Questões sobre Segurança da Informação

Em segurança da informação, NÃO é considerada uma causa de vulnerabilidade:

• A.

  imaturidade em segurança.

• B.

  percepção de simplicidade.

• C.

  restrições de recursos.

• D.

  desenvolvimento in-house.

• E.

  controle de tempo.

Acerca dos processos típicos de tratamento de incidentes de segurança, julgue o item abaixo.

O aumento do tempo decorrente entre a detecção e o fim da recuperação, nos incidentes de segurança, não aumenta necessariamente o tempo de indisponibilidade do serviço afetado.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

Os profissionais de segurança que realizam análise crítica de logs e controle de vulnerabilidades técnicas relacionam-se mais fortemente com os aspectos de Organização da Segurança da Informação, que com a Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

A configuração de proteções de tela bloqueadas por senha e o uso de firewalls e sistemas de detecção de intrusos são ações apenas indiretamente ligadas à gestão de Incidentes de Segurança da Informação e à Conformidade, respectivamente.

• C. Certo
• E. Errado

A lista abaixo apresenta os títulos das seções da norma ABNT NBR ISO/IEC 27002 (17799), que contém um guia das melhores práticas em gestão da segurança da informação. Tais seções possuem correspondente registro no anexo A da norma ABNT NBR ISO/IEC 27001, definindo grupos de objetivos de controles e controles de segurança que podem ser implementados.

Nos itens de 177 a 180, julgue as propostas de associação entre conceitos ou práticas de segurança e as seções da norma ABNT NBR ISO/IEC 27002

A proteção de registros organizacionais, entre eles o registro de visitantes, constitui uma prática diretamente associada à Segurança Física e do Ambiente, embora, no caso específico do registro de visitantes, esteja prescrita visando o alcance da Segurança em Recursos Humanos.

• C. Certo
• E. Errado

Este serviço é como uma barreira que verifica informações (freqüentemente denominada tráfego) vindas da Internet ou de uma rede e, em seguida, joga essas informações fora ou permite que elas passem pelo computador, dependendo das suas configurações. Esta frase se refere ao serviço de:

• A.

  Firewall.

• B.

  Antivírus.

• C.

  Windows Update.

• D.

  Phising.

Vírus, Worms e Cavalos de Tróia são programas mal-intencionados que podem causar danos ao seu computador e às informações nele armazenadas. Também podem deixar a Internet mais lenta e usar o seu computador para se espalhar pela rede. Com base nessas informações, marque a alternativa correta em relação aos Worms.

• A.

  São programas de computador que são úteis, mas na verdade comprometem a sua segurança e causam muitos danos.

• B.

  Fazem parte de um tipo de vírus que geralmente se alastram sem a ação do usuário e distribuem cópias completas de si mesmo através das redes, consumindo memória e largura de banda da rede.

• C.

  Alastram-se quando os usuários são seduzidos a abrir o programa por pensar que vem de uma fonte legítima.

• D.

  Precisam viajar através de um programa ou arquivo "hospedeiro". Mas não podem se infiltrar no sistema permitindo que outra pessoa controle o seu computador remotamente.

• E.

  São alarmes sobre vírus que supostamente são espalhados quando você simplesmente lê um e-mail. Mas na verdade, não passam de correntes.

De acordo com o Instituto Nacional de Tecnologia da Informação - ITI: "O Certificado Digital é um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma entidade (pessoa, processo, servidor) a uma chave pública." Com base nesta informação, escolha a alternativa correta em relação a Certificado Digital.

• A.

  Utiliza algoritmo de criptografia simétrico (AES ou DES). Uma única chave para criptografar e descriptografar.

• B.

  O uso de chaves simétricas oferece uma técnica de autenticação digital bem versátil e prática, sendo a técnica digital que melhor se aproxima em funcionalidade da assinatura de punho.

• C.

  Utiliza algoritmo de criptografia assimétrico (RSA). Onde duas chaves distintas são utilizadas, uma para criptografar, e outra para descriptografar, conhecidas como chaves privada e pública.

• D.

  Utiliza algoritmo de criptografia simétrico. Duas chaves distintas, usando uma para criptografar, e outra para descriptografar, ambas são criptografadas com AES ou DES e tem vinculada uma senha que deve ser repassada por e-mail para a outra parte.

• E.

  Utiliza algoritmo de criptografia assimétrico. Onde uma única chave para criptografar e descriptografar é utilizada.

Um teste de penetração, conhecido na literatura como penetration test, é o método pelo qual é testada a segurança de um sistema computacional ou rede pela simulação de ataques de fontes maliciosas. No geral, a análise do sistema busca por qualquer vulnerabilidade que recaia em uma falha de segurança. Sobre penetration tests é correto afirmar.

• A.

  Existem 2 tipos de testes, o teste de caixa preta, onde os testadores tem total conhecimento da rede que vão testar, e o teste de caixa branca, onde os testadores não tem conhecimento prévio da rede em questão.

• B.

  No geral, os testes de penetração devem ser realizados em sistemas que vão ficar diretamente ligados na Internet, através de testes caixa preta, onde o testador finge ser um cracker que tenta invadir o sistema sem o conhecimento prévio do ambiente.

• C.

  Testes de caixa branca no geral são muito dispendiosos, por não se tratar de um processo automatizado, e podem danificar, mesmo que por pessoal interno, os sistemas em execução.

• D.

  O processo de penetração pode expor informações sigilosas de uma corporação, por isso, geralmente são contratados ex-crackers black hat, pois estes por estarem condenados são muito mais confiáveis que do que outros profissionais que aderem a um código de ética estrito e certificado.

• E.

  Em aplicações WEB, penetrantion tests, no geral buscam por vulnerabilidades no lado servidor e não na aplicação WEB, furos como manipulação URL, SQL Injection não são alvo destes testes de penetração.

A utilização de Diretórios de Autenticação e informações estão se tornando comuns em corporações pela praticidade de ter todos os usuários da rede, ativos, e demais serviços vinculados a um único esquema em árvore de informações. O AD (Active Directory) da Microsoft, é um serviço de diretório que atende ao padrão X.500. Sobre o AD e suas funcionalidades, qual a alternativa que está de acordo com o que o AD pode fazer?

• A.

  O AD pode gerenciar e distribuir de forma não automática e indireta pacotes de software para diversas máquinas em um domínio Microsoft, desde que o programa esteja no formato .exe e não no formato .msi.

• B.

  O AD é um sistema de diretórios non-replicate, ou seja, não é possível ter outros servidores com AD para replicação ou gerenciamento de apenas um trecho da árvore.

• C.

  Pode fornecer políticas de grupo, para limitar a atuação de usuários em seus computadores, através de políticas conhecidas como GPO.

• D.

  O AD, quando vinculado ao DNS, pode atribuir IPs aos computadores da rede, sem a necessidade do serviço de DHCP.

• E.

  O Catálogo Global do AD serve para não distribuir os recursos pela rede e sim, catalogar dados de usuário e senha, mas não pode por exemplo, centralizar grupos.