Questões de Concursos

De acordo com as normas de segurança de TI, o desenvolvimento de SGSI abrange, em suas diversas fases, a definição de escopo e limites, a identificação de riscos, a execução de procedimentos de controle e monitoramento, a medição de eficácia de controles implantados, entre outros requisitos.

Durante uma reunião de projeto, um analista levantou novos requisitos para um sistema de vendas pela Web, que estava em produção, apresentados a seguir.

. As senhas dos usuários do site devem ser armazenadas criptografadas no banco de dados e, caso haja esquecimento da senha, o usuário deve solicitar o envio da mesma, descriptografada, para o seu e-mail, após confirmar informações pessoais.

. O servidor IIS (versão 6.0), no qual a aplicação está instalada, está ficando sem memória em função do grande número de acessos a um determinado aplicativo, afetando outros aplicativos.

.Os catálogos de produtos são feitos por uma empresa de design que envia, por e-mail, para o administrador do sistema, arquivos contendo fotos e descrições dos produtos que estão à venda no site, mas o nível de segurança desse processo deve ser aumentado por meio da utilização de um mecanismo que permita garantir que os arquivos recebidos pelo administrador sejam mesmo criados pela empresa de design. O analista propôs as iniciativas a seguir, atendendo a mesma ordem dos requisitos.

I - Utilizar uma função HASH para criptografar as senhas antes de salvá-las no banco de dados, sendo que, para recuperar a senha, será utilizado um algoritmo RSA que a descriptografe antes de ela ser enviada para o usuário.

II - Definir um número máximo de solicitações de kernel para o aplicativo, por meio do Gerenciador do IIS, de forma a impedir que um grande número de solicitações seja colocado em fila e sobrecarregue o servidor.

III - Deve ser utilizado um mecanismo de assinatura digital no qual a empresa de design assina digitalmente os arquivos gerados, utilizando uma chave privada, cabendo ao administrador do sistema, por meio de uma chave pública, verificar a autenticidade da assinatura.

Está(ão) correta(s) a(s) iniciativa(s)

Em termos de estratégias de backup, considere: I. A escolha do modelo de backup diferencial requer medição bem planejada da janela de tempo dispo- nível, que deve ser compatibilizada com o volume de dados estimado, pois o backup diferencial é substancialmente mais rápido que o total. Mas, à medida que o número de operações aumenta, o volume de dados a gravar também aumenta. Nas vésperas de um novo backup total, o volume de da- dos a gravar no modo diferencial pode ser quase tão grande quando no total. II. A restauração de arquivos no método diferencial é muito mais rápida que no método incremental, já que no diferencial basta o último backup total e o último backup diferencial, enquanto que nos incre- mentais tem que se recorrer ao último total e a todos os incrementais. III. A escolha entre backup incremental ou diferencial está relacionada com o volume de dados que dia- riamente é modificado, o que condiciona a dimen- são do sistema de armazenamento, a velocidade de gravação e o tempo disponível para a operação.

IV. No Oracle, a execução de um backup online >(hot backup) requer que o banco de dados esteja operando em noarchivelog mode e os datafiles em modo offline.

É correto o que consta em

Os protocolos AH (Cabeçalho de Autenticação) e ESP (Carga de Segurança de Encapsulamento) do IPsec proveem respectivamente:

No que se refere às estratégias para backup em ambientes de rede é correto afirmar que

As normas de segurança de TI determinam a realização de cópias de segurança, protegidas sempre por meio de encriptação, de todas as informações de usuários disponibilizadas na rede ou nos servidores cadastrados no SGSI da organização.

Com respeito às recomendações da norma NBR 27002:2005, considere:

I. São fatores críticos de sucesso da segurança da informação a provisão de conscientização, treinamento e educação adequados.

II. A segurança da informação é exclusivamente aplicável aos negócios do setor público e serve para proteger as infraestruturas críticas.

III. Se os funcionários, fornecedores e terceiros não forem conscientizados das suas responsabilidades, eles podem causar consideráveis danos para a organização.

Está INCORRETO o que consta em

Caso Júlio tenha obtido um certificado digital de uma autoridade certificadora, ele deve proteger esse certificado e mantê-lo em sigilo.

Em relação ao SIEM (security information and event management), julgue o item subsequente.

As ferramentas SIEM geralmente fornecem dois resultados principais: os relatórios, que agregam e exibem incidentes e eventos relacionados à segurança; e os alertas, que serão acionados se o mecanismo de análise da ferramenta detectar atividades que violam um conjunto de regras.

O smurf é um exemplo de vírus de macro que, por meio de ping, envia mensagens de broadcast para todas as máquinas de uma rede, sobrecarregando ou indisponibilizando os serviços.

De acordo com a ISO/IEC 27002:2005, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Uma possível opção para o tratamento do risco NÃO inclui

A Segurança da Informação deve ser tratada como um conjunto de mecanismos que garantam a continuidade dos serviços de TI. Nesse sentido, é correto afirmar que um sistema de segurança da informação tem como finalidade

Na criptografia de chave única ou simétrica, o tamanho da chave não é importante no processo de cifrar porque a segurança está embutida no ocultamento do código contra criptoanálise.