Questões sobre Segurança da Informação

Ao elaborar e comunicar uma Política de Segurança da Informação − PSI é necessário usar uma linguagem conhecida e meios adequados aos tipos de mensagens e usuários; adotar estilo simples e claro; respeitar o interlocutor sem superestimá-lo nem subestimá-lo; respeitar a cultura organizacional e a do país a que se destina. Nesse sentido, é correto concluir que tal afirmação

• A.

  adere parcialmente às expectativas de uma PSI, pois a política deve ser única, e não deve levar em conta características humanas e legais do país no qual ela é aplicada.

• B.

  adere parcialmente às expectativas de uma PSI, tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos.

• C.

  adere integralmente a formulação de uma PSI, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.

• D.

  adere parcialmente às expectativas de uma PSI, porque os atributos do interlocutor não devem constituir relevância, já que todos os usuários, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada.

• E.

  não atende aos propósitos de uma PSI, pois linguagem, estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada, a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor.

Em relação à vulnerabilidades e ataques a sistemas computacionais, é correto afirmar:

• A.

  Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

• B.

  O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.

• C.

  Roubo de informações e perda de negócios constitui ameaças.

• D.

  Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

• E.

  Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

Em relação à norma ISO/IEC 27002, considere:

I. Para definição de uma estratégia de continuidade de negócios deve-se ter como meta o tempo esperado de recuperação, que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção.

II. Os requisitos para controles de segurança de novos sistemas de informação ou melhorias em sistemas existentes devem constar nas especificações de requisitos de negócios dos sistemas.

III. Convém que os registros (log) de auditoria incluam, quando relevantes, os registros das tentativas de acesso ao sistema aceitas e rejeitadas.

IV. Entre os objetivos de controle de manuseio de mídias inclui-se o controle de descarte de mídias, sendo previstas, nessas normas, diretrizes de implementação para o descarte de forma segura e protegida.

Está correto o que se afirma em:

• A.

  I, II e III, apenas.

• B.

  I, II e IV, apenas.

• C.

  I, III e IV, apenas.

• D.

  II, III e IV, apenas.

• E.

  I, II, III e IV.

Em relação à Medida Provisória no 2.200-2, de 24 de agosto de 2001, que Institui a Infra-Estrutura de Chaves Públicas Brasileira − ICP-Brasil, é INCORRETO afirmar:

• A.

  Compete ao Comitê Gestor da ICP-Brasil homologar, auditar e fiscalizar a AC Raiz e os seus prestadores de serviço.

• B.

  Compete à Autoridade Certificadora Raiz − AC Raiz e, sob sua delegação, às Autoridades Certificadoras − AC, emitirem certificados para o usuário final.

• C.

  Compete à Autoridade Certificadora Raiz − AC Raiz e, sob sua delegação, às Autoridades Certificadoras − AC, emitirem certificados para o usuário final.

• D.

  Observados os critérios a serem estabelecidos pelo Comitê Gestor da ICP-Brasil, poderão ser credenciados como AC e AR os órgãos e as entidades públicos e as pessoas jurídicas de direito privado.

• E.

  Compete ao Comitê Gestor da ICP-Brasil estabelecer a política de certificação e as regras operacionais da AC Raiz.

Sobre os Sistemas de Prevenção de Intrusão (IPS) é correto afirmar:

• A.

  Permitem alertar uma tentativa de ataque, mas não realizar o seu bloqueio.

• B.

  Os IPS realizam um nível de inspeção no pacote muito superficial, que vai apenas até a camada de rede (camada 3) do modelo OSI.

• C.

  Os equipamentos do IPS normalmente trabalham na camada de transporte do modelo OSI (camada 5), e necessitam de reconfiguração da rede para serem instalados.

• D.

  Os equipamentos do IPS normalmente estão conectados nos segmentos críticos da rede, em linha, ou seja, todo o tráfego a ser inspecionado precisa passar por eles.

• E.

  Permitem detectar vírus, worms, spywares e spams. Não detectam ataques direcionados a sistemas operacionais ou a aplicações Web, como cross site script, PHP Injection e SQL Injection.

O objetivo principal da Norma ABNT NBR ISO/IEC 17799:2005 é

• A.

  fornecer diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de Sistemas de Informação implementados, dos processos de Sistemas de Informação e do Sistema de Gestão da Segurança da Informação.

• B.

  estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a Gestão de Segurança da Informação em uma organização. Os objetivos definidos nessa Norma proveem diretrizes gerais sobre as metas geralmente aceitas para a Gestão da Segurança da Informação.

• C.

  fornecer diretrizes para o gerenciamento de riscos dos Sistemas de Informação. É constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles.

• D.

  fornecer diretrizes referentes à recuperação e Continuidade de Negócio. O título original dessa Norma é "Guidelines for information and communications technology disaster recovery services".

• E.

  fornecer um guia de Gestão da Segurança da Informação específico para empresas de telecomunicação. Essa Norma especifica os requisitos para credenciamento de entidades de auditoria e para certificação de Sistemas de Gestão da Segurança da Informação.

Sobre segurança da informação, analise:

I. É obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

II. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se controlar o acesso. A tendência da computação distribuída aumenta a eficácia da implementação de um controle de acesso centralizado.

III. Os controles de segurança precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

IV. É importante para os negócios, tanto do setor público como do setor privado, e para proteger as infraestruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

Está correto o que consta em

• A.

  I, II, III e IV.

• B.

  I, III e IV, apenas.

• C.

  I e IV, apenas.

• D.

  III e IV, apenas.

• E.

  I e II, apenas.

Com relação à segurança em redes de computadores, julgue os itens que se seguem.

Os bots são programas maliciosos armazenados na área de boot do disco de uma estação de trabalho. Eles são capazes de se reproduzir, de modo que o invasor consegue orientar o bot a realizar ataques em um ambiente em rede.

• C. Certo
• E. Errado

Com relação à segurança em redes de computadores, julgue os itens que se seguem.

Para segurança dos programas e dos sistemas, é comum as organizações armazenarem informações denominadas accounting, que identificam o responsável pelo processamento, o nome do programa, o tipo de processamento, a área de execução, a periodicidade, a prioridade, o tempo estimado, entre outros.

• C. Certo
• E. Errado

A respeito dos mecanismos de segurança da informação, julgue os próximos itens.

No acesso a um sítio da web que utilize protocolo HTTP, no momento da transferência dos dados para autenticação utilizando usuário e senha, pode-se agregar o TLS/SSL para que os dados sejam criptografados ao serem enviados.

• C. Certo
• E. Errado