Questões sobre Segurança da Informação

Considerando a figura acima, que apresenta uma proposta de organização da norma NBR ISO/IEC 17799:2005, julgue os próximos itens, acerca dos conceitos de segurança da informação.

Acerca das técnicas gerais de ataques e vulnerabilidades de aplicações, é correto afirmar que vulnerabilidades de SQL injection são minimizadas por meio do uso de prepared statements; ataques de heap overflow ocorrem com maior freqüência em linguagens com tipos de dados fracos que em linguagens com tipos de dados fortes; ataques de dicionário são tecnicamente mais complexos de empreender quando são empregados hashes criptográficos embasados no algoritmo MD5 que no caso do algoritmo SHA1.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta uma proposta de organização da norma NBR ISO/IEC 17799:2005, julgue os próximos itens, acerca dos conceitos de segurança da informação.

A detecção, por um sniffer de rede, de uma longa série de segmentos TCP SYN enviados de um host local para um host remoto, sem o correspondente envio de segmentos TCP ACK, sugere que a rede sob análise pode estar sofrendo um ataque de negação de serviço.

• C. Certo
• E. Errado

Considerando a figura acima, que apresenta uma proposta de organização da norma NBR ISO/IEC 17799:2005, julgue os próximos itens, acerca dos conceitos de segurança da informação.

O uso de uma ferramenta como tcpdump ou windump, para análise de tráfego de rede, oferece uma saída de dados mais amigável que Ethereal, principalmente pela sua capacidade de apresentar estatísticas de conversação entre hosts e hierarquias de protocolos empregadas.

• C. Certo
• E. Errado

Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).

A seleção de controles de segurança da informação a implantar deverá ser fundamentada principalmente na identificação das ameaças aos ativos organizacionais. Para cada ameaça mapeada, deverão ser identificados os controles de segurança aplicáveis.

• C. Certo
• E. Errado

Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).

A organização deverá estabelecer um programa avançado de treinamento técnico em segurança da informação para todos os seus empregados relacionados com a prestação de atividades-fim relacionadas ao seu negócio.

• C. Certo
• E. Errado

Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).

Todo evento de segurança da informação identificado no âmbito da organização corresponderá a uma ou mais violações da política de segurança da informação da organização.

• C. Certo
• E. Errado

Julgue os itens que se seguem, considerando que, na proposta organizacional descrita na figura III, a empresa tenha implantado um programa de gestão de segurança da informação embasado na ABNT NBR ISO/IEC 17799 (ISO 17799).

Conforme a ISO 17799, é obrigatório o relatório de incidentes de segurança ao ponto de contato designado. Assim, um funcionário de uma organização que realiza operações de alto risco e identifica uma violação de acesso, porém encontra-se sob coação, poderá utilizar-se de um método secreto para indicar esse evento de segurança. Esse método é conhecido como alarme de coação.

• C. Certo
• E. Errado

Acerca da tecnologia workflow, que é um conjunto de ferramentas que tem por finalidade automatizar e racionalizar processos de negócios, julgue os itens seguintes.

A arquitetura de um sistema de workflow contempla cinco níveis principais: processo, instâncias ou casos, interação, segurança e auditoria.

• C. Certo
• E. Errado

Tendo o texto acima como referência inicial, julgue os itens a seguir, quanto à aquisição de produtos ou contratação de serviços na área de TI para a administração pública, considerando a legislação básica pertinente e a jurisprudência do TCU.

É objetivo da política da informação assegurar a interoperabilidade entre os sistemas de segurança da informação.

• C. Certo
• E. Errado

Analise as seguintes afirmações sobre segurança de sistemas computacionais.

I. Do ponto de vista da segurança, os sistemas computacionais têm com um dos principais objetivos a confidencialidade dos dados, que procura impedir que usuários não autorizados sejam capazes de modificar quaisquer dados sem permissão do proprietário.

 II. Um ataque conhecido como conexão alçapão (trap door) substitui a tela de login por uma tela idêntica. Quando o usuário digita seu login e senha, um programa envia essas informações para o criminoso, apresenta uma mensagem de erro e substitui a tela de login falsa pela tela verdadeira.

III. Um método utilizado para prevenir ataques realizados por applets é conhecido como caixa de areia (sandbox). Esse método tenta confinar cada applet a um intervalo limitado de endereços virtuais gerados em tempo de execução.

Assinale a alternativa que indica a(s) afirmação(ões) CORRETA(S).

• A. Apenas I.
• B. Apenas II.
• C. Apenas III.
• D. Apenas I e II.
• E. Apenas II e III.