Questões de Segurança da Informação para Concurso

Analisando as estratégias de backup, pode-se afirmar que, em algumas delas, o atributo de arquivo é desmarcado.

Assinale a alternativa que apresenta os tipos de backup em que isso acontece.

Um exemplo de tipo de ataque a uma aplicação Web é baseado na inclusão de código malicioso no servidor, onde as requisições realizadas pelos usuários são respondidas utilizando fontes de dados não confiáveis. Exemplos de consequências desse tipo de ataque podem ser: o encaminhamento do usuário a um site malicioso; roubo da sessão de usuário etc. Nesse cenário, marque o item que corresponde à vulnerabilidade abordada.

Suponha que um Auditor Fiscal da área de Tecnologia da Informação tenha sido vítima de um cracker que invadiu seu computador e furtou dados importantes. Pode ter contribuído para o ocorrido, o fato de o Auditor

Um Auditor Fiscal da área de Tecnologia da Informação fez um backup completo de dados da organização, efetuado na noite de segunda-feira. Nas noites posteriores à segunda-feira foi efetuado um backup cumulativo (ou diferencial). Na terça-feira, o arquivo 4 foi acrescentado e nenhum dado foi modificado desde o backup completo. Na quarta-feira, o arquivo 5 foi acrescentado, e na quinta-feira, o arquivo 6 foi acrescentado. Na manhã de sexta-feira, houve a corrupção de dados, exigindo a restauração dos dados utilizando as cópias de backup. Nestas condições, o Auditor deverá restaurar

Um Auditor Fiscal da área de Tecnologia da Informação foi incumbido de identificar quais unidades, operações e processos de negócios são essenciais para a sobrevivência da organização e avaliar os impactos financeiros, operacionais e de serviços de uma interrupção nesses processos. Deverá, inicialmente, avaliar as áreas funcionais selecionadas para determinar a resistência da infraestrutura para suportar a disponibilidade de informações. Ao final, deverá construir um relatório detalhando os possíveis incidentes e seus impactos (dinheiro ou tempo) nas funções de negócios. Com base nestes impactos potenciais associados à inatividade, a organização irá priorizar e implementar contramedidas para diminuir os riscos de tais interrupções e detalhar estas contramedidas no Plano de Continuidade de Negócio. O trabalho que o Auditor executou constitui o que é chamado de

Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:

- um Auditor Tributário não estava usando crachá;

- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;

- um curto-circuito ocorreu no estabilizador naquela tarde;

- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;

- a chave da sala de servidores havia sumido;

- faltou energia na sala da cobertura do prédio ontem;

- o alarme de detecção de intrusos estava quebrado.

Essa lista

Um Auditor recebeu uma mensagem de e-mail, aparentemente de seu banco, com um link para verificar a existência de uma dívida de cartão de crédito não paga. Preocupado com a situação, clicou no link e forneceu os dados de seu cartão de crédito para pagar a suposta conta. Dias depois percebeu na fatura do seu cartão que foram feitas diversas compras online em sites de comércio eletrônico na Internet. A situação descrita permite concluir que esse Auditor foi vítima de

Sobre criptografia simétrica e assimétrica, considere as afirmações a seguir:

I- Na criptografia simétrica, a mesma chave é usada para criptografar e descriptografar.

II- Na criptografia assimétrica, há chaves diferentes para criptografar e descriptografar.

III- Algoritmos como DES, 3DES, AES e RC4 são de criptografia simétrica.

Está CORRETO o que se afirma em

Determinada organização pretende realizar uma mudança nos seus recursos de tecnologia da informação, criando ambientes diferentes para desenvolvimento, teste e produção de software, o que afetará a segurança da informação.

Considerando o disposto na NBR ISO/IEC 27001, assinale a opção que indica o controle que deve ser aplicado pela organização nessa situação.

Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.

Nessa situação, após os riscos serem listados, deve ser executada a fase de

Em uma organização em que se processam dados pessoais sensíveis, existe a preocupação com o manuseio dos dados pelos empregados, para que não aconteçam vazamentos de dados e exposição indevida de pessoas. Segundo a NBR ISO/IEC 27002, para assegurar que as referidas informações pessoais recebam o nível adequado de proteção, deve-se utilizar como controle

De acordo com a NBR ISO/IEC 27001, é necessário assegurar que as partes externas e os funcionários que estejam ligados à organização entendam suas responsabilidades e fiquem aderentes à conformidade dos papéis para os quais foram selecionados. Nesse contexto, um treinamento de segurança da informação com a finalidade de conscientização deve ser aplicado

À luz da NBR ISO/IEC 27001, assinale a opção que indica o controle que orienta as organizações quanto à asseguração da eficácia da sua política de segurança da informação.

De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é definido na fase

Para proteger a comunicação em uma organização que possui várias redes internas de computadores interligadas entre si e também à Internet contra ações maliciosas no tráfego dos dados, o mecanismo a ser utilizado é o

Após o envio de um email pelo emissor a determinado destinatário, ocorreu uma ação maliciosa e o email foi lido por terceiro.

Nessa situação, a ação maliciosa é do tipo

Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na possibilidade de aceitação do ônus da perda ou do benefício do ganho associado a determinado risco é denominada

Julgue os itens a seguir, relativos ao sistema de gestão de segurança da informação (SGSI).

I De acordo com a NBR ISO/IEC 27001, no desenvolvimento e na implantação do SGSI, os riscos devem ser mensurados e considerados unicamente a partir da fase de operação.

II De acordo com a NBR ISO/IEC 27001, na operação de sistemas, a organização deve controlar tanto os processos terceirizados quanto as mudanças no sistema.

III De acordo com a NBR ISO/IEC 27002, para a segurança física e ambiental, deve-se adotar uma política de mesa limpa e tela bloqueada.

Assinale a opção correta.

Os web services evoluíram para integrar aplicativos e fornecer serviços, no entanto apresentam inúmeros riscos de ataques. O ataque que força a reinicialização do sistema, consumindo todos os recursos, é denominado

A gestão de riscos envolve a identificação dos riscos que possam afetar o negócio da organização, assim como suas formas de tratamento.

Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma das possíveis formas de tratamento dos riscos é: