Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Segurança de TI
Teste 3: Segurança de TI
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Convém que a política leve em consideração os seguintes itens: </br> a) requisitos de segurança de aplicações de negócios individuais; b) política para disseminação e autorização da informação, por exemplo, o princípio “necessidade de conhecer” e níveis de segurança e a classificação das informações (ver 8.2); c) consistência entre os direitos de acesso e as políticas de classificação da informação em diferentes sistemas e redes; d) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços (ver 18.1); e) gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis; f) segregação de funções de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso; g) requisitos para autorização formal de pedidos de acesso (ver 9.2.1); h) requisitos para análise crítica periódica de direitos de acesso (ver 9.2.5); i) remoção de direitos de acesso (ver 9.2.6); j) arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das identidades do usuário e da informação de autenticação secreta; k) regras para o acesso privilegiado (ver 9.2.3). </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002:2013 ( ) Versão 2013: </br> 9.1.1 Política de controle de acesso ( ) </br> Informações adicionais </br> Convém que sejam tomados cuidados na especificação de regras de controle de acesso quando se considerar o seguinte: </br> a) estabelecer regra baseada na premissa de que “Tudo é proibido a menos que expressamente permitido” em lugar da regra mais fraca que “Tudo é permitido, a menos que expressamente proibido”; </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Correto: – SQL Injection: é uma classe de ataque onde o invasor pode inserir ou manipular consultas criadas pela aplicação, que são enviadas diretamente para o banco de dados relacional. O SQL Injection funciona porque a aplicação aceita dados arbitrários fornecidos pelo usuário (“confia” no texto digitado). Exemplo: Ataques pela tela de logon – A técnica mais simples de ataque que explora SQL Injection é a que “engana” o formulário login de uma aplicação. Errado: Smishing: significa o Phishing por SMS. O Smishing é semelhante ao phishing, uma vez que, uma mensagem com um elevado tom de urgência é enviado para o usuário para tomar medidadas na sua conta. É enviado uma mensagem de texto ao usuário do telefone ao invés de um email. Spywares/Grayware: é um programa que é instalado na máquina (normalmente com consentimento do usuário) e que realiza o monitoramento de seus hábitos ao utilizar a internet. Quando mascaram intenções maliciosas, passam a ser chamados de programas espiões. Keyloggers: capturam e armazenam as teclas digitadas no computador infectado. Assim, as informações de um e-mail ou senhas bancárias, por exemplo, correm riscos. Bluebugging: é o tipo de invasão que ocorre por meio de falhas de segurança em dispositivos Bluetooth. Com equipamentos de captura de sinal Bluetooth e aplicativos de modificação sem autorização, crackers podem roubar dados e senhas de aparelhos celulares ou notebooks que possuam a tecnologia habilitada. Para ler mais sobre o assunto, acesse: Ameaças e Métodos de Ataque ( )Results
#1. (CESPE – DPRF/2013) Para que se possa garantir a segurança da informação de uma corporação que disponibiliza aplicações na intranet, o acesso a essas aplicações deve ser restrito e exclusivo a seus funcionários, podendo, nessas circunstâncias, as aplicações serem acessadas por meio da Internet.
#2. (CESPE – TCE-PA/2016) Um ataque de negação de serviço é dificilmente detectado em ambientes de rede.
#3. (CESPE – TCU/2015) Um ambiente com alto nível de informatização e alta concentração de informações acessíveis por sistemas automatizados apresenta baixa vulnerabilidade técnica e baixa dependência de uma política de classificação de informações, que tem por objetivo identificar informações valiosas e assegurar um grau mínimo de proteção para essas informações.
#4. (CESPE – TCU/2015) Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas.
#5. (CESPE – TCU/2015) Entre as principais abordagens de construção dos sistemas IDS inclui-se a aplicação de métodos como redes neurais para aprendizagem do reconhecimento de padrões de intrusão.
#6. (FCC – TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que
?
"Análise crítica dos direitos de acesso de usuário: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. "
#7. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.
#8. (CESPE – CNJ/2013) A segurança física e do ambiente é descrita na norma ABNTN BR ISO/IEC 27001, que estabelece orientação para segurança dos cabeamentos de energia e de telecomunicações, destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou danos.
?
"Segurança do cabeamento: O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos."
#9. (CESPE – ANAC/2012) Para receber a certificação da NBR ISO/IEC 27001:2005, uma empresa deve possuir sistema de gestão de segurança da informação que contemple todos os controles preconizados e detalhados na referida norma.
?
"Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. "
#10. (FURB – ISSBLU/2015) Preocupado com uma questão importante de segurança na disponibilização de dados de uma empresa para seus representantes comerciais pela internet, um administrador de rede decidiu implantar o mecanismo de hashing SHA-1 em todas as transmissões de arquivos para:
#11. (CESPE – TRE/RJ/2012) Para um SGSI, a organização deve analisar criticamente as avaliações de riscos em intervalos planejados, os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração, entre outros itens, as mudanças relativas a eventos externos.
#12. (FURB – ISSBLU/2015) Quando se especifica a Segurança da Informação, não basta apenas implementar regras de bloqueio ao acesso externo à informação disponível da empresa, mas é preciso implementar concretamente técnicas que visem:
#13. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança, visto que são, por natureza, informações não confidenciais, ou seja, públicas.
#14. (CESPE – BASA/2012) O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.
?
"Manter e melhorar o SGSI - A organização deve regularmente: a) Implementar as melhorias identificadas no SGSI; b) Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização; c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder; d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. "
#15. (CESPE – BASA/2012) A responsabilidade pela implantação do SGSI cabe exclusivamente aos profissionais da área de TI; a direção da organização apenas acompanha o processo.
#16. (CESPE – TCU/2015) Se uma das atividades de uma organização for terceirizada, o risco e a responsabilidade legal dessa atividade migrarão para o fornecedor ou parceiro de terceirização, e a garantia de viabilidade dos planos de continuidade passará a ser responsabilidade da empresa contratada.
#17. (CESPE – TCU/2015) O fornecimento de informações públicas está condicionado à solicitação da pessoa interessada
#18. (CESPE – TCU/2015) No algoritmo AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim como a sequência de transformações para a decriptografia é a mesma para a criptografia, o que pode ser considerado uma vantagem, já que apenas um único módulo de software ou firmware é necessário para aplicações que exigem tanto criptografia quanto decriptografia.
#19. (FCC – TRT – 23ª REGIÃO (MT)/2016) De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#20. (CESPE – MPOG/2015) Quanto à abrangência, a norma ISO 27002 estabelece diretrizes e princípios gerais para gestão de segurança da informação incluindo a sua implantação, manutenção e melhoria.
#21. (CESPE – MPOG/2015) De acordo com a norma ISO 27002, convém que os acordos com terceiros que envolvam, por exemplo, processamento ou gerenciamento dos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevante, incluindo a possibilidade de indenização a terceiros.
#22. (CESPE – MPOG/2015) A norma ISO 27002 estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação.
#23. (CESGRANRIO – Petrobras/2014) A norma ISO 27002:2005, ao estabelecer regras para o controle de acesso, recomenda que o responsável por essa área leve em conta vários aspectos relacionados à segurança. Um técnico de informática, responsável por essa área, ao trabalhar em conformidade com essa norma, deve
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#24. (CESPE – TJ-SE/2014) No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI, uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização.
#25. (CESPE – TCU/2015) Confidencialidade é a garantia de que somente pessoas autorizadas tenham acesso à informação, ao passo que integridade é a garantia de que os usuários autorizados tenham acesso, sempre que necessário, à informação e aos ativos correspondentes.
#26. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser mantido inflexível, especialmente em relação ao contexto interno da organização.
#27. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. O documento de política de segurança da informação de uma empresa deve definir as políticas dessa área, com base nos objetivos do negócio, na legislação e na regulamentação pertinente.
#28. (FGV – IBGE/2017) O crescente avanço das tecnologias de informação e comunicação tem sido acompanhado de importantes preocupações sobre potenciais riscos de segurança e vulnerabilidades em aplicações web e móveis na Internet. O tipo de ataque de cibercriminosos que exploram, especificamente, falhas em sistemas que interagem com bases de dados é denominado:
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#29. (CESPE – TJ-SE/2014) No que se refere às políticas de segurança da informação, julgue os itens subsequentes, de acordo com a NBR ISO/IEC 27002. O documento de política de segurança da informação deverá conter a definição das responsabilidades gerais da gestão de segurança da informação. As responsabilidades específicas, como a gestão de incidentes de segurança da informação, devem ser contempladas em manuais de procedimentos.
#30. (FCC – TRT-11ª Região (AM e RR)/2017) Atualmente existem inúmeros tipos e variantes de malwares disseminados no universo da informática, como no caso dos diferentes tipos de Trojans (Cavalo de Troia). Nesse contexto, o Trojan que instala outros códigos maliciosos obtidos de sites na internet é denominado Trojan
