Questões de Ciência da Computação do ano 2009

O código malicioso caracterizado por ser executado independentemente, consumindo recursos do hospedeiro para a sua própria manutenção, podendo propagar versões completas de si mesmo para outros hospedeiros, é denominado

• A.

  vírus.

• B.

  backdoor.

• C.

  cookie.

• D.

  verme.

• E.

  spyware.

Com relação segurança em redes de computadores, julgue os itens a seguir.

Os problemas de segurança de rede estão relacionados a sigilo, autenticação, não-repudiação e controle de integridade da rede. Enquanto o sigilo está relacionado ao fato de manter as informações longe de usuários não-autorizados, a nãorepudiação preocupa-se em certificar que uma mensagem recebida é legítima.

• C. Certo
• E. Errado

Com relação segurança em redes de computadores, julgue os itens a seguir.

No IPSEC (IP security), o cabeçalho de autenticação (AH) oferece controle de acesso, integridade de mensagem sem conexões, autenticação e antireplay e a carga útil de segurança do encapsulamento que admite esses mesmos serviços, inclusive confidencialidade. O IPSEC apresenta a desvantagem de não prover o gerenciamento de chaves.

• C. Certo
• E. Errado

NÃO se trata de uma atividade de melhoria da confiabilidade das operações:

• A.

  Eliminar, no projeto, os pontos de falha potenciais na operação.

• B.

  Construir operações com recursos críticos redundantes.

• C.

  Determinar o grau em que a operação está pronta para funcionar.

• D.

  Tornar as atividades da operação à prova de falhas.

• E.

  Manter adequadamente as instalações físicas da operação.

Assinale a opção correspondente à propriedade que não é alcançada com o uso de técnicas da criptografia para proteção da informação.

• A.

  integridade

• B.

  autenticidade

• C.

  irretratabilidade (não-repúdio)

• D.

  confidencialidade

• E.

  disponibilidade

Com relação à classificação das informações no Banco do Brasil (BB), assinale a opção correta.

• A.

  Informações sensíveis públicas são aquelas que podem ser divulgadas sem restrição ou por imposição legal que não expõe o BB a riscos.

• B.

  Informações sensíveis críticas são as que devem ter suas propriedades preservadas para a continuidade dos negócios e objetivos do BB; divulgá-las indevidamente expõe a instituição a riscos elevados.

• C.

  Informações não sensíveis restritas são aquelas que não podem ser divulgadas porque expõem o BB a riscos.

• D.

  Informações sensíveis internas são aquelas que podem ser divulgadas sem restrição ou por imposição legal.

• E.

  Informações sensíveis externas são aquelas que não podem ser divulgadas sem restrição ou por imposição legal.

Acerca da política de segurança da informação de uma empresa, analise as asserções do seguinte enunciado.

 A política de segurança e as diretrizes, as normas e os procedimentos dela decorrentes, em uma empresa, devem ser simples e de fácil compreensão,

porque

estão alinhados com as estratégias de negócios da empresa, padrões e procedimentos.

Assinale a opção correta a respeito desse enunciado.

• A.

  As duas asserções são verdadeiras, e a segunda justifica a primeira.

• B.

  As duas asserções são verdadeiras, mas a segunda não justifica a primeira.

• C.

  A primeira asserção é falsa, e a segunda é verdadeira.

• D.

  A primeira asserção é verdadeira, e a segunda é falsa.

• E.

  Tanto a primeira asserção quanto a segunda são falsas.

Assinale a opção que relaciona corretamente uma vulnerabilidade presente nas organizações com a respectiva classificação.

• A.

  ausência de recursos para o combate a incêndios – vulnerabilidade natural

• B.

  conservação inadequada de equipamentos – vulnerabilidade física

• C.

  disposição desorganizada dos cabos de energia e de rede – vulnerabilidade de hardware

• D.

  programas que permitem a execução de códigos maliciosos – vulnerabilidade de software

• E.

  proximidade de rios propensos a inundação – vulnerabilidade de meios de armazenamento

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Se a análise do plano de tratamento de riscos de uma das organizações, no escopo de seu centro de dados, revelou que, para a eliminação de todos os riscos identificados no escopo, foi adotada a redução por meio de controles, é correto afirmar que tal abordagem está coerente com a prática do gerenciamento de riscos de segurança.

• C. Certo
• E. Errado

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

• C. Certo
• E. Errado