Questões de Concursos Segurança da Informação

Para receber a certificação da NBR ISO/IEC 27001:2005, uma empresa deve possuir sistema de gestão de segurança da informação que contemple todos os controles preconizados e detalhados na referida norma.

A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.

Analise as seguintes afirmações relacionadas a definição, implantação e gestão de políticas de segurança:

I. Uma das medidas que pode ser tomada para prevenir ser o intermediário de ataques do tipo Smurf é configurar o roteador de modo a receber e deixar passar pacotes para endereços de broadcast por meio de suas interfaces de rede.

II. O War dialer é uma ferramenta utilizada pelos hackers para fazer a varredura visando à identificação de modems, que também pode ser utilizada por auditores para fazer auditoria de segurança de uma organização. Como ferramenta de auditoria, algumas dessas ferramentas são capazes de detectar fax, identifi car conexões PPP e detectar modems não-autorizados em uso nas máquinas da organização.

III. A possibilidade de automatização de escolha de rota, isto é, roteamento dinâmico, pode ser utilizada para permitir que os dados sejam transmitidos em rotas fi sicamente variáveis, garantindo que informações que necessitam de segurança extra sejam transportadas em rotas cujos canais de comunicação forneçam os níveis apropriados de proteção.

IV. Na sua instalação e utilização padrão, o SNMP (Simple Network Management Protocol), utilizado para gerenciamento de equipamentos de rede, permite falhas de segurança relacionadas ao vazamento de informações sobre o sistema, tabelas de rotas, tabelas ARP e conexões UDP e TCP.

Indique a opção que contenha todas as afirmações verdadeiras.

De acordo com a NBR ISO/IEC 27001:2013, julgue o próximo item, relativo a aquisição, desenvolvimento e manutenção de sistemas.

Segundo essa norma, a política de desenvolvimento seguro é restrita a regras para o desenvolvimento de sistemas realizados fora da organização.

Augusto, funcionário do Tribunal de Contas do Município de São Paulo, recebeu a incumbência de desenvolver o Sistema de Gestão Integrada de Usuários, chamado SIGUser. O SIGUser deve realizar a tarefa de autenticar e autorizar os servidores nos sistemas do tribunal. O tribunal possui uma base de dados SQLServer, in loco, com informações de login e senha de usuários.
Muitas vezes, faz-se necessário acessar sistemas do tribunal durante a realização de inspeções externas nas jurisdicionadas.
Augusto, então, decide pelo uso do ASP.NET Identity para realização da tarefa de autenticação e autorização do SIGUser.
Sobre a tecnologia ASP.NET Identity e as razões que levaram Augusto a escolhê-la, é correto afirmar que:

1. ✂️ a) man-in-the-middle.
2. ✂️ b) SIM cloning.
3. ✂️ c) IP spoofing.
4. ✂️ d) ping of death.
5. ✂️ e) DoS (denial of service).

Sobre um mandante R/3 são feitas as afirmativas a seguir.

I - Tem os seus próprios dados de clientes e programas, que não são acessíveis por outros mandantes de um mesmo sistema R/3.

II - Compartilha todos os objetos de Repositório e customizações independentes, de mandante, com todos os outros mandantes em um mesmo sistema R/3.

III - Compartilha dados de customização e aplicação com outros mandantes em um mesmo sistema R/3.

Está(ão) correta(s) a(s) afirmativa(s):

O Internet Explorer na versão 7 possui uma série de filtros específicos para segurança da informação. Está incluso nesse programa o filtro de segurança contra

A defesa em profundidade é uma arquitetura de defesa que estratifica as medidas de proteção, obtendo níveis de contenção entre a rede externa e a rede interna que se deseja proteger.

Um sistema de proteção lógica visa impedir que ativos de informação sejam expostos de forma não autorizada. Esses sistemas são compostos por elementos tais como cercas, barreiras, sensores e pessoal de segurança.

O código de boas práticas do ITIL fornece uma visão de
segurança sob a perspectiva do usuário final de tecnologia da
informação (TI).

O DES (data encryption standard) triplo utiliza, exatamente, por três vezes o algoritmo DES, além de uma mesma chave de 56 bits para criptografar mensagens.

O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.

Um backup diferencial copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. Nesse caso o atributo de arquivo é desmarcado. Se o usuário utilizar uma combinação dos backups normal e incremental precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

Das alternativas abaixo, que tipo de ataque NÃO está em consonância com sua definição?

Considerando-se que, em muitas organizações públicas, há urgência na adoção de controles visando-se à melhoria do atual nível de segurança da informação, um administrador de segurança da informação deve implementar, independentemente da análise e da avaliação de riscos de segurança da informação em curso, um conjunto de controles mínimos - controles primários -, os quais, segundo a norma 17799/2005, devem ser implementados em todos os casos.