Questões de Concursos Segurança da Informação

Uma política de segurança da informação, preconizada pelas normas, é composta por critérios sugeridos para a gestão da segurança, configuração de ativos, etc., o que vai atribuir aos gestores a liberdade de escolher a forma mais inteligente, setorizada, de se adotar segurança.

A respeito de segurança da informação, julgue o seguinte item.

A documentação de um sistema de gestão de segurança da informação deve conter a descrição da metodologia de análise/avaliação de riscos, o relatório de análise/avaliação de riscos e o plano de tratamento de riscos.

Considere que o plano de classificação de ativos de uma das organizações auditadas valore os ativos usando uma metodologia mista, isto é, empregando ora a valoração qualitativa, ora a valoração quantitativa. Nesse caso, tal abordagem produz desconformidades com o prescrito em modelos da ABNT e da ISO/IEC, uma vez que se deve adotar um ou outro modelo, mas não ambos simultaneamente.

Considerando o que dispõe a NBR ISO/IEC 27005, julgue os itens subsecutivos.

Para o tratamento dos riscos, a referida norma estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.

A GCN não tem relação com o gerenciamento de riscos.

De acordo com a definição do CERT (Computer Emergency Response Team), os ataques DoS (denial of service), também denominados ataques de negação de serviços, consistem em tentativas de impedir usuários legítimos de utilizarem determinado serviço de computador. Uma das formas de ataque mais conhecidas é o SYN flooding, em que um computador tenta estabelecer uma conexão com um servidor por meio de um sinal do UDP conhecido por SYN (synchronize).

1. ✂️ a) o uso de sistema de becapes corporativos, para salvaguarda e posterior recuperação das informações, o qual deve ser utilizado como último recurso em cenários de propagação de ransomwares.
2. ✂️ b) adotar sistemas de rastreamento de ativos, com o objetivo de identificar e bloquear os emails recebidos com os ransomwares.
3. ✂️ c) utilizar sistemas de aceleração web para os usuários institucionais, o que evita o download de ransomwares a partir de páginas web.
4. ✂️ d) atualizar a BIOS (sistema básico de entrada e saída), com o objetivo de corrigir vulnerabilidades dos sistemas operacionais e dificultar a propagação do ransomwares na rede institucional.
5. ✂️ e) o ajuste de privilégios das contas de usuários comuns, possibilitando acesso às pastas protegidas do sistema operacional e instalação de softwares para permitir a exclusão de ransomwares.

O código fonte de programas é um bem informacional que requer proteção adequada, podendo até conter segredos de negócio; assim, seu acesso deve ser restrito e sujeito a controles de acesso.

Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e disponibilidade, não havendo, nessa norma, indicação de parâmetros para outros tipos de requisitos a serem considerados.

A gestão de riscos difere do planejamento de continuidade de negócios; enquanto aquela visa minimizar os prejuízos decorrentes de um incidente de segurança da informação, este objetiva, especificamente, minimizar a ocorrência de incidentes.

A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.

De acordo com a Instrução Normativa GSI/PR n.º 1, compete ao gestor de segurança da informação e comunicações, entre outras atividades, acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança.

Muitos serviços disponíveis na Internet enviam senhas temporárias aos seus usuários. De acordo com a norma NBR/ISO/IEC 27002/2005, essa prática é conveniente, desde que realizada de forma segura, procurando-se evitar o uso de correio eletrônico de terceiros ou sem criptografia.

A Norma Complementar GSI/PR n. º 3 estabelece as diretrizes para a elaboração de políticas de segurança da informação e comunicações nos órgãos e entidades da administração pública federal.

Considere que

foi realizado um backup total de uma pasta do servidor de uma empresa em um dia de domingo;
dois backups diferenciais foram realizados nessa mesma semana: um na 3ª feira e o outro na 5ª feira;
os backups aqui mencionados foram os únicos realizados de domingo até 5ª feira, inclusive.

Se uma restauração deve ser feita após a realização do backup de 5ª feira e antes de qualquer outro backup, o conjunto de arquivos de backup necessários corresponde ao(s)

Com relação a gestão de incidentes de segurança da informação, julgue o item a seguir, conforme a NBR ISO/IEC n.º 27001:2013.

Todo incidente de rede é um evento de segurança da informação classificado e deve ser avisado prontamente à alta direção, a fim de reduzir riscos.

A configuração de proteções de tela bloqueadas por senha e o uso de firewalls e sistemas de detecção de intrusos são ações apenas indiretamente ligadas à gestão de Incidentes de Segurança da Informação e à Conformidade, respectivamente.