FGV•
O fundamento da segurança da informação que assegura que o
nível necessário de sigilo seja aplicado em cada elemento de
processamento de dados e que impede a divulgação não
autorizada de dados se chama:
STM•
Julgue o seguinte item, relativo a CSRF (cross-site request forgery), testes de invasão e segurança de aplicativos web.
Aplicações web que não implementam corretamente mecanismos de controle de sessão, como expiração de tokens e invalidação
de sessões inativas, tornam-se vulneráveis a sequestro de sessão (session hijacking), mesmo que utilizem HTTPS.
O OWASP Top 10 Controles Preventivos é uma lista de técnicas de segurança que devem ser incluídos em cada projeto de desenvolvimento de
software. Marque a opção correta que apresenta alguns destes controles.
FGV•
Um Analista da Procuradoria sabe que a segurança da informação
agrega benefícios para o seu setor e pode ser definida como uma
série de boas práticas focadas especialmente em garantir a
proteção dos dados da Prefeitura, a mitigação dos riscos e a
adequação às leis vigentes.
A esse respeito, relacione os pilares da segurança da informação listados a seguir às respectivas definições.
1. Confidencialidade.
2. Integridade.
3. Disponibilidade.
4. Autenticidade.
( ) Foca no fornecimento da informação, com base no princípio de que ela estará disponível sob demanda, conforme um acordo prévio, ou seja, nem sempre precisa estar disponível 24x7, podendo estar disponível apenas em uma janela de tempo.
( ) Visa assegurar que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade.
( ) Relaciona-se diretamente ao sigilo dos dados, tendo como princípio básico que as informações serão tratadas apenas pelas pessoas autorizadas a acessá-las, geralmente definidas pela política de “necessidade de conhecer”.
( ) Refere-se à a veracidade da informação durante todo o seu ciclo de vida, garantindo que permaneçam imutáveis, tanto em repouso quanto durante a transmissão.
A relação correta, segundo a ordem apresentada, é:
A esse respeito, relacione os pilares da segurança da informação listados a seguir às respectivas definições.
1. Confidencialidade.
2. Integridade.
3. Disponibilidade.
4. Autenticidade.
( ) Foca no fornecimento da informação, com base no princípio de que ela estará disponível sob demanda, conforme um acordo prévio, ou seja, nem sempre precisa estar disponível 24x7, podendo estar disponível apenas em uma janela de tempo.
( ) Visa assegurar que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade.
( ) Relaciona-se diretamente ao sigilo dos dados, tendo como princípio básico que as informações serão tratadas apenas pelas pessoas autorizadas a acessá-las, geralmente definidas pela política de “necessidade de conhecer”.
( ) Refere-se à a veracidade da informação durante todo o seu ciclo de vida, garantindo que permaneçam imutáveis, tanto em repouso quanto durante a transmissão.
A relação correta, segundo a ordem apresentada, é:
FGV•
Em relação ao tema “Segurança da Informação”, avalie as afirmativas a seguir.
I. Vírus anexam-se a arquivos executáveis para se propagar.
II. Firewalls podem impedir a saída não autorizada de dados sensíveis.
III. Anti-spywares focam apenas em roubo de senhas bancárias.
Está correto o que se afirma em
FGV•
Um analista da procuradoria sabe que existem muitas ameaças à
segurança da informação e que elas não se limitam ao ambiente
digital. Ele reconhece que pequenos hábitos e boas práticas no
local de trabalho são fundamentais para reduzir riscos de acesso
não autorizado, perda ou danos a informações expostas em mesas,
telas e outros espaços acessíveis.
Com relação aos conceitos da segurança da informação e à importância da política de mesa limpa e tela limpa, analise as afirmativas a seguir.
I. A integridade refere-se à garantia de as informações não serem alteradas, seja por agentes internos ou externos. Isso representa que a modificação das informações, maliciosa ou não intencional, prejudica a confiabilidade nos processos de procuradoria ou, até mesmo, de sua reputação. Portanto, é recomendado desligar os computadores quando não estiverem em uso ou desassistidos, em especial aqueles conectados na rede de dados da procuradoria.
II. A disponibilidade garante que uma informação esteja disponível a todo momento àqueles que são autorizados. Esse conceito depende diretamente da confidencialidade para atuar de forma correta. Portanto, é recomendado usar protetores de tela ativados por tempo e protegidos por senha, ou outros mecanismos de autenticação quando os computadores não estiverem em uso ou desassistidos.
III. A confidencialidade está ligada diretamente à privacidade dos dados. Nesse contexto, são englobadas todas as medidas que restringem o acesso a informações, a fim de evitar acessos não autorizados, espionagem e roubo de dados. Portanto, é recomendado posicionar os computadores de forma a evitar que pessoas não autorizadas consigam visualizar o conteúdo das telas e impressoras.
Está correto o que se afirma em:
Com relação aos conceitos da segurança da informação e à importância da política de mesa limpa e tela limpa, analise as afirmativas a seguir.
I. A integridade refere-se à garantia de as informações não serem alteradas, seja por agentes internos ou externos. Isso representa que a modificação das informações, maliciosa ou não intencional, prejudica a confiabilidade nos processos de procuradoria ou, até mesmo, de sua reputação. Portanto, é recomendado desligar os computadores quando não estiverem em uso ou desassistidos, em especial aqueles conectados na rede de dados da procuradoria.
II. A disponibilidade garante que uma informação esteja disponível a todo momento àqueles que são autorizados. Esse conceito depende diretamente da confidencialidade para atuar de forma correta. Portanto, é recomendado usar protetores de tela ativados por tempo e protegidos por senha, ou outros mecanismos de autenticação quando os computadores não estiverem em uso ou desassistidos.
III. A confidencialidade está ligada diretamente à privacidade dos dados. Nesse contexto, são englobadas todas as medidas que restringem o acesso a informações, a fim de evitar acessos não autorizados, espionagem e roubo de dados. Portanto, é recomendado posicionar os computadores de forma a evitar que pessoas não autorizadas consigam visualizar o conteúdo das telas e impressoras.
Está correto o que se afirma em:
De acordo com normatização internacional de referência,
dispositivos, pessoas e mecanismos que não atuem ativamente
em busca de incidentes de segurança da informação, mas que, no
decorrer de suas atividades, produzam sinal de possível incidente
que deva ser relatado ao CSIRT, compõem a
Considere que uma fragilidade descoberta por um fabricante de
tecnologia da informação tenha sido conhecida e informada aos
seus clientes. Acerca dessa situação hipotética e da gerência de
riscos, julgue o item subsequente.
Na situação hipotética apresentada, os fabricantes e os clientes são considerados partes interessadas.
Na situação hipotética apresentada, os fabricantes e os clientes são considerados partes interessadas.
FGV•
A segurança de dados em dispositivos móveis é cada vez mais
importante devido ao crescente uso deste tipo de dispositivos
para atividades pessoais e profissionais.
Correlacione as boas práticas ou tecnologias apresentadas a seguir com os respectivos riscos à segurança da informação que elas mitigam neste tipo de dispositivo.
1. Usar senhas fortes e biometria
2. Realizar atualizações regulares de software
3. Utilizar antivírus e antimalware
4. Evitar de usar redes Wi-Fi públicas não seguras
( ) Correção de vulnerabilidades de segurança conhecidas.
( ) Proteger contra ameaças conhecidas.
( ) Protege o acesso ao dispositivo.
( ) Evita ataques providos por servidores de rede não confiáveis, como DHCP, PROXY etc.
Assinale a opção que indica a relação correta, na ordem apresentada.
Correlacione as boas práticas ou tecnologias apresentadas a seguir com os respectivos riscos à segurança da informação que elas mitigam neste tipo de dispositivo.
1. Usar senhas fortes e biometria
2. Realizar atualizações regulares de software
3. Utilizar antivírus e antimalware
4. Evitar de usar redes Wi-Fi públicas não seguras
( ) Correção de vulnerabilidades de segurança conhecidas.
( ) Proteger contra ameaças conhecidas.
( ) Protege o acesso ao dispositivo.
( ) Evita ataques providos por servidores de rede não confiáveis, como DHCP, PROXY etc.
Assinale a opção que indica a relação correta, na ordem apresentada.
Analise as afirmativas abaixo quanto à segurança da informação.
I. Uma porta dos fundos (backdoor) é uma falha de segurança propositalmente introduzida por um programador ou invasor, permitindo acesso autorizado ao sistema, geralmente contornando verificações normais de autenticação e controle de acesso.
II. Um vírus é um programa que pode reproduzir-se anexando o seu código a outro programa, de maneira análoga à reprodução dos vírus biológicos. Uma vez instalado na máquina da vítima, o vírus fica dormente até o programa infectado ser executado.
III. Spyware é um software que, carregado sorrateiramente no PC sem o conhecimento do dono, executa no segundo plano fazendo coisas por trás das costas do proprietário. Alguns spywares mudam as configurações e desempenham outras atividades maliciosas e perturbadoras.
IV. Um programa que se autorreplica, chamado verme, que explora erros, como por exemplo acesso não autorizado a máquinas, e replica a si mesmo em segundos, mas, no entanto, não consegue se replicar em outras máquinas mesmo tendo acesso.
V. Spyware não deve ser confundido com adware, no qual vendedores de softwares legítimos (mas pequenos) oferecem duas versões do seu produto: uma gratuita com anúncios e uma paga sem anúncios.
Estão corretas apenas as afirmativas
I. Uma porta dos fundos (backdoor) é uma falha de segurança propositalmente introduzida por um programador ou invasor, permitindo acesso autorizado ao sistema, geralmente contornando verificações normais de autenticação e controle de acesso.
II. Um vírus é um programa que pode reproduzir-se anexando o seu código a outro programa, de maneira análoga à reprodução dos vírus biológicos. Uma vez instalado na máquina da vítima, o vírus fica dormente até o programa infectado ser executado.
III. Spyware é um software que, carregado sorrateiramente no PC sem o conhecimento do dono, executa no segundo plano fazendo coisas por trás das costas do proprietário. Alguns spywares mudam as configurações e desempenham outras atividades maliciosas e perturbadoras.
IV. Um programa que se autorreplica, chamado verme, que explora erros, como por exemplo acesso não autorizado a máquinas, e replica a si mesmo em segundos, mas, no entanto, não consegue se replicar em outras máquinas mesmo tendo acesso.
V. Spyware não deve ser confundido com adware, no qual vendedores de softwares legítimos (mas pequenos) oferecem duas versões do seu produto: uma gratuita com anúncios e uma paga sem anúncios.
Estão corretas apenas as afirmativas
Com relação à segurança da informação, julgue o item seguinte.
A integridade da informação, um dos pilares da segurança da
informação, visa garantir que a informação esteja disponível
a seus usuários, aos quais é conferido o acesso.
A característica do blockchain responsável por garantir a segurança das transações é conhecida como
FGV•
Com relação ao tratamento de incidentes, avalie se as afirmativas
a seguir são verdadeiras (V) ou falsas (F).
( ) Um incidente de página desfigurada representa grande risco pois envolve uma intrusão de difícil detecção e que pode levar a maiores prejuízos.
( ) Um incidente de DoS representa um vazamento grave de dados dos usuários, incluindo possivelmente dados de autenticação, o que deve ser prontamente informado aos usuários afetados.
( ) Ao ocorrer um incidente, o primeiro passo do seu tratamento é a triagem (ou classificação) e eventualmente resulta na notificação do incidente aos interessados.
As afirmativas são, respectivamente,
( ) Um incidente de página desfigurada representa grande risco pois envolve uma intrusão de difícil detecção e que pode levar a maiores prejuízos.
( ) Um incidente de DoS representa um vazamento grave de dados dos usuários, incluindo possivelmente dados de autenticação, o que deve ser prontamente informado aos usuários afetados.
( ) Ao ocorrer um incidente, o primeiro passo do seu tratamento é a triagem (ou classificação) e eventualmente resulta na notificação do incidente aos interessados.
As afirmativas são, respectivamente,
FGV•
O framework de cibersegurança do NIST (versão 2.0) é composto
por um core, perfis organizacionais e diversas camadas. As
camadas caracterizam o rigor das práticas de governança e gestão
de riscos de segurança cibernética de uma organização. Elas
fornecem contexto sobre como uma organização vê os riscos de
segurança cibernética.
A quantidade de camadas presentes no framework de cibersegurança do NIST é
A quantidade de camadas presentes no framework de cibersegurança do NIST é
Considere que uma fragilidade descoberta por um fabricante de
tecnologia da informação tenha sido conhecida e informada aos
seus clientes. Acerca dessa situação hipotética e da gerência de
riscos, julgue o item subsequente.
Constitui exemplo de critério de risco o fato de um fabricante de determinada tecnologia da informação desenvolver uma correção para eliminar a possibilidade de impacto de uma fragilidade informada previamente aos seus clientes.
Constitui exemplo de critério de risco o fato de um fabricante de determinada tecnologia da informação desenvolver uma correção para eliminar a possibilidade de impacto de uma fragilidade informada previamente aos seus clientes.
FGV•
Em um procedimento de análise forense de sistemas, foi solicitada
a análise de dados armazenados em notebook apreendido em
operação oficial de busca e apreensão.
A respeito do processo, analise as seguintes informações descritivas, documentadas sequencialmente:
I. No momento da operação, o computador estava desligado e foi armazenado de forma adequada após a retirada da bateria, tendo sido, posteriormente, realizada a cópia completa do disco do equipamento, conforme registro cronológico de toda a movimentação;
II. O processo de análise foi realizado no disco original, uma vez que a cópia obtida por duplicação “mídia para arquivoimagem” havia sido adequadamente armazenada no cofre, para preservação dos dados e da autenticidade;
III. A perícia foi realizada a pedido da autoridade competente, por servidora concursada plantonista, que é uma profissional experiente e capacitada, com formação de nível médio e portadora de Certificação em Computação Forense de instituição de elevada credibilidade.
Está correto o procedimento descrito em:
A respeito do processo, analise as seguintes informações descritivas, documentadas sequencialmente:
I. No momento da operação, o computador estava desligado e foi armazenado de forma adequada após a retirada da bateria, tendo sido, posteriormente, realizada a cópia completa do disco do equipamento, conforme registro cronológico de toda a movimentação;
II. O processo de análise foi realizado no disco original, uma vez que a cópia obtida por duplicação “mídia para arquivoimagem” havia sido adequadamente armazenada no cofre, para preservação dos dados e da autenticidade;
III. A perícia foi realizada a pedido da autoridade competente, por servidora concursada plantonista, que é uma profissional experiente e capacitada, com formação de nível médio e portadora de Certificação em Computação Forense de instituição de elevada credibilidade.
Está correto o procedimento descrito em:
Considere que uma fragilidade descoberta por um fabricante de
tecnologia da informação tenha sido conhecida e informada aos
seus clientes. Acerca dessa situação hipotética e da gerência de
riscos, julgue o item subsequente.
Uma ameaça conhecida e amplamente divulgada é considerada uma avaliação de riscos.
Uma ameaça conhecida e amplamente divulgada é considerada uma avaliação de riscos.
AOCP•
A auditoria de sistemas é um componente
importante na identificação de eventos
relacionados à segurança. O conceito de não
repúdio é um excelente aliado à auditoria, pois
visa garantir que um usuário não terá como negar
que uma transação foi realizada por ele. Qual das
abordagens a seguir implementa da melhor forma
o conceito de não repúdio?
FGV•
A confidencialidade, a autenticidade e a integridade constituem a
base da segurança da informação.
Considerando esses princípios, estabeleça a correlação entre cada
um deles e os protocolos ou algoritmos apresentados.
Princípios:
1. Confidencialidade
2. Autenticidade
3. Integridade Protocolos/Algoritmos:
( ) Kerberos
( ) 3DES (Triple Data Encryption Standard)
( ) SHA-1 (Secure Hash Algorithm 1)
Assinale a opção que indica a relação correta, na ordem apresentada.
Princípios:
1. Confidencialidade
2. Autenticidade
3. Integridade Protocolos/Algoritmos:
( ) Kerberos
( ) 3DES (Triple Data Encryption Standard)
( ) SHA-1 (Secure Hash Algorithm 1)
Assinale a opção que indica a relação correta, na ordem apresentada.
Um dos principais desafios para empresas que utilizam serviços
baseados na nuvem é a segurança dos dados. Uma estratégia
eficaz para a mitigação de riscos consiste em