Questões de Ciência da Computação do ano 2012

No que se refere ao controle de acesso aos ativos com fundamento nas normas NBR ISO/IEC 27.001:2006 e 27.002:2005, julgue os itens seguintes.

Um dos requisitos de um SGSI é a rastreabilidade de decisões, que remeta a políticas e decisões da direção superior.

• C. Certo
• E. Errado

Para que a senha não seja facilmente descoberta em sistemas de autorização de acesso seguro, recomenda-se que ela seja composta tanto por caracteres alfanuméricos quanto não alfanuméricos, isto é, caracteres especiais como !, @, ¥, & e ®. Essa recomendação é eficaz, pois

• A.

  evita que alguém descubra a senha observando a sua digitação no teclado.

• B.

  impede que a senha seja utilizada em dispositivos móveis, como celulares.

• C.

  faz com que a senha seja mais difícil de ser digitada.

• D.

  faz com que o usuário esqueça a senha mais rapidamente, obrigando-o a trocá-la com maior frequência.

• E.

  faz com que a senha seja menos susceptível a ataques de dicionário e de força bruta.

Phishing ou phishing scam é uma técnica que visa principalmente:

• A.

  Proteger informações como senhas, logins e números de cartões de crédito na internet.

• B.

  Instalar vírus de computador nas estações que abrem páginas de internet não confiáveis.

• C.

  Automatizar o preenchimento de senhas, logins e números de cartões de crédito na internet.

• D.

  Realizar cópia de informações como senhas, logins e números de cartões de crédito na internet.

• E.

  Eliminar vírus de computador de forma eficiente, mas com risco para informações como senhas, logins e números de cartões de crédito.

À luz do código de prática para a gestão da segurança da informação (ABNT NBR 27002/2005), assinale a opção correta.

• A.

  Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.

• B.

  No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

• C.

  A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.

• D.

  A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.

• E.

  Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

• A.

  Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.

• B.

  Os riscos residuais são conhecidos antes da comunicação do risco.

• C.

  Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

• D.

  Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.

• E.

  A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.

Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.

• A.

  As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.

• B.

  O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.

• C.

  As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.

• D.

  A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.

• E.

  Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.

Assinale a opção correta acerca de prevenção e tratamento de incidentes decorrentes de ataques a redes de computadores.

• A.

  O uso de honeypots facilita a análise de tendências de ataques a redes de computadores.

• B.

  O uso de antivírus é uma prática efetiva de prevenção de ataques por botnets.

• C.

  Apenas os eventos adversos à segurança que tenham sido confirmados podem ser enquadrados como incidentes de segurança de rede.

• D.

  A mudança de políticas de segurança não influencia a identificação da ocorrência de incidentes em redes de computadores.

• E.

  O monitoramento de eventos em uma rede de computadores depende do estabelecimento prévio de um processo de triagem de incidentes.

A respeito de conceitos relacionados a segurança da informação, julgue os itens a seguir.

O conceito de segurança da informação, além de implicar a integridade e a disponibilidade da informação, pode incluir, entre outras propriedades desta, a autenticidade e a confiabilidade.

• C. Certo
• E. Errado

Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.

• C. Certo
• E. Errado

Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.

• C. Certo
• E. Errado