INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO - EEX0007 
 
 1. Ref.: 3907874 Pontos: 1,00 / 1,00
(Ano: 2020 Banca: FCM Órgão: Prefeitura de Contagem - MG Prova: FCM - 2020 - Prefeitura de Contagem - MG - Auditor
Fiscal)
Suponha que uma entidade R (remetente) deseja enviar uma mensagem m para outra entidade D (destinatário)
utilizando a internet. Para se comunicarem, R e D utilizam criptografia de chave pública. R+ e R são as chaves pública e
privada de R, respectivamente, e D+ e D- são as chaves pública e privada de D, respectivamente.
 
A partir dessa situação, avalie o que se afirma.
I - Se R utilizar D+ para criptografar m, então D poderá utilizar D- para decriptar m.
II - Se R utilizar R+ para criptografar m, então D poderá utilizar D- para decriptar m.
III - Se R utilizar R- para criptografar m, então D poderá utilizar R+ para decriptar m.
IV - Se R utilizar D- para criptografar m, então D poderá utilizar R+ para decriptar m.
Está correto apenas o que se afirma em:
 I e III
I e IV
III e IV
II e IV
II e III
 2. Ref.: 3907898 Pontos: 0,00 / 1,00
(Ano: 2010 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2010 - INMETRO - Pesquisador - Infraestrutura e
redes de TI)
Assinale a opção correta a respeito de segurança da informação, análise de riscos e medidas de segurança física e lógica
Em análises de riscos, é necessário levar em conta os possíveis ataques que podem ocorrer, contudo
desconsideram-se os possíveis efeitos desses ataques
 Analisar riscos consiste em enumerar todos os seus tipos, quais deles expõem a informação e quais as
consequências dessa exposição, bem como enumerar todas as possibilidades de perda direta e indireta
Como medida de segurança preventiva, utilizam-se controle de acesso lógico e sessão de autenticação
 As medidas de segurança se dividem em dois tipos: as preventivas e as corretivas
Como medida de segurança corretiva, utilizam-se firewalls e criptografia
 3. Ref.: 3907928 Pontos: 1,00 / 1,00
(UFRR - 2019 - UFRR - Técnico de Tecnologia da Informação) É um tipo de malware feito para extorquir dinheiro de sua
vítima. Esse tipo de ciberataque irá criptografar os arquivos do usuário e exigir um pagamento para que seja enviada a
solução de descriptografia dos dados da vítima. O scareware é seu tipo mais comum e usa táticas ameaçadoras ou
intimidadoras para induzir as vítimas a pagar.
O texto se refere ao:
Spam
Spyware
Botnet
 Ransomware
DDoS
 4. Ref.: 3907937 Pontos: 1,00 / 1,00
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907874.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907898.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907928.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907937.');
(FGV - 2014 - DPE-RJ - Técnico Superior Especializado - Desenvolvimento de Sistemas) Considere que uma equipe esteja
trabalhando num software web com severas restrições de segurança. Além dos desenvolvedores e analistas, essa equipe
conta com profissionais especialistas em segurança que têm, entre outras atribuições, a responsabilidade de realizar a
revisão dos códigos a fim de evitar vulnerabilidades. Se durante a etapa de desenvolvimento um revisor da equipe de
segurança detectar uma vulnerabilidade, é sua responsabilidade
Isolar o problema e solicitar que a equipe de desenvolvimento corrija a vulnerabilidade imediatamente
Corrigir o problema e relatar a vulnerabilidade à equipe de segurança
 Separar a vulnerabilidade e alertar a equipe de segurança para que o problema seja resolvido
Corrigir a vulnerabilidade, contatando os desenvolvedores que programaram o trecho de código vulnerável
Separar a vulnerabilidade, tratando o código com erro como mais um problema que requer correção
 5. Ref.: 3907899 Pontos: 0,00 / 1,00
Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
 
(...)
 b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco
da segurança da informação.
 
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a
justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles
do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de
Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como ¿Não-conformidade¿?
Não se aplica a esta norma.
Indica uma simples observação a ser feita.
 Sim
 Falta informação nessa checagem para classificar.
Não
 6. Ref.: 3907915 Pontos: 1,00 / 1,00
Selecione a opção que contenha apenas itens necessários para que um processo de logon seja considerado eficiente:
 Informar que o computador só deve ser acessado por pessoas autorizadas e evitar identificar o sistema ou suas
aplicações até que o processo de logon esteja completamente concluído.
Não registrar tentativas de logon sem sucesso, de modo a evitar o armazenamento de dados desnecessário.
Auxiliar o usuário sobre a correção de erros no logon, para facilitar a entrada do mesmo no sistema e, desse
modo, aumentar a sua produtividade.
Permitir que o usuário possa realizar tentativas de entrada no sistema até que ele consiga fazer o logon.
Data e hora de todas as tentativas de logon com sucesso.
 7. Ref.: 3883912 Pontos: 1,00 / 1,00
Complete a frase corretamente: ¿as funções de hash, por exemplo, são adequadas para garantir a integridade
dos dados, porque _______________¿
Utilizam algoritmos de criptografia de chave pública.
Geralmente podem ser calculadas muito mais rápido que os valores de criptografia de chave pública.
 Qualquer alteração feita no conteúdo de uma mensagem fará com que o receptor calcule um valor de hash
diferente daquele colocado na transmissão pelo remetente.
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907899.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3907915.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3883912.');
Fazem a troca de chaves na chave simétrica.
Usam chave única para criptografar e descriptografar a mensagem.
 8. Ref.: 3891962 Pontos: 1,00 / 1,00
Uma microempresa possui um nobreak convencional para seus computadores. Ele se situa em uma região com muita
instabilidade no fornecimento de energia elétrica. Na fase de processo de avaliação de riscos de seu sistema de GR, a
probabilidade de faltar energia elétrica por mais tempo do que o nobreak é capaz de suportar em termos de
fornecimento de energia, desligando seus computadores, foi categorizada como um risco sem tratamento. Tal risco é
denominado:
Comunicativo
 Residual
Perceptivo
Criterioso
Contextual
 9. Ref.: 3891971 Pontos: 1,00 / 1,00
Selecione a opção que se enquadra em um dos motivos pelos quais o Plano de Continuidade de Negócios (PCN) pode
precisar ser ajustado:
 Mudança nas funções e membros da equipe de continuidade de negócios.
A organização precisa fazer mudanças para demonstrar aos seus usuários e clientes que está se atualizando
constantemente.
As funções e responsabilidades são bem definidas.
Surgiu uma nova metodologia no mercado e, portanto, deve ser implementada imediatamente nas estratégias
atuais.
A avaliação e o teste das estratégias são eficazes.
 10. Ref.: 3891972 Pontos: 0,00 / 1,00
O Gerenciamento da Continuidade dos Serviços de Tecnologia Informação (GCSTI) é um processo essencial para que o
negócio possa voltar a operar com o suporte dos serviços de TI o mais rápido possível após a ocorrência de um cenário
de desastre. Selecione a opção que apresenta um possível desafio de desenvolvimento de um GCSTI:
Obter exemplos no mercado de casos de sucesso do desenvolvimento, da implantação e da aplicação da GCSTI.
 Criar um GCSTI quando não existirem planos de gerenciamentode continuidade de negócios.
Encontrar apoio profissional no mercado para dar suporte ao desenvolvimento da GCSTI.
 Obter referências para adoção das melhores práticas apropriadas em TI.
Justificar a importância do desenvolvimento da GCSTI.
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891962.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891971.');
javascript:alert('C%C3%B3digo da quest%C3%A3o: 3891972.');