Segurança da Informação Flashcards
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
Segundo a norma ISO/IEC 27001:2006, a organização deve elaborar uma declaração de aplicabilidade, detalhando os ativos dentro do escopo do SGSI e os seus proprietários, bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas.
( ) Certo
( ) Errado
(X) Errado
A Declaração de Aplicabilidade deve identificar os controles de segurança que são aplicáveis e justificá-los, com base no processo de avaliação de riscos e no contexto organizacional. No entanto, o enunciado da questão afirma que a SoA deve “detalhar os ativos dentro do escopo do SGSI e seus proprietários, bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas”.
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
De acordo com a norma ISO/IEC 27001:2006, a formulação de um plano de tratamento de riscos que identifique a ação apropriada, os recursos, as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.
( ) Certo
( ) Errado
(X) Certo
Dentro da ISO 27001, o ciclo PDCA (Plan-Do-Check-Act) é uma parte fundamental. Este modelo de ciclo contínuo é aplicado para a melhoria contínua do SGSI. Ao olharmos para a etapa “Do” desse ciclo no contexto da gestão de riscos, estamos falando da implementação e operação do SGSI conforme o que foi planejado. Isso inclui a formulação de um plano de tratamento de riscos, onde são identificadas as ações necessárias para enfrentar os riscos avaliados durante a fase de planejamento (“Plan”).
[CESPE/CEBRASPE] No que se refere a processos de desenvolvimento seguro de aplicações, julgue os itens subsecutivos.
O CLASP (Comprehensive, Lightweight Application Security Process) fornece uma taxonomia de vulnerabilidades que podem ocorrer no código-fonte e que podem ser verificadas com o uso de ferramentas automatizadas para análise estática de código.
( ) Certo
( ) Errado
(X) Certo
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI), devem-se identificar e avaliar as opções para o tratamento de riscos, cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização), bem como a possibilidade de transferência dos riscos para outras partes, como seguradoras e fornecedores.
( ) Certo
( ) Errado
(X) Certo
Aceitação consciente dos riscos: Isso significa que, após a identificação e a avaliação dos riscos, a organização pode optar por aceitar certos riscos. Essa aceitação deve ser feita de forma consciente, ou seja, com total entendimento das implicações, desde que esteja de acordo com as políticas estabelecidas dentro da organização. Esta abordagem é válida quando o custo de mitigar o risco é maior do que o impacto do risco em si.
Transferência dos riscos: Outra abordagem é a transferência dos riscos para outra parte, como seguradoras ou fornecedores. Isso não elimina o risco, mas compartilha a responsabilidade e o impacto financeiro com outras entidades externas.
[CESPE/CEBRASPE] O emprego sistemático de diversas técnicas de segurança da informação resolve, ou pelo menos atenua, boa parte das vulnerabilidades existentes nesse contexto. Entre as técnicas mais efetivas utilizadas para fornecer segurança da informação, incluem-se a criptografia, a esteganografia e as funções hash. A respeito de tais técnicas e do seu emprego adequado, julgue o item a seguir.
A esteganografia pode ser utilizada com o objetivo de disfarçar a existência de determinadas informações. Atualmente, a esteganografia utiliza o BMS (bit mais significativo) para embutir informações, o que degrada, contudo, a informação hospedeira, pois modifica seu conteúdo.
( ) Certo
( ) Errado
(X) Errado
O enunciado da questão afirma que a esteganografia utiliza o BMS (bit mais significativo) para embutir informações, o que degradaria a informação hospedeira. Essa afirmação contém um erro técnico. Na prática, a esteganografia utiliza o LSB (Least Significant Bit ou bit menos significativo) para ocultar dados. O uso do LSB é preferido porque altera muito pouco a informação original, fazendo com que as mudanças sejam praticamente imperceptíveis e, assim, não degrada significativamente o conteúdo hospedeiro.
[CESPE/CEBRASPE] A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se de difícil controle e aceitação.
( ) Certo
( ) Errado
(X) Certo
Primeiramente, é fundamental que a política de segurança seja aprovada pela administração da organização. Isso porque a administração tem a autoridade e responsabilidade para garantir que as diretrizes estabelecidas sejam seguidas por todos os membros da organização.
Além disso, uma vez aprovada, a política deve ser formalmente comunicada a todos os que devem cumpri-la. Esta comunicação formal garante que todos os colaboradores estejam cientes das normas e procedimentos a serem seguidos. Caso contrário, a aplicação da política torna-se difícil de controlar e aceitar, levando a potenciais falhas de segurança.
[CESPE/CEBRASPE] A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na gestão da segurança como um todo.
( ) Certo
( ) Errado
(X) Errado
Embora seja verdade que uma política de segurança deve ter um caráter conscientizador e participativo, isso não exclui a necessidade de definir sanções ou penalidades. Na realidade, o estabelecimento de sanções é uma prática recomendada para garantir que todos os membros da organização levem a política de segurança a sério. A ausência de penalidades poderia reduzir a eficácia da política, uma vez que não haveria consequências claras para o não cumprimento das normas estabelecidas.
[CESPE/CEBRASPE] A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.
( ) Certo
( ) Errado
(X) Errado
Uma política de segurança deve ser um reflexo não só do conhecimento técnico sobre segurança da informação dos profissionais, mas também deve considerar a cultura organizacional.
[CESPE/CEBRASPE] Para o Windows 95 e o Windows 98, removendo o registro e reiniciando o sistema, o usuário receberá uma mensagem indicando que o registro deve ser reparado e terá permissão para alterá-lo, podendo assim modificar o sistema.
( ) Certo
( ) Errado
(X) Errado
Portanto, a afirmação de que o usuário terá permissão para alterar o registro para modificar o sistema está incorreta. Na verdade, o sistema pode tentar repará-lo, mas se o registro estiver muito corrompido ou ausente, o sistema pode não funcionar corretamente, e o usuário pode não conseguir resolver isso sem ferramentas avançadas ou reinstalação do sistema.
[CESPE/CEBRASPE] Julgue o item abaixo, referente às técnicas de recuperação de arquivos apagados.
Cópias de segurança físicas armazenam dados, usando uma estrutura de diretório e permitem que os dados de arquivo sejam recuperados por sistemas heterogêneos. Salvar arquivos nesse formato é eficiente, pois não ocorre sobrecarga na tradução entre o formato do arquivo nativo e o formato de arquivamento.
( ) Certo
( ) Errado
(X) Errado
“Armazenam dados usando uma estrutura de diretório” – Sim, backups físicos geralmente mantêm a estrutura de diretórios do sistema original, o que facilita a restauração.
“Permitem que os dados de arquivo sejam recuperados por sistemas heterogêneos” – ❌ Nem sempre. Backups físicos são geralmente dependentes do sistema operacional ou do sistema de arquivos em que foram criados (ex: NTFS, EXT4, etc.). Isso limita a interoperabilidade com sistemas heterogêneos (Windows, Linux, macOS, etc.).
“Salvar arquivos nesse formato é eficiente, pois não ocorre sobrecarga na tradução entre formatos” – ❌ Isso é questionável:
Embora evite a tradução entre formatos (como ao fazer um backup lógico), backups físicos podem incluir dados irrelevantes (blocos não utilizados, estrutura de baixo nível), tornando o processo mais pesado e menos flexível.
Além disso, eles são menos portáveis e menos compatíveis com outros sistemas, ao contrário do que o item sugere.
[Foco no Concurso] Frequentemente, os usuários de Correio Eletrônico recebem mensagem contendo frases como “atualize seus dados bancários” ou, então “parabéns, você é o novo milionário”, cujo objetivo é capturar informações como senhas de banco e demais informações pessoais para utilizá-las de maneira fraudulenta. Esse tipo de crime, que cresce em ritmo acelerado, é chamado
a) Accounting
b) Backdoor.
c) Download.
d) Phishing.
e) Redirecting.
d) Phishing.
[Foco no Concurso] Julgue o item, relativo a procedimentos de segurança da informação, noções de vírus, worms e pragas virtuais e procedimentos de backup.
Um ataque de rootkit é semelhante a um ataque de phishing, já que ambos exploram vulnerabilidades do sistema, por meio da engenharia social, objetivando conquistar a confiança do usuário e, posteriormente, obter informações sensíveis.
( ) Certo
( ) Errado
(X) Errado
[Foco no Concurso] No que diz respeito aos conceitos de organização e de gerenciamento de arquivos, pasta e programas, aos aplicativos para segurança da informação e aos procedimentos de backup, julgue o item.
Os ativírus são capazes de eliminar phishing e spyware. Contudo, devido à sua rápida multiplicação no ambientem os rootkits não são identificados nem removidos pelos antivírus atuais.
( ) Certo
( ) Errado
(X) Errado
[Foco no Concurso] Leia cada uma das afirmativas abaixo e assinale Verdadeiro(V) ou Falso(F):
( ) Hoax é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição ou órgão governamental.
( ) Phishing é um tipo de fraude por meio do qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela combinação de meios técnicos e engenharia social.
( ) Malware é um tipo de vírus que se propaga, de forma automática, no computador infectado.
( ) Worm é uma praga virtual que diferente do vírus precisa da interação do usuário para se propagar.
a) F - F - F - V
b) V - V - V - F
c) V - F -V -F
d) V - V - F - F
e) V - V - V - F
d) V - V - F - F
