GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Em relação à criticidade e vulnerabilidade do objeto de proteção, assinale a alternativa correta.
· A A criticidade de um objeto de proteção é alterável, independentemente das medidas físicas de segurança (MFS) adotadas.
· B A vulnerabilidade é a escala de medida que determina quão perigosa, penosa, desfavorável ou crítica é uma situação ou operação, face à natureza de partes do objeto de proteção.
· C A vulnerabilidade pode ser manipulada em função da qualidade e quantidade das MSF adotadas, isto é, quanto maior e melhor for a aplicação de MSF na proteção de um OP, menor será seu grau de exposição a riscos.
· D A criticidade é condicionadora das medidas físicas de segurança (MSF) que serão adotadas, sendo alterada em função da qualidade ou quantidade das MSF que possam ser adotadas.
· E A criticidade é, em suma, o grau de suscetibilidade de um objeto de proteção a riscos ou perigos, em função da sua autonomia.
Recentemente, foi divulgada uma grave vulnerabilidade no protocolo de comunicação WPA2, e na sua versão mais antiga, a WPA1. A vulnerabilidade foi descoberta por Mathy Vanhoef, pesquisador da Universidade de Leuven, na Bélgica, com pós-doutorado em segurança da informação. Segundo Vanhoef, sistemas que utilizam a ferramenta “wpa_supplicant” para negociação das chaves de criptografia em redes WPA e WPA2 estão mais vulneráveis, por exemplo Android (versão 6.0+) e Linux. A essa vulnerabilidade foi dado o nome de
· A KRACK (Key Reinstallation Attacks).
· B WCrack (WPA Crack).
· C WBFA (WPA Brute Force Attack).
· D WSF (WPA Supplicant Fail).
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
· A Wireshark.
· B Burp Suite.
· C Netstat.
· D Packet Tracer.
Sobre os conceitos e definições de vulnerabilidades, ameaças e riscos, julgue os itens abaixo, e assinale a alternativa correta.
· A Um spyware tem a capacidade de, ao infectar o computador, criptografar os documentos e, posteriormente, solicitar pagamento para liberação dos arquivos.
· B Ransomware espiona o que é feito no computador, coleta dados de teclas pressionadas, hábitos de navegação e até informações de login.
· C O Trojan Horse, ou "Cavalo de Troia", criptografa todos os arquivos e solicita pagamento para liberação do computador.
· D Um Adware tem a finalidade de prejudicar o funcionamento do computador, ele se autorreproduz e apaga arquivos e registros importantes do sistema operacional.
· E A propagação de um worm pode ocorrer sem o controle da vítima. Assim que o computador é infectado, o programa malicioso cria cópias de si mesmo.
Em segurança da informação a Técnica dos Incidentes Críticos (TIC) é utilizada para
· A a análise de riscos.
· B o controle do risco.
· C a continuidade dos serviços.
· D o resgate da operação da organização.
· E a recuperação pós falhas.
Um exemplo de tipo de ataque a uma aplicação Web é baseado na inclusão de código malicioso no servidor, onde as requisições realizadas pelos usuários são respondidas utilizando fontes de dados não confiáveis. Exemplos de consequências desse tipo de ataque podem ser: o encaminhamento do usuário a um site malicioso; roubo da sessão de usuário etc. Nesse cenário, marque o item que corresponde à vulnerabilidade abordada.
· A SQL Injection.
· B Cross-Site Scripting.
· C Exposição de Dados Sensíveis.
· D Falta de Função para Controle do Nível de Acesso.
· E Utilização de Componentes Vulneráveis Conhecidos.
Em segurança da informação a Técnica dos Incidentes Críticos (TIC) é utilizada para
· A a análise de riscos.
· B o controle do risco.
· C a continuidade dos serviços.
· D o resgate da operação da organização.
· E a recuperação pós falhas.
A gestão de riscos envolve a identificação dos riscos que possam afetar o negócio da organização, assim como suas formas de tratamento.
Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma das possíveis formas de tratamento dos riscos é:
· A eliminação de todos os riscos para garantir a segurança da organização;
· B manutenção de um plano de continuidade de negócios único para a organização;
· C transferência dos riscos associados para outras partes;
· D fomentação dos riscos para tratá-los e aprender a evitá-los;
· E desconsideração dos requisitos e das restrições operacionais.
[...] é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
HINTZBERGEN, J. et al. Fundamentos de Segurança da Informação. Rio de Janeiro: Brasport, 2018.
A definição apresentada refere-se ao conceito de
· A exposição.
· B salvaguarda.
· C vulnerabilidade.
· D risco.
· E integridade.
De acordo com a norma NBR ISO/IEC 31000:2018, a avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessária ação adicional que pode levar a uma decisão de
· A calcular os prejuízos.
· B eliminar algum tipo de controle.
· C manter os objetivos.
· D modificar os controles existentes.
· E fazer mais nada.
A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.
De acordo com essa norma, a atividade de análise de riscos inclui
· A a comunicação e a avaliação de riscos.
· B o tratamento e a aceitação de riscos.
· C a estimativa e o tratamento de riscos.
· D a avaliação e o tratamento de riscos.
· E a identificação e a estimativa de riscos.
" ?>
·  Gabarito
Comentado
Um sistema de gestão de segurança da informação (SGSI) deve identificar os riscos de um sistema, analisar e avaliar esses riscos e, com base nessas análises, identificar e avaliar opções para tratar esses riscos. Uma ação recomendada para mitigar riscos é
· A transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.
· B desligar todos os sistemas indefinidamente.
· C instalar softwares de empresas terceirizadas sem verificação.
· D aceitar os riscos consciente e objetivamente, mesmo que não satisfaçam às políticas da organização e aos critérios de aceitação de riscos.
· E ignorar os riscos.
Técnica utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído. Essa técnica de ataque é conhecida pela sigla:
· A SQL Injection
· B XSS
· C DDoS
· D Flood
Um usuário mal-intencionado enviou um e-mail para o diretor de uma empresa, muito semelhante aos enviados pelo banco, com o intuito de coletar informações pessoais. Esse tipo comum de ataque é conhecido como
· A negação de serviço (DoS).
· B flooding.
· C força bruta.
· D phishing.
· E spoofing.
 
Em Segurança Web, é bastante comum confundir o ataque de XSS (Cross-site Scripting) com o ataque de CSRF (Cross-site Request Forgery).
A diferença entre esses ataques está na
· A forma como os navegadores reconhecem o payload: no XSS o payload é reconhecido como código JavaScript puro, enquanto no CSRF, o navegador o reconhece como uma imagem codificada em Base64.
· B linguagem utilizada: o XSS utiliza um JavaScript, enquanto o CSRF utiliza Java puro.
· C maneira de executar o payload: o XSS utiliza um script no navegador web, enquanto o CSRF utiliza qualquer solicitação que execute um verbo HTTP GET ou POST para completar alguma ação válida na aplicação web.
· D origem do ataque: no XSS,o ataque tem sua origem na rede interna, enquanto no CSRF, o ataque tem origem na rede externa.
Maria, do setor de Contabilidade da Security10, relatou que recentemente recebeu uma mensagem eletrônica sobre um seguro de vida que ela não solicitou, mas a mensagem provém do banco no qual ela tem conta. O conteúdo da mensagem trazia um link para o contrato do seguro com as informações gerais da apólice e um outro link para a geração do boleto a ser pago. Ao clicar em qualquer um dos links, era exibida uma página do banco requisitando os dados da conta, incluindo a senha para operações online. Tudo parecia legítimo, mas ao tentar prosseguir, sempre dava uma mensagem para tentar novamente. Nesse caso, Maria foi vítima de um ataque de
· A Phishing.
· B SPAM.
· C Malware.
· D Adware.
Não há garantia de que uma vítima possa interromper um ataque de ransomware e recuperar seus dados. No entanto, alguns métodos podem funcionar, como, por exemplo,
· A reiniciar o computador no modo de segurança e remover o arquivo ransomware.dat do computador.
· B reiniciar o computador no modo de segurança, instalar e executar um antivírus e restaurar o computador a um estado anterior não infectado.
· C reiniciar o computador a partir de um pen drive de boot do sistema operacional.
· D executar um antivírus imediatamente após a mensagem de resgate dos dados ser exibida.
· E usar o comando mbr, no prompt de comando do Windows, para reconstruir o registro de pastas e arquivos do disco.
Um ataque em redes de computadores foi identificado como sendo o SYN Flood, pois caracterizava-se por
· A esgotar a capacidade de resposta do servidor-alvo pelo envio de muitas requisições PING.
· B inundar o servidor com pacotes UDP SYN para bloquear o acesso ao servidor.
· C esgotar os recursos de buffer de comunicação do servidor-alvo pelo envio de vários TCP SYN.
· D inundar os roteadores com tráfego de pacotes ICMP SYN inutilizando-o.
· E esgotar a banda da rede de computadores com a inundação de pacotes TCP.
Um Auditor recebeu uma mensagem de e-mail, aparentemente de seu banco, com um link para verificar a existência de uma dívida de cartão de crédito não paga. Preocupado com a situação, clicou no link e forneceu os dados de seu cartão de crédito para pagar a suposta conta. Dias depois percebeu na fatura do seu cartão que foram feitas diversas compras online em sites de comércio eletrônico na Internet. A situação descrita permite concluir que esse Auditor foi vítima de
· A rot.
· B backdoor.
· C worm.
· D phishing.
· E ransomware.
No que tange à segurança da informação, julgue o seguinte item.
Os princípios fundamentais da segurança da informação incluem confidencialidade, integridade e disponibilidade. Os níveis de segurança para executar esses princípios em cada organização são os mesmos, considerando-se os objetivos e requisitos de negócio e de segurança.
·  Certo
·  Errado
A organização tida como referência para o estabelecimento de boas práticas na área da segurança computacional, sendo inclusive mantenedora de um framework para cibersegurança que inclui padrões, diretrizes e melhores práticas para gerenciar o risco relacionado a esse tema é a
· A ITU-T (Telecommunication Standardization Sector)
· B ISO (International Organization for Standardization).
· C TCP/IP (Transmission Control Protocol/Internet Protocol).
· D NIST (National Institute of Standards and Technology).
Um programa de segurança deve seguir os três princípios de segurança conhecidos como CIA. Quais são esses princípios?
· A Confidencialidade, interação e artifícios
· B Confidencialidade, integridade e disponibilidade
· C Montagem, infalibilidade e segurança
· D Contenda, inatividade e arguição
· E Concretude, inerência e disponibilidade
O hexagrama Parkeriano é um conjunto de seis elementos da segurança da informação, que foi proposto por Donn B. Parker. Quais são os seis atributos do hexagrama Parkeriano?
· A Confidencialidade, posse, integridade, autenticidade, disponibilidade e utilidade.
· B Proporção, início, captura, diretório, tributo e liderança.
· C Ataque, risco, desapropriação, cabeamento, bridge e rede
· D Risco, dificuldade, padrão, emparelhamento, mainframe e produção.
· E Gerenciamento, ajuste, backup, cenário, testes e adoção.
Considere que, em determinado sistema, um dado é armazenado em um disco de rede, não no disco rígido local.
Trata-se de uma medida de
· A confidencialidade.
· B vulnerabilidade.
· C integridade.
· D disponibilidade.
· E ameaça.
Para implantar a segurança da Informação na Secretaria da Fazenda, um Auditor deverá considerar a tríade de atributos fundamentais, ou base, da segurança da informação, que são:
· A Autenticidade, Confidencialidade e Integridade.
· B Autoridade, Autenticidade e Confidencialidade.
· C Confidencialidade, Integridade e Disponibilidade.
· D Autenticidade, Confidencialidade e Disponibilidade.
· E Integridade, Disponibilidade e Irretratabilidade.
O responsável por classificar a informação no processo de classificação da informação deve ser o
· A proprietário do ativo da informação.
· B gerente de apoio operacional.
· C gerente de auditoria.
· D diretor de TI.
· E gestor de TI.
Acerca do sistema de gestão de segurança da informação (SGSI), é correto afirmar que ele
· A não inclui estrutura organizacional.
· B tem foco em remover quaisquer riscos do negócio.
· C não inclui processos.
· D analisa criticamente a segurança da informação.
· E lida diretamente com riscos de problemas de saúde dos desenvolvedores.
 
Em relação aos conceitos de classificação de informações, julgue o item subsequente.
Uma informação que se torne pública pode perder sua classificação, mesmo que tenha sido anteriormente considerada crítica ou sensível.
·  Certo
·  Errado
De acordo com a NBR ISO/IEC n.º 27001:2013, a alta direção de uma organização deve demonstrar liderança e comprometimento em relação ao sistema de gestão da segurança da informação. Para isso, ela deve
I assegurar que a política de segurança da informação seja compatível com a direção estratégica da organização.
II comunicar a importância da conformidade com os requisitos do sistema de gestão da segurança da informação.
III analisar criticamente os códigos quanto ao uso de técnicas de programação segura.
IV orientar pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação.
Estão certos apenas os itens
· A I e II.
· B I e III.
· C III e IV.
· D I, II e IV.
· E II, III e IV.
A norma ABNT NBR ISO/IEC 27001:2013, no que tange à coleta de evidências no processo de gestão de incidentes de segurança da informação, indica, como controle, que
· A incidentes e evidências de segurança da informação devem ser documentados em um repositório não público, acessível a todos os colaboradores autorizados.
· B os conhecimentos obtidos da análise e resolução de incidentes de segurança devem ser usados para contornar incidentes sem gravidade e identificar evidências que não são claramente identificadas.
· C incidentes de segurança devem ser documentados e disponibilizados para todos os colaboradores de TI da instituição, incluindo as evidências relacionadas a estes incidentes.
· D a organização deve definir e aplicar procedimentos para identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.
· E a responsabilidade na coleta de evidências deve ser atribuída a todos os colaboradores da área de TI, para assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança.
A Norma ABNT NBR ISO/IEC 27001:2013 provê requisitos para orientar organizações que desejam implantar um sistema de gestão de segurança da informação, e
· A pode ser usada somente por partes internas da organização para avaliar sua capacidade em atender aos seus próprios requisitos de segurança da informação.
· B não inclui requisitos para avaliação e tratamento de riscos de segurança da informação, mas indica a norma que orienta sobre este assunto.
· C apresenta requisitos genéricos que podem ser aplicáveisa todas as organizações, independentemente do tipo, tamanho ou natureza.
· D possui diversos requisitos nas seções que tratam do contexto da organização (seção 4) e melhoria (seção 10) que podem ser ignorados mesmo por organizações que buscam conformidade com esta Norma.
· E possui anexo “Referência ao conjunto de potenciais riscos de segurança da informação” que estão necessariamente alinhados com a Norma ABNT NBR ISO/IEC 27002:2018.
A Norma ABNT NBR ISO/IEC 27001:2013 provê requisitos para orientar organizações que desejam implantar um sistema de gestão de segurança da informação, e
· A pode ser usada somente por partes internas da organização para avaliar sua capacidade em atender aos seus próprios requisitos de segurança da informação.
· B não inclui requisitos para avaliação e tratamento de riscos de segurança da informação, mas indica a norma que orienta sobre este assunto.
· C apresenta requisitos genéricos que podem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.
· D possui diversos requisitos nas seções que tratam do contexto da organização (seção 4) e melhoria (seção 10) que podem ser ignorados mesmo por organizações que buscam conformidade com esta Norma.
· E possui anexo “Referência ao conjunto de potenciais riscos de segurança da informação” que estão necessariamente alinhados com a Norma ABNT NBR ISO/IEC 27002:2018.
Determinada organização pretende realizar uma mudança nos seus recursos de tecnologia da informação, criando ambientes diferentes para desenvolvimento, teste e produção de software, o que afetará a segurança da informação.
Considerando o disposto na NBR ISO/IEC 27001, assinale a opção que indica o controle que deve ser aplicado pela organização nessa situação.
· A registro de eventos
· B gestão de mudanças
· C gestão de capacidade
· D gestão de vulnerabilidades técnicas
· E restrições quanto à instalação de softwares
De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é definido na fase
· A analisar
· B estabelecer
· C implementar
· D manter
· E melhorar
De acordo com a NBR ISO/IEC 27001, é necessário assegurar que as partes externas e os funcionários que estejam ligados à organização entendam suas responsabilidades e fiquem aderentes à conformidade dos papéis para os quais foram selecionados. Nesse contexto, um treinamento de segurança da informação com a finalidade de conscientização deve ser aplicado
· A antes da fase de contratação.
· B durante a fase de contratação.
· C em eventual mudança de contratação.
· D no encerramento da contratação.
· E em processo disciplinar.
Assinale a opção que melhor descreve o princípio geral da norma ISO/IEC 27001.
· A Definir os procedimentos e tarefas adequados à mitigação de riscos no âmbito de um sistema de gestão de segurança da informação.
· B Definir os requisitos necessários para estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão de segurança da informação.
· C Estabelecer os papéis, responsabilidades e atuação dos profissionais de segurança da informação numa organização.
· D Orientar e alertar as organizações e seus respectivos profissionais em diversos aspectos relativos à gestão de segurança da informação.
· E Prover uma coleção de artefatos tecnológicos que permitam a identificação, avaliação e eliminação de ataques aos ativos de segurança da informação.