Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Segurança de TI
Teste 5: Segurança de TI
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Results
#1. (FCC – Prefeitura de Teresina-PI/2016) Considere as informações abaixo sobre tipos de ameaças. I. Falha de segurança no sistema operacional ou em aplicativos que permite o acesso ao computador sem ser detectado pelo Firewall. II. Aplicativo que faz o download e exibe anúncios e propaganda na tela do computador sem solicitar autorização. III. Aplicativos simples que são instalados no computador sem o conhecimento do usuário e que alteram o sistema para permitir ataques posteriores. Os tipos de ameaças são, respectivamente,
#2. (IF-PE – IF-PE/2016) “A rede de computadores do Hollywood Presbyterian Medical Center, em Los Angeles (EUA), foi “sequestrada” por um grupo de hackers, que pede um resgate no valor de US$ 3,6 milhões (cerca de R$ 14,4 milhões). A fiança é cobrada em troca da descriptografia do sistema e dos arquivos do hospital, que estão há mais de uma semana offline. Em entrevista à rede norte-americana de televisão NBC LA, o presidente do hospital, Allen Stefanek, disse ter decretado uma emergência interna. Segundo ele, os sistemas da sala de emergência da entidade foram afetados. Alguns pacientes foram transportados para outros hospitais devido ao incidente. Em outras partes do hospital, computadores essenciais para várias funções – incluindo tomografia computadorizada – estão off-line. Até que o processo de investigação realizado pela polícia de Los Angeles e pelo FBI seja finalizado os funcionários recorrem a aparelhos de fax e telefone. Os registros médicos estão sendo realizados em papel. Sobre o tipo de ataque realizado, é CORRETO afirmar que ele pode ser classificado especificamente como
#3. (IF-PE – IF-PE/2016) Assumindo que o ataque realizado é conhecido, e que possui as seguintes características: I. Utiliza um algoritmo de criptografia simétrico. II. A mesma chave é utilizada para criptografar todos os arquivos. III. O tamanho/comprimento em bits da chave é igual ao tamanho padrão do algoritmo de criptografia utilizado, ou na ausência de um tamanho padrão, é adotado o menor tamanho permitido pelo algoritmo. Dentre os algoritmos apresentados a seguir, é CORRETO afirmar que o algoritmo simétrico mais difícil de ser quebrado pela polícia de Los Angeles, que utiliza as técnicas de criptoanálise e força-bruta para descobrir a senha, é
#4. (IESES – BAHIAGÁS/2016) Códigos maliciosos (Malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. Com relação a este assunto são realizadas as seguintes afirmações: I. Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. II. Um Vírus de script é escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário. III. Um cavalo de troia é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do keylogger, ou seja, se propaga automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. Em relação a estas afirmações, assinale a alternativa correta:
#5. (FUNRIO – IF-BA/2016) Os sistemas de detecção e prevenção de intrusão vem se tornando cada vez mais importantes na área de segurança de redes de computadores, na medida em que auxiliam na prevenção de ataques que podem explorar brechas em Firewall e antivírus. Os tipos mais comuns de intrusão são Evasão, Inserção, Negação de Serviços e Varredura de Portas. São exemplos de ataques de negação de serviço que podem ser detectados por ferramentas de detecção de intrusão:
#6. (FCC – TRT – 15ª Região/2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006, considere: I. Segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. II. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. III. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. IV. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. </br> </br>
Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, INDICANDO UMA POSSÍVEL violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. </br> </br>
Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. </br> </br>
Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
#7. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.
#8. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. Devido a questões econômicas, a norma em questão não cobre empresas de pequeno porte. ? ... "Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos)." ... "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza."
#9. (CESPE – ANATEL/2014) Na norma ISO 27001, recomenda-se que, no contexto da ação preventiva, a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas.
#10. (CESPE – TCE-SC/2016) Considerando a NBR ISO 27001, o modelo de gestão e as características do negócio de uma organização não devem ser considerados na elaboração das políticas de segurança da informação, uma vez que os recursos afetados por essas políticas estão relacionados à área de TI. ? "Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. "
#11. (CESPE – TRE/RJ/2012) O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI. ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#12. (CESPE – TRE/RJ/2012) Com base na norma ABNT NBR ISO/IEC 27001, A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma. ? "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. "
#13. (FCC – TRT 6ª/2012) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para
#14. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. Entre os controles referentes ao gerenciamento de acesso do usuário, tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado, o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.
#15. (CESPE – BASA/2012) Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação. ? Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem cobrir todos os requisitos de segurança da informação relevantes.
#16. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura.
#17. (FCC – CNMP/2015) A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que: Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as …… e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos. Corresponde corretamente à lacuna:
#18. (FCC – ELETROSUL/2016) Considere que na Eletrosul o acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação. Assim, convém ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Convém que o processo inclua os seguintes requisitos:
a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação;
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )
#19. (CESPE – TRE-MS/2013) Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a
#20. (CESPE – CNJ/2013) Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Testes de interrupção e recuperação em planos de continuidade? Fala sério … </br> </br>
17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação ( ) </br>
Definição: “”Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.” </br> </br>
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )
#21. (FCC – TJ-AP/2014) O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é “assegurar que a informação receba um nível adequado de proteção”. Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e I. dos requisitos legais. II. da sensibilidade. III. da criticidade para a organização. IV. do seu tamanho. Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
Versão 2005:
“Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção … ”
Versão 2013:
“Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.”
Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )