Questões sobre Segurança da Informação

Assinale a opção em que é apresentada metodologia utilizada para a estimativa de riscos.

• A. paramétrica
• B. delphi
• C. qualitativa
• D. caminho crítico
• E. PERT

Assinale a opção em que é apresentado mecanismo de alerta ao usuário contra páginas web maliciosas.

• A. filtro de janelas de pop-ups
• B. filtro antiphising
• C. programa para verificação de vulnerabilidades
• D. filtro antispam
• E. filtro de bloqueio de propagandas

A técnica de sniffing

• A. utiliza um ou mais computadores para indisponibilizar um serviço provido por outro computador.
• B. altera campos do cabeçalho de mensagens de email para falsificar a origem da mensagem.
• C. captura e inspeciona dados que trafegam em uma rede.
• D. tenta adivinhar por tentativa e erro a senha de um usuário.
• E. altera o conteúdo de páginas web de forma maliciosa e publica informações contra a instituição mantenedora da página web.

Conforme as normas e melhores práticas de Segurança da Informação, uma ou mais pessoas podem ter responsabilidades definidas pela Segurança da Informação e elas podem delegar a outros usuários as tarefas dessa segurança. Em relação a essa situação, as normas e melhores práticas de Segurança da Informação recomendam que

• A. o responsável gestor de segurança da informação não pode utilizar equipamentos de informação privados nos processos que envolvem segurança.
• B. o responsável geral pela segurança da informação também permanece responsável pela implementação dos controles.
• C. o responsável gestor de um ativo permanece responsável por todas as questões relativas a um ativo.
• D. os responsáveis originais permanecem com a responsabilidade sobre as tarefas e devem verificar a execução delas.
• E. as responsabilidades sobre os ativos são definidas e válidas da forma equivalente para todas as áreas onde está o ativo.

A política de segurança consiste em um conjunto formal de regras que devem ser seguidas pelos usuários dos recursos de tecnologia da informação (TI) de uma instituição. Com relação à política de segurança, assinale a alternativa correta.

• A. Os procedimentos de recuperação da informação, em caso de sinistro, devem estar claramente definidos na política de segurança.
• B. A elaboração da política de segurança deve se basear na norma para a gestão de segurança da informação NBR ISO/IEC 17025:2005.
• C. A política de segurança deve ser mantida em sigilo, cabendo à alta direção da empresa sua elaboração, aprovação e guarda.
• D. O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança.
• E. Os direitos e as responsabilidades dos usuários e técnicos de TI estão fora do escopo da política de segurança.

• A. Definição das ameaças; Categorização do risco; Tratamento do risco.
• B. Avaliação das ameaças; Tratamento das ameaças; Aceitação dos riscos e ameaças.
• C. Avaliação do contexto; Categorização das ameaças; Tratamento das ameaças.
• D. Contextualização dos riscos; Tratamento dos riscos e das ameaças; Aceitação dos riscos e das ameaças.
• E. Definição do contexto; Tratamento do risco; Aceitação do risco.

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem. As diretrizes do trabalho da ETIR e o planejamento da estratégia de resposta a incidentes devem ser traçados pelo agente responsável e pelos membros da equipe, sem o envolvimento do gestor de segurança da informação, que tem a função de atuar como analista de conformidade do processo.

• C. Certo
• E. Errado

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem. Incidente de segurança refere-se a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, incluindo aqueles decorrentes de conduta maliciosa, denominados ataques.

• C. Certo
• E. Errado

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem. Um processo seguro e tempestivo de notificação de incidentes de segurança é um componente crítico de qualquer programa de segurança no que se refere à gestão e ao tratamento de incidentes.

• C. Certo
• E. Errado

No que se refere à equipe de resposta e tratamento a incidentes (ETIR) e aos incidentes de segurança, julgue os itens que se seguem. Entre os modelos de formação do time de resposta a incidentes previstos pela ISACA, Central, Distributed, Coordinating e Outsourced, apenas o último não foi incorporado ao regramento do DSIC (NC 05/IN01/DSIC/GSIPR) para a administração pública, haja vista que, no âmbito dessa administração, a escolha preferencial, na formação da equipe, deve recair sobre servidor público ocupante de cargo efetivo ou militares de carreira.

• C. Certo
• E. Errado