Após uma interrupção não prevista de energia em um datacenter, um dos servidores com Windows Server 2008 R2 foi fisicamente danificado. Embora houvesse um servidor fisicamente idêntico ao danificado e existisse um backup dos arquivos e pastas comprometidos, a equipe de TI dispendeu muito tempo para instalar o Windows Server 2008 R2 no novo computador e instalar programas de aplicação que existiam no computador original, antes de restaurar os arquivos e pastas. Sobre esse processo de restauração é correto afirmar que
De acordo com a ISO27001, norma que define os requisitos de um sistema de gestão de segurança da informação, não faz parte do processo de identificação dos riscos:
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas. Relacione as colunas e marque a alternativa CORRETA:
Coluna I 1. Política de senhas 2. Política de backup 3. Política de privacidade: 4. Política de confidencialidade 5. Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP)
Coluna II
(___) define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. (___) também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. (___) define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. (___) define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. (___) define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
Coluna I 1. Política de senhas 2. Política de backup 3. Política de privacidade: 4. Política de confidencialidade 5. Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP)
Coluna II
(___) define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. (___) também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas. (___) define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. (___) define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. (___) define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários.
A respeito de mecanismos de segurança da informação, julgue os itens seguintes.
Um conjunto de colaboradores que atua em uma mesma organização exercendo funções semelhantes deve fazer uso de senhas compartilhadas, dado cada colaborador exercer sua função visando o alcance de objetivo comum ao conjunto.
Um conjunto de colaboradores que atua em uma mesma organização exercendo funções semelhantes deve fazer uso de senhas compartilhadas, dado cada colaborador exercer sua função visando o alcance de objetivo comum ao conjunto.
A respeito da gestão de segurança da informação, julgue o item subsequente.
A fim de melhorar a interoperabilidade de dados, as informações compartilhadas entre organizações devem manter a mesma classificação e rotulação.
A fim de melhorar a interoperabilidade de dados, as informações compartilhadas entre organizações devem manter a mesma classificação e rotulação.
Cassio pretende obter certificado digital para sua empresa. Ele obteve informações que o ICP-Brasil oferece duas categorias de certificados digitais com quatro tipos cada uma. Ele foi informado, também, que a categoria A é direcionada para fins de identificação e autenticação enquanto a categoria S é direcionada a atividades sigilosas. Como cada um dos quatro tipos definem os modos pelos quais as chaves são geradas (hardware ou software), o tamanho em bits da chave, seu meio de armazenamento e o período de validade, após análise dos custos contra os benefícios, ele optou pela combinação A4 e S4 com as seguintes características geração das chaves feita por
O usuário deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cópias de segurança:
- Que informações realmente importantes precisam estar armazenadas em minhas cópias de segurança?
- Quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas?
- O que aconteceria se minhas cópias de segurança fossem furtadas?
Baseado nas respostas para as perguntas anteriores, assinale a alternativa que apresenta um cuidado a ser observado por um usuário comprometido com a segurança dos dados.
- Que informações realmente importantes precisam estar armazenadas em minhas cópias de segurança?
- Quais seriam as consequências/prejuízos, caso minhas cópias de segurança fossem destruídas ou danificadas?
- O que aconteceria se minhas cópias de segurança fossem furtadas?
Baseado nas respostas para as perguntas anteriores, assinale a alternativa que apresenta um cuidado a ser observado por um usuário comprometido com a segurança dos dados.
Com relação aos diversos aspectos de segurança de um sistema de informações, julgue os itens de 59 a 68.
O termo DMZ (demilitarized zone) é normalmente empregado para designar uma pequena rede, geralmente contendo um servidor web, situada entre a rede interna da organização e a rede pública. O tráfego para essa zona é controlado por meio de firewalls de forma a permitir que qualquer usuário externo tenha acesso à DMZ (serviço web), mas não à rede interna, e que usuários internos possam ter acesso à Internet.
Assinale a alternativa que indica corretamente o algoritmo de criptografa utilizado pelo protocolo WPA2.
Sobre os sistemas de detecção de intrusão é incorreto afirmar que:
Os aplicativos (softwares) utilizados para obter informações de forma indevida e/ou danificar arquivos existentes no computador são definidos como
O ______ é um malware que dispõe de mecanismos de comunicação com o invasor que permite que ele seja controlado remotamente.
Assinale a alternativa que completa CORRETAMENTE a lacuna.
Assinale a alternativa que completa CORRETAMENTE a lacuna.
Durante uma investigação de um incidente de segurança, constatou-se que o seguinte código estava embutido em um determinado website:
Considere as afirmações abaixo sobre esse código.
I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um dispositivo.
II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.
III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).
IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a dados da memória de um servidor web.
V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes utilizada pelo usuário.
Quais estão corretas?
Considere as afirmações abaixo sobre esse código.
I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um dispositivo.
II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.
III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).
IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a dados da memória de um servidor web.
V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes utilizada pelo usuário.
Quais estão corretas?
Identifique as afirmativas corretas a respeito da Certificação digital.
1. A operação de emissão do certificado envolve duas entidades: Autoridade responsável (AR) e Autoridade correspondente (AC).
2. É um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma pessoa ou entidade a uma chave pública.
3. Um certificado digital normalmente apresenta as seguintes informações de seu titular: nome da pessoa ou entidade a ser associada à chave pública, período de validade do certificado, chave pública, nome e assinatura da entidade que assinou o certificado e número de série.
Assinale a alternativa que indica todas as alternativas corretas.
1. A operação de emissão do certificado envolve duas entidades: Autoridade responsável (AR) e Autoridade correspondente (AC).
2. É um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa uma pessoa ou entidade a uma chave pública.
3. Um certificado digital normalmente apresenta as seguintes informações de seu titular: nome da pessoa ou entidade a ser associada à chave pública, período de validade do certificado, chave pública, nome e assinatura da entidade que assinou o certificado e número de série.
Assinale a alternativa que indica todas as alternativas corretas.
O técnico administrador da rede local de computadores (LAN) instalou um Firewall do tipo filtragem de pacotes para melhorar a segurança na LAN. Esse tipo de Firewall é capaz de
Segundo a Norma ISO 27002:2005, convém que a proteção contra códigos maliciosos seja baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para isso, essa norma prescreve que várias diretrizes sejam consideradas, sendo uma delas
Em termos das questões relacionadas à política de segurança e auditoria é correto afirmar que
Dentre as diversas pragas virtuais, uma delas se chama Keylogger. Assinale a alternativa que descreve um funcionamento desta praga:
A assinatura digital permite comprovar a autenticidade e a integridade de uma informação. Baseia-se no fato de que apenas o dono conhece a chave privada e que, se ela foi usada para codificar uma informação, então apenas seu dono poderia ter feito isto. A verificação da assinatura é feita com o uso da chave pública, pois se o texto foi codificado com a chave privada, somente a chave pública correspondente poderá decodificá-lo. Na assinatura digital com utilização da criptografia de chaves assimétricas, a codificação é feita sobre
A maior parte dos problemas que ocorrem em relação à segurança da informação é gerada por pessoas que tentam obter algum tipo de benefício ou causar prejuízos às organizações. Para garantir a segurança adequada em uma organização, as seguintes medidas de segurança devem ser aplicadas, EXCETO