Teste1: Segurança de TI

Juliana Jenny Kolb

Home > Simulados on-line  > Questões de Concursos > Tecnologia da Informação (TI) Segurança de TI

Teste1: Segurança de TI

Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.

Results

#1. (CESPE/UnB – TCDF/ANAP – 2014) A política de segurança da informação de uma organização deve ser elaborada de acordo com os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações relevantes.

#2. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

#3. (CESPE/UnB – TCDF/ANAP – 2014) A assinatura digital é gerada por criptografia assimétrica mediante a utilização de uma chave pública para codificar a mensagem.

#4. (FCC – SEFAZ/SP/2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A estratégia de processo, ou seja, o ciclo de atividades, para a gestão da segurança adotada na norma, é conhecida como ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

#5. (CESPE/UnB – TCDF/ANAP – 2014) A técnica de criptografia de chave única utiliza a mesma chave para criptografar e descriptografar uma mensagem.

#6. (FCC – SEFAZ/SP/2013) Considere a implantação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a NBR ISO 27001. A primeira etapa do processo é estabelecer o SGSI, que inclui, dentre outras atividades, ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

#7. (CESPE – SERPRO/2013) Entre os documentos que fazem parte da documentação de um SGSI, estão incluídas a declaração da política do SGSI, o escopo do SGSI e o plano de tratamento de risco. ? A documentação do SGSI deve incluir: a) declarações documentadas da política e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos; e) o relatório de análise/avaliação de riscos; f) o plano de tratamento de riscos; g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) registros requeridos por esta Norma; i) a Declaração de Aplicabilidade.

#8. (CESPE/UnB – TCDF/ANAP – 2014) A lista de certificados revogados (LCR) de uma infraestrutura de chaves públicas deve ser emitida pela autoridade certificadora, que também é responsável por emitir e gerenciar certificados digitais.

#9. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

#10. (CESPE – SERPRO/2013) Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos, que é importante para a preparação da declaração de aplicabilidade. ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

#11. (CESPE – SERPRO/2013) Para assegurar que o SGSI continua conveniente com a realidade da organização, a direção deve analisá-lo em intervalos planejados. ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ... "

#12. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

#13. (VUNESP – TCE-SP/2015) No que tange à segurança da informação, a segregação de funções é uma qualidade do sistema que atua para

#14. (TRE/MA-IESES/2015) Além da função de identificar digitalmente seu portador, uma assinatura digital é útil para garantir o não-repúdio. Em uma mensagem, isso significa que:

#15. (TRE/MA-IESES/2015) Heartbleed (CVE-2014-016) foi o nome dado a uma recente falha na biblioteca OpenSSL, empregada para fornecimento de criptografia em inúmeros serviços de rede, como servidores web e de bancos de dados. Essa falha, que ficou famosa e foi bastante difundida no meio jornalístico, consiste em o atacante conseguir obter uma mensagem:
I. Menor do que o esperado para a funcão heartbeat da biblioteca OpenSSL.
II. Maior do que o esperado para a funcão heartbeat da biblioteca OpenSSL.
E, consequentemente, conseguir ler informações sensitivas como logins e senhas:
III. Cifradas na área de memória do servidor vulnerável.
IV. Decifradas na área de memória do servidor vulnerável.
São corretas as afirmações:

#16. (TRE/MA-IESES/2015) Se uma cifragem baseia-se no uso de uma chave simétrica de 10 bits, além de podermos considerar a sua segurança como sendo “muito fraca”, qual é a chance de um atacante quebrá-la na primeira tentativa de adivinhação?

#17. (TRE/MA-IESES/2015) Um atacante mal-intencionado obteve uma única vez acesso físico ao computador de sua vítima. Ele aproveitou a oportunidade para instalar um programa capaz de gravar todas as teclas que o usuário pressiona em seu teclado e outro programa para conseguir uma cópia dessa gravação remotamente, através da internet. A classificação específica dos dois programas instalados pelo atacante são, respectivamente: ? Keyloggers: capturam e armazenam as teclas digitadas no computador infectado. Assim, as informações de um e-mail ou senhas bancárias, por exemplo, correm riscos. Backdoor: é, na verdade, uma porta de entrada para malwares. “Porta dos fundos” – traduzindo literalmente – são falhas no sistema operacional ou em aplicativos que permitem que crackers tenham controle remoto sobre o equipamento infectado.

#18. (FCC – DPE-RS/2017) Para cuidar da folha de pagamento e obrigações trabalhistas da empresa onde trabalha, um funcionário precisa se identificar digitalmente para receber procurações dentro do canal “Conectividade Social ICP” da Caixa Econômica Federal. Para isso, adquiriu um tipo de Certificado Digital e-CPF que pode ser gerado em um cartão inteligente ou token, com validade de três anos. O Certificado Digital adquirido foi do tipo 

#19. (IESES-TRE-MA/2015) Algumas práticas comuns na auditoria de TI incluem o uso de evidências. É correto afirmar que são exemplos de evidências:

#20. (IESES-TRE-MA/2015) Existem motivações para a realização de um trabalho de auditoria de TI (Tecnologia da Informação). É correto afirmar quanto aos motivos para realização de uma auditoria:

#21. (IESES-TRE-MA/2015) Em algumas situações, o auditor precisa conduzir testes para avaliar controles de TI e recolher evidências. Quais são exemplos de situações em que isso ocorre:

#22. (FCC – INFRAERO/2011) A modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no Sistema de Gestão de Segurança da Informação (SGSI), incluindo mudanças de processos de negócio que afetem os requisitos de negócio existentes, constitui-se em elemento de

#23. (FCC – SEFAZ/SP/2013) A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de

#24. (FUNCAB – SESACRE/2014) Na segurança da informação, são exemplos de um elemento malicioso e de um elemento de defesa, respectivamente: ? Cavalo de Tróia – Trojan Horse: são softwares projetados para serem recebidos como “presentes”, um cartão virtual, por exemplo. Porém, além de executar as funções para as quais foram programados, eles executam outras sem o conhecimento do usuário. Firewall: solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas.

#25. (FCC – SEFAZ/SP/2013) Um dos recursos básicos utilizados na segurança da informação é a criptografia que tem como objetivo assegurar a

#26. (CESPE/UnB – TCDF/ANAP – 2014) Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco.

#27. (CESPE/UnB – TCDF/ANAP – 2014) No contexto de continuidade de negócio, a análise de impacto de negócio visa melhorar proativamente a resiliência da organização contra possíveis impactos na organização bem como melhorar a capacidade da organização para atingir seus principais objetivos.

#28. (CESPE/UnB – TCDF/ANAP – 2014) O princípio da disponibilidade refere-se aos cuidados quanto à forma como a informação será acessada, de modo que apenas os usuários devidamente autorizados possam utilizá-las.

#29. (CESPE/UnB – TCDF/ANAP – 2014) Para que ocorra análise de riscos, é necessário que todos os controles de segurança existentes nas normas técnicas sejam implementados no ambiente tecnológico.

#30. (CESPE/UnB – TCDF/ANAP – 2014) A classificação dos ativos de informação em graus de sigilo constitui precondição para se definir os requisitos de tratamento e de proteção a eles aplicáveis.

Ver Resultado

Deixe uma resposta