Questões de Concursos Segurança da Informação

Uma empresa cuja matriz está localizada em Brasília possui três filiais localizadas em outras cidades do Brasil. As atribuições da matriz incluem analisar todas as propostas de negócio e autorizar os valores finais da negociação, além de analisar a documentação dos clientes para a liberação do crédito. Como atende a clientes em cidades onde não possui pontos de atendimento, a empresa recebe as propostas e documentos dos clientes eletronicamente e fecha contratos à distância. Os clientes também podem ser atendidos nas filiais, caso em que elas se responsabilizam pela recepção dos documentos e pelo seu envio, por meio eletrônico, para a matriz.

Com base nessa situação hipotética, julgue os seguintes itens.

Para garantir o sigilo dos dados trocados entre as filiais utilizando-se algoritmos de criptografia simétrica, é necessário que as chaves criptográficas sejam aleatoriamente definidas a cada transação.

As tentativas de invasão às redes de computadores têm sido objeto de preocupação dos profissionais de segurança nas empresas. Uma técnica utilizada por fraudadores está caracterizada a seguir:

- Mensagens são enviadas por e-mail, que parecem ser originadas de instituições financeiras ou empresas idôneas, contêm um link falso que leva o cliente para um site também falso, mas muito parecido com o original da instituição financeira/empresa anunciada.

- O conteúdo do e-mail induz o cliente/usuário a fornecer dados pessoais e financeiros, por exemplo, por meio de falsa atualização de informações cadastrais. Nesse caso, os dados digitados pelo cliente, como, por exemplo, o número da sua agência, conta-corrente ou poupança, e senha, são capturados pelo cracker/hacker, e utilizado posteriormente.

Essa técnica é conhecida por

Avaliando as sentenças seguintes a respeito de segurança em sistemas de informação,

I. O RSA é um algoritmo de criptografia (codificação) muito utilizado na WEB e se baseia no conceito de chave pública e privada, que utilizam senhas diferentes para cifrar e decifrar os dados.

II. O algoritmo RSA pode ser utilizado para implementar assinatura digital, uma vez que cada usuário utiliza a sua chave privada exclusiva para cifrar (codificar) a mensagem, enquanto a chave pública é utilizada pelo receptor para decifrar a mensagem recebida.

III. Por mais que haja investimento em prevenção de desastres, é sempre necessário haver um plano de backups frequentes como forma de redução de riscos e recuperação de desastres.

IV. A utilização de firewalls pode proteger contra ataques de invasores. Por essa razão, são considerados locais apropriados para execução de mecanismos de detecção de intrusão.

verifica-se que

Os itens apresentados constituem uma lista em ordem alfabética de tarefas referentes ao arquivo digital da EFD-ICMS/IPI:

I. Assinar o arquivo por meio de certificado digital, tipo A1 ou A3, emitido por autoridade certificadora credenciada pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

II . Gerar o arquivo de acordo com as especificações do leiaute definido em Ato COTEPE.

III . Gerar o recibo de entrega, com o mesmo nome do arquivo, com a extensão “rec”, gravando-o no mesmo diretório.

IV. Guardar o arquivo acompanhado do recibo da transmissão, pelo prazo previsto na legislação.

V. Submeter o arquivo ao programa validador, fornecido pelo Sistema Público de Escrituração Digital (SPED).

VI. Transmitir o arquivo, com a extensão “txt”, pela internet.

VII. Verificar a consistência das informações prestadas no arquivo.

Os procedimentos EFD-ICMS/IPI devem progredir em um fluxo de execução. Considerando que o item II refere-se à tarefa inicial e o item IV à tarefa final, a sequência intermediária correta do fluxo de execução é:

Algoritmos de criptografia simétricos envolvem o uso de uma chave compartilhada. Isso implica que as entidades comunicantes devem conhecer a chave, considerada pública na comunicação.

A autoridade Certificadora Raiz da ICPBrasil é o

De acordo com a NBR ISO/IEC 27001:2013, julgue o próximo item, relativo a aquisição, desenvolvimento e manutenção de sistemas.

Segundo essa norma, a política de desenvolvimento seguro é restrita a regras para o desenvolvimento de sistemas realizados fora da organização.

uma forma fraudulenta de obtenção de senhas informadas pelos usuários em teclados virtuais exibidos nas páginas de acesso de instituições financeiras:

A confidencialidade dos votos não será violada pela captura de tráfego na Internet, sem que sejam quebradas as proteções oferecidas pelo protocolo TLS/SSL.

Se uma das organizações utiliza o protocolo https para estabelecer algumas comunicações seguras com seus usuários da extranet, então, sempre que uma sessão https for estabelecida com esse servidor, todos os fluxos de dados que transitam nessa sessão serão criptografados por meio de algoritmos de criptografia assimétrica, utilizando-se, para isso, um algoritmo de cifra de fluxo, como o AES.

Sobre mecanismos de segurança em redes de computadores, Honeypot é um

É tarefa da administração de segurança, e não dos usuários, a implantação de controles para reduzir a introdução de códigos maliciosos em uma rede, ou seja, é resultado exclusivo de procedimentos definidos para filtragem de pacotes e o gerenciamento de software antivírus.

A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.

A NBR ISO/IEC 27002, quando trata dos controles de entrada física, estabelece algumas diretrizes para implementação, utilizando os seguintes termos: convém que sejam levadas em consideração as seguintes diretrizes. Em seguida, lista as diretrizes as quais pretende que sejam levadas em consideração. Dentre essas diretrizes, NÃO há uma especificando que

A análise de vulnerabilidades, quando realizada no arcabouço de uma atividade de análise de riscos, é precedida, usualmente, da análise de ameaças, mas antecede a análise de controles, podendo cada controle inexistente ser traduzido em uma vulnerabilidade existente.

O funcionamento de um computador que tenha sofrido um ataque conhecido como phishing pode ser comprometido, sendo os dados gravados nesse computador armazenados em um disco corrompido.