Questões de Ciência da Computação do ano 2011

Segundo a Norma ISO 27002:2005, convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para isso, essa norma prescreve que várias diretrizes sejam consideradas, sendo uma delas

• A.

  estabelecer uma política formal para proteção contra os riscos associados com a importação de arquivos e softwares, sejam de redes externas, ou de qualquer outro meio, indicando quais medidas preventivas devem ser adotadas.

• B.

  estabelecer uma política formal de busca e apreensão do software utilizado sem a licença apropriada.

• C.

  conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio; convém que quaisquer arquivos não aprovados ou com atualização não autorizada sejam formalmente descartados.

• D.

  auditar, inopinadamente, a existência de códigos maliciosos nos arquivos em mídias eletrônicas, bem como nos arquivos transmitidos através de redes.

• E.

  verificar, in loco, nos computadores pessoais e nos servidores de correio eletrônico, logo depois da sua instalação, a existência de software malicioso em qualquer arquivo recebido através de correio eletrônico ou importado (download).

De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários tipos de ameaças para

• A.

  garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

• B.

  garantir a continuidade do negócio, minimizar as vulnerabilidades dos ativos de segurança, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

• C.

  garantir a continuidade do negócio, facilitar o controle de acesso, maximizar o retorno sobre os investimentos e maximizar a disponibilidade dos sistemas de segurança.

• D.

  facilitar o controle de acesso, minimizar o risco ao negócio, maximizar a disponibilidade dos sistemas de segurança e as oportunidades de negócio.

• E.

  minimizar as vulnerabilidades dos ativos de segurança, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e a disponibilidade dos sistemas de segurança.

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a

• A.

  irretratabilidade da informação.

• B.

  integridade do software e da informação.

• C.

  disponibilidade da informação.

• D.

  confidencialidade do software e da informação.

• E.

  autenticidade da informação.

Segundo a NBR/ISO 27002, adotar certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Esses controles se baseiam tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.

Relacione a lista de controles às respectivas categorias.

Estão corretas as associações

• A.

  I com P, R e S - II com Q, T e U

• B.

  I com Q, S e U - II com P, R e T

• C.

  I com P, S e U - II com Q, R e T

• D.

  I com Q, T e U - II com P, R e S

• E.

  I com P, R e T - II com Q, S e U

A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,

• A.

  tendências relacionadas com as ameaças e vulnerabilidades.

• B.

  declaração do comprometimento da direção com o processo.

• C.

  estrutura existente para as atividades de Segurança da Informação.

• D.

  ações relacionadas à melhoria dos controles.

• E.

  decisões sobre a alocação de recursos para as atividades de Segurança da Informação.

É conveniente o uso de técnicas de criptografia para proteger a confidencialidade, a integridade e a autenticidade das informações.

PORQUE

Técnicas de chaves públicas proporcionam método seguro de autenticação.

Analisando-se as afirmações acima à luz da NBR/ISO 27002, conclui-se que

• A.

  as duas afirmações são verdadeiras, e a segunda justifica a primeira.

• B.

  as duas afirmações são verdadeiras, e a segunda não justifica a primeira.

• C.

  a primeira afirmação é verdadeira, e a segunda é falsa.

• D.

  a primeira afirmação é falsa, e a segunda é verdadeira.

• E.

  as duas afirmações são falsas.

As NBR/ISO 27002 prescrevem que, para identificar os requisitos para os acordos de confidencialidade ou de não divulgação, convém considerar diversos elementos, entre os quais NÃO consta(m)

• A.

  tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que ser mantida.

• B.

  proprietário da informação, de segredos comerciais e de propriedade intelectual, e como isso se relaciona com a proteção da informação confidencial.

• C.

  penalidades previstas para o infrator das cláusulas acordadas.

• D.

  ações requeridas de ambas as partes para homologar a rescisão de contratos.

• E.

  termos para a informação ser retornada ou destruída quando da suspensão do acordo.

A seção Segurança em Recursos Humanos da Norma NBR/ISO 27002 preconiza ações mesmo antes da contratação de funcionários. O objetivo declarado é “Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.” Para isso, essa norma diz ser conveniente que

• A.

  a direção reconheça, antecipadamente, como de sua exclusiva responsabilidade, a segurança sobre a proteção dos ativos de informação contra acesso não autorizado, divulgação, modificação, destruição ou interferência.

• B.

  a divulgação das regras de manipulação de informações sensíveis seja restrita aos candidatos a cargos de chefia e a fornecedores que possam vir a utilizá- -las.

• C.

  as responsabilidades pela segurança da informação sejam atribuídas antes da contratação, de forma adequada, nas descrições de cargos e nos termos e condições de contratação.

• D.

  todos os candidatos a funcionários, fornecedores e terceiros, usuários dos recursos de processamento da informação, assinem acordos de não exploração do conhecimento das fragilidades institucionais frente às ameaças à segurança da informação.

• E.

  todos os funcionários, fornecedores e terceiros que tenham acesso a informações sensíveis assinem um termo de confidencialidade ou de não divulgação imediatamente após ser-lhes dado o acesso aos recursos de processamento da informação.

Com relação a segurança, protocolos, ferramentas e procedimentos utilizados na Internet, julgue os próximos itens.

Uma maneira de proteger o computador de um ataque de phishing é, no caso de recebimento de e-mails de instituições financeiras ou governamentais suspeitos, nunca clicar os links, fornecer dados sigilosos ou executar programas fornecidos no e-mail. Ao invés disso, deve-se procurar o sítio oficial da instituição ou telefone para se informar sobre a solicitação feita por e-mail.

• C. Certo
• E. Errado

Com relação a segurança, protocolos, ferramentas e procedimentos utilizados na Internet, julgue os próximos itens.

No acesso a uma página da Internet, é comum a utilização do protocolo HTTP, que, no Internet Explorer, pode ser visualizado no canto esquerdo da barra de endereços. Em sítios seguros, normalmente ocorre a substituição desse protocolo pelo HTTPS, que utiliza, por padrão, criptografia e protocolo TCP na porta 80.

• C. Certo
• E. Errado