De acordo com a ISO/IEC 27005:2008, as opções completas para tratamento do risco são: mitigar (risk reduction),
Analise as seguintes afirmações relacionadas à emissão de relatórios de auditoria de sistemas de informação.
I. Um relatório de auditoria deverá ser emitido exclusivamente nos padrões da empresa realizadora da auditoria.
II. Um relatório de auditoria deverá apontar riscos em que a empresa incorre em decorrência das fraquezas apontadas.
III. Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção.
IV. Um relatório de auditoria deverá fazer um apontamento de prazos para implementações de medidas ou plano de ações.
Indique a opção que contenha todas as afirmações verdadeiras.
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "auditores". Após várias consultas com respostas corretas, em um determinado momento, um usuário pertencente ao grupo "auditores" acessa o sistema em busca de uma informação e recebe, como resposta à sua consulta, uma informação completamente diferente da desejada. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à
Analise as seguintes afirmações relacionadas a Auditoria de Sistemas.
I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área.
II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis.
III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil.
IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente.
Indique a opção que contenha todas as afirmações verdadeiras.
FCC•
Para responder às questões de 31 a 50, considere
que os aplicativos devem ser reputados sempre na
originalidade da versão referenciada e não quaisquer
outras passíveis de modificação (customização,
parametrização, etc.) feita pelo usuário. Quando
não explicitados nas questões, as versões dos
aplicativos são: Windows XP edição doméstica
(Português), Microsoft Office 2000, SGBD MS-SQL
Server 2000 e navegador Internet Explorer 8.
Mouse padrão destro.
NÃO é um requisito de segurança da informação a
O avanço tecnológico influenciou a evolução dos sistemas de informação nas empresas e, concomitantemente, de seus componentes e das tecnologias a eles associadas. Como exemplo dessas modificações, identificam-se, sequencialmente no tempo, do mais antigo para o mais atual, os seguintes sistemas, tecnologias e componentes:
Analise as seguintes afirmações relativas aos conceitos de Segurança da Informação:
I. Cofidencialidade é a propriedade de manutenção do sigilo das informações. É uma garantia de que as informações não poderão ser acessadas por pessoas não autorizadas.
II. Irretratabilidade é a propriedade de evitar a negativa de autoria de transações por parte de usuários, garantindo ao destinatário o dado sobre a autoria da informação recebida.
III. Autenticidade é a proteção da informação contra acessos não autorizados.
IV. Isolamento ou modularidade é a garantia de que o sistema se comporta como esperado, em especial após atualizações ou correções de erro.
Estão corretos os itens:
Considere um sistema no qual existe um conjunto de informações disponível para um determinado grupo de usuários denominados "auditores". Após várias consultas com respostas corretas e imediatas, em um determinado momento, um usuário pertencente ao grupo "auditores" acessa o sistema em busca de uma informação já acessada anteriormente e não consegue mais acessá-la. Neste caso houve uma falha na segurança da informação para este sistema na propriedade relacionada à
A política de segurança e auditoria em sistemas de informação devem descrever processos contínuos que garantam a confidencialidade, a integridade e a disponibilidade da informação, de acordo com a característica do negócio e as necessidades da instituição. Em caso de ocorrência de um incidente de segurança, um conjunto de ações deve ser executado para retornar à estabilidade o sistema afetado. A esse conjunto de ações dá-se o nome de
Uma séria ameaça a lojas virtuais, serviços de armazenamento de arquivos na nuvem, serviços de e-mail, provedores de Internet, dentre outros, é um tipo de ataque que visa a impedir usuários legítimos de acessarem determinado serviço. Esse tipo de ataque torna os sistemas de computador inacessíveis, inundando servidores, redes e inclusive sistemas de usuário final com tráfego basicamente inútil, provindos de um ou diferentes hosts contaminados reunidos para esse fim, causando indisponibilidade do alvo, fazendo com que os usuários reais não consigam acessar o recurso pretendido. Essa ameaça é conhecida como
Thiago, administrador de uma rede, acaba de receber uma ligação de um diretor dizendo que ele excluiu acidentalmente um arquivo importante do servidor de arquivos que roda o sistema operacional Windows XP. O diretor está precisando desse arquivo imediatamente, pois irá utilizá-lo em uma apresentação que será realizada no dia seguinte. Hoje é quinta-feita e o arquivo foi criado há três semanas atrás. Sabe-se que um backup diferencial é executado todas as noites, exceto na sexta-feira, às 22h, quando é feito um backup completo. O backup de cada dia é gravado em uma fita separada, a qual é rotulada com o dia em que foi executado. O diretor acredita que tenha excluído o arquivo ontem pela manhã. O arquivo foi modificado pela última vez na segunda-feira e não foi acessado no final de semana. Assumindo que o diretor esteja correto, a cópia mais recente do arquivo pode ser encontrada apenas nas fitas de backup de
FCC•
Sobre criptografia, é correto afirmar:
Um Sistema de Informação Gerencial (SIG) tem como função
Um equipamento de rede ou um software rodando em um servidor que tem por objetivo filtrar os dados que vêm da Internet para a rede interna e vice-versa, fazendo com que a empresa ou o usuário tenha todo o controle. Trata-se da definição de
FCC•
Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação. Convém que sejam levadas em consideração e implementadas as seguintes diretrizes para perímetros de segurança física, quando apropriado:
I. os perímetros de segurança devem ser claramente definidos e a localização e capacidade de resistência de cada perímetro devem depender dos requisitos de segurança dos ativos existentes no interior do perímetro, e dos resultados da análi- se/avaliação de riscos.
II. os perímetros de um edifício ou de um local que contenha instalações de processamento da informação devem ser fisicamente sólidos (ou seja, o perímetro não deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasão).
III. seja implantada uma área de recepção, ou outro meio para controlar o acesso físico ao local ou ao edifício; o acesso aos locais ou edifícios deve ficar restrito somente ao pessoal autorizado.
IV. devem ser construídas barreiras físicas, onde aplicável, para impedir o acesso físico não autorizado e a contaminação do meio ambiente.
Está correto o que se afirma em
Na segurança física são preceitos importantes, EXCETO:
FGV•
Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado
FCC•
Sobre os firewalls, é correto afirmar:
Considere o seguinte pseudocódigo que está sendo elaborado para um algoritmo criptográfico, no qual message é o texto de entrada.


Sobre este algoritmo é INCORRETO afirmar que