Questões de Segurança da Informação para Concurso

A figura a seguir mostra uma representação visual de como os métodos criptográficos estão classificados, sendo divididos entre métodos clássicos e modernos.



Fonte: SINGH (2013).

A respeito dos métodos de criptografia é correto afirmar, EXCETO: 

Para criptografar uma informa o podem ser utilizados dois métodos baseado em códigos e baseado em cifras E PEREIRA; CHIARAMONTE, 2005). A respeito do método baseado em códigos é CORRETO afirmar:

Considere a seguinte figura que ilustra o m dulo cryptography do Python que disponibiliza dois esquemas de padding (AES): PKCS e ANSI X.923 e avalie as afirmações seguintes.



Fonte: https://edisciplinas.usp.br/

I. The Public-Key Cryptography Standards (PKCS) compreende um grupo de padrões criptográficos que fornecem diretrizes e interfaces de programação de aplicativos (APIs) para o uso de métodos criptográficos.
II. AES significa Advanced Encryption Standard e consiste de um algoritmo de criptografia simétrica popularmente usado, estabelecido pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) em 2001. O AES é apresentado como sucessor do então popular, mas antigo, algoritmo Data Encryption Standard (DES).
III. ANSI X9.23 define um aprimoramento no modo básico de encadeamento de blocos de criptografia (CBC) do ANSI X3.106 para que o sistema possa processar dados com um comprimento que não seja um múltiplo exato de oito bytes.

Está(ão) correta(s) a(s) afirmativa(s):

O que é a revogação de um certificado digital? 

Quais são as principais vantagens do uso de certificados digitais em transação online? 

O que é um phising? 

Dentro das práticas de segurança cibernética, uma técnica crucial é a codificação de informações para torná-las ilegíveis para indivíduos não autorizados. Essa técnica pode ser realizada de duas maneiras: usando uma chave única para codificação e decodificação (simétrica) ou usando chaves diferentes para essas operações (assimétrica). Qual das seguintes opções representa CORRETAMENTE a técnica de segurança descrita?

Uma das formas de prevenir malwares é por meio da utilização de programas de antivírus atualizados para escanear, identificar e remover ameaças de malware de sistemas e redes. Assinalar a alternativa que apresenta dois softwares antivírus que podem ser utilizados para tal finalidade. 

[Questão inédita] A gestão da segurança da informação (GSI) é cada vez mais demandada em organizações públicas e privadas, pois ela assegura a implementação eficiente e eficaz dos processos de segurança. Os controles definidos pela ISO/IEC 27002 ESTÃO NAS ALTERNATIVAS ABAIXO, exceto um. Aponte aquele que não é controle da referida ISO:

A ISO/IEC 27017:2015 traz controles de segurança da informação com base na ISO/IEC 27002 para serviços em nuvem.
Com relação a administração de serviços na nuvem, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) A ISO 27017 fornece controles e orientações de implementação somente para provedores de serviços de nuvem.
( ) Clientes de serviços de nuvem podem obter informações práticas da ISO 27017 sobre o que devem esperar dos provedores de serviços de nuvem, possibilitando que entendam as responsabilidades compartilhadas na nuvem.
( ) O padrão proposto na ISO 27017 fornece orientações sobre 37 controles na ISO/IEC 27002 e apresenta controles novos que não estão duplicados na ISO/IEC 27002.

As afirmativas são, respectivamente,

A fraude na Internet que usa softwares maliciosos nos quais as vítimas recebem e-mails ou mensagens eletrônicas instantâneas pedindo para verificar ou confirmar uma conta junto a um banco ou provedor de serviços se denomina

Com relação aos princípios fundamentais de segurança de Informação que devem ser assegurados por um gestor de segurança de uma corporação, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) Um programa de segurança pode ter diversos objetivos, seus princípios são referenciados sob a forma de um triângulo no qual os vértices representam a completude, a integridade e a disponibilidade de dados.
( ) A completude se refere ao limite em termos de quem pode obter que tipo de informação do sistema dentre do escopo da organização.
( ) A integridade se refere a ser correto e consistente com o estado ou informação pretendida, modificação não autorizadas (deliberadas ou acidentais), representam violações de integridade.

As afirmativas são, respectivamente,

No que diz respeito aos códigos maliciosos, assinale a alternativa correta.

Considere as afirmações abaixo e, em seguida, assinale a alternativa que indica quais são as verdadeiras.


I. Um sistema de detecção de intrusão passivo é projetado para detectar ameaças e informar ao administrador da rede sobre a atividade maliciosa detectada.


II. O sistema de prevenção de intrusão representa o comportamento de um sistema de detecção de intrusão ativo.


III. O sistema de detecção de intrusão é projetado com o objetivo de bloquear automaticamente a atividade maliciosa, seja por configuração de firewalls e comutadores ou outras técnicas, como encerramento de conexão via envio de pacotes reset.

Em relação à segurança da informação, é correto afirmar que X.509 é um padrão para:

Os elementos de suporte descritos na norma IEC27001:2013 da Organização Internacional de Normalização (ISO) são:

A ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)

Com relação à Gestão de Risco, em conformidade com a norma ABNT NBR ISO/IEC 27005:2011, analise os itens a seguir.

I. O risco é o efeito da incerteza nos objetivos, sendo muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

II. O risco residual (ou "risco retido") se refere ao risco remanescente após o tratamento de eventos sucessivos.

III. O nível de risco se relaciona a magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades (likelihood)

Está correto o que se afirma em

A norma ABNT NBR ISO/IEC 27002:2013 estabelece um código de prática para controles de segurança. Ela fornece diretrizes para prática de gestão de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento dos controles levando em consideração os ambientes de risco da segurança da informação da organização.

Relacione os termos de segurança da informação a seguir, às suas respectivas definições.

1. Segurança da informação

2. Incidente de segurança de informação

3. Evento de segurança de informação

4. Risco

( ) Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

( ) Ocorrência que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação e que pode ser identificada em um sistema, serviço ou rede.

( ) Ocorrência(s) indesejada(s) ou inesperada(s) que tem grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

( ) Combinação da probabilidade de um evento e de suas consequências.

Assinale a opção que indica a relação correta, segundo a ordem apresentada. 

 

Na era digital, onde a informação é um dos ativos mais valiosos, a implementação de uma política de segurança da informação é crucial para proteger os dados sensíveis e garantir a confiança de clientes e parceiros. Quando se trata de desenvolver uma política de segurança da informação, é recomendável ter em mente alguns conceitos: 
I. Toda informação deve ser mantida na sua condição original, tal como fornecida pelo seu proprietário, com o objetivo de protegê-la contra quaisquer alterações indevidas, sejam elas intencionais ou acidentais.
II. É fundamental registrar tanto o acesso quanto o uso da informação, permitindo a identificação dos usuários que acessaram e as ações realizadas com os dados.
III. Toda informação deve ser protegida conforme o seu nível de sigilo, com o objetivo de restringir o acesso e o uso apenas às pessoas autorizadas a recebê-la.
As afirmações acima referem-se aos seguintes conceitos, respectivamente. 

Dada a importância crucial dos planos de contingência para sustentar a resiliência operacional de uma organização, torna-se imperativo uma análise detalhada desse assunto.

Nesse sentido, assinale a afirmativa correta.