Questões de Ciência da Computação do ano 2009

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).

• C. Certo
• E. Errado

Segundo os autores Kenneth Wyk e Richard Forno [Kenneth R. Wyk 2001], o processo de resposta a incidentes de segurança deve possuir cinco etapas: identificação, coordenação, mitigação, investigação e educação. Restabelecer o sistema, mesmo que seja com uma solução temporária, até que a solução definitiva seja implementada insere-se no contexto da etapa de

• A.

  investigação.

• B.

  identificação.

• C.

  coordenação.

• D.

  mitigação.

• E.

  educação.

Instruções: Para responder às questões de 31 a 50, considere que os aplicativos devem ser reputados sempre na originalidade da versão referenciada e não quaisquer outras passíveis de modificação (customização, parametrização, etc.) feita pelo usuário. Quando não explicitados nas questões, as versões dos aplicativos são: Windows XP edição doméstica (Português), Microsoft Office 2000, SGBD MS-SQL Server 2000 e navegador Internet Explorer 8. Mouse padrão destro.

NÃO é um requisito de segurança da informação a

• A.

  Privacidade.

• B.

  Integridade.

• C.

  Disponibilidade.

• D.

  Autenticidade.

• E.

  Periodicidade.

Em segurança da informação, NÃO é considerada uma causa de vulnerabilidade:

• A.

  imaturidade em segurança.

• B.

  percepção de simplicidade.

• C.

  restrições de recursos.

• D.

  desenvolvimento in-house.

• E.

  controle de tempo.

Acerca dos processos típicos de tratamento de incidentes de segurança, julgue o item abaixo.

O aumento do tempo decorrente entre a detecção e o fim da recuperação, nos incidentes de segurança, não aumenta necessariamente o tempo de indisponibilidade do serviço afetado.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

Os profissionais de segurança que realizam análise crítica de logs e controle de vulnerabilidades técnicas relacionam-se mais fortemente com os aspectos de Organização da Segurança da Informação, que com a Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

A configuração de proteções de tela bloqueadas por senha e o uso de firewalls e sistemas de detecção de intrusos são ações apenas indiretamente ligadas à gestão de Incidentes de Segurança da Informação e à Conformidade, respectivamente.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

A proteção de registros organizacionais, entre eles o registro de visitantes, constitui uma prática diretamente associada à Segurança Física e do Ambiente, embora, no caso específico do registro de visitantes, esteja prescrita visando o alcance da Segurança em Recursos Humanos.

• C. Certo
• E. Errado

Este serviço é como uma barreira que verifica informações (freqüentemente denominada tráfego) vindas da Internet ou de uma rede e, em seguida, joga essas informações fora ou permite que elas passem pelo computador, dependendo das suas configurações. Esta frase se refere ao serviço de:

• A.

  Firewall.

• B.

  Antivírus.

• C.

  Windows Update.

• D.

  Phising.

Vírus, Worms e Cavalos de Tróia são programas mal-intencionados que podem causar danos ao seu computador e às informações nele armazenadas. Também podem deixar a Internet mais lenta e usar o seu computador para se espalhar pela rede. Com base nessas informações, marque a alternativa correta em relação aos Worms.

• A.

  São programas de computador que são úteis, mas na verdade comprometem a sua segurança e causam muitos danos.

• B.

  Fazem parte de um tipo de vírus que geralmente se alastram sem a ação do usuário e distribuem cópias completas de si mesmo através das redes, consumindo memória e largura de banda da rede.

• C.

  Alastram-se quando os usuários são seduzidos a abrir o programa por pensar que vem de uma fonte legítima.

• D.

  Precisam viajar através de um programa ou arquivo "hospedeiro". Mas não podem se infiltrar no sistema permitindo que outra pessoa controle o seu computador remotamente.

• E.

  São alarmes sobre vírus que supostamente são espalhados quando você simplesmente lê um e-mail. Mas na verdade, não passam de correntes.