Questões de Concurso Sobre segurança da informação

A norma ABNT NBR ISO/IEC 27005:2023 é uma ferramenta fundamental para que as organizações possam identificar, analisar e mitigar os riscos relacionados à segurança da informação.

Em relação ao que estabelece essa norma, assinale a afirmativa correta. 

A política de compliance em TI muitas vezes pode ser confundida com políticas de segurança digital. As duas devem ser tratadas como estratégias complementares nas instituições para promoção de ambiente adequado de operações.

O conjunto de políticas internas e externas, boas práticas e regras da organização denominado compliance deve garantir  

A norma ISO/IEC 27001:2022, que atualizou a versão de 2013, apresenta importantes mudanças no número e classificação dos controles de segurança para aperfeiçoar o Sistema de Gerenciamento de Segurança da Informação (SGSI).

Quanto às características da norma ISO 27001:2022, assinale a afirmativa correta. 

A norma ISO 27001 corresponde a padrão publicado pela International Organization for Standardization (ISO) em parceria com a International Electrotechnical Commission (IEC).  Ela define os requisitos, processos e normas a serem seguidas para garantir uma gestão de segurança da informação eficaz.
Para manutenção e melhoria de qualquer sistema são elementos chave as ações de monitoramento e medição, que envolvem diversas práticas, políticas e procedimentos.

Estas ações de segurança da informação devem observar os seguintes aspectos: 

O IPsec é dos protocolos da camada de rede mais conhecidos e empregados em Redes Virtuais Privadas (VPNs). Relacione as características do IPSEC a suas descrições a seguir.

1. Acordo criptográfico
2. Codificação das cargas úteis do datagrama IP
3. Integridade dos dados
4. Autenticação de origem

(   ) Quando o hospedeiro destinatário recebe um segmento da camada de transporte, o IPsec codifica a carga útil, que pode ser somente decodificada pelo IPsec no hospedeiro destinatário.
(   ) Quando um hospedeiro recebe um datagrama IPsec de uma origem confiável, com uma chave confiável, o hospedeiro está certo de que o endereço IP remetente no datagrama é a verdadeira origem do datagrama.
(   ) Mecanismos que permitem que dois hospedeiros de comunicação concordem nos algoritmos criptográficos e chaves.
(   ) O IPsec permite que o hospedeiro destinatário verifique se os campos do cabeçalho do datagrama e a carga útil codificada não foram modificados enquanto o datagrama estava no caminho da origem ao destino.

Assinale a opção que indica a relação correta, na ordem apresentada. 

A gestão da segurança da informação (GSI) é cada vez mais demandada em organizações pública e privadas.  A ISO 27001  faz parte da família especificações, da qual a ISO/IEC 27000 é a raiz de toda uma série numerada de padrões internacionais para a GSI.

Com relação à ISO 27001, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

I. Como regra geral, as organizações que implementam a ISO 27001 devem estar atentas ao texto dessa norma específica em si, e estarem cientes de quaisquer revisões que nela ocorram. O não cumprimento de revisões ou retificações comprometer uma certificação já existente.

II. Usa a palavra 'deverá' para indicar um requisito, enquanto os outros padrões no uso familiar ‘deveria’ para indicar boas práticas que não são um requisito.

III. Pode ser usada como base para um esquema formal de certificação de sistemas de informação e dispositivos computacionais formando a base para uma avaliação da Segurança da Informação Sistema de Gestão (SGSI) de todo ou parte de uma organização. 

As afirmativas são, respectivamente, 

A recomendação X.509 da ITU-T faz parte da série X.500 de recomendações que definem um serviço de diretório.
Com relação ao X.509, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

I. O núcleo do esquema X.509 é o certificado de chave públicaprivada associada a cada usuário; os certificados dos usuários são considerados como criados por uma autoridade certificadora confiável e são colocados no diretório pela CA ou pelo usuário.
II. É baseado no uso da criptografia baseadas em chaves simétricas e assinaturas digitais; o padrão não dita o uso de um algoritmo específico, mas recomenda o AES; assume-se que o esquema de assinatura digital exija o uso de uma função de hash.
III. É um padrão importante porque a estrutura de certificado e os protocolos de autenticação definidos nele são usados em diversos contextos; por exemplo, o formato de certificado X.509 é usado em S/MIME, IP Security e SSL/TLS. 

As afirmativas são, respectivamente, 

A demanda por segurança é cada vez maior em sistemas e redes.  O protocolo de registro SSL v3 oferece serviços básicos de segurança, confiáveis de ponta a ponta, para vários protocolos de camada superior.

Os dois conceitos importantes abordados pelo  SSL são 

Uma empresa vai dar ênfase a característica de Segurança de Informação, no qual pretende-se garantir que os dados sejam mantidos em segredo, gerenciando e controlando o acesso às informações, evitando-se o compartilhamento não autorizado de dados. Essa caraterística é conhecida como:

Um técnico de computação de uma empresa de TI foi contratado para instalar um AntiSpam na rede de uma loja. Ele deve acautelar-se para que esse AntiSpam possa:

Um administrador de rede deseja adquirir um sistema de backup que implemente uma política de backup incremental, isso significa que esse sistema vai: 

Um usuário de computador pretende adquirir uma certificação digital, cujo certificado prescinde de ter um dispositivo, token ou smartcard, no qual ele é armazenado, podendo ter validade de um, dois ou três anos. Essa certificação digital é conhecida como: 

Sobre as cópias de segurança (backups), é correto afirmar que

Considere os seguintes tipos de ataque de hackers e considere as seguintes descrições:

(1) Phising 

(2) Ransomware

(3) Man-in-the-Middle (MitM) 

(4) Ataque de Negação de Serviço (DDoS)

( ) Interceptação de comunicações entre duas partes sem o conhecimento delas.

( ) Sobrecarga intencional de um serviço online para torná-lo inacessível.

( ) Estratégia que envolve enganar os usuários para revelar informações confidenciais, frequentemente através de e-mails falsos.

( ) Ataque que envolve o sequestro de dados ou sistemas, com a demanda de pagamento de resgate para sua liberação.

Assinale a alternativa que contém a ordem CORRETA de associação.

Assinale a alternativa que não apresenta uma prática que contribui para a segurança ao abrir e-mails, especialmente quando contêm anexos ou links.

Por que a auditoria de contas de usuário é uma prática importante na administração de sistemas?