Questões sobre Segurança da Informação

Considere estas duas recomendações de segurança em redes sem fio:

I. Mudar o SSID, ou nome que identifica a rede, contribui para a segurança da autenticação da rede que utiliza este protocolo. Existem diversas tabelas de senhas já quebradas em SSIDs configurados de fábrica. Modificar o SSID para algo personalizado garante que essas tabelas sejam inutilizadas.

II. Utilizar este protocolo aumenta a segurança da rede, pois utiliza o AES, um sistema de criptografia bastante seguro, baseado no uso de chaves de 128 a 256 bits. Usar o AES garante uma maior segurança, mas exige mais processamento, o que pode ser um problema no caso de redes com pontos de acesso e placas antigas que não têm recursos ou poder de processamento suficientes.

Os protocolos citados nas afirmativas I e II são, correta e respectivamente,

• A. WEP e WPA.
• B. EAP e WPA.
• C. WPA e WEP2.
• D. 802.11g e 802.1i.
• E. WPA e WPA2.

Um Analista de Suporte sabe que é necessário que os serviços disponibilizados e as comunicações realizadas pela Internet garantam alguns requisitos básicos de segurança das informações, como Integridade e Autorização que se referem, correta e respectivamente, a

• A. permitir que uma entidade se identifique, ou seja, diga quem ela é; determinar as ações que a entidade pode executar.
• B. proteger a informação contra alteração não autorizada; determinar as ações que a entidade pode executar.
• C. determinar as ações que a entidade pode executar; garantir que um recurso esteja disponível sempre que necessário.
• D. evitar que uma entidade possa negar que foi ela quem executou uma ação; proteger uma informação contra acesso não autorizado.
• E. determinar as ações que a entidade pode executar; verificar se a entidade é realmente quem ela diz ser.

Um Analista de Suporte, usando umas das atuais versões do Internet Explorer em português, acessou o menu ferramentas e, nas Opções de Internet, abriu a aba Segurança. Deste modo ele verificou que é possível definir o nível de segurança de certas zonas da rede classificando-o como Alto, Médio ou Médio-Alto, por exemplo. Duas dessas zonas especificamente lá definidas são

• A. Intranet local e Redes sociais.
• B. Sites confiáveis e Redes locais.
• C. Privacidade e Intranet local.
• D. Sites restritos e Intranet local.
• E. Privacidade e Redes locais.

Julgue os próximos itens, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério. Para a segurança na comunicação entre a sede do ministério e suas diversas representações dispersas pelas unidades da federação, é recomendável a adoção de redes virtuais privadas baseadas no IPSEC com modo de transporte. Dessa forma, na eventualidade de captura de tráfego entre o ministério e uma de suas representações por meio de um sniffer, não será possível a identificação dos endereços IP de origem e de destino das conexões TCP estabelecidas nas extremidades da rede, enquanto são garantidas ainda a autenticidade e sigilo dos dados trafegados.

• C. Certo
• E. Errado

Julgue os próximos itens, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério. A fim de proteger a segurança da informação do ministério, bem como auxiliar no cumprimento de sua missão de desenvolvedor de políticas públicas em sua área de atuação, o ministério deve se abster de desenvolver sua presença digital nas mídias sociais, bloqueando os acessos dos usuários de níveis operacionais e administrativos intermediários a essas mídias sociais, visando à redução da ocorrência de ataques de engenharia social, de phishing, scams e spams.

• C. Certo
• E. Errado

No que tange à segurança da informação, a segregação de funções é uma qualidade do sistema que atua para

• A. garantir que os dados não sejam visualizados por pessoas não autorizadas.
• B. reduzir as oportunidades de mau uso acidental ou intencional do sistema.
• C. impedir que o autor das informações negue a autoria delas.
• D. impedir que os dados sejam modificados durante a transmissão das informações.
• E. não sobrecarregar os usuários atribuindo a eles uma quantidade demasiada de funções.

Julgue os próximos itens, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério. Considere que, para a defesa de perímetros na rede do ministério, tenha sido proposta uma solução com o uso dos seguintes dispositivos: firewall de aplicação web (WAF); sistemas de prevenção de intrusão (IPS) em rede; e firewall de filtragem de pacotes stateful. Nesse caso, seria recomendável a colocação do firewall de filtragem na camada mais externa; do WAF na camada mais interna; e de IPS na camada intermediária.

• C. Certo
• E. Errado

Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:

I. Uma ameaça tem o poder de comprometer ativos vulneráveis.

II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.

III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.

Está correto somente o que se afirma em:

• A. I;
• B. II;
• C. III;
• D. I e II;
• E. I e III.

Julgue os itens seguintes, acerca de política de segurança da informação e sistemas de gestão de segurança da informação. Um sistema de gestão da segurança da informação (SGSI) deve estabelecer procedimentos que definam ações gerenciais necessárias não somente à manutenção e à revisão dos documentos necessários ao SGSI, mas também à garantia de que as versões relevantes desses documentos estejam disponíveis nos pontos de uso.

• C. Certo
• E. Errado

Com relação à gestão de continuidade de negócio e ao gerenciamento de incidentes de segurança da informação, julgue os itens subsequentes. No processo de gestão de incidentes de segurança da informação, as atividades relacionadas com a detecção de incidentes são responsáveis pela coleta de informações relacionadas a ocorrências de segurança da informação.

• C. Certo
• E. Errado