Questões de Concursos Segurança da Informação

Analise as seguintes afirmações relacionadas às responsabilidades da gerência quanto à manipulação e salvaguarda dos ativos da organização do ponto de vista de um processo de Auditoria de Controles de hardware, acesso, suporte técnico e operação de computadores.

I. A gerência é responsável por planejar e executar os backups dos servidores de banco de dados da organização.

II. A gerência é responsável por desenvolver os procedimentos de conscientização em todos os níveis da organização.

III. A gerência é responsável por implementar sistemas seguros para atender às políticas de Tecnologia da Informação.

IV. A gerência é responsável por realizar suporte técnico aos usuários do ambiente.

Indique a opção que contenha todas as afirmações verdadeiras.

Para que seja instalado em um computador, é necessário que o spyware seja explicitamente executado pelo usuário.

Determinado órgão público sofre com vazamento de informações sigilosas para imprensa. Para evitar esse tipo de incidente, o órgão discute uma estratégia de segurança da informação, que, entre outras ações derivadas, deve

Determinado órgão público permite que cidadãos efetuem, no sistema de cadastro, alterações de seus próprios dados. Para garantir a autenticidade de seus usuários, o sistema exige que o login seja feito mediante apresentação de certificado digital ICP-Brasil de pessoa física. Sobre essa situação, analise as afirmativas a seguir.

I - Um usuário poderá adquirir seu certificado em uma autoridade certificadora direta ou indiretamente subordinada, na hierarquia, à raiz ICP-Brasil.
II - O órgão precisa de infraestrutura para armazenar cada senha associada ao certificado digital de cada usuário, utilizando SHA256 como forma de proteção da senha.
III - Embora a autenticidade do usuário seja verificada, não há mecanismos de controle de integridade com esse tipo de certificado.

Está(ão) correta(s) a(s) afirmativa(s)

Tipo de tecnologia de identificação digital que permite que transações eletrônicas dos mais diversos tipos sejam feitas, considerando sua integridade, autenticidade e confidencialidade, de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram. Trata-se do conceito de

Analise as seguintes afirmações relativas ao esquema de codificação criptográfica ou criptosistema:

I. Se em um criptosistema a chave de codificação criptográfica "e" é sempre igual à chave de decodificação criptográfica, então o criptosistema é chamado simétrico.

II. Se uma pessoa A deseja receber mensagens criptografadas utilizando um criptosistema assimétrico, ela publica uma chave de codificação criptográfica "e" e mantém secreta a correspondente chave "d" de decodificação criptográfica. Outras pessoas podem usar "e" para cifrar mensagens e enviá-las para a pessoa A.

III. Nos criptosistemas assimétricos, as chaves "d" e "e" são distintas e qualquer mensagem cifrada com a chave "e" pode ser decifrada utilizando- se tanto a chave "d" como a chave "e", da mesma forma que qualquer mensagem cifrada com a chave "d" pode ser decifrada utilizando-se tanto a chave "e" como a chave "d".

IV. Os criptosistemas simétricos também são chamados de criptosistemas de chave pública.

Estão corretos os itens:

Julgue o próximo item, a respeito da segurança da informação.

A vinculação de uma chave privada a uma pessoa em particular é feita pela autoridade certificadora (AC), a qual, assim que verifica a identidade da pessoa, cria um certificado que vincula essa chave à pessoa e que, por segurança, não guarda a chave pública.

São dois algoritmos que utilizam chave simétrica de criptografia o

Uma política de segurança da informação eficaz está centrada no controle de acesso à informação, independentemente de formato, mídia ou tecnologia que a suporte.

É um tipo de ataque passivo às transmissões de dados por meio de redes de computadores o de

Marcelo é analista de suporte de uma empresa e acaba de receber quatro novos chamados referentes a sistemas de criptografia e segurança. Os novos chamados abertos são os seguintes:

I - Ricardo, um usuário, quer enviar uma mensagem para Marcela, sua gerente. Ele quer garantir a privacidade da informação enviada. Qual procedimento Ricardo e Marcela podem adotar?
II - Ricardo agora quer enviar uma nova mensagem para Marcela. Neste caso, ele não deseja garantir a privacidade da mensagem, mas sim assinar digitalmente a mensagem que ele deseja enviar para sua gerente Macela. Marcela, por sua vez, deseja estar certa de que a mensagem enviada por Ricardo não foi modificada durante o processo de transmissão. Qual procedimento Ricardo e Marcela podem adotar (o sumário da mensagem foi calculado usando o algoritmo SHA-1)?
III - Ricardo agora quer enviar uma nova mensagem para Marcela. Neste caso, eles desejam ter atendido ao mesmo tempo os requisitos dos dois primeiros chamados (I e II).

Para atender a cada um destes chamados, o analista está pensando em adotar, respectivamente, as seguintes soluções:

- Ricardo deve utilizar a chave pública de Marcela para criptografar a mensagem. Marcela ao receber a mensagem pode utilizar a sua (Marcela) chave privada para descriptografar a mensagem.
- Ricardo deve utilizar sua chave privada para criptografar o sumário da mensagem e então anexa-lo à sua mensagem original. Marcela, por sua vez, deve utilizar a chave pública de Ricardo para descriptografar o sumário da mensagem. Para verificar se a mensagem foi enviada por Ricardo e que seu conteúdo não foi modificado, Marcela deve calcular o sumário da mensagem utilizando o mesmo algoritmo de Ricardo. Se os dois sumários, o recebido e o calculado, forem diferentes a mensagem pode não ter vindo de Ricardo e/ou pode ter sido modificada durante a transmissão.
- Ricardo deve utilizar sua chave privada para criptografar o sumário da mensagem e então anexa-lo à sua mensagem original. A seguir deve criptografar o conjunto mensagem e sumário utilizando a chave pública de Marcela. Marcela por sua vez, após descriptografar a mensagem enviada (composta neste caso pela mensagem e por seu sumário), utilizando a sua (Marcela) chave privada, deve utilizar a chave pública de Ricardo para descriptografar o sumário da mensagem. Para verificar se a mensagem foi enviada por Ricardo e que seu conteúdo não foi modificado, Marcela deve calcular o sumário da mensagem utilizando o mesmo algoritmo de Ricardo. Se os dois sumários, o recebido e o calculado, forem diferentes a mensagem pode não ter vindo de Ricardo e/ou pode ter sido modificada durante a transmissão.

Com base nas informações acima, que chamados estariam sendo atendidos pelas soluções propostas pelo analista?

Analise as seguintes afirmações relacionadas a conceitos básicos de Internet, protocolos TCP/IP e Segurança da Informação.

I. A assinatura digital é o processo de manter mensagens e dados em segurança, permitindo e assegurando a confidencialidade. Quando utilizam apenas chaves privadas, as assinaturas digitais são usadas para fornecer serviços de integridade de dados, autenticação e não repúdio.

II. Um algoritmo de criptografia simétrica requer que uma chave secreta seja usada na criptografia e uma chave pública diferente e complementar da secreta, utilizada no processo anterior, seja utilizada na decriptografia. Devido à sua baixa velocidade, a criptografia simétrica é usada quando o emissor de uma mensagem precisa criptografar pequenas quantidades de dados. A criptografia simétrica também é chamada criptografia de chave pública.

III. Na Internet, O UDP (User Datagram Protocol) é um protocolo de transporte que presta um serviço de comunicação não orientado a conexão e sem garantia de entrega. Portanto, as aplicações que utilizam este tipo de protocolo devem ser as responsáveis pela recuperação dos dados perdidos.

IV. Os servidores de diretório responsáveis por prover informações como nomes e endereços das máquinas são normalmente chamados servidores de nomes. Na Internet, os serviços de nomes usado é o Domain Name System (DNS). O DNS apresenta uma arquitetura cliente/servidor, podendo envolver vários servidores DNS na resposta a uma consulta.

Indique a opção que contenha todas as afirmações verdadeiras.

O estabelecimento de um perímetro da rede visa à separação entre a rede externa e a rede interna que se deseja proteger.

Um proxy, ao agir no lugar do cliente ou do usuário para prover acesso a um serviço de rede, protege tanto o cliente quanto o servidor de uma conexão direta.