Questões de Concurso Sobre políticas de segurança de informação em segurança da informação

A Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ) tem o objetivo de aprimorar o nível de maturidade em segurança cibernética nos órgãos do Poder Judiciário.

Conforme estabelecido na ENSEC-PJ, é um objetivo da Rede de Cooperação do Judiciário na área de segurança cibernética:

Algumas das razões que justificam que uma organização autorize o desenvolvimento e implantação de políticas e normas de segurança da informação são:

Com relação aos princípios fundamentais de segurança de Informação que devem ser assegurados por um gestor de segurança de uma corporação, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) Um programa de segurança pode ter diversos objetivos, seus princípios são referenciados sob a forma de um triângulo no qual os vértices representam a completude, a integridade e a disponibilidade de dados.
( ) A completude se refere ao limite em termos de quem pode obter que tipo de informação do sistema dentre do escopo da organização.
( ) A integridade se refere a ser correto e consistente com o estado ou informação pretendida, modificação não autorizadas (deliberadas ou acidentais), representam violações de integridade.

As afirmativas são, respectivamente,

Na era digital, onde a informação é um dos ativos mais valiosos, a implementação de uma política de segurança da informação é crucial para proteger os dados sensíveis e garantir a confiança de clientes e parceiros. Quando se trata de desenvolver uma política de segurança da informação, é recomendável ter em mente alguns conceitos: 
I. Toda informação deve ser mantida na sua condição original, tal como fornecida pelo seu proprietário, com o objetivo de protegê-la contra quaisquer alterações indevidas, sejam elas intencionais ou acidentais.
II. É fundamental registrar tanto o acesso quanto o uso da informação, permitindo a identificação dos usuários que acessaram e as ações realizadas com os dados.
III. Toda informação deve ser protegida conforme o seu nível de sigilo, com o objetivo de restringir o acesso e o uso apenas às pessoas autorizadas a recebê-la.
As afirmações acima referem-se aos seguintes conceitos, respectivamente. 

Diante da crescente sofisticação dos ataques cibernéticos, especialmente no contexto de ataques de dicionário e força bruta em aplicações WEB, assinale a alternativa que melhor exemplifica uma estratégia avançada para enfrentar com eficácia ataques de dicionário e força bruta em aplicações WEB:

Considerando a complexidade da segurança em aplicações WEB, qual das afirmativas a seguir oferece a justificativa mais precisa para a vitalidade da gestão de patches e atualizações no contexto da segurança de aplicações WEB?

Analise as afirmativas a seguir.

I. As métricas de segurança são estabelecidas a partir de análises qualitativas realizadas sobre os dados relacionados à segurança da informação coletados em diversos departamentos da organização.
II. Métricas de segurança são utilizadas para justificar os investimentos em segurança da informação; podem contribuir para reduzir os riscos ou aprimorar a postura de segurança de uma organização.
III. O processo de cálculo e análise de métricas de segurança deve ser executado de maneira contínua.
IV. Porcentagem de pontos de acesso IEEE 802.11 que utilizam o protocolo WPA2 e porcentagem do tempo em que o servidor está disponível são exemplos de métricas que podem ser utilizadas para avaliar a infraestrutura e serviços.

Está correto o que se afirma apenas em 

Protocolos criptográficos são conjuntos de regras e procedimentos que permitem comunicação segura e protegida entre sistemas de computador por meio do uso de técnicas de criptografia. Tendo em vista os conceitos fundamentais desses protocolos, marque V para as afirmativas verdadeiras e F para as falsas.


( ) O protocolo IPsec é utilizado para estabelecer conexões VPN (Virtual Private Network) para comunicações seguras pela internet.
( ) O protocolo SSH é usado exclusivamente para criptografia de e-mails.
( ) O protocolo PGP é utilizado para criptografia de e-mails e arquivos, assinatura digital e autenticação de identidade.


A sequência está correta em 

Segundo Marcos Sêmola, todo sistema de segurança da informação deve estabelecer alguns princípios no que diz respeito às barreiras no acesso à informação.
Não é uma dessas barreiras:

A norma ABNT NBR ISO/IEC 27005 oferece:

Os princípios básicos da segurança da informação são a confidencialidade, a disponibilidade, a integridade e a irretratabilidade. Quais são técnicas utilizadas para se implementar respectivamente os referidos princípios?

Diante de um cenário em que infraestruturas críticas, como redes hospitalares, são alvo de Ameaças Persistentes Avançadas (APTs) que utilizam técnicas sofisticadas para ganhar acesso e permanecer não detectadas, além de ataques de ransomware que visam à criptografia de dados críticos para extorsão, qual abordagem de segurança cibernética deve ser priorizada para mitigar tais ameaças, garantindo a integridade e a disponibilidade dos sistemas essenciais?

A Resolução CMN nº 4.893, de 26 de fevereiro de 2021, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

BANCO CENTRAL DO BRASIL. Resolução CMN nº 4.893, de 26 de fevereiro de 2021.

Disponível em: https:/www.bcb.gov.br/. Acesso em: 5 ago. 2023.

I. A Resolução se aplica as operações de câmbio no Brasil, estabelecendo diretrizes e requisitos para essa finalidade no território nacional.

II. As instituições abrangidas por essa Resolução devem estabelecer suas políticas de segurança, assegurando confidencialidade, integridade e disponibilidade de dados e de sistemas de informação utilizados.

III. As instituições abrangidas por essa Resolução devem possuir um plano de ação e de resposta a incidentes de segurança cibernética.

IV. As instituições devem nomear uma Comissão Interna, a qual será responsável pela implementação da política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

É correto o que se afirma apenas em

Baseando-se na norma ISO/EIC 27005, na parte de análise e avaliação de risco, é importante verificar os impactos relativos a problemas com a área de sistemas. Na identificação das consequências operacionais de cenários de incidentes, dentre os itens que devem ser vistos, deve-se verificar:

Em uma organização de tecnologia da informação, pretende-se implantar a segurança da informação segundo a Norma ISO/IEC 27002. Um dos pontos dessa norma a ser visto é a parte de Gerenciamento das Operações e Comunicações. Neste caso, para esse item:

A política de segurança é um instrumento importante para proteger a organização contra ameaças à segurança da informação. São fatores importantes para o sucesso da política de segurança da informação, exceto: