Questões de Concurso Comentadas sobre controles de segurança em segurança da informação

Na segurança de redes de computadores, o controle de acesso é fundamental para qualquer organização. Uma política de controle de acesso tem por finalidade ditar as regras sobre o que é permitido, ou seja, quais acessos são permitidos, quem pode acessar e onde podem ser feitos esses acessos. Um controle de acesso possui três elementos básicos. São esses elementos, EXCETO:

Suponha que se deseje implantar o esquema de acesso ao sistema da Secretaria de Estado da Fazenda utilizando a autenticação baseada em dois fatores diferentes. Para tanto, os possíveis fatores são:

Os itens apresentados constituem uma lista em ordem alfabética de tarefas referentes ao arquivo digital da EFD-ICMS/IPI:

I. Assinar o arquivo por meio de certificado digital, tipo A1 ou A3, emitido por autoridade certificadora credenciada pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

II . Gerar o arquivo de acordo com as especificações do leiaute definido em Ato COTEPE.

III . Gerar o recibo de entrega, com o mesmo nome do arquivo, com a extensão “rec”, gravando-o no mesmo diretório.

IV. Guardar o arquivo acompanhado do recibo da transmissão, pelo prazo previsto na legislação.

V. Submeter o arquivo ao programa validador, fornecido pelo Sistema Público de Escrituração Digital (SPED).

VI. Transmitir o arquivo, com a extensão “txt”, pela internet.

VII. Verificar a consistência das informações prestadas no arquivo.

Os procedimentos EFD-ICMS/IPI devem progredir em um fluxo de execução. Considerando que o item II refere-se à tarefa inicial e o item IV à tarefa final, a sequência intermediária correta do fluxo de execução é: 

Um Analista de Suporte troca arquivos com um funcionário que trabalha em uma filial da mesma organização. Eles garantem a integridade desses arquivos aplicando um método que gera um resultado único e de tamanho fixo, independente do tamanho do arquivo trocado. O método aplicado é conhecido como

É comum que, durante o dia de trabalho, mais de um funcionário utilize a mesma estação, como no caso de empresas que possuem dois turnos para uma mesma função no departamento.

A esse respeito, é correto afirmar que, dos procedimentos de acesso a recursos para usuários diferentes, na mesma estação de trabalho, o mais eficiente é

Sobre Esteganografia é correto afirmar que:

Sobre sistemas que utilizam o Single sign-on (SSO) assinale a alternativa correta.

No contexto da Segurança da Informação, o primeiro controle de acesso a ser estabelecido, isto é, a primeira barreira de segurança deve ser o controle de acesso

O _________ é um sistema open source, baseado no sistema operacional __________, utilizado principalmente para desempenhar a função de _______________ em uma rede.
Marque a alternativa que contém a sequência que completa CORRETAMENTE a expressão anterior.

Considere as seguintes afirmações sobre a tecnologia Deep Packet Inspection (DPI).
I - Por meio da tecnologia DPI, é possível identificar usuário mal-intencionado, explorando vulnerabilidades em algum serviço/servidor na sua infraestrutura, como Apache, Oracle, Tomcat, JBoss, SSH, Nginx ou o próprio SQL Server. II - DPI é uma tecnologia que pode ser utilizada pelos provedores de Internet para interferir na “neutralidade da rede”, como limitar a quantidade de dados de determinados tipos de serviço. III - DPI permite a filtragem automática de ataques do tipo zero-day por meio da análise de assinaturas.
Quais estão corretas?

O Gerenciamento de Acesso Privilegiado ou Privileged Account Management (PAM) tem-se tornado um ponto muito importante nas grandes empresas de TI. Sobre a finalidade, as características e as funcionalidades da gerência de privilégios, considere as afirmações abaixo.
I - Permite conceder o acesso privilegiado a um usuário quando necessário e retirá-lo após um tempo predeterminado. II - Permite criar uma trilha de auditoria de todos os comandos SSH que o usuário executou enquanto estava no modo privilegiado. III - Tenta mitigar exploits que realizam escalada de privilégios em servidores/serviços da empresa.
Quais estão corretas?

Considere, por hipótese, que um Analista de TI do Tribunal Regional do Trabalho foi incumbido de inserir os bloqueios de acesso a sites da internet usando o Squid, um servidor de proxy do sistema operacional Linux. O Analista criou diversos arquivos .txt com a lista de palavras, redes sociais, sites e tipos de arquivos para download a serem bloqueados, adicionou-os ao Squid, criou as ACLs e adicionou-as ao squid.conf. Em condições ideais, para reinicializar o Squid para que as regras entrem em vigor, o Analista deve utilizar o comando:

Em muitas transações financeiras realizadas pela Internet é necessário que o usuário, além de fornecer o seu e-mail e senha, digite um código gerado ou recebido em seu celular. Essa tecnologia é conhecida como

O ativo de informação de uma organização pode ser um sistema de informação, assim como o seu meio de armazenamento, transmissão ou processamento.

Em um processo de segurança da informação, é importante identificar e classificar os ativos da organização, a fim de se aumentar o controle sobre eles e possibilitar a priorização de investimentos nos ativos mais críticos.

Faz parte da gestão de ativos:

Uma organização deseja garantir que:
− apenas usuários autorizados tenham acesso aos recursos; − os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas; − o acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas; − os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades.
Para isso, a organização deve implantar

Visando aumentar a segurança das informações, um Analista propôs a utilização dos seguintes mecanismos de proteção lógica, gerenciamento de acesso e proteção física:

I. contempla antivírus, filtros de pacotes, controle de acesso wireless, suporte à Virtual Private Network (VPN) e controle de intrusões na rede, chegando a gerar relatórios com diagnóstico de possíveis ameaças lógicas às quais o centro de dados possa estar vulnerável.

II. submete o usuário a mecanismos de autenticação combinados, pertencentes pelo menos às categorias: conhecimento (something you know), possessão (something you have) e herança (something you are).

III. visa fornecer energia para todos os equipamentos, sendo composto por conjuntos de nobreaks, baterias, inversores e retificadores. Os nobreaks redundantes irão assegurar o suprimento contínuo de energia, mesmo em caso de falha de transformadores ou falta de energia elétrica e as baterias são dimensionadas para garantir uma autonomia por um período mínimo de tempo.

Os mecanismos I, II e III se referem, correta e respectivamente, a

Em relação à norma ABNT NBR ISO/IEC 17799:2005, a ação de remover imediatamente ou de bloquear direitos de acesso de usuários que mudaram de cargos ou funções ou deixaram a organização é um procedimento de

Assinale a opção que apresenta somente software de detecção e/ou prevenção de intrusos.