Questões de Segurança da Informação para Concurso

RSA, DSA e ECC

Diffie-Hellman, RC4 e 3DES

AES, IDEA e RSA

IDEA, Diffie-Hellman e RC4

BIowfish, DAS e RSA

receber apoio por parte da administração superior.

haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada.

realizar-se a atualização esporádica da política, deforma a refletir as mudanças na organização.

ser conhecida por todos os usuários da organização e esses devem manifestar sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais.

A valoração dos ativos pode ser determinada de duas maneiras: pela valoração da reposição do ativo e as consequências ao negócio relacionadas à perda ou pelo comprometimento do ativo.

A análise de riscos qualitativa é realizada com valores numéricos, de preferência com dados históricos de incidentes.

A análise qualitativa de riscos depende da exatidão e da integridade dos dados.

Uma das etapas da análise de riscos é a análise das consequências. Nessa fase, é importante analisar, de forma quantitativa, as consequências.

Na avaliação de probabilidade, designam-se valores para a probabilidade e para as consequências de um risco.

A norma estabelece uma escala de aceitação de riscos, que deve ser seguida pelas organizações.

Os critérios de aceitação de risco não podem ser diferenciados pelo tempo de existência do risco, apenas pelo valor do impacto do evento.

Os critérios de aceitação de risco devem ser expressos como razão entre o lucro e o risco estimado.

É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.

Os critérios de aceitação de risco são independentes das políticas e das metas da organização, vinculando-se a fatores financeiros, sociais e de reputação.

sejam considerados os controles de acesso físico e lógico separadamente.

a segregação do controle de acesso seja tratada à parte.

o controle de acesso à rede sem fio seja sempre distinto do controle de acesso à rede cabeada.

o controle de acesso a sistemas seja tratado de modo isolado, no qual cada sistema tenha a própria forma de controle e que, por ocasião de invasão, seja comprometido apenas um sistema.

a política de controle de acesso seja norteada pelos princípios “necessidade de conhecer” e “necessidade de uso”.

inventário de ativos, proprietário dos ativos e tratamento dos ativos.

inventário de ativos e tratamento dos ativos e das mídias.

responsabilidade pelos ativos, uso aceitável dos ativos e classificação da informação.

responsabilidade pelos ativos, classificação da Informação e gerenciamento das mídias.

responsabilidade pelos ativos, classificação da Informação e tratamento das mídias.

A PSI de uma empresa não pode proibir o acesso remoto utilizando equipamentos particulares.

A organização pode e deve definir quais softwares não podem ser instalados nas máquinas dos usuários.

A PSI pode definir diretrizes de acesso para o acesso remoto utilizando equipamentos particulares diferentes do acesso com equipamentos de propriedade da organização.

A PSI não pode estabelecer critérios de segurança física dos ambientes remotos.

Por questões legais, uma PSI não pode estabelecer regras quanto ao acesso de familiares ao equipamento ou à informação.

Cada controle apresenta uma declaração de escopo e informações adicionais.

As diretrizes de implementação devem ser definidas de forma que atendam por completo o objetivo de controle da organização.

A descrição de um controle é dada pelo escopo e pelo objetivo do controle.

Para se alcançar um objetivo de controle, podem ser aplicados um ou mais controles.

As diretrizes de implementação são definidas pela declaração específica do controle e pelo objetivo do controle.

No tratamento do risco, é possível admitir mais de uma opção de tratamento para um risco.

Para cada risco há uma forma de tratamento, não admitindo que um tratamento sirva a mais de um risco.

Na retenção do risco, convém que ele seja gerenciado pela inclusão, exclusão ou alteração dos controles, para que o risco seja considerado aceitável.

Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco excederem os benefícios, pode-se modificar o risco.

Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco excederem os benefícios, deve-se reter o risco e modificá-lo.

Recomenda-se sempre utilizar filtros de palavras para evitar conteúdo malicioso.

Filtros de IP garantem que conteúdo malicioso, vindo de determinado endereço, não adentrem o sistema, liberando o tráfego comum desse endereço.

A única forma de acertar todas as regras possíveis de anti-spam é o uso de machine learning.

Existem serviços, servidores ou contas de assinatura conhecida previamente incluídos em todas as aplicações de anti-spam.

Filtros de links identificam URLs maliciosas, evitando o redirecionamento para sites que possam roubar informações ou realizar o download de malware.

Verificar se a URL é registrada em domínio público.

Verificar se as assinaturas foram verificadas com sucesso ao longo da cadeia de certificação.

Analisar se o site utiliza somente certificados autoassinados.

Verificar se o certificado possui validade máxima de cinco anos.

Garantir que o site utiliza certificados gerados via Let's Encrypt.