Questões de Concursos Segurança da Informação

Em uma organização, é importante que as áreas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Segundo a norma ABNT NBR ISO/IEC 27002, é conveniente considerar as seguintes diretrizes, EXCETO:

Julgue o item seguinte, acerca de ataques em redes e aplicações.

O ataque do tipo scan é capaz de falsificar o endereço IP de um host alvo do ataque.

A respeito da situação hipotética apresentada e dos aspectos técnicos e legais a ela relacionados, julgue o item a seguir.

A identificação do provedor de conexão do site malicioso deve ser feita no serviço de diretório Whois brasileiro.

Augusto, funcionário do Tribunal de Contas do Município de São Paulo, recebeu a incumbência de desenvolver o Sistema de Gestão Integrada de Usuários, chamado SIGUser. O SIGUser deve realizar a tarefa de autenticar e autorizar os servidores nos sistemas do tribunal. O tribunal possui uma base de dados SQLServer, in loco, com informações de login e senha de usuários.
Muitas vezes, faz-se necessário acessar sistemas do tribunal durante a realização de inspeções externas nas jurisdicionadas.
Augusto, então, decide pelo uso do ASP.NET Identity para realização da tarefa de autenticação e autorização do SIGUser.
Sobre a tecnologia ASP.NET Identity e as razões que levaram Augusto a escolhê-la, é correto afirmar que:

Considere:

I. Norma preparada para prover um modelo para o estabelecimento, implementação, operação, monitoramento, revisão, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

II. Código de Prática para Gestão da Segurança da Informação. Constitui-se de um conjunto completo de recomendações para a gestão da segurança da informação e serve como referência para a criação e implementação de práticas de segurança reconhecidas internacionalmente, incluindo políticas, diretrizes, procedimentos e controles.

III. Permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes, sendo que, na sua falta, os outros caminhos para se fazer o mesmo são constituição de uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essas tarefas.

IV. Em ordem sucessiva, deve-se definir quais são seus limites, (abrangência física, lógica e pessoal); relacionar os recursos que serão protegidos; relacionar quais são as possíveis ameaças a esses recursos, quais são as vulnerabilidades a que eles estão submetidos e qual seria o impacto da materialização dessas ameaças. Com base nessas informações priorizam-se os controles necessários para garantir a segurança de tais recursos.

As afirmações referem-se, respectivamente, a:

Constituem medidas preventivas que tornam um programa leitor de e-mails mais seguro:

I. Desligar as opções que permitem abrir ou executar automaticamente arquivos ou programas anexados às mensagens.

II. Desligar as opções de execução de JavaScript e de programas Java.

III. Manter, preferencialmente, o modo de visualização de e-mails no formato HTML.

IV. Evitar clicar diretamente em links exibidos no conteúdo do e-mail; digitar o endereço diretamente no browser (presumindo que ele esteja adequadamente configurado).

É correto o que consta APENAS em:

Um sistema de proteção lógica visa impedir que ativos de informação sejam expostos de forma não autorizada. Esses sistemas são compostos por elementos tais como cercas, barreiras, sensores e pessoal de segurança.

Julgue os próximos itens, relativos à salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado no âmbito da administração pública federal.

Os equipamentos e sistemas utilizados para a produção de documentos com grau de sigilo secreto, confidencial e reservado só podem integrar redes de computadores que possuam sistemas de criptografia e segurança adequados à proteção dos documentos e que sejam física e logicamente isoladas de qualquer outra.

A responsabilidade pela implantação do SGSI cabe exclusivamente aos profissionais da área de TI; a direção da organização apenas acompanha o processo.

A segurança em recursos humanos visa assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Sobre os papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros, descrita na norma ISO/IEC 27002:2005, convém que sejam

Qual dispositivo usado na segurança de rede que investiga todo pacote que passa por ele, abrindo seu conteúdo e filtrando se necessário?

Os hackers possuem diversas formas de ataques contra as redes de computadores. Sobre os ataques gerados por hackers, é correto afirmar que

Confidencialidade, um dos princípios básicos da segurança da informação, tem como característica garantir que uma informação não seja alterada durante o seu trânsito entre o emissor e o destinatário.

Nos sistemas simétricos, as partes compartilham uma chave secreta, utilizada tanto na cifração quanto na decifração.