Questões de Concurso Sobre segurança da informação

Um Auditor recebeu uma mensagem de e-mail, aparentemente de seu banco, com um link para verificar a existência de uma dívida de cartão de crédito não paga. Preocupado com a situação, clicou no link e forneceu os dados de seu cartão de crédito para pagar a suposta conta. Dias depois percebeu na fatura do seu cartão que foram feitas diversas compras online em sites de comércio eletrônico na Internet. A situação descrita permite concluir que esse Auditor foi vítima de

Determinada organização pretende realizar uma mudança nos seus recursos de tecnologia da informação, criando ambientes diferentes para desenvolvimento, teste e produção de software, o que afetará a segurança da informação.

Considerando o disposto na NBR ISO/IEC 27001, assinale a opção que indica o controle que deve ser aplicado pela organização nessa situação.

Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.

Nessa situação, após os riscos serem listados, deve ser executada a fase de

Em uma organização em que se processam dados pessoais sensíveis, existe a preocupação com o manuseio dos dados pelos empregados, para que não aconteçam vazamentos de dados e exposição indevida de pessoas. Segundo a NBR ISO/IEC 27002, para assegurar que as referidas informações pessoais recebam o nível adequado de proteção, deve-se utilizar como controle

De acordo com a NBR ISO/IEC 27001, é necessário assegurar que as partes externas e os funcionários que estejam ligados à organização entendam suas responsabilidades e fiquem aderentes à conformidade dos papéis para os quais foram selecionados. Nesse contexto, um treinamento de segurança da informação com a finalidade de conscientização deve ser aplicado

À luz da NBR ISO/IEC 27001, assinale a opção que indica o controle que orienta as organizações quanto à asseguração da eficácia da sua política de segurança da informação.

De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é definido na fase

Para proteger a comunicação em uma organização que possui várias redes internas de computadores interligadas entre si e também à Internet contra ações maliciosas no tráfego dos dados, o mecanismo a ser utilizado é o

Após o envio de um email pelo emissor a determinado destinatário, ocorreu uma ação maliciosa e o email foi lido por terceiro.

Nessa situação, a ação maliciosa é do tipo

A política de segurança da informação de uma organização deve ter como objetivo prover

Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na possibilidade de aceitação do ônus da perda ou do benefício do ganho associado a determinado risco é denominada

Julgue os itens a seguir, relativos ao sistema de gestão de segurança da informação (SGSI).

I De acordo com a NBR ISO/IEC 27001, no desenvolvimento e na implantação do SGSI, os riscos devem ser mensurados e considerados unicamente a partir da fase de operação.

II De acordo com a NBR ISO/IEC 27001, na operação de sistemas, a organização deve controlar tanto os processos terceirizados quanto as mudanças no sistema.

III De acordo com a NBR ISO/IEC 27002, para a segurança física e ambiental, deve-se adotar uma política de mesa limpa e tela bloqueada.

Assinale a opção correta.

Os web services evoluíram para integrar aplicativos e fornecer serviços, no entanto apresentam inúmeros riscos de ataques. O ataque que força a reinicialização do sistema, consumindo todos os recursos, é denominado

Com relação a vulnerabilidades e ataques a sistemas computacionais, considere as afirmativas I a IV, a seguir. Quantas delas estão corretas?

I. As vulnerabilidades do tipo buffer overflow são muito exploradas atualmente e podem dar privilégios de administrador para o invasor, rodar códigos maliciosos remotamente e burlar particularidades de cada sistema.

II. O principal objetivo de um ataque de negação de serviço (DDoS) é deixar um recurso computacional inacessível aos seus utilizadores legítimos. Isso é feito criando.

III.Uma vulnerabilidade de segurança permite que sistemas computacionais sejam protegidos contra grandes volumes de tráfego repentino os quais são chamados comumente de rajadas de tráfego.

IV.Ataques de DDoS por inundação se caracterizam por enviarem um grande volume de tráfego ao sistema da vítima primária de modo a congestionar a sua banda. O impacto deste ataque pode variar entre deixar o sistema lento, derrubá-lo ou sobrecarregar a banda da rede da vítima. 

A gestão de riscos envolve a identificação dos riscos que possam afetar o negócio da organização, assim como suas formas de tratamento.

Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma das possíveis formas de tratamento dos riscos é:

De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve programar auditorias internas a fim de verificar a aderência da conformidade do sistema de gestão da segurança da informação aos seus requisitos e à legislação vigente.

Sobre a realização da auditoria interna, é correto afirmar que:

A gestão de continuidade de negócios visa planejar tarefas que impeçam a interrupção das atividades do negócio e protejam os processos críticos contra efeitos de falhas ou desastres significativos, assegurando a recuperação das atividades de acordo com o tempo aceitável definido no plano de continuidade de negócios (PCN).

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, no contexto de gestão de continuidade de negócios, é correto afirmar que os procedimentos:

A Política de Segurança da Informação é o documento de alto nível que divulga as diretrizes de segurança da informação, as quais devem alinhar-se com os objetivos da organização, devendo ser conhecida por todos os funcionários.

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, a política de segurança deve conter:

Esse é um ataque no qual o agressor insere código a ser executado por um cliente em uma aplicação web. O código então será visto por outros usuários, e o software do cliente executa essas instruções.
 

STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução livre.
 

O trecho apresentado refere-se especificamente ao ataque

Esse protocolo [aperto de mão] permite que o servidor e o cliente se autentifiquem e negociem chaves que serão usadas para proteger os dados enviados em um registro TLS.

STALLINGS, W. Cryptography and network security: principles and practice. Londres: Pearson, 2017. Tradução livre.

Acerca das mensagens trocadas no protocolo TLS, assinale a alternativa correta.