Questões de Concursos Segurança da Informação

A complexidade sempre crescente das redes de comunicação vem exigindo cada vez mais o emprego de ferramentas automatizadas de gerência de redes. Isso motivou esforços para a padronização de arquiteturas de gerência, incluindo a definição de protocolos e bancos de dados específicos de gerência de redes e sistemas. O protocolo padronizado de gerência de redes mais popular da atualidade é o SNMP (simple network management protocol), que tem três versões oficialmente publicadas em RFC (SNMPv1, SNMPv2 e SNMPv3), todas conservando alguns princípios básicos comuns, mas com diferenças no que se refere ao comportamento do protocolo, tipos de mensagens e mecanismos de segurança. Acerca do protocolo SNMP nas versões v1 e v2, julgue os itens a seguir.

A mensagem de trap presente em SNMPv1 foi suprimida da padronização de SNMPv2, em função da dificuldade de verificar a fonte das mensagens, o que acarreta potenciais riscos à segurança.

Analise as afirmações relacionadas à auditoria de segurança da informação e à política de segurança nas organizações:

I - A fase de planejamento da auditoria deve estabelecer todos os recursos necessários à sua execução, iniciando pela busca de fontes de informação, por exemplo, dos responsáveis pelos setores (ou áreas) a serem auditados.

II - O objetivo da fase de execução da auditoria é levantar todas as evidências relevantes aos objetivos da auditoria em si. Por exemplo, considera-se evidência as informações fornecidas pela própria organização, tais como e-mails trocados entre os dirigentes e funcionários.

III - É recomendável efetuar a análise das necessidades de segurança, isto é, identificar as ameaças potenciais, analisar riscos e impactos, antes de definir os objetivos globais de segurança a serem atingidos.

IV - Durante a identificação dos recursos críticos de uma organização, é relevante classificar as informações em públicas, internas ou confi denciais, de acordo com a necessidade específica de proteção contra acessos não-autorizados.

V - Análise de riscos é o ponto-chave da política de segurança e mede ameaças, vulnerabilidades e impactos, em função dos negócios da organização. E, para uma adequada gestão de riscos, deve-se conscientizar todos os funcionários quanto aos riscos e responsabilidades para com a segurança.

Indique a opção correta.

A criptografia moderna tem três tipos de ferramentas básicas: algoritmos criptográficos simétricos e assimétricos e as funções de resumo de mensagem. Acerca dos principais algoritmos para esses tipos de ferramenta criptográfica, julgue os itens subseqüentes.

O algoritmo criptográfico DES é uma cifra de substituição que mapeia um bloco de texto claro de 64 bits em um outro bloco de criptograma de 64 bits.

Acerca da classificação da informação, julgue os itens seguintes, segundo as orientações da ISO 27002.

Os procedimentos para interpretar os rótulos de classificação devem manter-se restritos à organização que os classifica.

Nas questões de número 51 a 60 considere as configurações típicas de hardware e de instalação dos softwares citados. Considere os aplicativos e sistemas operacionais na sua versão em Português, a não ser quando especificado em contrário.

Ao arrastar um arquivo de uma pasta a outra no MS Explorer usando o botão direito do mouse, as opções presentes no menu que se abre são:

No que se refere a procedimentos de segurança, julgue os seguintes itens.

Para garantir a confidencialidade de informações críticas de uma empresa, devem ser estabelecidos procedimentos não só para a guarda e disponibilização dessas informações, mas também para o seu descarte.

Alguns termos relacionados com conceitos básicos de segurança da informação estão disponibilizados na coluna I. Estabeleça a correta correspondência com os seus significados, disponibilizados na coluna II.

Coluna I

1. VPN
2. DMZ
3. IDS
4. RoBOT
5. Hijacker

Coluna II

( ) ambiente criado para proteger a rede interna gerando um perímetro de segurança entre a rede interna e a Internet.

( ) programa que pode ser utilizado para controlar computadores e comandar ataques de negação de serviço.

( ) utilização do método de tunelamento que oferece conectividade de rede em longa distância.

( ) sistema de detecção de intrusos.

( ) programa ou script que contamina os registros de navegadores.

A sequência correta é:

I. Pode-se dizer que um sistema é seguro quando está protegido contra mani-pulação, erros de usuários, desastres naturais e mau funcionamento técnico.
II. Softwares complexos tendem a ter mais "bugs", inclusive que comprometem a segurança do sistema.
III. Os tipos mais genéricos de ataques são: Intrusão, Negação de Serviço e Fur-to de Informação.

As afirmativas CORRETAS são:

Julgue os itens seguintes, relativos a procedimentos de segurança da informação e à utilização do firewall.

Uma das formas de um servidor público proteger as informações confidenciais de uma organização é impedir que pessoas não autorizadas acessem seu ambiente de trabalho e utilizem seu computador.

Sobre ataques à segurança de sistemas computacionais é correto afirmar:

Um teste de penetração, conhecido na literatura como penetration test, é o método pelo qual é testada a segurança de um sistema computacional ou rede pela simulação de ataques de fontes maliciosas. No geral, a análise do sistema busca por qualquer vulnerabilidade que recaia em uma falha de segurança. Sobre penetration tests é correto afirmar.

Sobre o spam na Internet podemos afirmar que:

I – Spam são emails não solicitados pelos destinatários da mensagem.

II – Os emails de spam são geralmente enviados a um grande número de pessoas

III – A prática de spam não gera nenhum prejuízo financeiro para os usuários da Internet.

IV – Existem diversas ferramentas e práticas usadas para reduzir o volume de spam na Internet.

Assinale a alternativa CORRETA:

A instalação de antivírus no computador de um usuário que utiliza a máquina em ambiente organizacional é suficiente para impedir o acesso, por terceiros, a informações privativas do usuário.

As mídias de armazenamento de dados são mais suscetíveis aos riscos provocados por

            Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.

Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.

Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).