Questões sobre Segurança da Informação

Considerando a segurança de ambientes físicos e lógicos bem como controles de acesso, julgue os itens subsecutivos.

Um perímetro de segurança bem definido e protegido é suficiente para garantir a segurança da informação nas organizações.

• C. Certo
• E. Errado

Sobre o conceito de segurança em redes sem fio, qual procedimento abaixo é correto?

• A.

  Usar roteadores com o padrão G, que permitem o uso de senhas criptografadas e mais extensas em relação a outros padrões.

• B.

  Não atualizar o firmware do roteador para evitar a instalação de vírus na rede Wi-Fi.

• C.

  Permitir o acesso somente a dispositivos com endereço MAC previamente cadastrado.

• D.

  Permitir o acesso somente a dispositivos com endereço IP previamente cadastrado e usar criptografia padrão WPA (WiFi Protected Access).

• E.

  Habilitar ou alterar a criptografia para o padrão WEP (Wired Equivalent Privacy) tanto no roteador quanto nos computadores da rede.

Dadas as seguintes proposições sobre segurança de dados virtuais,

I. Key logger são spywares que registram todos os dados digitados pelo usuário; seu objetivo é capturar senhas, números de cartão de crédito e informações sigilosas de empresas.

II. Arquivos de dados puros como o de imagens (jpg e png) e vídeo (avi e mov) são considerados seguros; entretanto, em uma mensagem de e-mail, as extensões destes arquivos puros podem mascarar hiperlinks que levam a sites maliciosos.

III. Os arquivos com extensão gz e bz2 são gerados no sistema operacional GNU/Linux; logo, são livres de vírus e outras ameaças.

IV. A melhor forma de detectar um backdoor é manter o antivírus sempre atualizado e executá-lo diariamente.

é correto afirmar que

• A.

  apenas I e III são corretas.

• B.

  apenas I e IV são corretas.

• C.

  apenas III e IV são corretas.

• D.

  apenas I e II são corretas.

• E.

  apenas I, II e IV são corretas.

Com relação a ataques a redes de computadores e mecanismos de defesa, julgue os itens subsequentes. Em um ataque de SYN FLOOD, caracterizado pelo envio constante de pacotes de sincronismo do TCP, a vítima do ataque normalmente responde à requisição de sincronismo e o atacante, por sua vez, ignora a resposta da requisição.

• C. Certo
• E. Errado

São algumas características e elementos de uma boa política de segurança da informação (PSI),EXCETO:

• A.

  implementação baseada em procedimentos definidos pelas diversas instâncias hierárquicas da organização.

• B.

  divulgação restrita e publicação moderada de suas normas, boas práticas e métodos.

• C.

  implantação conjunta com ferramentas que garantam a execução das normas, assim como sua gerência, monitoramento e auditoria.

• D.

  definição de sanções quando houver violação da PSI.

• E.

  definição dos responsáveis em cada uma das instâncias da PSI.

A sentença “tudo que não é permitido, é proibido!” está diretamente relacionada com:

• A.

  antivírus.

• B.

  firewall.

• C.

  backup

• D.

  RAID.

• E.

  criptografia simétrica.

A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases

• A.

  estabelecer e gerenciar o SGSI.

• B.

  monitorar e analisar criticamente o SGSI.

• C.

  planejar e implantar o SGSI.

• D.

  implementar e operar o SGSI.

• E.

  manter e melhorar o SGSI.

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização. Sobre os ativos, segundo a Norma ABNT NBR ISO/IEC 27002:2005, é correto afirmar:

• A.

  Alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico.

• B.

  O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são as únicas informações relevantes para o caso da recuperação de um desastre.

• C.

  A implementação de controles específicos não pode ser delegada pelo proprietário do ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos.

• D.

  Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua importância, possuem valor para o negócio.

• E.

  O processo de compilação de um inventário de ativos é importante, mas não é pré-requisito no gerenciamento de riscos.

Com relação aos controles e à política de segurança da informação de uma organização, analise:

I. A distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas é um fator crítico para o sucesso da implementação da segurança da informação em uma organização.

II. A segurança da informação é obtida a partir da implementação de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

III. Uma política de segurança da informação que reflita os objetivos do negócio, apesar de importante, não representa um fator crítico para o sucesso da implementação da segurança da informação dentro de uma organização.

IV. Um controle é uma forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Está correto o que consta em

• A.

  I, II, III e IV.

• B.

  I, II e IV, apenas.

• C.

  II e III, apenas.

• D.

  II, apenas.

• E.

  I e III, apenas.

Na NBR ISO/IEC 27001:2006, o processo de comparar o risco estimado com critérios de risco predefi nidos para determinar a importância do risco é o processo de:

• A.

  Analisar riscos.

• B.

  Avaliar riscos.

• C.

  Gerir riscos.

• D.

  Estimar risco residual.

• E.

  Prever riscos.