Questões sobre Segurança da Informação

Considere que uma organização de tecnologia da informação (TI) tenha sido encarregada pela concepção e implantação de uma nova versão de um sistema de informações cuja missão é a coleta e a consolidação de dados referentes a água e saneamento, em escopo nacional. Essa nova versão de sistema visa substituir o uso de uma plataforma alta — plataforma de mainframe — por uma plataforma baixa, embasada em redes locais de computadores, sítios web, intranet, extranets e SGBDs distribuídos. Julgue os itens a seguir, relativos à aplicação de métodos, técnicas e métricas vigentes em tecnologia da informação ao cenário acima descrito.

Os processos de gerenciamento de segurança de sistemas na plataforma baixa são tecnicamente mais fáceis de serem realizados quando comparados aos processos de gerenciamento de segurança de sistemas na plataforma de mainframe.

• C. Certo
• E. Errado

A metodologia OCTAVE, usada para gerenciamento de risco da segurança da informação, tem como característica:

• A.

  necessitar condução por um especialista;

• B.

  ter o foco em aspectos tecnológicos;

• C.

  tratar principalmente de aspectos táticos;

• D.

  ter como alvo os riscos organizacionais;

• E.

  não levar em conta os ativos da organização.

Uma métrica normalmente usada em planos de recuperação de desastres (retorno à normalidade) é:

• A.

  ALE

• B.

  RTO

• C.

  NPV

• D.

  ROI

• E.

  SLE

Uma ferramenta de gestão da segurança da informação utilizada para análise de impactos, é:

• A.

  BIA

• B.

  OTP

• C.

  ISMS

• D.

  BS9977

• E.

  OLAP

Em relação a IDS e IPS, é correto afirmar que:

• A.

  IDS é restrito a monitoramento de estações e servidores;

• B.

  IDS não podem atuar de forma integrada a firewalls;

• C.

  a tecnologia IPS é considerada como uma evolução da tecnologia IDS;

• D.

  o problema da ocorrência de falsos positivos foi resolvido com o uso de IPS;

• E.

  IDS e IPS não podem operar em conjunto.

O princípio do menor privilégio em Segurança da Informação significa que

• a.

  todos os usuários do sistema serão considerados convidados.

• b.

  será especificado o que é proibido, todo o restante será permitido.

• c.

  qualquer objeto só pode ter permissões básicas para executar as suas tarefas, e nenhuma outra.

• d.

  haverá uma segurança mínima no sistema, mas que não será possível garantir a segurança contra a exposição e os danos causados por ataques específicos.

• e.

  haverá um ponto de estrangulamento onde tudo será proibido, dependendo apenas da profundidade de defesa do sistema.

Analise as seguintes afirmações relativas à Segurança da Informação:

I. Uma forma de proteger os dados de uma organização contra perdas acidentais é realizando-se periodicamente o backup. Considerando os tipos de backup, no incremental só se realiza cópia de arquivos criados desde o último backup incremental.

II. Considerando os conceitos de segurança da informação e as características do comércio eletrônico, autenticidade é a garantia de que os sistemas desempenharão seu papel com eficácia em um nível de qualidade aceitável.

III. Os problemas de segurança e crimes por computador são de especial importância para os projetistas e usuários de sistemas de informação. Considerando os conceitos de segurança da informação, privacidade é a capacidade de controlar quem vê as informações e sob quais condições.

IV. Uma informação, para ser considerada segura, precisa manter seus aspectos de confidenciabilidade, integridade e disponibilidade.Considerando estes conceitos, a confidenciabilidade é a garantia de que as informações não poderão ser acessadas por pessoas não autorizadas.

Indique a opção que contenha todas as afirmações verdadeiras.

• a.

  I e II

• b.

  II e III

• c.

  III e IV

• d.

  I e III

• e.

  II e IV

Analise as seguintes afirmações relativas a Políticas, Mecanismos e Serviços de Segurança da Informação:

I. Um firewall pode ser configurado para exigir que o usuário seja autenticado para alguns serviços, sendo que alguns firewalls têm diversas opções de autenticação.

II. Utilizando-se um software de varredura de porta, o firewall deve ser analisado a partir da rede interna e externa, considerando pacotes HTTP e HTTPS. O objetivo é verificar se há alguma porta aberta indevidamente.

III.Um firewall pode ser configurado para negar ou descartar o tráfego indesejado, enviando ou não uma mensagem ICMP ou RST para o transmissor a fim de indicar que o pacote foi negado.

IV. Um IDS deve verificar se o firewall registrou todos os testes que foram executados e se os pacotes descartados durante os testes foram registrados corretamente.

Indique a opção que contenha todas as afirmações verdadeiras.

• a.

  I e II

• b.

  II e III

• c.

  III e IV

• d.

  I e III

• e.

  II e IV

Na falta de um administrador de rede, uma conta de supervisor alternativa se faz necessária e disponível como recurso de segurança

• A.

  chave de contingência.

• B.

  chave alternativa.

• C.

  chave de segurança.

• D.

  porta dos fundos.

• E.

  backup de segurança.

Analise as seguintes afirmações relativas à Segurança da Informação:

I. Em um sistema de chave pública, apenas as chaves de decodificação criptográfica precisam ser mantidas em segredo. Uma chave de decodificação criptográfica é normalmente denominada chave secreta ou chave privada.

II. O uso do protocolo DHCP na rede interna de uma empresa é desaconselhável por fornecer IPs dinâmicos para as máquinas clientes, aumentando, assim, a possibilidade de ataque nas máquinas dos usuários.

III. Em um sistema de chave pública, a chave de codificação criptográfica pode ser publicada. É normalmente denominada chave pública. Essa publicação torna-se possível porque não se pode chegar às chaves privadas a partir de suas correspondentes chaves públicas.

IV. Em uma rede, o uso de hubs para a separação de redes em substituição aos switches tende a evitar a espionagem de barramentos com sniffers.

Indique a opção que contenha todas as afirmações verdadeiras.

• a.

  I e II

• b.

  II e III

• c.

  III e IV

• d.

  I e III

• e.

  II e IV