Questões sobre Segurança da Informação

Julgue os itens de 111 a 114, relativos à norma ISO/IEC NBR 27001, a política de segurança, a controles de acesso e a auditoria.

Em uma organização onde existam controles de acesso lógicos eficazes, basta, para se garantir o sigilo das informações, que sejam implementados mecanismos de segurança que garantam a segurança das informações durante o seu trânsito nas redes de computadores.

• C. Certo
• E. Errado

Atacar um esquema de criptografia simétrica, é possível

• A.

  com substituição de bytes, apenas.

• B.

  tanto com substituição de bytes quanto com mistura de colunas.

• C.

  com análise criptográfica, apenas.

• D.

  com força bruta, apenas.

• E.

  tanto com análise criptográfica quanto com força bruta.

As políticas, normas e procedimentos de segurança da informação

• A. não necessitam do envolvimento da alta administração, já que são responsabilidade da área de TI.
• B. devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes.
• C. devem ser concentradas exclusivamente em ações proibitivas e punitivas, para garantir a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança.
• D. são criadas e implantadas pelo Comitê de Segurança da Informação, constituído na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação.
• E. devem abranger todos os serviços e áreas da organização e ser implantadas de uma única vez para minimizar a possível resistência de alguns setores da empresa.

O tipo de ataque no qual páginas maliciosas fazem o navegador carregar páginas legítimas de modo invisível é chamado de:

• A.

  Hijacking

• B.

  Session Hijacking

• C.

  Webjacking

• D.

  Hidejacking

• E.

  Clickjacking

Um computador (ou sistema computacional) é dito seguro se este atende a três requisitos básicos relacionados aos recursos que o compõem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informação só está disponível para aqueles devidamente autorizados; a integridade diz que a informação não é destruída ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os serviços/recursos do sistema estão disponíveis sempre que forem necessários. Dentre as alternativas abaixo, assinale sobre violações do requisito de confidencialidade:

• A.

  O seu provedor sofre uma grande sobrecarga de dados ou um ataque de negação de serviço e por este motivo você fica impossibilitado de enviar sua declaração de Imposto de Renda à Receita Federal.

• B.

  Alguém obtém acesso não autorizado ao seu computador e altera informações da sua declaração de Imposto de Renda, momentos antes de você enviála à Receita Federal.

• C.

  Alguém obtém acesso não autorizado ao seu computador e lê todas as informações contidas na sua declaração de Imposto de Renda.

• D.

  Propagação de vírus em computadores pessoais.

• E.

  Disseminação de mensagens alarmantes e falsas.

Patrícia é usuária consciente da necessidade de proteger sua máquina dos diversos tipos de ataque utilizados na Internet. Qual das seguintes “recomendações” sobre Segurança da Informação, encontradas em diversos sítios da rede, ela deve adotar?

• A.

  Os sistemas operacionais e os programas antivírus devem ser atualizados frequentemente.

• B.

  Os programas recebidos como anexos de e-mails podem ser executados com segurança, se houver um programa de firewall instalado no computador.

• C.

  As senhas fortes são construídas com algarismos e devem conter, pelo menos, quatro símbolos.

• D.

  O recurso de o navegador guardar senhas para uso posterior deve ser sempre ativado.

• E.

  O uso de senhas com datas e nomes relacionados a parentes é interessante porque facilita a memorização.

A experiência tem mostrado que há fatores críticos para o sucesso da implementação da segurança da informação dentro de uma organização; dentre eles, a norma ISO 27002 destaca:

• A.

  utilização de assinaturas digitais nos documentos gerenciais e estabelecimento de um processo restrito de gestão de incidentes de segurança da informação.

• B.

  distribuição de chaves e restrição da divulgação da política de segurança ao nível gerencial.

• C.

  provisão de conscientização e aquisição e instalação de um sistema de detecção de intrusão eficiente.

• D.

  política de segurança da informação, objetivos e atividades que reflitam os objetivos do negócio e provisão de recursos financeiros para as atividades da gestão de segurança da informação.

• E.

  abordagem e estrutura para implementação, manutenção, monitoramento e melhoria da segurança da informação independente da cultura organizacional e apoio de todos os níveis gerenciais.

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é

• A.

  estabelecer uma estrutura para implantar controles e sistemas de gerenciamento de risco de comprometimento da informação relevante para o negócio.

• B.

  designar um gerente gestor com responsabilidade pelo desenvolvimento e pela análise crítica da política de segurança da informação.

• C.

  implantar um sistema de segurança e distribuição de chaves para acesso aos sistemas considerados críticos para a competitividade do negócio.

• D.

  prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

• E.

  tornar públicos o comprometimento da direção com os propósitos da segurança da informação e o enfoque adotado no processo de gerenciamento da segurança da informação.

De acordo com a NBR/ISO 27002, um sistema de gerenciamento de chaves deve basear-se em um conjunto estabelecido de normas, procedimentos e métodos de segurança para

• A.

  gerar chaves para diferentes sistemas criptográficos e diferentes aplicações.

• B.

  evitar quebra de segurança, coibindo a manutenção de registros das atividades relacionadas com o gerenciamento de chaves.

• C.

  evitar o uso de sistemas simétricos, por utilizarem apenas uma chave.

• D.

  destruir chaves perdidas ou corrompidas, como parte da gestão da continuidade do negócio, para evitar a recuperação de informações cifradas.

• E.

  manter registros das chaves públicas geradas pelos usuários e estabelecer a política de geração dessas chaves.

Sejam os parâmetros de um sistema de chave pública RSA.

• Dois primos selecionados inicialmente p = 5 e q = 11

• Chave pública: k1 = 3

Qual é o valor da chave secreta?

• A.

  3 (mod 40)

• B.

  17 (mod 40)

• C.

  23 (mod 40)

• D.

  27 (mod 40)

• E.

  53 (mod 40)