Questões sobre Segurança da Informação

O presidente de uma grande empresa acessa a Internet, em seu trabalho, a partir de uma estação que possui sistema operacional Windows. Considerando-se que um usuário malicioso conseguiu conectar-se ao mesmo switch e VLAN do presidente, o(a)

• A.

  usuário malicioso pode colocar sua placa de rede em modo promíscuo, para capturar todo o tráfego da sub-rede.

• B.

  mecanismo de VLAN impede que o usuário malicioso descubra o endereço MAC da estação do presidente.

• C.

  switch, em oposição ao hub, não permite que as conexões TCP do Windows sejam sequestradas.

• D.

  sequestro de conexões HTTPS é possível sem que o presidente seja alertado em seu navegador, Firefox, por exemplo.

• E.

  estação do presidente está sujeita a ataques de ARP Spoofing, mesmo estando conectada a um switch.

Analise o fragmento de código, executado no servidor, de uma aplicação WEB.

Considerando-se que o fragmento acima lê dados de formulários preenchidos por usuários, o código é vulnerável ao ataque de

• A.

  buffer overflow, já que o tamanho da entrada não é verificado no objeto connStr.

• B.

  buffer overflow, mesmo que o método em questão esteja declarado como protegido.

• C.

  cross site scripting, pois não protege contra injeção de código javascript em cookies.

• D.

  sql injection, pois permite que o objeto cmdStr seja montado de forma maliciosa.

• E.

  sql injection, pois permite que o banco de dados seja especificado por parâmetros.

Determinado órgão federal oferece uma consulta pública na Internet, em que, dado um CPF, são retornadas todas as pendências, se existirem, no navegador do solicitante. Para efetuar a consulta, o usuário deve preencher um campo com seu CPF e, em seguida, clicar no botão de consulta. Considerando-se que a consulta roda sob a plataforma ASP.NET, esse serviço

• A.

  está sujeito à ação de robôs, que podem varrer a base de dados utilizando consultas automatizadas, já que não existe CAPTCHA.

• B.

  disponibiliza também um web service de consulta, bastando para isso adicionar, na URL original, a string "?wsdl=true".

• C.

  pode sofrer um ataque de SQL Injection, o que não aconteceria se a plataforma adotada fosse Java EE, utilizando JDBC.

• D.

  poderia utilizar login e senha para garantir autenticação forte e, portanto, resguardar as informações confidenciais dos usuários.

• E.

  utiliza um banco de dados relacional, possivelmente em cluster, para realizar a consulta de pendências, que pode ser desenvolvida em C# ou VB.NET.

Com referência à segurança da informação, assinale a opção correta.

• A.

  A confidencialidade tem a ver com salvaguardar a exatidão e a inteireza das informações e métodos de processamento. Para tanto, é necessário que os processos de gestão de riscos identifiquem, controlem, minimizem ou eliminem os riscos de segurança que podem afetar sistemas de informações, a um custo aceitável.

• B.

  A política de segurança da informação é um conjunto de práticas conhecidas pelo nível operacional de uma organização que busca estabelecer uma direção técnica clara que demonstre suporte e comprometimento com a segurança das informações.

• C.

  A segurança física objetiva impedir acesso não autorizado, danos ou interferência às instalações físicas e às informações da organização. A proteção fornecida deve ser compatível com os riscos identificados, assegurando a preservação da confidencialidade da informação.

• D.

  Define-se gestão de riscos de segurança da informação como a avaliação das ameaças e das facilidades de processamento, impactos e vulnerabilidades das informações e da probabilidade de ocorrência de tais riscos.

• E.

  Serviços de não repudiação são técnicas utilizadas para detectar alterações não autorizadas ou corrompimento dos conteúdos de uma mensagem transmitida eletronicamente. Essas técnicas, que têm como base o uso de criptografia e assinatura digital, podem ajudar a estabelecer provas para substanciar se determinado evento ou ação ocorreu.

Julgue os itens a seguir, a respeito de termos e definições fundamentais da ISO 27001.

Risco residual é aquele remanescente quando as medidas implementadas para modificar esse risco não conseguem eliminá-lo.

• E. Errado
• C. Certo

Julgue os itens a seguir, a respeito de termos e definições fundamentais da ISO 27001.

A declaração de aplicabilidade define os ambientes ou as unidades da organização alvo dos controles estabelecidos pelo sistema de gestão de segurança da informação (SGSI).

• C. Certo
• E. Errado

Julgue os itens a seguir, a respeito de termos e definições fundamentais da ISO 27001.

Integridade é a propriedade que garante que uma informação não será furtada da organização.

• C. Certo
• E. Errado

Acerca da classificação da informação, julgue os itens seguintes, segundo as orientações da ISO 27002.

A classificação de determinada informação deve permanecer inalterada até que a informação seja descartada.

• C. Certo
• E. Errado

Acerca da classificação da informação, julgue os itens seguintes, segundo as orientações da ISO 27002.

Inicialmente, a classificação da informação deve considerar as orientações de compartilhamento e de restrições de informação registradas em normas e boas práticas internacionais e, depois, os impactos no negócio alvo do SGSI.

• C. Certo
• E. Errado

Acerca da classificação da informação, julgue os itens seguintes, segundo as orientações da ISO 27002.

A rotulação da informação é pertinente apenas aos documentos físicos, por terem condições de receber etiquetas.

• C. Certo
• E. Errado