Questões sobre Segurança da Informação

Acerca de ataques a redes de computadores e prevenção e tratamento de incidentes, julgue os itens seguintes.

Spam, ataques de negativa de serviço e exfiltração de dados são incidentes típicos de segurança computacional, aos quais um grupo de tratamento de incidentes deve responder.

• C. Certo
• E. Errado

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

O modo CBC (cipher block chaining, encadeamento de blocos de cifras) inclui o bloco de cifra anterior na preparação do bloco atual. Assim, o erro em um bloco não se propaga para os demais, isto é, se um ou mais bits estiverem corrompidos durante a transmissão, isso não afeta os bits nos blocos do texto claro seguintes, após a decriptografia.

• C. Certo
• E. Errado

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

Um digest de mensagens sem chaves é usado como um código de detecção de modificações (MDC), que garante sua integridade. Para se autenticar a origem dos dados, é necessário um código de autenticação de mensagens (MAC), que consistem em funções de hash com chaves que criam um digest compactado a partir da mensagem adicionada com uma chave.

• C. Certo
• E. Errado

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

A confrontação é um valor que varia com o tempo: o requerente aplica a função à confrontação e envia o resultado, denominado resposta, ao verificador.

• C. Certo
• E. Errado

À luz do código de prática para a gestão da segurança da informação (ABNT NBR 27002/2005), assinale a opção correta.

• A.

  Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.

• B.

  No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

• C.

  A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.

• D.

  A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.

• E.

  Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.

Mesmo que o remetente e o destinatário consigam autenticar-se reciprocamente, eles também querem assegurar que o conteúdo de sua comunicação não seja alterado, por acidente ou por má intenção, durante a transmissão. A descrição anterior corresponde a que propriedade desejável da comunicação segura?

• A.

  Integridade e não-repúdio de mensagem

• B.

  Autenticação

• C.

  Confidencialidade

• D.

  Disponibilidade e controle de acesso

• E.

  Capacidade de recuperação

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

• A.

  Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.

• B.

  Os riscos residuais são conhecidos antes da comunicação do risco.

• C.

  Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

• D.

  Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.

• E.

  A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.

O decreto de caráter federal, relacionado à segurança da informação, que dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências é o decreto nº

• A.

  4.553, de 27 de dezembro de 2002.

• B.

  3.505, de 13 de junho de 2000.

• C.

  4.376, de 13 de setembro de 2002.

• D.

  2.556, de 20 de abril de 1998.

• E.

  6.605, de 14 de outubro de 2008.

Assinale a opção correta acerca da análise de riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.

• A.

  As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.

• B.

  O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.

• C.

  As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.

• D.

  A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.

• E.

  Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.

Considere a figura ilustrada abaixo, onde é mostrada a comunicação entre Alice e Bob sob um canal inseguro, como a Internet. A comunicação está sendo interceptada por Trudy. Avaliando os itens a seguir,

verifica-se que estão corretas

• A.

  I, II, III e IV.

• B.

  II e IV, apenas.

• C.

  II, III e IV, apenas.

• D.

  II e III, apenas.

• E.

  I, II e III, apenas.