Com base na NBR ISO/IEC n.º 27002, é correto afirmar que, no cenário apresentado no texto 4A04-I, foram explorados os controles de A) manutenção de equipamentos e de segurança física, pela ineficiência das manutenções preventivas recomendadas e da proteção física dos servidores web e de banco de dados. B) manutenção de equipamentos e de segregação de rede, pela ineficiência das manutenções preventivas recomendadas e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados. C) segurança física e de segregação de rede, pela ineficiência da proteção física e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados. D) gestão de vulnerabilidades técnicas e de segurança física, pela ineficiência do monitoramento e das correções das vulnerabilidades e da proteção física dos servidores web e de banco de dados. E) gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

E) gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.

Com base na NBR ISO/IEC n.º 27002, é correto afirm...

1Q674700 | Segurança da Informação, Analista Judiciário Análise de Sistemas, TJ PA, CESPE CEBRASPE, 2020

Texto associado.

Texto 4A04-I

Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.

I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.

Com base na NBR ISO/IEC n.º 27002, é correto afirmar que, no cenário apresentado no texto 4A04-I, foram explorados os controles de

✂️ a)
manutenção de equipamentos e de segurança física, pela ineficiência das manutenções preventivas recomendadas e da proteção física dos servidores web e de banco de dados.
✂️ b)
manutenção de equipamentos e de segregação de rede, pela ineficiência das manutenções preventivas recomendadas e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.
✂️ c)
segurança física e de segregação de rede, pela ineficiência da proteção física e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.
✂️ d)
gestão de vulnerabilidades técnicas e de segurança física, pela ineficiência do monitoramento e das correções das vulnerabilidades e da proteção física dos servidores web e de banco de dados.
✂️ e)
gestão de vulnerabilidades técnicas e de segregação de rede, pela ineficiência do monitoramento e das correções das vulnerabilidades e da segmentação da rede em domínio filtrados por firewalls entre os servidores web e de banco de dados.