Questões de Concurso Público MEC 2015 para Analista de Segurança

Foram encontradas 43 questões

Q589361 Segurança da Informação
    A equipe de analistas apresentou um plano de segurança da informação a um dos mais tradicionais e capilarizados ministérios do Brasil, desenvolvido após um extenso trabalho de pesquisa, ao longo de alguns meses. O documento, que aborda um grande número de tópicos sobre segurança da informação no ministério, contém análises, diagnósticos, problemas, soluções possíveis e propostas, organizados na forma de capítulos. Alguns dos capítulos são listados a seguir.

-Conceitos de segurança da informação
-Proposta de política de segurança
-Classificação de informações
-Auditoria e conformidade
-Controle de acessos físicos e lógicos
-Indicadores e métricas
-Gestão de vulnerabilidades
-Gestão de riscos
-Criptografia
-Gestão de continuidade de negócio
-Terceirização de atividades ligadas à segurança da informação
-Segurança em bancos de dados
-Segurança no desenvolvimento de aplicações web
-Segurança em redes de computadores
-Resposta a incidentes computacionais em redes

    O plano também contém um capítulo de revisão de normas brasileiras de segurança da informação, da série NBR da ABNT, tais como NBR 27001, NBR 27002 e NBR 27005.

    Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.

Tendo como referência a situação hipotética apresentada, julgue o item a seguir, acerca de conceitos de segurança da informação possivelmente articulados no plano.
Os procedimentos de auditoria interna de segurança da informação precisam levar em consideração não só os requisitos normatizados em normas aplicáveis como a NBR 27001:2006, mas também a legislação aplicável e existente sobre o tema, no âmbito da administração pública federal.
Alternativas
Q589362 Segurança da Informação
    A equipe de analistas apresentou um plano de segurança da informação a um dos mais tradicionais e capilarizados ministérios do Brasil, desenvolvido após um extenso trabalho de pesquisa, ao longo de alguns meses. O documento, que aborda um grande número de tópicos sobre segurança da informação no ministério, contém análises, diagnósticos, problemas, soluções possíveis e propostas, organizados na forma de capítulos. Alguns dos capítulos são listados a seguir.

-Conceitos de segurança da informação
-Proposta de política de segurança
-Classificação de informações
-Auditoria e conformidade
-Controle de acessos físicos e lógicos
-Indicadores e métricas
-Gestão de vulnerabilidades
-Gestão de riscos
-Criptografia
-Gestão de continuidade de negócio
-Terceirização de atividades ligadas à segurança da informação
-Segurança em bancos de dados
-Segurança no desenvolvimento de aplicações web
-Segurança em redes de computadores
-Resposta a incidentes computacionais em redes

    O plano também contém um capítulo de revisão de normas brasileiras de segurança da informação, da série NBR da ABNT, tais como NBR 27001, NBR 27002 e NBR 27005.

    Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.

Tendo como referência a situação hipotética apresentada, julgue o item a seguir, acerca de conceitos de segurança da informação possivelmente articulados no plano.
Os procedimentos de produção de métricas e indicadores de gestão de segurança da informação devem ser mais bem orientados pelo conjunto de prescrições encontradas na norma NBR 27005, de gestão de riscos de segurança da informação, que pelos processos descritos na norma NBR 27001.
Alternativas
Q589363 Segurança da Informação
    A equipe de analistas apresentou um plano de segurança da informação a um dos mais tradicionais e capilarizados ministérios do Brasil, desenvolvido após um extenso trabalho de pesquisa, ao longo de alguns meses. O documento, que aborda um grande número de tópicos sobre segurança da informação no ministério, contém análises, diagnósticos, problemas, soluções possíveis e propostas, organizados na forma de capítulos. Alguns dos capítulos são listados a seguir.

-Conceitos de segurança da informação
-Proposta de política de segurança
-Classificação de informações
-Auditoria e conformidade
-Controle de acessos físicos e lógicos
-Indicadores e métricas
-Gestão de vulnerabilidades
-Gestão de riscos
-Criptografia
-Gestão de continuidade de negócio
-Terceirização de atividades ligadas à segurança da informação
-Segurança em bancos de dados
-Segurança no desenvolvimento de aplicações web
-Segurança em redes de computadores
-Resposta a incidentes computacionais em redes

    O plano também contém um capítulo de revisão de normas brasileiras de segurança da informação, da série NBR da ABNT, tais como NBR 27001, NBR 27002 e NBR 27005.

    Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.

Tendo como referência a situação hipotética apresentada, julgue o item a seguir, acerca de conceitos de segurança da informação possivelmente articulados no plano.
Os procedimentos de classificação da informação quanto ao sigilo não podem ser concluídos sem que sejam investigados os riscos à perda de confidencialidade, integridade e disponibilidade da informação.
Alternativas
Q589364 Segurança da Informação
Acerca de problemas e soluções possivelmente presentes no capítulo sobre políticas de segurança da informação, julgue o próximo item.
A fim de ampliar o acesso a fontes de informação para detecção de vulnerabilidades organizacionais, a política de segurança da informação proposta deve evidenciar a importância dos resultados de testes de auditoria.
Alternativas
Q589365 Segurança da Informação
Acerca de problemas e soluções possivelmente presentes no capítulo sobre políticas de segurança da informação, julgue o próximo item.

No controle de acessos, tanto físico quanto lógico, às instalações prediais e aos sistemas de computação do ministério, deve ser considerado o uso de autenticação por múltiplos fatores, pois esse é procedimento descrito na norma NBR 27001, no seu guia de implementação de vários controles, entre eles os relacionados ao objetivo Controle de Acesso à Rede.
Alternativas
Q589366 Segurança da Informação
Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério. 
A prescrição para banimento do uso da função MD5, em favor da adoção de SHA-1, pode ser recomendada, especialmente porque a facilidade de produção de ataques de colisão em sistemas que usam MD5 tornaria mais simples a implementação de ataques de dicionário em sistemas de armazenamento de senhas criptografadas nos bancos de dados de autenticação de usuários do ministério.
Alternativas
Q589367 Segurança da Informação
Julgue o item a seguir, considerando que o capítulo sobre criptografia contenha problemas e sugestões para o uso de criptografia simétrica, criptografia assimétrica e funções hash, na plataforma de sistemas de computação do ministério. 
Em comunicações seguras com os cidadãos que são afetados pelas políticas públicas conduzidas pelo ministério, efetuadas predominantemente com o uso de navegadores e servidores web, devem ser adotados sistemas criptográficos assimétricos, de chave pública, mas não sistemas criptográficos simétricos, pois esses últimos exigiriam que os cidadãos tivessem prévio acesso às chaves criptográficas dos sítios do ministério, ou que o ministério tivesse acesso prévio às chaves criptográficas dos cidadãos, sendo esses acessos inviáveis na prática. Política inversa deve ser adotada internamente ao ministério, com a adoção de sistemas criptográficos simétricos.
Alternativas
Q589368 Segurança da Informação
Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
Para o planejamento da gestão de riscos no ministério, é recomendável a adoção inicial de uma metodologia de riscos quantitativa, em detrimento de metodologia qualitativa, tendo em vista a pouca disponibilidade de registros históricos de incidentes.
Alternativas
Q589369 Segurança da Informação
Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
O estudo das ameaças à segurança da informação será mais efetivo se forem previamente identificados os ativos de informação mais relevantes para o ministério, que são os ativos ligados ao funcionamento do setor de tecnologia da informação (TI) do órgão.
Alternativas
Q589370 Segurança da Informação
Considere que a apresentação do capítulo sobre gestão de riscos tenha sido precedida pela indicação de que há pouca disponibilidade de registros históricos quanto a incidentes de segurança no ministério. Nesse contexto, julgue o item subsecutivo.
O tratamento dos riscos de segurança da informação será efetivo se forem consideradas as várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério, tais como mitigar ou reduzir, reter ou aceitar, transferir ou compartilhar, além de ação de evitar o risco.
Alternativas
Q589371 Segurança da Informação
Julgue o seguinte item, considerando que o capítulo sobre gestão de continuidade de negócios contenha uma proposta em aderência à norma NBR 15999-1 – Gestão de Continuidade de Negócios. 
A elaboração de um estudo de análise de impacto nos negócios (BIA) pode ser precedida por uma análise de riscos de segurança da informação, especialmente se for focado na indisponibilidade de ativos, pois, se o BIA identifica de forma mais precisa os impactos de uma interrupção, ele também demanda investigações detalhadas sobre os custos da interrupção de processos, e será mais efetivo se for focado nos processos de negócios associados aos riscos de maior magnitude.
Alternativas
Q589372 Segurança da Informação
Julgue o seguinte item, considerando que o capítulo sobre gestão de continuidade de negócios contenha uma proposta em aderência à norma NBR 15999-1 – Gestão de Continuidade de Negócios. 
No processo de terceirização de serviços de segurança da informação, a contratação de um estudo de análise de impacto nos negócios apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à contratação de um serviço terceirizado para a gestão de riscos de segurança da informação.
Alternativas
Q589373 Segurança da Informação
Julgue o seguinte item, considerando que o capítulo sobre gestão de continuidade de negócios contenha uma proposta em aderência à norma NBR 15999-1 – Gestão de Continuidade de Negócios. 
O emprego de instrumentos e processos de comunicação social se faz mais necessário na formulação de um plano de administração de crises para o ministério do que na formulação de um plano de continuidade operacional.
Alternativas
Q589377 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
No tópico segurança de aplicações web, o plano deve considerar o ataque de injeção como sendo um dos mais importantes em comparação aos demais, seja pela sua facilidade de explorabilidade (explotability) com o uso de scanners e fuzzers, seja pela facilidade com que podem ocorrer incidentes de alto impacto técnico, tais como vazamento de dados, perda de integridade (adulteração) e perda de contabilização.
Alternativas
Q589378 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
No tópico segurança de aplicações web, o plano deve considerar o ataque de quebra de autenticação e de gerenciamento de sessão como sendo um dos mais importantes em relação aos demais, seja porque é comum aos desenvolvedores de software adotarem esquemas de autenticação e gerenciamento de sessão próprios e que contém falhas, seja porque possibilitam a execução de scripts nos navegadores das vítimas, facilitando a pichação de sítios web e o sequestro do navegador do usuário, entre outros impactos de negócio.
Alternativas
Q589379 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
Em aderência ao arcabouço SAMM da OWASP, cada uma das práticas de segurança no desenvolvimento de software a serem desenvolvidas no ministério deve ser avaliada quanto à capacidade, em uma escala que varia de 0 a 5, e que são 0 – Incompleto; 1 – Executado; 2 – Gerenciado; 3 – Definido; 4 – Quantitativamente gerenciado; 5 – Otimizante.
Alternativas
Q589380 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
A fim de melhor implementar a técnica de detecção de vulnerabilidades e gestão de patches em aplicações web, o plano deve recomendar a adoção da arquitetura AppSensor da OWASP.
Alternativas
Q589381 Segurança da Informação
Considere que o capítulo sobre segurança de aplicações contenha proposta de adoção de uma metodologia de desenvolvimento de aplicações com segurança fundamentalmente embasada na metodologia OWASP (open web application security project), envolvendo uma proposta de processo de desenvolvimento de aplicações aderente ao arcabouço software assurance maturity model da OWASP, conhecido como SAMM ou OpenSAMM, em combinação com aspectos técnicos como arquiteturas seguras para aplicações web, análise de vulnerabilidades, testes de invasão, gestão de patches e ataques. Nesse contexto, julgue o item seguinte.
Em aderência ao arcabouço SAMM da OWASP, o plano deve promover um processo de desenvolvimento seguro de software com base na adoção de práticas de segurança para quatro funções vinculadas ao negócio de desenvolvimento de software, as quais são: governança, construção, verificação e implantação (deployment). Para cada função, são prescritas três práticas.
Alternativas
Q589384 Segurança da Informação
Julgue o próximo item, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério.
Entre as atividades típicas de uma equipe de tratamento de incidentes em redes de computadores, está a realização periódica de auditorias de conformidade, tomando por base o catálogo dos controles prescritos na norma ISO 27001:2006.
Alternativas
Q589386 Segurança da Informação
A respeito dos mecanismos de autenticação, julgue o seguinte item.
Mecanismo que usa token, verificação biométrica de impressão digital e PIN é exemplo de mecanismo de três fatores.
Alternativas
Respostas
1: C
2: C
3: C
4: C
5: E
6: E
7: E
8: E
9: E
10: E
11: C
12: E
13: C
14: C
15: E
16: E
17: E
18: C
19: E
20: C