Questões sobre Segurança da Informação

Para que a senha não seja facilmente descoberta em sistemas de autorização de acesso seguro, recomenda-se que ela seja composta tanto por caracteres alfanuméricos quanto não alfanuméricos, isto é, caracteres especiais como !, @, ¥, & e ®. Essa recomendação é eficaz, pois

• A.

  evita que alguém descubra a senha observando a sua digitação no teclado.

• B.

  impede que a senha seja utilizada em dispositivos móveis, como celulares.

• C.

  faz com que a senha seja mais difícil de ser digitada.

• D.

  faz com que o usuário esqueça a senha mais rapidamente, obrigando-o a trocá-la com maior frequência.

• E.

  faz com que a senha seja menos susceptível a ataques de dicionário e de força bruta.

A Open Web Application Security Project (OWASP) mantém um documento que lista os 10 ataques a segurança de aplicações web mais críticos. Dentre esses ataques descritos na versão mais recente do documento estão:

I. Injection Flaws.

II. Cross-site Scripting (XSS).

III. Malicious File Execution.

IV. Cross-site Request Forgery (CSRF).

Está correto o que se afirma em

• A.

  I, II e IV, apenas.

• B.

  I, II, III e IV.

• C.

  II e III, apenas.

• D.

  II, III e IV, apenas.

• E.

  I e II, apenas.

No que diz respeito à segurança da informação, dois conceitos estão associados à capacidade de um sistema: permitir que alguns usuários acessem determinadas informações ao mesmo tempo que impede que outros não autorizados a vejam e garantir que um usuário seja, de fato, quem alega ser. Esses conceitos são conhecidos, respectivamente, como

• A. privacidade e autenticação
• B. privacidade e certificação
• C. integridade e autenticação
• D. confidencialidade e certificação
• E. confidencialidade e autenticação

O desejo de um gestor de segurança da informação para reduzir as ameaças de interceptação de sinais emitidos por seus computadores pode ser concretizado pelo uso da tecnologia que investiga e estuda a emissão de sinais por quaisquer equipamentos de processamento da informação. Essa tecnologia denomina-se

• A. WIRELESS
• B. TEMPEST
• C. OUTSOURCING
• D. FTTH
• E. LPD

Sobre o SSE-CMM é correto afirmar:

• A.

  É indicado apenas para a elaboração de processos de gestão de segurança.

• B.

  Descreve todas as características dos processos que devem existir em uma organização para assegurar uma boa segurança de sistemas, mas não define níveis de maturidade para os processos.

• C.

  Estão sendo identificadas e estudadas as métricas de processo e de segurança.

• D.

  Foi criado para ser aplicado apenas no desenvolvimento de projetos de software.

• E.

  Aplica-se apenas a pequenas e médias organizações privadas que possuem um número reduzido de processos.

Na área de segurança da informação, tanto na internet quanto em outras redes, um método de ataque é caracterizado quando alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado aos ativos da informação. Tecnicamente, esse método de ataque é denominado

• A. sniffing
• B. flooding
• C. estenografia
• D. engenharia social
• E. negação de serviço

O escopo e os limites do Sistema de Gestão de Segurança da Informação (SGSI) nos termos das características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo, segundo a Norma 27001, devem ser definidos nas fases

• A.

  Monitorar e analisar criticamente o SGSI.

• B.

  Implementar e operar o SGSI.

• C.

  Manter e melhorar o SGSI.

• D.

  Estabelecer e gerenciar o SGSI.

• E.

  Planejar e implantar o SGSI.

O objetivo de prevenir o acesso físico não autorizado, bem como os danos e interferências com as instalações e informações da organização, definido na Norma 27002, NÃO é atendido pelo controle

• A.

  Separação dos recursos de desenvolvimento, teste e de produção.

• B.

  Perímetro de segurança física.

• C.

  Trabalhando em áreas seguras.

• D.

  Controles de entrada física.

• E.

  Acesso do público nas áreas de entrega e de carregamento.

Para se enviar uma mensagem digitalmente assinada do usuário A para o usuário B com a utilização de infraestrutura de chaves públicas, é necessário que antes do envio, o usuário A cifre a mensagem com

• A.

  sua chave privada.

• B.

  sua chave pública.

• C.

  a chave privada de B.

• D.

  a chave pública de B.

• E.

  a chave privada de B e com sua chave pública, respectivamente.

A interceptação da comunicação entre dois computadores ou mesmo a exploração de cookies armazenados para a obtenção da chave de sessão, conseguindo, desse modo, acesso não autorizado a um sistema é conhecida como

• A.

  spoofing.

• B.

  phishing.

• C.

  flood.

• D.

  hijacking.

• E.

  buffer overflow.