Questões de Noções de Informática - Princípios de Segurança, Confidencialidade e Assinatura Digital para Concurso

As organizações estabelecem e implementam um Sistema de Gestão de Segurança da Informação (SGSI) com base em suas necessidades e em seus objetivos, em seus requisitos de segurança, em seus processos organizacionais, em seu tamanho e em sua estrutura.
A NBR ISO 27001:2013 define vários itens que fazem parte da avaliação de desempenho do SGSI, dentre os quais 

No OWASP Top 10, relatório regularmente publicado pela Open Web Application Security Project (OWASP), descrevem-se os riscos de segurança mais críticos encontrados em aplicações web em um certo período de análise. Considere o ambiente de uma aplicação web no qual o servidor da aplicação é fornecido com os sistemas de amostra não removidos do servidor de produção, e os aplicativos de amostra têm falhas de segurança conhecidas, usadas pelos invasores para comprometer o servidor.
Esse cenário evidencia um risco de segurança classificado no OWASP Top 10 2021, na seguinte categoria: 

Uma certa infraestrutura de chaves públicas (ICP) define a utilização de uma hierarquia de autoridades certificadoras. Nessa hierarquia, a autoridade certificadora raiz (AC_raiz) emite apenas o certificado digital da autoridade certificadora do segundo nível da hierarquia (AC_n2). Por sua vez, a AC_n2 pode emitir certificado digital para um usuário (Cert_usuário) dessa ICP.
Para a AC_n2 assegurar a integridade e a autenticidade do Cert_usuário , esse certificado digital deve conter APENAS a(s) assinatura(s) digital(is) da(o)

É uma técnica de ataque utilizada para tirar de operação um computador, rede ou serviço conectado à internet, de modo a prejudicar as pessoas que dependem dos recursos afetados. O trecho refere-se a:

Para garantir a segurança de transações bancárias via internet, são usados diferentes protocolos criptográficos. Considere um protocolo em que a organização P possui um par de chaves, sendo uma privada e uma pública, em que a privada decifra a pública e vice-versa. A chave pública é utilizada por aqueles que desejam enviar mensagens cifradas para essa organização. Apenas a organização P poderá ler o conteúdo dessas mensagens cifradas, porque só ela dispõe da chave privada que faz par com sua chave pública.
A situação apresentada caracteriza o uso de criptografia

Quando o navegador Firefox se conecta a um site seguro (cuja URL começa com HTTPS), ele verifica se o certificado apresentado pelo site é válido e se a criptografia é forte o suficiente para proteger adequadamente sua privacidade. Caso o site não passe nessa verificação, o Firefox interrompe a conexão e exibe uma página de erro com a seguinte mensagem: “Alerta: Potencial risco de segurança à frente”. 

O servidor Francisco Xavier, lotado na Pró-Reitoria de Gestão de Pessoas e já acostumado a utilizar o Mozilla Firefox no trabalho, certo dia, no intervalo do almoço, resolveu visitar um site de compras internacionais a partir do computador instalado em sua mesa de trabalho. Era a primeira vez que Francisco acessava o site. Depois que digitou o endereço completo (que começava com HTTPS) e pressionou a tecla ENTER, o navegador apresentou a mensagem de alerta descrita no parágrafo anterior. 

Francisco, certo de que o site era seguro já que um vizinho o havia recomendado muito bem, decidiu clicar em “Aceitar o risco e continuar”. Dessa forma o navegador entendeu que Francisco estava assumindo o controle da situação e criou uma exceção de segurança para aquele site, permitindo o acesso. Francisco então fez a compra que desejava utilizando seu cartão de crédito internacional. Horas depois, quase no fim do expediente, compras que ele nunca fez começaram a aparecer na fatura do cartão. Além disso, Francisco nunca recebeu nada do que comprou naquele site. 

É bem provável que Francisco tenha sido vítima de um site falso, que foi criado para atrair compradores sem conhecimentos de segurança na Internet. Esses sites existem única e exclusivamente para roubar dados dos visitantes como nome, e-mail, telefone, senha e dados de documentos e de cartões de crédito. Geralmente esses sites não possuem certificados válidos e os navegadores identificam essa fragilidade.

Considerando esse cenário, como Francisco deveria ter agido para evitar ser vítima desse tipo de fraude? 

Renata trabalha em um laboratório de uma Faculdade e possui uma conta de e-mail institucional do GMail fornecida pelo Suporte de TI da Faculdade. Nessa conta ela recebe uma mensagem com o seguinte corpo: 

Senha expirada.

O administrador do seu domínio definiu que as senhas dos usuários expiram a cada três meses.

Esta é uma medida para proteger o perfil dos usuários, garantindo maior segurança nas contas desta instituição. Portanto, é obrigatório que você renove a sua senha para evitar problemas com o seu e-mail.

CLIQUE AQUI (LINK) para preencher o formulário de renovação com a senha atual e para fornecer uma nova senha.

Atenciosamente,

Suporte de TI.

No assunto, Renata lê “Renovação de senha expirada” e no remetente “Suporte de TI”.

Seguindo recomendações da cartilha de segurança para internet do CERT.br, qual opção Renata deve escolher em relação a essa mensagem de e-mail recebida? 

A segurança da informação representa atualmente um dos assuntos mais importantes dentro da área de TI de uma empresa, uma vez que a informação é um dos bens mais preciosos de uma organização. Entre os princípios básicos da segurança da informação, enquanto um está associado à propriedade que garante a uma informação não ser modificada de forma não autorizada, outro está relacionado à propriedade que garante que apenas as pessoas com a devida autorização possam ter acesso a uma informação. Esses dois princípios são denominados, respectivamente:

O que é uma “assinatura digital” em e-mails? 

Entre os mecanismos de segurança utilizados em sistemas computacionais, qual das seguintes opções NÃO está corretamente relacionada à sua função?

Correto afirmar sobre os Princípios da Segurança da Informação: 
I - Confidencialidade: abrindo informações apenas para pessoas autorizadas e processos de negócios.
II - Integridade: assegurando a precisão e a integridade da informação.
III - Disponibilidade: assegurando que a informação e os sistemas de informações estão acessíveis e podem ser usados a qualquer tempo e na forma requerida.
IV - Autenticidade: garante que a informação ou o usuário é autêntico.