Questões sobre Conceitos Básicos de Segurança

A monitoração de riscos consiste em verificar se as suposições sobre os riscos de produto, de processo e de negócios não mudaram. Para efetuar tal verificação, são necessários indicadores. Dentre estes indicadores de risco NÃO se inclui

• A.

  pessoa com pouca motivação.

• B.

  atraso na entrega de hardware.

• C.

  boa aceitação de ferramentas CASE.

• D.

  boato organizacional.

• E.

  muita solicitação de mudanças de requisitos.

A respeito de prevenção e tratamento de ataques a redes de computadores, é correto afirmar que

• A.

  o tipo de ataque conhecido como man in the middle (MITM) consiste em apresentar à vítima a versão adulterada de uma página WWW (de um banco, por exemplo) induzindo-a a informar seus dados.

• B.

  a política de segurança de rede deve estabelecer restrições sobre o tráfego de dados na rede e não restrições sobre a atividade de indivíduos.

• C.

  o servidor DHCP é um dos serviços tipicamente instalado em uma DMZ.

• D.

  o tipo de ataque conhecido como "DoS" consiste em tornar os recursos de um computador ou de uma rede indisponíveis para seus usuários.

• E.

  o tipo de ataque conhecido como phishing consiste em adulterar os cabeçalhos (headers) de uma mensagem de e-mail induzindo o destinatário da mensagem a crer que foi enviada por alguém diferente do seu real autor.

Uma empresa tomou as seguintes medidas:

− As configurações de sistemas passaram a ser guardadas separadamente;

− A execução dos procedimentos passou a ser periódica e com agendamentos a serem seguidos rigorosamente;

− O acesso físico aos dados copiados passou a ser protegido contra destruição física e contra acessos não autorizados;

− Os privilégios de execução dos procedimentos e de recuperação (restore) dos dados foram redefinidos;

− Os testes dos dados copiados passaram a ser feitos periodicamente para verificar se continuam utilizáveis, ou seja, se não se deterioraram;

− Os dados copiados passaram a ser armazenados em dois locais diferentes: um no local próximo ao equipamento e outro num local físico protegido e diferente do original. Essa medida irá garantir que, caso haja uma catástrofe, ainda será possível conseguir recuperar os dados.

Estas medidas estão relacionadas a procedimentos de

• A.

  Administração de usuários.

• B.

  Controle de acessos.

• C.

  Separação de ambientes: produção, desenvolvimento e testes.

• D.

  Cópias de segurança: backup.

• E.

  Segurança de dados na rede.

NÃO consta entre as diretrizes de usabilidade em Governo Eletrônico:

• A.

  Contexto e navegação − é importante que o site informe a pessoa em que contexto ela se encontra, o que a página faz e demarque claramente a navegação.

• B.

  Carga de informação − Uma carga de informação alta e diversificada confunde o usuário. Nestes casos, é mais provável a ocorrência de erros.

• C.

  Autonomia − Na Internet qualquer tipo de controle (não esperado) vindo por parte do site é indesejado.

• D.

  Erros − O usuário pode não entender como proceder em determinado passo do serviço e cometer erros. Além da correção do erro, é importante dar o retorno devido ao usuário, tanto dos erros cometidos por ele, quanto dos problemas momentâneos do site.

• E.

  Documentação − O usuário deve ter acesso a um manual impresso que descreva passo-a-passo a forma correta de navegação no site e as tecnologias utilizadas na sua construção, assim como cada um dos recursos disponíveis.

Em relação ao desenho (design, programação visual), que tem um impacto significativo na credibilidade e usabilidade de um site, é correto afirmar:

• A.

  A função do site e a informação, devem ser soberanas sobre o desenho. Qualquer tipo de conformação que beneficie o desenho em detrimento da informação, usabilidade e funcionalidade do site deve ser abandonada.

• B.

  O fundo deve chamar mais atenção do que a informação, desde que seja relacionado ao tema do site. Um fundo de impacto imprime uma personalidade diferenciada ao site.

• C.

  Não se deve usar espaço em branco para separar conteúdos ou assuntos diferentes. Devem-se usar linhas grossas para permitir uma percepção melhor da separação de conteúdo.

• D.

  Todos os tipos de informação devem ser disponibilizados em uma longa lista sem mecanismos de classificação, pois o usuário pode localizar a informação desejada por meio da opção de busca do navegador.

• E.

  Utilizar um projeto padrão de páginas passa a não ser necessário, uma vez que o usuário possui, por experiência, contato com uma grande diversidade de sites com diferentes desenhos.

A carga de informação em um site pode afetar a usabilidade. Com relação a isto, é correto afirmar:

• A.

  Documentos extensos, como leis e decretos, devem ter o texto integral exclusivamente em HTML para evitar cópias não autorizadas.

• B.

  A página inicial do site deve conter muitos anúncios, banners, notícias e animações para chamar e manter a atenção do usuário.

• C.

  Caso sejam necessários cálculos em formulários, o site não deve realizá-los de forma automática, pois o usuário normalmente possui calculadora em seu computador.

• D.

  O preenchimento de números de documentos em um formulário deve requerer a digitação de pontos, hífens e outros caracteres típicos, assim como o endereço deve ser dividido em muitos campos diferentes.

• E.

  A carga de informação nas páginas do site deve ser reduzida e buscar chamar a atenção do usuário para o objetivo (tarefa) da página ou serviço.

Na construção ou adaptação de conteúdos do Governo Brasileiro na Internet há um conjunto recomendado de diretrizes de acessibilidade que inclui

• A.

  fornecer conteúdo exclusivamente gráfico e de fácil compreensão para prender a atenção do usuário.

• B.

  fornecer conteúdo legível e compreensível apenas com as formatações originais.

• C.

  dar preferência às tecnologias gráficas como Flash e Silverlight.

• D.

  assegurar que toda a informação seja interpretada corretamente, com clareza e simplicidade.

• E.

  construir o site funcional apenas para as últimas versões dos principais navegadores.

Segundo o texto,

• A.

  os ataques dos hackers carecem de criatividade.

• B.

  o grupo LulzSec assumiu a autoria do ataque à PBS.

• C.

  os últimos ataques dos hackers sempre tiveram por alvo empresas americanas.

• D.

  os ataques às companhias de defesa nacional diferem bastante entre si.

• E.

  o Google, até agora, não sofreu nenhum ataque cibernético.

De acordo com o texto,

• A.

  o motivo maior que move os hackers é financeiro.

• B.

  a WikiLeaks também está envolvida nos últimos ataques dos hackers.

• C.

  o governo americano e as empresas vítimas dos hackers aceitaram o desafio de por fim aos ataques.

• D.

  alguns hackers justificam seus ataques como vingança por críticas à WikiLeaks.

• E.

  as maiores vítimas dos hackers são as empresas de cartões de crédito.

Em relação às normas relacionadas a segurança da informação, julgue os itens a seguir, marcando com (V) a assertiva verdadeira e com (F) a assertiva falsa.

( ) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

( ) A elaboração de uma política de segurança da informação deve ser o primeiro passo de uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas.

( ) Autenticidade refere-se a propriedade de salvaguarda da exatidão e completeza da informação.

( ) A norma ISO/IEC 15408 (Common Criteria) é a versão brasileira da BS 7799 (British standard) e especifica os requisitos para implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

Assinale a opção com a sequência CORRETA.

• A.

  V, F, V, V.

• B.

  F, F, F, V.

• C.

  F, V, V, F

• D.

  V, V, F, F.