Questões de Segurança da Informação para Concurso

A norma NBR ISO/IEC 27002:2013 estabelece os controles de segurança que formam o código de prática para a gestão da segurança da informação.

Um dos objetivos do controle de segurança física e do ambiente é

A autenticação é um requisito essencial para proteger o acesso aos recursos existentes em um ambiente computacional. Quando organizações distintas possuem uma relação de confiança, uma autoridade de autenticação local pode aceitar credenciais estrangeiras que são validadas por uma autoridade de autenticação estrangeira.

Essa infraestrutura de autenticação e autorização (IAA) adota a técnica conhecida como

O cliente C precisa enviar a chave secreta K para o servidor S.

Para fazer o controle de integridade, autenticidade e sigilo de K, o cliente C deve gerar a sua assinatura digital para K (AD_K) e, depois, deve criptografar K e AD_K com a chave

A Autoridade Certificadora (AC) emitiu um certificado digital padrão X.509 para o servidor S.

Dentre as informações essenciais presentes nesse certificado, tem-se a chave

Assinale a opção que corresponde ao algoritmo criptográfico conceitualmente menos resistente a ataques de força bruta.

Sobre conceitos básicos de segurança, analise as proposições a seguir.

I. Chaves privadas são utilizadas para criptografar dados, enquanto chaves públicas são utilizadas para descriptografá-los.

II. RSA (Rivest–Shamir–Adleman) e AES (Advanced Encryption Standard) são dois exemplos de algoritmos/padrões de criptografia.

III. Um documento assinado digitalmente possui um conjunto de informações criptografadas adicionadas a ele para conferir segurança e integridade.

IV. Para evitar o monitoramento e rastreamento de informações que trafegam pela internet, como senhas, muitos servidores utilizam o protocolo HTTP para criptografar os dados trocados entre eles e seus clientes.

Estão CORRETAS, apenas, as proposições

Os malwares executam ações danosas, programadas e desenvolvidas para esse fim em um computador. Abaixo, apresentam-se diversas formas de infectar ou comprometer um computador através de códigos maliciosos, exceto

Com relação ao uso de Certificados Digitais e Assinaturas Digitais, assinale a alternativa CORRETA.

Na política de backup do servidor de arquivos do Campus Barreiros, ficou estabelecido que as cópias de segurança devem ser efetuadas com a maior rapidez possível, provendo a melhor economia de espaço e possibilitando o registro de diferentes versões de arquivos/diretórios. Para atender esses requisitos, o técnico em TI do campus deverá configurar um backup do tipo

Considerando-se o que dispõe a ISO 27005 sobre as diretrizes para a implementação quando da abordagem sobre a transferência de risco, analisar os itens abaixo:

I - A transferência do risco jamais criará novos riscos ou modificará riscos existentes e já identificados.

II - A transferência do risco envolve a decisão de se compartilhar certos riscos com entidades externas.

III - A transferência pode ser feita por um seguro que cubra as consequências ou através da subcontratação de um parceiro cujo papel seria o de monitorar o sistema de informação e tomar medidas imediatas que impeçam um ataque antes que ele possa causar um determinado nível de dano ou prejuízo.

Está(ão) CORRETO(S):

Baseando-se na ISO 27005, em relação ao processo de gestão de risco de segurança da informação, analisar a sentença abaixo:

Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e ajudar a reduzir possíveis prejuízos (1ª parte). A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre a análise/avaliação de riscos e sobre o tratamento do risco, sejam documentados (2ª parte). Em um processo de gestão de risco de segurança da informação, primeiramente, deve-se estabelecer o contexto. Em seguida, executa-se uma análise/avaliação de riscos. Se ela fornecer informações suficientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento de risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração da análise/avaliação de risco, revisando-se o contexto (por exemplo, os critérios de avaliação de risco, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (3ª parte).

A sentença está:

Segundo as definições da ISO 27005, a análise/avaliação de riscos de segurança da informação, entre outros:

I - Determina o valor dos ativos de informação.

II - Identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir).

III - Identifica os controles existentes e seus efeitos no risco identificado.

IV - Determina as consequências passíveis, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto.

Estão CORRETOS:

Além dos fatores envolvidos na garantia de autoria, acesso e integridade do arquivo durante o processo de autenticação, há quatro esquemas de autenticação digital:

I. permite ao usuário acesso direto aos serviços de autenticação, possibilitando o acesso aos serviços específicos que precisa. A principal característica dessa configuração consiste na unificação das informações disponíveis no sistema de dados.

II. nesse esquema, o aplicativo mantém os dados que pertencem às credenciais do usuário. Essas informações geralmente não são compartilhadas com outros aplicativos. Esse é um esquema de alto risco devido à possibilidade de que a área de armazenamento de senhas seja comprometida.

III. é o esquema mais seguro, ideal para o uso do governo porque permite uma ampla gama de serviços. Usa um único mecanismo de autenticação envolvendo um mínimo de dois fatores para permitir o acesso aos serviços necessários e a capacidade de assinar documentos.

IV. esse esquema permite que cada usuário use as mesmas credenciais para acessar vários serviços. Cada aplicativo é diferente e deve ser projetado com interfaces com a capacidade de interagir com um sistema central para fornecer com êxito a autenticação para o usuário. Isso permite que o usuário acesse informações importantes e possa acessar chaves privadas que permitirão que ele assine documentos eletronicamente.

O esquema

Para que o usuário possa assinar documentos será necessário que esteja instalada no seu computador a cadeia de certificação. O uso de certificação digital é obrigatório no Processo Judicial Eletrônico − PJe. Para ler o certificado será necessária a instalação de uma leitora para leitura do dispositivo para fazer a autenticação do usuário. [...].

Outra forma de teste do funcionamento do certificado digital é o site da Receita Federal do Brasil – RFB, que utiliza um determinado sistema. Também poderá ser feito o teste através do programa responsável pela administração do seu certificado digital (normalmente, vem junto com o certificado digital ou pode ser baixado da Internet). É através dele que o Windows gerencia sua leitora, acessando o seu certificado digital quando este for requisitado pelo sistema PJe.

O certificado digital funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável ou Autoridade Certificadora (AC) que associa o usuário a um tipo de criptografia.

(Disponível em: https://pje.tjma.jus.br/pje/informacoes.seam)

Com base na notícia acima, um Analista Judiciário conclui que a cadeia de certificação, o dispositivo, o sistema da RFB e o tipo de criptografia mencionados são, correta e respectivamente,

A tabela abaixo indica a forma de propagação de 5 malwares.

De acordo com a tabela, os tipos de malwares numerados de I a V são, correta e respectivamente,

Um dos conceitos fundamentais da tecnologia do IPSec é uma SA – Security Association, que trata diretamente de uma conexão que viabiliza o tráfego de serviços seguros. Cada Security Association é identificada por três parâmetros:

I. é um número que identifica uma SA relacionado a um protocolo de segurança.

II. pode ser unicast, broadcast ou ainda multicast. No entanto, para a definição dos mecanismos de gerenciamento de SA, o IPSec assume um endereço de destino unicast, estendendo, assim, as definições para os casos de broadcast e multicast.

III. corresponde ao número 51 para o primeiro e o 50 para o segundo.

Os itens I, II e III representam, correta e respectivamente,

O Secure Sockets Layer (SSL) e o seu sucessor Transport Layer Security (TLS) têm o objetivo de proteger a comunicação realizada pelos serviços na Internet. Considerando a arquitetura do conjunto de protocolos TCP/ IP, o SSL/TLS pertencem à camada de

No processo de Assinatura Digital, a função hash é utilizada para

Apesar dos benefícios do Logon Único (Single Sign-On), ele representa um relaxamento na segurança, pois

Um usuário mal-intencionado enviou um e-mail para o diretor de uma empresa, muito semelhante aos enviados pelo banco, com o intuito de coletar informações pessoais. Esse tipo comum de ataque é conhecido como