser acessado por muitos servidores ou sistemas.


ID
195475
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, relativos às tecnologias de
armazenamento DAS, NAS e SAN.

As tecnologias DAS são soluções de armazenamento voltadas para grandes instalações com centenas de usuários.

Alternativas
Comentários
  • DAS é abreviação de "Direct Attached Storage" e refere-se a dispositivos de armazenamento externo ligados diretamente ao servidor (ou a qualquer outro micro da rede), como no caso das gavetas de HD ligadas a portas eSATA (o eSATA é uma versão externa das portas SATA, que mantém a mesma velocidade de 150 ou 300 MB/s, mas permite o uso de um cabo externo) ou a portas USB,

    Apesar de ser simples de implementar e relativamente barato, não possui escalabilidade e portanto não é indicado para instalações com centenas de usuários.

  • É o mais comum tipo de armazenamento. Assim como o nome sugere, implica que todos os discos e dispositivos de armazenamento estejam no servidor, ao invés de um dispositivo separado. Tem uma bola relação custo-benefício, principalmente para pequenas e médias empresas.

    Essa técnica é mais adequada para pequenos servidores que oferecem acesso a arquivos para diversos PCs ou usuários de um pequeno escritório. É uma forma confiável para armazenar aplicações que rodam em um servidor.

    No entanto,essa arquitetura tem algumas limitações em relação à escalabilidade, uma vez que os servidores suportam um número limitado de discos. Isso significa que se a sua empresa precisar de mais espaço, a única alternativa é utilizar discos de alta capacidade.

    QUESTÃO ERRADA

  • Basta lembrar do HD externo... Ele é um DAS. com isso ele não a função de trabalhar em ambientes distribuidos.

  • e-

    grande conselho do colega Paulo Luiz Almeida dos Reis: comece a chamar hd externo de DAS (direct attached storage)

  • O DAS é somente um equipamento de armazenamento conectado a um computador na rede.

    Lidar com dezena de usuários ainda vai, mas quando falamos de centenas.... devemos considerar um NAS, ou mesmo uma SAN, que seria o ideal.

    Item errado.

    • DAS (Direct Attached Storage):

    Conectado diretamente ao computador;

    Nível de bloco.


ID
195478
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Redes de Computadores
Assuntos

Julgue os itens que se seguem, relativos às tecnologias de
armazenamento DAS, NAS e SAN.

As tecnologias NAS são usadas como servidores de arquivos com sistema operacional e recursos de hardware especializados.

Alternativas
Comentários
  • O que difere um DAS de NAS e SAN?

    No DAS temos um equipamento de armazenamento ligado diretamente ao servidor. Ex.: HD Externo na porta USB

    No NAS temos um equipamento especializado somente para fornecer acesso compartilhado ao seu próprio disco. Pode ser uma "caixa preta" rodando linux como, simplesmente, um windows com um disco de alta capacidade compartilhado na rede. Para acessar o NAS precisaremos mapear a unidade. Esse mapeamento será compartilhado.

    No SAN temos um Storage. Um equipamento com muito espaço para armazenamento. A diferença para NAS é que, neste caso, ele consegue gerenciar de forma mais granular as quantidade de área que será entregue a um solicitante. Esta área disponibilizada será usada apenas por 1 servidor, e ninguem mais irá mapeá-la. No servidor poderemos montar essa área (disco de rede no windows ou usando NFS em *unix). Geralmente são chamados de partições montadas (ou remotas)

  • Gabarito Certo

    Um NAS (Network Attached Storage), por sua vez, roda um sistema operacional completo e funciona como um servidor de arquivos, ligado diretamente na rede.

    Muitas vezes, eles são chamados de “network storage”, ou simplesmente de “storage”, termos que são mais descritivos para o público não técnico do que “NAS”. Entre o público técnico, eles são também chamado de “filers” (arquivadores). O termo “storage” é na verdade um termo técnico genérico para soluções de armazenamento, que é usado também em outras situações, como no caso das SANs.

    Existem muitas opões de NAS, que vão desde sistemas baratos, que custam pouco mais que uma gaveta USB, até equipamentos caros, que utilizam um grande número de HDs. Os modelos mais baratos comportam apenas um ou dois HDs e oferecem apenas funções básicas. Alguns modelos incluem também um transmissor wireless ou disponibilizam uma porta USB, o que permite que sejam ligados ao PC diretamente e seja usados como um DAS. Modelos intermediários suportam em sua maioria 4 drives e modelos high-end ou racks para uso em datacenters suportam muitas vezes 8 drives ou mais.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !


ID
195481
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

A confidencialidade dos votos não será violada pela captura de tráfego na Internet, sem que sejam quebradas as proteções oferecidas pelo protocolo TLS/SSL.

Alternativas
Comentários
  • Quebrar a seção TLS/SSL é UMA das condições para que se viole a confidencialidade dos votos.
  • E exatamente isso, uma vez que o uso desses protocolos garante uma sessão segura com a disponibilização dos serviços de :

    autenticação mútua das duas entidades,
    confidencialidade,
    integridade e,
     negociação de parâmetros.

    TANENBAUM 4ª ED

ID
195484
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

Os votos não podem ser assinados digitalmente pelos votantes sem que isso acarrete perda do anonimato do voto, isto é, a identificação do voto.

Alternativas
Comentários
  • A assinatura digital faz uso da chave privada. Assim, com a chave pública correspondente teríamos como saber que assinou digitalmente o documento.

  • CORRETO, pois:

    Os votos não podem ser assinados digitalmente pelos votantes

    isso acarreta a perda do anonimato do voto, isto é, a identificação do voto.

     

    CF/88 - Art. 14. A SOBERANIA POPULAR será exercida pelo sufrágio universal e pelo voto direto e secreto, com valor igual para todos, e, nos termos da lei (...)

  • Certinho.

    Qdo vc utiliza assinatura digital, vc tá usando sua chave privada nesse processo.

    A chave privada, como diz o próprio nome, é utilizada apenas por vc.

    Ao fazer o seu uso, todos saberão que o voto foi assinado por vc e, consequentemente, não o tornará anônimo.

  • O examinador trouxe o conceito de assinatura digital. Esta é garantida mediante a utilização da chave privada do emissor, a qual visa garantir justamente o atributo da autenticidade, o que vai de encontro ao voto anônimo.


ID
195487
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

As informações apresentadas são suficientes para se concluir corretamente que esse sistema é robusto em caso de ataques de negação de serviços provenientes da Internet, pois só serão admitidas sessões autenticadas entre navegadores e o servidor de aplicação. Além disso, apenas votantes previamente cadastrados poderão interagir com o sistema.

Alternativas
Comentários
  • A arquitetura proposta não evita em momento algum que um atacante envie várias requisições válidas para o sistema sobrecarregando a rede.

    Para evitar um ataque deste tipo seria necessário um IPS que detectaria o ataque e agiria bloqueando a origem do mesmo.

  • A questão aborda aspectos de segurança importantes para a garantia de segurança no processo de votação. Porém, podem ser encontradas falhas em todos os parágrafos descritos. 
    Adicinalmente, o texto é omisso no que tange a aspectos de infraestrutura (o objeto da questão) e, sem que se aborde a arquitetura que receberá as solicitações de sessão (ex: balanceamento de carga, restrição à quantidade de sessões simultâneas, rol de endereços passíveis de estabelecer comunicação, etc.), não é possível avaliar sobre quão robusto a ataques DoS ele é.
    Questão incorreta, portanto.
  • GABARITO: ERRADO.


ID
195490
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

O uso de PIN assegura que não ocorrerão ataques de personificação, isto é, um indivíduo votando por outro.

Alternativas
Comentários
  • ERRADO. Se alguém descobrir o PIN de outra pessoa, poderá votar por ela. Portanto, ataques de personificação não são evitados por meio do uso de PINs. Estes ataques poderiam ser evitados por meio de testes biométricos, como impressão digital.

  • O uso de PIN poderia até mitigar, mas não assegura (100% de certeza). O erro estaria na palavra assegura.

  • Ataque de personificação: um atacante pode introduzir ou substituir um dispositivo de rede para induzir outros a se conectarem a este, ao invés do dispositivo legítimo, permitindo a captura de senhas de acesso e informações que por ele passem a trafegar.

  • GABARITO: ERRADO.


ID
195493
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em ano de eleições gerais, é comum haver discussões na
sociedade acerca da possibilidade de se fazer a votação pela
Internet. Na concepção de um sistema hipotético de votação pela
Internet, foram evidenciados os seguintes requisitos relacionados
com a segurança da informação do sistema.

* Cada votante deverá ser autenticado pelo sistema por
certificado digital, cuja chave privada deve ser armazenada
em dispositivo de mídia removível (pendrive) ou smartcard.
O acesso a essa informação deverá ser protegido por uso de
identificador pessoal numérico (PIN), de uso exclusivo de
cada votante e que deve ser mantido secreto pelo votante.
*autoridade certificadora confiável. A lista de autoridades
certificadoras confiáveis aceitas é de conhecimento dos
votantes, que se responsabilizarão pela obtenção do certificado
digital apropriado junto à autoridade de registro/autoridade
certificadora apropriada.
* Os votantes aptos a participar da votação deverão ser
previamente cadastrados no sistema. Não serão recebidos
votos de indivíduos não cadastrados previamente, mesmo que
estes detenham um certificado digital compatível com o
sistema.
* Por questões de economicidade, não será requerido o uso de
pin pad seguro para digitação do PIN no momento da
autenticação do votante. Assim, a entrada do PIN poderá ser
realizada pelo teclado do terminal usado para acesso à
Internet.
* A sessão entre o navegador de Internet usado como interface
de cliente do sistema de votação e o servidor de aplicação que
disponibiliza a aplicação do sistema deverá utilizar protocolo
TLS/SSL com autenticação do cliente e do servidor. Para
autenticação do cliente TLS/SSL, será utilizado o certificado
digital supramencionado.

Com relação à situação descrita acima, julgue os itens que se
seguem.

A chave privada do certificado possui resistência à intrusão (tamper proof) provida pelo hardware que a armazena.

Alternativas
Comentários
  • O pendrive não possui resistência a intrusão. Mesmo que ele possa criptografar os dados, essa criptografia seria via software e não via hardware como afirma a questão.

  • HÁ ERRO EM AFIRMAR QUE A CHAVE PRIVADA FAZ PARTE DO CERTIFICADO!
  • No caso do pen drive o tamper-proof é obtido via software e não via hardware.
  • Mais uma questão muito mal elaborada pelo CESPE. Pen Drive e smartCard são dispositivos que funcionam de maneira bem diferente.
  • A questão fala de tamper proof. Tampering é a alteração de alguma coisa. Tamper proof, então, seria um sistema que não pode ser alterado e não resistente à intrusão. Além disso, o pen-drive em si não fornece hardware seguro contra invasão ou alteração.
  • Certificado Digital não possui chave privada.
  • Se pensar em questão de chaves, sabe-se que o Certificado Digital possui apenas a chave PÚBLICA do seu utilizador e isso já descartaria a questão.

    De fato, quem possui essa resistência são os cartões inteligentes ou os Tokens, os quais são protegidos de tal forma que é impossível fazer a leitura de suas chaves privadas!

    Assim, sabe-se que o Certificado Digital possui apenas a chave pública mais os dados daquele que o utilizará (entidade final).
    A Autoridade Certificadora gera um hash dessas informações (chave pública  + dados) e as criptografa com a sua chave privada.

     

     

     

  • a resistência à intrusão é provida pelo hardware em combinação com o elemento humano (o votante que sabe o PIN)


ID
195496
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Os requisitos do negócio para o processamento de informação, que uma organização tem de desenvolver para apoiar suas operações, estão entre as fontes principais de requisitos de segurança da informação.

Alternativas
Comentários
  • 4  Sistema de gestão de segurança da informação
    4.1 Requisitos gerais
    A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
    SGSI documentado dentro do contexto das atividades de  negócio globais da organização e os riscos que ela
    enfrenta.

     

    FONTE: ISO27001

  • Existem três fontes principais.

    A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

    A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

    A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.



    Fonte: http://www.webartigos.com/articles/20197/1/SEGURANCA-DA-INFORMACAO/pagina1.html#ixzz1IZg8S8TU
  • O comentário anterior pode ser encontrado no item 0.3 da ISO 27002, assim descrito:

    0.3 Como estabelecer requisitos de segurança da informação 

    É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
    1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
    2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente socioculturual.
    3. A terceira fonte é um conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
  • AINDA CORRETO CONFORME A VERSÃO DE 2013 DA NORMA

    SEGUNDO A ISO 27002:2013,"0.2 Requisitos de segurança da informação
    É essencial que uma organização identifique os seus requisitos de segurança da informação.
    Existem três fontes principais de requisitos de segurança da informação.

    c)A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações."


ID
195499
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

Alternativas
Comentários
  • Questão errada.

    A CESPE inverteu o significado das normas. É justamente o inverso, coisa do CESPE.

  •  A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

    O CESPE inverteu os significados das Normas.

    A Norma NBR ISO/IEC 27001 trata dos requisitos dos sistemas de gestão de segurança da informação, enquanto a Norma NBR ISO/IEC 27002 - antiga NBR ISO/IEC 17799 - estabelece o código de práticas para a gestão da segurança da informação.

  • Em outras palavras, a 27001 nos dá as diretrizes enquanto que a 27002 nos dá as boas práticas.


ID
195502
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.

Alternativas
Comentários
  • Questão errada.

    No act (agir) é que "equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI."

  • Plan é a fase de planejamento.

    Do é a fase de implementação.

    Check é a fase de verificação, de análise.

    Act é a fase de corrição ou melhoramento.

  • Só para registrar aqui uma fonte que confirma as opniões anteriores

    FONTE: ISO27001

    Plan (planejar) (estabelecer o SGSI) 

    Estabelecer a política, objetivos, processos e procedimentos do
    SGSI, relevantes para a gestão de riscos e a melhoria da
    segurança da informação para produzir resultados de acordo
    com as políticas e objetivos globais de uma organização.


    Do (fazer) (implementar e operar oSGSI)
    Implementar e operar a política, controles, processos e
    procedimentos do SGSI.


    Check (checar) (monitorar e analisar criticamente o SGSI)
    Avaliar e, quando aplicável, medir o desempenho de um
    processo frente  à política, objetivos e experiência prática do
    SGSI e apresentar os resultados para a análise crítica pela
    direção.   


    Act (agir) (manter e melhorar o SGSI) 

    Executar as ações corretivas e preventivas, com base nos
    resultados da auditoria interna do SGSI e da análise crítica pela
    direção ou outra informação pertinente, para alcançar a
    melhoria contínua do SGSI.

  • Para facilitar a decoreba, o professor Gleyson criou um acróstico interessante: EIOMAM

    EEstabelecer
    IOImplementar e Operar
    MAMonitorar e Analisar criticamente
    MMManter e Melhorar.

    Eles estão para o PDCA como exposto na resposta anterior.

    Veja:
    PDCA = EIOMAMM

    Se relacionam da seguinte forma: 
    P = E
    D = IO
    C = MA
    A = MM

    Isso me ajudou bastante a mentalizar estes conceitos. Espero que te ajude também.
  • Acho que mesmo sem conhecer profundamente a norma, poderíamos pensar que, se a fase de chama plan (planejar), não há que se falar em ações corretivas já que, pela lógica, ações deste tipo são tomadas APÓS a implementação do SGSI.

  • A ISO 27001 "abandonou" o modelo PDCA, uma vez que ela deixou

    de preconizar um modelo para prover requisitos;


ID
195505
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, julgue os itens a
seguir com base nas Normas NBR ISO/IEC 27001 e 27002.

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Alternativas
Comentários
  • Na introdução da 27002 consta:

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio,  maximizar o retorno sobre os investimentos e as oportunidades de negócio.
  • acabei de ver uma questão onde CONTINUIDADE não tinha nada a ver com SEGURANÇA.
    nesta outra questão está correto, blz, valeu CESPE.
  • Amigos vou repetir o primeiro comentário SÓ para citar a fonte e a página para ajudar aqueles que não encontraram a resposta.

    Segundo a ISO 27002,p.9,Seção 0.1, "

    0.1 O que é segurança da informação?

    Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio."


ID
195508
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos às Normas NBR ISO/IEC
15999 e 27005.

A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

Alternativas
Comentários
  • Errado.
    A norma 27005 traz normas para o gerenciamento de riscos, não de
    incidentes.
     

  • O gerenciamento de incidentes é tratado na Gestão de Continuidade do Negócio - ISO 15999.

  • A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de   incidentes  riscos pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

  • Troque a palavra "incidentes" por "riscos" e fica certo.
  • ERRADO.

    Pois segundo a ISO 27005,

    "

    6 Visão geral do processo de gestão de riscos de segurança da informação

    O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7),

    análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação

    do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."

  • pegadinha do malandro!! "incidentes"

  • galera alem do erro "gestao de incidentes" que deveria ser "gestao de riscos" , a questao tambem utiliza a palavra "prescreve" . cuidado sempre na malandragem.

    4. ORGANIZACAO DA NORMA

    Esta norma internacional contem a descricao do processo de gestao de riscos de seguranca da informacao e das suas atividades.


    - portanto a norma descreve e nao prescreve.

  • CONFORME A ISO 27005 VERSÃO DE 2011, "O processo de gestão de riscos de segurança da informação consiste na definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos."


ID
195511
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos às Normas NBR ISO/IEC
15999 e 27005.

A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.

Alternativas
Comentários
  • ERRADO.

    A 15999 trata da continuidade do negócio. Continuidade é usado em momentos crítico de desastre.

  • Leoh sua resposta não foi muito convincente:

    Copiando um email do Rogério Araújo:

    " O meu entendimento, ao ler a questão, foi:

    Parte I: "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no
    que fazer a partir do momento em que acontecer algum incidente...":

    Essa parte, tudo bem. Podemos aceitar a orientação como certa.

    Parte II: "... oferecendo respostas às ameaças sofridas e seus impactos nas
    operações do negócio":

    Essa parte está errada pelo fato que a norma não oferece respostas às
    ameaças sofridas e seus impactos nas operações do negócio.

    Se lermos parte à parte, podemos entender que o "oferecendo" se refere à
    norma e não sobre o possível GCN feito a partir da orientação da norma."

    Fonte: http://br.groups.yahoo.com/group/timasters/message/62883

  • Preliminarmente, não há uma norma 15999, e sim 15999-1 e 15999-2 Escopo 15999-2: Especifica requisitos para EIOMAMM o SGCN documentado dentro do contexto dos riscos de negócios de toda a organização. Pode certificar.
    Escopo 15999-1: Fornece uma base para que se possa entender, desenvolver e implementar a continuidde de negócios em uma organização além de obter confiança nos negócios da organização com clientes e outras organizações. Permite também que se avalie a capacidade de GCN da organização de maneira consistente e reconhecida.

    Notem que ambas possuem um escopo de gestão, estratégico e não operacional.
    Segundo a norma, o GCN possui um ciclo de vida com as seguintes fases:  
    5. Gestão do programa de GCN
    6. Entendendo a organização
    7. Determinando a estratégia de continuidade de negócios
    8. Desenvolvendo e implementando uma resposta de GCN
    9. Testando, mantendo e analisando criticamente os preparativos de GCN
    10. Incluindo a GCN na cultura da organização

    A norma NBR ISO/IEC 15999: 1.destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente
    Errado: Não há em nenhuma das normas a intenção de orientar o que fazer quando da ocorrência de incidente.
    Para isso seriam necessários controles e metodologias que fogem ao escopo destas normas. Há tão-só o objetivo de se gerir a continuidade do negócio e o estabelecimento de planos subsidiários. A norma se quer prescreve como fazer um plano, muito menos orienta sobre procedimentos contra incidentes.
      2. oferece respostas às ameaças sofridas e seus impactos nas operações do negócio. Errado: A seção 8 está relacionada ao desenvolvimento e implementação de planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento de incidentes. Nessa seção, há orientações sobre a definição de uma estrutura de resposta a incidentes (8.2), mas não elenca procedimentos para responder a ameaças e seus impactos.
  • concordo com o amigo da primeira resposta. A norma é para evitar catastrofes e responder a incidentes que possam paralizar a organização. A questão é ruim em não especificar o tipo de incidente.
  • Encontrei o seguinte na ISO-15999 Parte 1

    3.3 GCN relaçao com a gestao de riscos
    A GCN é complementar a uma estrutura de gestão de riscos que busca entender os riscos às operações e negócios e suas conseqüências.
    A gestão de riscos visa administrar o risco relacionado aos produtos e serviços fundamentais que uma organização fornece. A entrega desses produtos e serviços pode ser interrompida por uma grande variedade de incidentes, e muitos dos quais são de difícil previsão ou análise das causas.
    Com foco no impacto da interrupção, a GCN identifica os produtos e serviços dos quais a organização depende para sobreviver e é capaz de identificar o que é necessário para que a organização continue cumprindo suas obrigações. Por meio da GCN, uma organização pode reconhecer o que precisa ser realizado antes da ocorrência de um incidente, de forma a proteger suas pessoas, instalações, tecnologia, informações, cadeia de fornecimento, partes interessadas e reputação. Reconhecendo isso, a organização pode então ter uma visão realista das respostas necessárias quando e se ocorrer uma interrupção, de modo que ela pode ter con?ança de que conseguirá administrar eventuais conseqüências sem atrasos inaceitáveis na entrega de seus produtos e serviços.
    Uma organização que tenha tomado as medidas apropriadas de GCN pode ser capaz de aproveitar oportunidades de alto risco.
  • Acho que o erro está no termo "oferendo respostas às ameaças sofridas", uma vez que resposta a ameaça está relacionado à gestão de riscos. A norma 15999 tratada da continuidade do negócio após incidentes, logo não trata ameaça e sim impactos.
  • A resposta do colega thiago é justamente o que pensei.

  • "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente, (...)": Errado! O objetivo principal da norma é instruir a empresa a identificar as suas atividades críticas cujo comprometimento poderiam interferir na continuidade de negócio. Além disso, orienta na criação de um Plano de Continuidade de Negócio, este plano sim teria orientações do que fazer após acontecer algum incidente.

    "(...) oferecendo respostas às ameaças sofridas e seus impactos nas operações do negócio.": Não contém as respostas, há orientações sobre a definição de uma estrutura de resposta a incidentes.

  • A norma 15999 fornece apenas orientação estratégica de planejamento para a continuidade do negócio, não entra em detalhes do que deve ser feito e muito menos de como deve ser feito o tratamento de incidentes e riscos.


ID
195514
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Considerando o corpo de conhecimentos em gerenciamento de
projetos da 4.ª edição do PMBOK, julgue os itens seguintes.

As fases de um projeto são divisões desse projeto, sendo que o trabalho em cada uma delas tem foco distinto do de qualquer outra fase e, por isso, geralmente cada fase requer organização e habilidades específicas.

Alternativas
Comentários
  • Sim. Isso é verdade ao observar a matrix de fases do projeto com as àreas de conhecimento, por exemplo. A matriz pode ser visualizada em: http://blog.mundopm.com.br/wp-content/uploads/2013/03/Captura-de-Tela-2013-03-14-%C3%A0s-15.14.53.png

  • Este texto é transcrição do PMBOK.

    Fases do Projeto: Início, Organização e Preparação, Execução e Encerramento.

    Correta.


ID
195517
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Considerando o corpo de conhecimentos em gerenciamento de
projetos da 4.ª edição do PMBOK, julgue os itens seguintes.

Na estrutura organizacional funcional clássica, o orçamento de um projeto é controlado pelo gerente funcional da empresa e não pelo gerente do projeto.

Alternativas
Comentários
  •  Na estrutura funcional clássica sequer existe um gerente de projetos.

    Orientada a projetos - Gerente de Projetos. Equipe exclusiva do projeto. Acabou o projeto, acabou a equipe;
    Matricial Forte - Gerente de Projetos. divide uma equipe com um GerenteFuncional mas tem o mesmo nível de autoridade
    Matricial Balanceada - Coordenador de Projetos. Continua com poucaautoridade, mas já se dedica integralmente e divideuma equipe maior com o Gerente Funcional;
    Matricial Fraca - Facilitador de Projetos. Parecida com a funcional, masaqui já tem alguma autonomia ou equipe;
    Funcional - Facilitador de Projetos. Responsável pelo projeto,mas tem um gerente funcional acima. Desempenhaoutras atividades alheias ao projeto;

  • Uma estrutrura organizacional clássica é uma estrutura funcional.
    O PMBoK compara as principais estruturas básicas (tirado da tabela 2-1 do PMBoK 2008) quanto à gestão de projetos:

  • Como já vimos, em uma estrutura organizacional clássica, o gerente de projeto tem nenhuma ou quase nenhuma autoridade, e não possui controle algum sobre o orçamento.

    Correta.


ID
195520
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Considerando o corpo de conhecimentos em gerenciamento de
projetos da 4.ª edição do PMBOK, julgue os itens seguintes.

Um gerente de projeto e um escritório de projeto (PMO) são orientados por objetivos diferentes e, por isso, a responsabilidade do PMO é a de fornecer suporte ao gerenciamento de projetos, não cabendo a ele o gerenciamento direto de um projeto.

Alternativas
Comentários
  •  O guia PMBOK 4ed traz que as responsabilidade responsabilidades de um PMO (Project Management Office) podem variar desde o fornecimento de funções de suporte ao gerenciamento de vários projetos até o gerenciamento direto de um projeto.

  • Além disso, o PMO e o Gerente de Projetos tem o mesmo objetivo que é concluir o projeto com sucesso (prazo, tempo e qualidade/escopo atendidos). As suas atividades podem ser diferentes, mas não os objetivos.
  • Escritório de projetos (PMO) Um corpo ou entidade organizacional à qual são atribuídas várias responsabilidades relacionadas ao gerenciamento centralizado e coordenado dos projetos sob seu domínio.

    As responsabilidades de um PMO podem variar desde o fornecimento de funções de suporte ao gerenciamento de projetos até o gerenciamento direto de um projeto.

    PMBOK 4 Edição
  • Os gerentes de projetos e os PMOs buscam objetivos diferentes e, assim sendo, são motivados por requisitos diferentes.  

    -PMBOK 5 Edição

  • Compilando comentários e trazendo a baila uma resposta completa:

    Primeiro: "Um gerente de projeto e um escritório de projeto (PMO) são orientados por objetivos diferentes". Até aqui CERTO, segue evidência PMBOK 5: "Os gerentes de projetos e os PMOs buscam objetivos diferentes e, assim sendo, são motivados por requisitos diferentes".


    Segundo: Um escritório de gerenciamento de projetos (EGP, ou em inglês PMO) é uma estrutura organizacional que
    padroniza os processos de governança relacionados a projetos, e facilita o compartilhamento de recursos,
    metodologias, ferramentas, e técnicas.


    Há vários tipos de estruturas de PMO nas organizações e elas variam em função do seu grau de controle e
    influência nos projetos da organização, tais como:


    De suporte ---> Os PMOs de suporte desempenham um papel consultivo nos projetos, fornecendo
    modelos, melhores práticas, treinamento, acesso a informações e lições aprendidas com outros
    projetos. Este tipo de PMO atua como um repositório de projetos. O nível de controle exercido pelo
    PMO é baixo.


    De Controle ---> Os PMOs de controle fornecem suporte e exigem a conformidade através de vários
    meios. A conformidade pode envolver a adoção de estruturas ou metodologias de gerenciamento de
    projetos usando modelos, formulários e ferramentas específicas, ou conformidade com a governança.
    O nível de controle exercido pelo PMO é médio.


    Diretivo ---> Os PMOs diretivos assumem o controle dos projetos através do seu gerenciamento direto.
    O nível de controle exercido pelo PMO é alto.

  • "As responsabilidades de um PMO podem variar, desde o fornecimento de funções de apoio ao gerenciamento de projetos até a responsabilidade real pelo gerenciamento direto de um ou mais projetos." (Guia PMBOK, 5º Ed. p. 11)

     

    "Os gerentes de projetos e os PMOs buscam objetivos diferentes e, assim sendo, são motivados por requisitos diferentes." (Guia PMBOK, 5º Ed. p. 12)

     

    Gabarito: E

  • Questão maldosa! Apesar de o início estar correto, pode sim o PMO gerenciar diretamente um projeto, no caso dos PMO diretivos.

    Errada.


ID
195523
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens a seguir com base nos conceitos de gerenciamento
de serviços de tecnologia da informação e na ITIL (information
technology infrastructure library
), versão 3.

Entre os processos da operação do serviço, estão incluídos o gerenciamento de evento, o gerenciamento de incidente, o gerenciamento de problema e a elaboração de relatório de serviço.

Alternativas
Comentários
  •  O relatório de serviço faz parte da Melhoria de serviço continuada. Segue um quadro resumo.

  • Melhoria continuada do servico:

    elaboracao de relatorio de servico.

  • Acronimo para  melhoria Continuada:
    RESE 7 MESES
    RE
    latorio de SErvicos, 7 passos de melhoria, MEdiacao de SErvicos
    Depois de rezar 7 meses com certeza vc passa! mas nao deixa de estudar pra ficar so resando nao hein!!!
    Sorte, Muita Forca e GARRA A TODOS
    ATE O FIM!
  • Processos da Operação do Serviço:

    Gerenciamento de Evento

    Gerenciamento de Incidente

    Cumprimento de Requisição

    Gerenciamento de Problema

    Gerenciamento de Acesso

ID
195526
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens a seguir com base nos conceitos de gerenciamento
de serviços de tecnologia da informação e na ITIL (information
technology infrastructure library
), versão 3.

Por não depender de plataforma tecnológica, a ITIL oferece um conjunto de processos genéricos que podem ser utilizados por empresas tanto públicas como privadas.

Alternativas
Comentários
  •  Conceito básico trazido pela ITIL, onde o modelo independe da arquitetura tecnológica bem como do porte da empresa onde a mesma será implantada.

  • O Governo do Reino Unido no final da década de 80, desenvolveu a ITIL (Information Technology Infrastructure Library), através da CCTA (Computing and Telecommunications Agency), no sentido de oferecer um conjunto de Melhores Práticas em áreas de preo de serviços e suporte de serviço de TI, para organizações de qualquer porte, tanto públicas como privadas.

    Características do ITIL™

    • Modelo de referência para processos de TI não proprietário;

    • Adequado para todas as áreas de atividade;

    • Independente de tecnologia e fornecedor;

    • Baseado nas melhores práticas;

    • Um modelo de referência para a implementação de processos de TI;
    • Checklist testado e aprovado;

    • O que fazer e o que não fazer.
    FONTE: http://www.profissionaisdetecnologia.com.br/blog/?p=168

  • É exatamente isso que a ITIL tenta provê. Ser independente de tecnologia e sua aplicação se dá em todo tipo de organização, seja ela grande ou pequena.

  • Você encontra esse e outros comentários sobre ITIL no meu livro A ARTE DE PASSAR EM CONCURSOS DE TI - ITIL: http://www.apcti.com.br/livros/

     

    Devido a sua abordagem, o ITIL passou a ser adotado por diversas organizações e tornou-se um sucesso quanto o assunto é gerenciamento de serviços de TI. Esse sucesso decorre principalmente dos seguintes motivos:

    a) Neutralidade de fornecedor: ITIL não é baseado em um tecnologia ou tipo de indústria específico. Os processo do ITIL são genéricos e podem ser adotados por qualquer organização, não importando o tipo e nem o tamanho da organização. Portanto, o item está correto.

    b) Não prescritivo (nonprescriptive): O ITIL recomenda "adotar e adaptar". Ele não diz exatamente o que fazer e como fazer. Na verdade, ele traz as melhores práticas do gerenciamento de serviços de TI, as quais deve ser adequadas a realidade da organização.

    c) Melhores práticas: Entrega conhecimento acumulado e orientações das melhores fontes de práticas de gerenciamento de utilizadas no mundo


ID
195529
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Julgue os itens a seguir com base nos conceitos de gerenciamento
de serviços de tecnologia da informação e na ITIL (information
technology infrastructure library
), versão 3.

O desenho do serviço é a fase do ciclo de vida em que o projeto é construído, testado e colocado em produção para que alcance as expectativas dos clientes.

Alternativas
Comentários
  • Tentando usar os termos da questão, poderíamos adaptar para:

    No desenho de serviço o "projeto" é construído e testado (teste de implementação), na Transição de serviço ele é testado (em termos de operação), avaliado e validado e na operação de serviço ele é posto em produção a fim de atender o ANS (acordo de nível de serviço) e agregar valor ao negócio.

     

  • Não concordo com o gabarito. A publicação "Service Transition" trata de transformar um SDP - Service Design Package, desenvolvido segundo a publicação "Service Design" - em um serviço em produção. A questão informa que durante o Service Design o serviço é posto em produção. O gabarito deveria ser "errado".
  • Paulo, o gabarito É errado!
  • O certo seria: A Transição de Serviço é a fase do ciclo de vida em que o projeto é construído, testado e colocado em produção para que alcance as expectativas dos clientes.


ID
195532
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Acerca da qualidade de software e com base no CMMI (capability
maturity model integration
), versão 1.2, julgue os próximos itens.

Suporte é uma das categorias de áreas de processo do CMMI: as áreas de processo agrupadas nessa categoria apoiam o desenvolvimento e a manutenção de produtos.

Alternativas
Comentários
  •  Para ficar mais claro o que a assertiva está colocando é preciso saber quais processos desta categoria existem, então estão listados abaixo organizados pelo seu nível de maturidade(representação contínua):

    • Nível 2
      - Gerenciamento de configuração: estabelecer e manter integridade do produto
      - Análise e Mensuração: estabelecer capacidade de mensuração e encaminhar para interessados
      - Garantia de qualidade de processo e produto: verificar qualidade do processo e produto
    • Nível 3
      - Análise e solução de decisões: analisar formalmente possíveis decisões
      - Ambiente organizacional para integração: prover infra e gestão necessária para integrar equipes
    • Nível 5
      - Análise e solução de causas: sistematicamente identificar causas dos defeitos e eliminá-las

    Baseado nos processos desta área e seus objetivos, podemos perceber que a afirmaativa está correta.

     

  • Na representação contínua, as áreas de processo encontram-se organizadas por categoria:


    Categoria: Gestão de Processo
    * Enfoque no Processo Organizacional
    * Definição do Processo Organizacional
    * Formação Organizacional
    * Desempenho de Processo Organizacional
    * Inovação e Implementação Organizacional


    Categoria: Gestão de Projeto
    * Planeamento de Projeto
    * Monitorização e Controle de Projeto
    * Gestão de Acordo com o Fornecedor
    * Gestão Integrada do Projeto
    * Gestão de Risco
    * Integração de Equipes
    * Gestão Integrada de Fornecedores
    * Gestão Quantitativa do Projeto


    Categoria: Engenharia
    * Gestão de Requisitos
    * Desenvolvimento de Requisitos
    * Solução Técnica
    * Integração do Produto
    * Verificação
    * Validação


    Categoria: Suporte
    * Gestão de Configurações
    * Garantia da Qualidade do Processo e do Produto
    * Medição e Análise
    * Análise das Decisões e Resolução
    * Ambiente Organizacional para Integração
    * Análise e Resolução Causal

    Fonte: waltercunha.com/blog/wp-content/uploads/2009/06/posts_cmmi.pdf

  • Apoia o desenvolvimento ???

     

    Alguém poderia esclarecer melhor?

  • Pablo, o texto foi tirado do guia oficial do CMMi [1]:

    As áreas de processo de Suporte tratam de atividades que apoiam o desenvolvimento e a manutenção de produto. Preocupam-se com processos que são utilizados no contexto de execução de outros processos. Em geral, as áreas de processo de Suporte tratam de processos com foco nos projetos, mas também podem tratar de processos que se aplicam mais genericamente à organização. Por exemplo, a área de processo Garantia da Qualidade de Processo e Produto pode ser utilizada por todas as áreas de processo que visam a uma avaliação objetiva dos processos e produtos de trabalho descritos em todas as áreas de processo.

    As áreas de processo de Suporte são:
    · Gestão de Configuração.
    · Garantia da Qualidade de Processo e Produto.
    · Medição e Análise.
    · Análise e Tomada de Decisões.
    · Análise e Resolução de Causas.

    Referência:

    [1] http://www.sei.cmu.edu/library/abstracts/whitepapers/upload/CMMI-DEV-1-2-Portuguese.pdf

  • Atentem para a versão do CMMI pedida, 1.2. Nesta conforme postado pelo Rogério as áreas de processo de Suporte são 5.
    · Gestão de Configuração.
    · Garantia da Qualidade de Processo e Produto.
    · Medição e Análise.
    · Análise e Tomada de Decisões.
    · Análise e Resolução de Causas.

    Não existindo mais a área de processo Ambiente Organizacional para integração.

    Houve mudança também na quantidade de processos do grupo Gestão de Projetos:
    · Planejamento de Projeto.
    · Monitoramento e Controle de Projeto.
    · Gestão de Contrato com Fornecedores.
    · Gestão Integrada de Projeto +IPPD12.
    · Gestão de Riscos.
    · Gestão Quantitativa de Projeto.

    Deixando de existir as áreas de processo Integração de EquipesGestão Integrada de Fornecedores.
  • Pra variar foi uma esperteza (pra não dizer sacanagem) do CESPE. A todo momento no documento oficial v 1.2 está escrito que o CMMI auxilia no desenvolvimento de produtos E SERVIÇOS. Aí eles pegam uma parte do documento que não está mencionando serviços, só produtos. Eu embarquei nesta.
  • Suporte é uma das categorias de áreas de processo do CMMI: as áreas de processo agrupadas nessa categoria apoiam o desenvolvimento e a manutenção de produtos.

    APOIAM = Dar suporte

    Questão correta.

    Que Deus nos abençoe.

ID
195535
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Acerca da qualidade de software e com base no CMMI (capability
maturity model integration
), versão 1.2, julgue os próximos itens.

Os conceitos de nível de capacidade e nível de maturidade, adotados pelo CMMI, diferem na forma como caracterizam a melhoria da organização: os níveis de maturidade caracterizam a melhoria atinente a um conjunto de áreas de processos, ao passo que os níveis de capacidade referem-se a uma área de processo individual.

Alternativas
Comentários
  • Esta é extamente a diferença entre a abordagem por Estágios e a Contínua no CMMi

    Contínua > Capacidade - Por processo (individualmente)

    Estágios > Maturidade - Por grupos de processo pré-definidos

  • Representação Continua

    • Nível 0: Incompleto (Ad-hoc)
    • Nível 1: Executado
    • Nível 2: Gerenciado / Gerido
    • Nível 3: Definido
    • Nível 4: Gerenciado Quantitativamente (Quantitatively managed)
    • Nível 5: Otimizado (Optimizing)

    Representação Por Estágios

    Disponibiliza uma seqüência pré-determinada para melhoria baseada em estágios que não deve ser desconsiderada, pois cada estágio serve de base para o próximo. É caracterizado por Níveis de Maturidade (Maturity Levels):

    • Nível 1: Inicial (Ad-hoc)
    • Nível 2: Gerenciado / Gerido
    • Nível 3: Definido
    • Nível 4: Quantitativamente gerenciado / Gerido quantitativamente
    • Nível 5: Em otimização
  • No CMMI 1.3 a coisa muda um pouco:
     
     
    Níveis de Capacidade
     
    0 - Incompleto
    1 - Executado
    2 - Gerenciado
    3 - Definido
     
     
    Níveis de Maturidade
     
    1 - Inicial
    2 - Gerenciado
    3 - Definido
    4 - Gerenciado Quantitativamente
    5 - Em Otimização

ID
195538
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Acerca da qualidade de software e com base no CMMI (capability
maturity model integration
), versão 1.2, julgue os próximos itens.

O CMMI propõe dois tipos de representação para os planos de melhoria e avaliação de processos: a representação contínua e a representação por estágios. Ao definir seu plano, uma organização deverá utilizar exclusivamente uma delas, uma vez que elas são embasadas em princípios incompatíveis.

Alternativas
Comentários
  • É possível partir de uma avaliação na representação contínua, processo a processo, e com base nela, definir um nível de maturidade para a organização.


  • Avaliação por Equivalência
    Posso partir de uma avaliação contínua - processo a processo, e a partir
    dela definir um nível de maturidade,representação por estágios, para a organização.