Questões de Concursos Segurança da Informação

Duas entidades, P e Q, desejam se comunicar por meio de um canal seguro e, para isso, decidem utilizar uma terceira entidade de confiança, X, para a criação deste canal. Ambas as entidades já possuem a chave pública de X e confiariam em uma assinatura dessa entidade.
Nesse contexto, considere os seguintes passos executados para a estabelecimento do canal:

1. P requisita a X a chave pública de Q.
2. X pega a chave pública verificada de Q, nos seus bancos de dados, e assina essa chave atestando sua legitimidade.
3. X envia para P a chave junto com a assinatura.
4. P verifica a assinatura de X, certifica-se de que tudo está correto e aceita essa chave de Q como autêntica.
5. P usa sua chave particular para encriptar a chave pública de Q e envia o resultado para Q.
6. Q usa sua chave particular para desencriptar a chave enviada por P.
7. P e Q passam a usar um algoritmo simétrico com a chave enviada por P para trocar as mensagens.

Considerando os objetivos de P e Q e analisando os passos por eles executados, conclui-se que, para atender às necessidades de P e Q

Se um usuário cifra uma mensagem com a chave pública do destinatário e depois cifra novamente com sua própria chave privada, apenas o destinatário será capaz de recuperar a mensagem em claro.

Segundo a NBR/ISO 27002, adotar certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Esses controles se baseiam tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.
Relacione a lista de controles às respectivas categorias.



Estão corretas as associações

É dispensável a adição de códigos de autenticação de mensagens a criptogramas, uma vez que ela não agrega segurança.

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.


As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.

A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.

Recovery Manager - RMAN é um utilitário de banco de dados que faz o backup, restauração e recuperação de bancos de dados Oracle 11g. Este utilitário

Analise as seguintes afirmações relativas à Privacidade:

I. Quando estiverem armazenados no servidor de e-mail, os e-mails não poderão ser lidos, mesmo por pessoas que tenham acesso a este servidor.

II. Cookies são muito utilizados para rastrear e manter as preferências de um usuário ao navegar pela Internet. Estas preferências podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usuário.

III. Quando o endereço de uma URL começar com https:// o s antes do sinal de dois-pontos indica que o endereço em questão é de um site com conexão segura e, portanto, os dados serão criptografados antes de serem enviados.

IV. Apesar dos problemas de segurança causados pelos Cookies, ao acessar uma página na Internet, o browser não poderá disponibilizar uma série de informações importantes, tais como o sistema operacional utilizado ou e-mail do usuário.

Estão corretos os itens:

Considerando que o modelo mostrado na figura seja empregado na arquitetura de um serviço de controle de acesso baseado no Kerberos, em que existe um domínio de rede que contém um servidor Kerberos, vários servidores de recursos - destinatários (D) - e vários clientes de recursos - emissores (E), é correto afirmar que: o servidor Kerberos precisa conhecer senhas de autenticação dos clientes; o servidor Kerberos precisa compartilhar chaves criptográficas simétricas com cada servidor de recursos (D); para obter bilhetes de acesso a cada servidor de recursos (D) individual do domínio de rede, o cliente de recursos (E) precisa dialogar com o servidor Kerberos.

Analise as seguintes afirmações relacionadas a conceitos básicos sobre Sistema Operacional Windows 2000 e Segurança da Informação.

I. No sistema operacional Windows, versão que permite configurações de cotas de disco, ao se selecionar a opção " Negar espaço em disco para usuários excedendo o limite de cota", os usuários que excederem seus limites de cota receberão uma mensagem informando que o limite do espaço em disco será excedido mas poderão gravar dados adicionais no volume. O espaço será negado somente quando o usuário efetuar novo logon. Neste caso, o servidor enviará uma mensagem solicitando ao usuário que exclua ou remova alguns arquivos existentes no mesmo.

II. É possível definir permissões de arquivo e pasta apenas nas unidades formatadas para usar o NTFS.

III. O tamanho padrão do arquivo de paginação da memória virtual pagefile.sys criado durante a instalação do Sistema Operacional tem 1,5 vezes a quantidade de RAM instalada no computador. É possível otimizar o uso da memória virtual dividindo o espaço entre várias unidades e especialmente removendo-a de unidades mais lentas ou muito acessadas.

IV. Um backup diário é aquele que copia somente os arquivos alterados desde o último backup incremental e marca os arquivos como tendo sofrido backup.

Indique a opção que contenha todas as afirmações verdadeiras.

Com o objetivo de "prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações", a norma NBR/ISO 27002 recomenda os controles apresentados a seguir, EXCETO:

Com o objetivo de evitar que um usuário seja vítima de um ataque como o descrito no texto 4A3-I, foram propostas as seguintes ações.

I Conectar-se a redes wi-fi públicas somente quando exigirem senhas para acesso.

II Certificar-se de que as comunicações na Internet sejam criptografadas por meio de protocolos como TLS.

III Usar serviços de VPN para aumentar a segurança de privacidade das comunicações na Internet.

IV Observar e considerar advertências de programas navegadores sobre sítios potencialmente inseguros.

Com o modelo definido pelo ITIL, a responsabilidade de
definir as políticas de uma empresa a partir de um modelo
reconhecido é determinada pela norma de segurança do
modelo COBIT (control objectives for information and
related technology).

Para que haja segurança da informação, as ameaças devem ser identificadas e devem ser tomadas medidas de segurança para se reduzir o risco ou a probabilidade de ocorrerem incidentes.

Os proxies instalados em computadores servidores que não permitem a comunicação direta entre uma rede e a Internet são firewalls de