Segurança Da Informação Flashcards by Fabiana Bacon

Certo ou errado?

O gerenciamento de riscos diz respeito ao processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

No âmbito organizacional, a segurança da informação deve se vista como um processo responsável por tratar exclusivamente a informação pertencente a área de tecnologia.

Errado! Todas as áreas devem seguir isso.

How well did you know this?

Not at all

Perfectly

O sucesso de um programa de proteção da informação depende, em grande parte, do compromisso dos funcionários da empresa com o programa.
A política de mesa limpa e tela protegida, estipulada pela norma ISO 27002:2005, deve ser adotada para:

Prevenir acessos de usuários não autorizados e evitar o comprometimento e o roubo da informações e recursos.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

Estão entre os objetivos da segurança da informação a garantia da continuidade do negócio, a minimização dos riscos para o negócio e a maximização do retorno sobre os investimentos.

Certo!

How well did you know this?

Not at all

Perfectly

Segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. A segurança da informação é obtida:

A partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A política de segurança da informação de uma organização deve ser elaborada de acordo com
os requisitos relacionados ao negócio dessa organização e com as leis e regulamentações
relevantes.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

As características básicas da segurança da informação — confidencialidade, integridade e disponibilidade — não são atributos exclusivos dos sistemas computacionais.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A segurança da informação pode ser entendida como uma atividade voltada à preservação de princípios básicos, como confidencialidade, integridade e disponibilidade da informação

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

Certo!

How well did you know this?

Not at all

Perfectly

Segurança da Informação é um tema que se reveste atualmente de alta importância para os negócios. Um de seus aspectos mais relevantes está associado à capacidade do sistema de permitir que alguns usuários acessem determinadas informações e paralelamente impede que outros, não autorizados, a vejam. O aspecto abordado é denominado:

Confidencialidade

How well did you know this?

Not at all

Perfectly

Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no sincronismo do sistema de transmissão.

No contexto da segurança da informação, esse caso envolve o princípio da:

Integridade.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

Uma política de segurança da informação deve fornecer orientação e apoio da direção para a
segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para
todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então.

Errado!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A definição de requerimentos e objetivos de segurança
na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

Errado! A 27002 trata de boas práticas.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A ISO 17799 define diretrizes para certificação de que
uma organização está em conformidade à própria norma. Essa certificação é conferida por meio de uma
auditoria de terceira parte, nos moldes da ISO 19011.

Errado! Quem define isso é a 27001. (17799 é a 27002)

How well did you know this?

Not at all

Perfectly

Qual é o objetivo da Norma NBR ISO/IEC 27001?

Organizar os mecanismos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um sistema para gerência da segurança da informação (ISMS–Information Security Management System), sendo a norma usada como base para a
certificação em segurança da informação.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

ISO 27001 é uma especifcação para implementação de um
sistema de gestão de segurança da informação.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

ISO 27002 apresenta boas práticas para gestão da segurança
da informação.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

ISO 27003 é um guia para implementação de sistemas de
gestão de segurança da informação.

Certo!

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de
acesso.

Errado! Ele fala sobre as responsabilidades da direção.

How well did you know this?

Not at all

Perfectly

Certo ou errado?

A norma ISO 27001:2005 utiliza o modelo PDCA de
melhoria para estruturar todos os processos do SGSI.

Certo!

How well did you know this?

Not at all

Perfectly

O modelo aplicado para estruturar os processos
do Sistema de Gestão de Segurança da
Informação (SGSI), segundo a Norma ABNT NBR
ISO/IEC 27001:2006, é o:

PDCA

How well did you know this?

Not at all

Perfectly

A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações, ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e bombas lógicas. A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de conscientização dos usuários.

De posse dessas informações, o supervisor deverá escudar-se na norma ISO 27002:2005, seção de:

Controle de Acessos

How well did you know this?

Not at all

Perfectly

A gerência de determinado laboratório resolveu limitar o acesso às suas dependências por meio de portas com dispositivo de liberação a partir de uma característica física do usuário. Havia quatro tipos de equipamentos com tecnologias de biometria no mercado, a saber: retina, impressão digital, assinatura e íris. A primeira providência do gerente foi ordenar os tipos por seus potenciais de precisão intrínsecos, do mais preciso para o menos preciso.

Considerando-se o potencial intrínseco de cada tipo de tecnologia, como essas quatro tecnologias seriam ordenadas, da mais precisa para a menos precisa?

Retina, íris, impressão digital e assinatura

How well did you know this?

Not at all

Perfectly

As assinaturas digitais realizadas antes da revogação de um certificado digital podem continuar válidas após a expiração desse certificado. Que recurso pode garantir essa facilidade?

Carimbos de tempo

How well did you know this?

Not at all

Perfectly

O tipo de código malicioso que utiliza a rede como forma de disseminação, normalmente explorando vulnerabilidades em sistemas remotos, é chamado de

worm

Para comprovar a veracidade da assinatura digital de uma mensagem assinada pela entidade A com o algoritmo RSA, qual chave da entidade A a entidade B deve conhecer?

Pública

Por questão de segurança, é fundamental validar os certificados digitais. Dentre as etapas de validação, é importante verificar se o certificado está revogado pela Autoridade Certificadora (AC) que o emitiu. Para isso, é necessário consultar a lista de certificados revogados (LCR), publicada pela AC, e verificar se lá está listada(o) a(o) :

número de série do certificado

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. A Política de Segurança deve:

ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção. A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir. Essa lei altera os aspectos de classificação relacionados a critérios de:

Confidencialidade

A ISO 27002 estabelece que é conveniente que a tarefa de definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurando que ele está atualizado e no nível apropriado é de responsabilidade do:

proprietário do ativo

Certificados Digitais podem ser utilizados em um processo de comunicação segura. Esses certificados são expedidos e assinados por um terceiro confiável, denominado Autoridade Certificadora (CA – Certification Authority), o qual confirma a identidade do usuário ou host. O esquema de Certificados Digitais:

fornece um conjunto de dados confiável que atesta a associação de uma chave pública a um usuário final.

Os resultados da análise/avaliação de riscos ajudam a direcionar e determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento e para a implementação dos controles selecionados para a proteção contra esses riscos. De acordo com a ISO/IEC 27002:

convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e que inclua relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

Os sistemas criptográficos contemporâneos se valem do poder de processamento dos computadores para criar al- goritmos difíceis de quebrar. Essa mesma capacidade de processamento é uma das forças da criptoanálise. Nes-se contexto, um dos conceitos (princípio de Kerckhoffs) que prevalecem para certificar ou homologar algoritmos criptográficos é que eles devem ser tão bem construídos que sua resistência a ataques de criptoanálise não deve residir no sigilo do algoritmo, mas, unicamente, no segredo da(o):

chave

Os mecanismos de segurança da informação proporcionam a implantação de diferentes tipos de controle. Honeypot é exemplo de um recurso que pode implantar segurança por meio de controle:

lógico

Quais estão corretas? Considere as seguintes afirmativas sobre vírus de macro: I - Para que o vírus possa ser executado, o arquivo que o contém precisa ser necessariamente aberto. II - Arquivos nos formatos gerados por programas da Microsoft, como o Word, Excel, Powerpoint e Access, são os mais suscetíveis a esse tipo de vírus. III - Arquivos nos formatos RTF, PDF e PostScript são menos suscetíveis, mas isso não signiﬁ ca que não possam conter vírus.

I, II e III. Todas estão corretas.

Certo ou errado? O conceito de segurança da informação, além de implicar a integridade e a disponibilidade da informação, pode incluir, entre outras propriedades desta, a autenticidade e a confiabilidade.

Certo!

Certo ou errado? Os critérios de confidencialidade, integridade e disponibilidade tornam a informação compatível com os requisitos de segurança.

Certo!

De acordo com a NBR ISO/IEC 27001, integridade é:

a propriedade de salvaguarda da exatidão e completeza de | ativos.

Para os efeitos da Política de Segurança de Informações do Tribunal de Contas do Estado de Goiás, o princípio de segurança que garante a confiabilidade da informação, evitando que esta seja adulterada ou destruída sem a permissão de seu gestor denomina-se:

Integridade

Certo ou errado? Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.

bhbhbhjb

Certo ou errado? Riscos residuais referem-se aos riscos para os quais ainda não foram estabelecidos controles dentro do tratamento de riscos.

Errado!

Na NBR ISO/IEC 27001:2006, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:

Avaliar riscos.

Um risco de segurança pode ser considerado uma | função da ameaça em relação a:

impacto e probabilidade de ocorrência.

Na NBR ISO/IEC 27001:2006, o termo “declaração de aplicabilidade” refere-se a uma declaração documentada que descreve:

os objetivos de controle e controles que são pertinentes e aplicáveis ao Sistema de Gestão de Segurança da Informação da organização.

Certo ou errado? A declaração de aplicabilidade é um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP.

Errado, pois todos os controles estão na Norma.

Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a:

definição de escopo e limites do SGSI.

Segundo a norma ABNT 27001, os sistemas de gestão de segurança da informação (SGSI) devem estabelecer programas de conscientização e treinamento em segurança no processo de:

implementar e operar o SGSI.

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a:

planejar

Certo ou errado? A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

Certo!

Certo ou errado? O arcabouço de organização dos requisitos da norma NBR ISO/IEC 27001 deriva da família de normas ISO 9000, especialmente no que se refere à gestão de documentação.

Certo!

Certo ou errado? Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Deve ser incluída na documentação do sistema de gestão de segurança da informação a identificação dos colaboradores da empresa.

Errado!

Certo ou errado? A documentação de um SGSI é um item de grande importância no processo, pois contém informações sobre todo o processo. Essa documentação é composta, entre outras, pela declaração da política e dos objetivos do SGSI, de seu escopo e dos procedimentos e controles que apóiam o SGSI

Certo!

Para a NBR ISO/IEC 27001:2006, tem-se que um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Isto é um(uma):

Controle

Na NBR ISO/IEC 27002:2005, afirma-se que convém que o responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados seja o:

Proprietário do Ativo.

O diretor de uma loja de departamentos contratou uma empresa para desenvolver um projeto de segurança para sua loja virtual. Uma das fases desse processo é determinar quem e quais as funções que irão representar dentro do projeto. Nesse contexto, conclui-se que a loja virtual representa, dentro do projeto, o:

usuário

As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação ISO, a:

competitividade

As políticas de segurança da informação devem ser definidas pela equipe de segurança e estar alinhadas com os demais departamentos da empresa. Antes de definir as regras e as políticas de segurança, é preciso determinar, em relação ao projeto de segurança a ser implementado, a(o):

escopo, as prioridades e os objetos alvo de proteção.

Ao contratar uma empresa de tecnologia para criar novo software visando à otimização de seus negócios, a organização contratante exigiu que o software fosse desenvolvido de acordo com as regras definidas para a segurança da informação, porque uma boa política de segurança, entre outras normas, estabelece:

os princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais.

Uma forma de se evitar fraudes através de ataques conhecidos por man-in-the-middle é certificar-se que, quando acessar um site seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

apresente o cadeado fechado (obtenção da aprovação da | certificadora digital).

Certo ou errado? A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

Errada!

Certo ou errado? Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa o tráfego da rede e coleta dados sigilosos como senhas e endereços IPs.

Errado, esse é o Sniffing

Em um ataque efetuado a roteadores de filtragem de pacotes, o intruso transmite pacotes vindos de fora com um campo de endereço IP de origem contendo o endereço de um host interno. O atacante espera que o uso desse campo de endereço permita a penetração de sistemas que empregam segurança simples do endereço de origem, em que os pacotes de hosts internos confiáveis específicos são aceitos. O ataque descrito é conhecido como:

IP spoofing

Esse ataque caracteriza o de força bruta? A repetição automática de tentativas de acesso a um recurso protegido, com senhas criadas a partir de combinações aleatórias ou extraídas de listas prédefinidas.

Sim!

Certo ou errado? Um ataque de negação de serviço (DoS) não é uma invasão do sistema e objetiva tornar os recursos de um sistema indisponíveis para seus utilizadores. O ataque tenta indisponibilizar páginas hospedadas em servidores web e produz como efeito uma invalidação por sobrecarga.

Certo!

Um conjunto de computadores está sendo utilizado para tirar de operação um serviço de determinado órgão público. Essa situação configura o ataque do tipo:

DDoS

Ataques desse tipo buscam explorar a falta de tratamento dos dados de uma entrada do sistema. Desta maneira tenta-se injetar strings maiores que as permitidas com o objetivo de invadir certas áreas da memória. Este ataque permite inclusive injetar aplicações na máquina invadida, como backdoors, trojans e sistemas de controle remoto, como o VNC. O texto fala do ataque de:

Buffer Overflow.

Certo ou errado? Vírus é um programa de computador malicioso capaz de se propagar automaticamente por meio de redes, mas necessita ser explicitamente executado para se propagar.

Certo

Certo ou errado? Um worm pode realizar diversas funções maliciosas, como a instalação de keyloggers ou screenloggers, o furto de senhas e outras informações sensíveis, como números de cartões de crédito, a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alteração ou destruição de arquivos.

Errado.

Qual a principal diferença entre Worm e Vírus?

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao arquivo e necessita que o usuário ou sistema realize algum tipo de transporte deste arquivo para disseminá-lo.

Certo ou errado? Worms são programas que se espalham em uma rede, criam cópias funcionais de si mesmo e infectam outros computadores.

Certo!

Certo ou errado? A "oportunidade de atacar sistemas em tempo real e de utilizar a capacidade ociosa de máquinas contaminadas" para ataques, conforme referido no texto, pode ser explorada utilizando-se botnets, que são aplicativos de controle de computadores utilizados por criminosos virtuais.

Certo!

No dia 06 de agosto de 2009, o site Twitter ficou algumas horas fora do ar, após ser atingido por uma série de ataques de hackers, caracterizados por tentativas de derrubar o tráfego de rede, em que servidores são inundados por solicitações até saírem do ar, por esgotamento da capacidade de processamento. Um especialista em segurança da empresa Sophos creditou o ataque a algum hacker adolescente em seu quarto com acesso a uma enorme botnet. Cabe esclarecer que botnets são redes de computadores "zumbis", infectadas por códigos maliciosos, utilizados por hackers no tipo de ataque acima mencionado. As máquinas funcionam normalmente até o hacker enviar um comando remoto ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego. Esse tipo de ataque é conhecido pelo termo técnico:

Negação de Serviço

É um programa capaz de se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Dispõe de mecanismos de comunicação com o invasor, permitindo ser controlado remotamente. Tais são as caracterísitcas do:

bot

Certo ou errado? No phishing, diversas máquinas zumbis comandadas por um mestre fazem requisições ao mesmo tempo, gerando sobrecarga do recurso atacado, o que pode levar a máquina servidora a reiniciar ou a travar.

Errado, isso é DoS.

De tempos em tempos, observa-se na imprensa que sites ficam inoperantes. Os ataques conseguem derrubar o tráfego de rede, inundados por solicitações até saírem do ar, por esgotamento da capacidade de processamento. Os especialistas em segurança de redes e na internet creditam os ataques a algum hacker que utiliza as chamadas botnets, definidas como redes de computadores infectadas por códigos maliciosos. Nesses casos, as máquinas funcionam normalmente até que o hacker envie um comando remoto ordenando que todas acessem um site ao mesmo tempo, tirando-o do ar por excesso de tráfego. Esse tipo de ataque é conhecido pelo termo técnico:

Negação de Serviço.

Um usuário instalou, em determinada livraria que oferece acesso público à Internet por meio de computadores Windows, um keylogger em um dos computadores. Isso significa que:

estarão comprometidas as senhas digitadas por usuários nesse | computador.

Certo ou errado? Programas maliciosos do tipo RootKits são os mais perigosos, principalmente para usuários de Internet Banking, pois esses programas têm a função de capturar as teclas digitadas no computador.

Errado, isso é conceito de Keylogger.

Conforme as normas e melhores práticas de Segurança da Informação, uma ou mais pessoas podem ter responsabilidades definidas pela Segurança da Informação e elas podem delegar a outros usuários as tarefas dessa segurança. Em relação a essa situação, as normas e melhores práticas de Segurança da Informação recomendam que:

os responsáveis originais permanecem com a responsabilidade sobre as tarefas e devem verificar a execução delas.

A rede de telecomunicação segura que utiliza a Internet como sua principal estrutura (backbone), mas se baseia em seus próprios dispositivos de proteção (firewalls) e de segurança de suas conexões de Internet e de intranet e nos dispositivos de proteção das organizações participantes, é conhecida como:

Virtual Private Network - VPN.

Certo ou errado? A respeito do uso da tecnologia MPLS em situações nas quais se requer engenharia de tráfego, bem como o uso de VPN, julgue os itens a seguir. Na tabela de informações de VPN de camada 3, conhecida como virtual routing and forwarding (VRF), registram-se dados de prefixo IP. Em geral, as VRF são tabelas de roteamento dedicadas.

Certo!

Certo ou errado? Algumas técnicas de construção de túneis, nas quais se adota o conceito de redes privadas, utilizam MPLS. Acerca dessas técnicas, julgue os itens a seguir. Considera-se VPN MPLS uma tecnologia orientada a conexão, de acordo com os modelos comuns de VPN.

Errado, não é orientado a conexão!

Certo ou errado? Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados.

Certo!

Certo ou errado? O recurso VPN (virtual private network), utilizado para interligar de forma segura dois pontos através de um meio público como a Internet, pode fazer uso de IPSEC, que recorre ao ESP (encapsulating security payload) para manter a confidencialidade dos dados e à AH (authentication header) para garantir a integridade dos dados.

Certo!

Certo ou errado? O IPSEC é muito utilizado para o estabelecimento de VPN (virtual private network), pois consegue agregar recursos de confidencialidade ao IP (Internet protocol), utilizando o ESP (encapsulation security payload). Para o provimento de integridade dos dados, utiliza o IKE (Internet key exchange).

Errado!

Certo ou errado? Uma rede privada virtual: envia dados através da Internet, mas criptografa transmissões entre sites para garantir privacidade.

Certo!

O Backup de dados e das informações de um computador deve ser realizado considerando as particularidades do uso dos arquivos. Considerando que já foi realizado um Backup normal de uma pasta no início de um dia, a forma mais eficiente e rápida para realizar o Backup dos arquivos modificados daquela pasta, no mesmo dia, é por meio do Backup:

diferencial.

A restauração de dados pode utilizar diferentes tipos de backup, tais como diferencial, incremental e completo. A esse respeito, considere as afirmações a seguir. I - O backup incremental exige que antes seja realizado pelo menos um backup diferencial. II - Os backups completo e diferencial, em uso combinado, exigem apenas os conjuntos de backups diferenciais realizados desde o último backup completo. III - Os backups completo e incremental, em uso combinado, exigem o último backup completo e todos os conjuntos de backups incrementais realizados desde o último backup completo. Está correto APENAS o que se afirma em:

Somente III.

Sobre criptografia, considere: I. A criptografia simétrica é um tipo de criptografia que usa um par de chaves criptográficas distintas (privada e pública) e matematicamente relacionadas. II. A criptografia assimétrica é um tipo de criptografia que usa uma chave única para cifrar e decifrar dados. III. A chave pública está disponível para todos que queiram cifrar informações para o dono da chave privada ou para verificação de uma assinatura digital criada com a chave privada correspondente; a chave privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais. Está correto o que se afirma em:

III somente

Para garantir o sigilo em uma comunicação, um emissor pode enviar uma mensagem criptografada com um algoritmo de criptografia simétrica. Para que o receptor possa decifrar essa mensagem, é necessário obter a chave:

secreta do emissor que foi utilizada pelo algoritmo para cifrar a mensagem.

Na NBR ISO/IEC 27002:2005, afirma-se que convém que o responsável por assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados seja o:

Proprietário do ativo

Certo ou errado? O objetivo de controle Controles de Entrada Física estabelece que perímetros de segurança (barreiras, como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) devem ser utilizados para proteger as áreas que contenham informações e recursos de processamento da informação.

Errado, isso é o controle e não o objetivo do controle. Além disso, o controle descrito é o de perímetro.

A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. De acordo com a Norma, convém que seja levada em consideração, para a manutenção dos equipamentos, a seguinte diretriz:

Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.

Certo ou errado? A segurança de equipamentos descartados da organização segue as recomendações de outras normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma 27002.

Errado, está na norma!

Certo ou errado? Para reaproveitar as mídias de armazenamento que contenham dados sensíveis, é suficiente formatá-las usando a função padrão de formatar.

Errado!

Segundo a Norma 27002, o objetivo de garantir a operação segura e correta dos recursos de processamento da informação é atendido, dentre outros, pelo controle:

Segregação de funções

Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é proteger a:

Integridade do software e da informação.

Vulnerabilidades são as fraquezas presentes nos ativos de informação que poderiam ser exploradas, intencionalmente ou não, resultando na quebra de um ou mais princípios de segurança da informação. Com base nessa informação, analise os itens a seguir. I. Computadores são vulneráveis por serem construídos para troca e armazenamento de dados. Isto pode ser explorado por vírus, cavalos de troia, negação de serviço entre outros. II. As pessoas não são vulneráveis, pois não guardam informações relevantes para ataques aos ativos de informação. III. Os ambientes são suscetíveis de incêndios, enchentes, terremotos. IV. Poluentes diversos eventualmente podem danificar equipamentos e meios de armazenamento. Representam vulnerabilidades dos ativos de informação o que consta em:

I, III e IV.

Certo ou errado? Um funcionário desonesto é uma vulnerabilidade.

Errado, o funcionário desonesto é uma ameaça.

O ataque de negação de serviço (DoS) é uma tentativa de impedir que usuários legítimos de um serviço possam utilizá-lo. Uma forma clássica desse tipo de ataque é a(o):

inundação do alvo

A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de:

acesso físico.

Por política de segurança entende-se:

política elaborada, implantada e em contínuo processo de revisão, válida para toda a organização, com regras o mais claro e simples possível, e estrutura gerencial e material de suporte a essa política, claramente sustentada pela alta hierarquia.

As políticas, normas e procedimentos de segurança da informação:

devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes.

Muitas empresas desenvolvem seus próprios códigos de ética, que podem ser considerados como um conjunto de princípios destinados a orientar a tomada de decisão na organização. A disseminação do uso da TI e de suas aplicações, incluindo os sistemas de informação, criou diversos aspectos que devem ser considerados nesse contexto. Alguns autores estabelecem quatro categorias nas quais esses aspectos éticos podem ser classificados. Dentre essas categorias, encontram-se a privacidade e a acessibilidade. Exemplos de aspectos a elas relacionados são, respectivamente:

vigilância eletrônica dos empregados e política de acesso à informação

O que é risco?

Probabilidade de uma ameaça explorar uma vulnerabilidade com potencial impacto no negócio.

O keylogger é um software que pode armazenar as informações digitadas por um usuário num computador por ele infectado. Para aumentar a proteção dos seus clientes, alguns bancos que prestam serviços via Internet utilizam a tecnologia do teclado virtual, com recursos que reduzem a probabilidade de sucesso desses softwares. Nesse contexto, o software que armazena a posição do ponteiro do mouse no momento em que esse é acionado (clique) é, genericamente, conhecido como:

screenlogger

Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos estimados. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança da informação. É INCORRETO dizer que convém que a análise/avaliação de riscos:

defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos não podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização.

Um profissional de TI, diante da divulgação de inúmeras brechas de segurança da informação que existem, resolve buscar as melhores práticas de governança para o seu ambiente. Dessa forma, para garantir a segurança da informação, ele deve buscar atender principalmente aos seguintes aspectos:

confidencialidade, integridade e disponibilidade

Segundo a norma ISO 27002:2005, definir, alcançar, manter e melhorar são ações essenciais a serem tomadas na empresa pela:

gestão de segurança

Considere as afirmativas a seguir sobre segurança da informação. I Os softwares de segurança como ﬁrewalls e antivírus são o principal patrimônio de uma empresa, e os investimentos devem ser predominantes nesses produtos. II O plano de segurança da informação tem que contemplar os aspectos legais da informação, tais como propriedade intelectual e política de privacidade, entre outros. III O plano de segurança da informação é um processo que depende da visão estratégica do negócio e visa a proteger a rede interna de invasões indesejadas. É correto APENAS o que se afirma em:

II e III.

Para assegurar que o texto de sua mensagem não seja modificado antes de chegar ao destino, o responsável pela mensagem deve:

utilizar o recurso da assinatura digital.

Considerados pragas digitais, os rootkits são malwares que, ao se instalarem no computador alvo:

camuflam a sua existência e fornecem acesso privilegiado ao computador infectado.

Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve a cobrança, provando a irretratabilidade da ação realizada. Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à transação, a administradora provou pelo menos sua:

autenticidade e integridade

Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é:

prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida. PORQUE A interconexão de redes públicas e privadas e a tendência da computação distribuída aumentam a eficácia de um controle de acesso centralizado. Analisando-se as afirmações acima, conclui-se que:

a primeira afirmação é verdadeira, e a segunda é falsa.

Sobre segurança da informação, considere: I. Ameaça: algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, mediante a exploração de uma determinada vulnerabilidade. II. Vulnerabilidade: é medida pela probabilidade de uma ameaça acontecer e o dano potencial à empresa. III. Risco: ponto pelo qual alguém pode ser atacado, molestado ou ter suas informações corrompidas. Está correto o que se afirma APENAS em:

I apenas

O processo de autenticação de usuários é um método eficaz para proteger o acesso indevido de pessoas a computadores, sistemas operacionais, softwares, redes e ambientes físicos. Um sistema que utiliza um processo de forte autenticação deve verificar algo que o usuário sabe, algo que ele possui e algo que ele é. Para acessar o sistema, nessa ordem de verificação, um usuário legítimo deve fornecer os seguintes itens pessoais:

senha pessoal, token com a chave privada e digital

Uma forma de monitorar os programas que são executados em uma estação de trabalho, com respeito à alocação não autorizada das portas de rede, é configurar adequadamente um guardião idealizado para essa tarefa conhecido como:

firewall pessoal

Os worms (vermes) são códigos maliciosos que utilizam a rede como principal meio para replicação. O tipo de worm que se mantém como uma cópia única de si mesmo em qualquer ponto no tempo enquanto se transfere para hosts vizinhos na rede é conhecido como:

Rabbit

Certo ou errado? A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

Errado, os conceitos estão invertidos.

Certo ou errado? A definição de requerimentos e objetivos de segurança na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

Errado, a 27002 trata das boas práticas de segurança da informação.

A atividade de segurança da informação visa a proteger os valiosos recursos de informação de uma empresa através da seleção e aplicação de salvaguardas apropriadas, ajudando a atingir o objetivo do negócio ou sua missão. Nesse sentido, um programa de proteção da informação efetivo deve:

ir além da área de TI e da área de protocolo de documentos da empresa.

O processo de gerenciamento de risco se resume em identificar os riscos, avaliar a probabilidade dos riscos acontecerem e determinar os controles para:

reduzir os riscos identificados a um nível aceitável.

Maria envia, por e-mail, um arquivo criptografado com determinado algoritmo simétrico para João. Em outro e-mail, Maria envia, para João, a chave utilizada pelo algoritmo simétrico. Um usuário malicioso obtém acesso de leitura aos dois e-mails enviados e, com isso:

pode decriptar o arquivo original a partir da chave capturada.

Para interagir seguramente com determinados órgãos públicos federais, Maria adquiriu um certificado digital ICP-Brasil de pessoa física. Nesse certificado, NÃO consta a(o):

chave privada.

A norma ISO 27001:2005 utiliza o modelo _______ de | melhoria para estruturar todos os processos do _______.

PDCA e SGSI.

A norma ISO/IEC 27001:2006 trata:

do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.

Implementar e operar a política, os controles, os processos e os procedimentos do Sistema de Gestão de Segurança da Informação, segundo a norma ABNT 27001, são atividades associadas no modelo PDCA à fase:

O escopo e os limites do Sistema de Gestão de Segurança da Informação (SGSI) nos termos das características do negócio, a organização, a sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo, segundo a Norma 27001, devem ser definidos nas fases:

Estabelecer e gerenciar o SGSI.

Corresponde a qual fase do PDCA? Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação, para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Plan

Corresponde a qual fase do PDCA? Implementar e operar a política, controles, processos e procedimentos do SGSI.

Corresponde a qual fase do PDCA? Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Check

Corresponde a qual fase do PDCA? Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Act

A norma ABNT NBR ISO/IEC 27001:2006 cobre | organizações do tipo:

comerciais, governamentais e sem fins | lucrativos.

Certo ou errado? O termo de confidencialidade, de acordo com norma NBR ISO/IEC, representa a propriedade de salvaguarda da exatidão e completude de ativos.

Errado, isso é a integridade!

O certificado digital emitido por uma Autoridade Certificadora (AC) visa a atestar a associação entre uma chave pública e uma entidade ou pessoa. Dentre as etapas do processo de validação de um certificado digital, deve-se verificar se a assinatura digital do certificado:

foi realmente gerada pela AC.

Em uma empresa, instalou-se um sistema de certificado digital baseado em uma infraestrutura de chave pública. Ao configurar uma autoridade certificadora (AC) de uma hierarquia de certificação, houve um problema de relacionamento entre uma entidade e a sua chave pública, embutida no certificado, pois a mesma apresentou incorreções, visto que, no caso, houve uma mudança do nome do emissor. Uma forma válida de se resolver essa situação seria fazer esse certificado ser:

revogado

No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise: I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis. II. A organização deve determinar e prover os recursos necessários para assegurar que os procedimentos de segurança da informação apoiem os requisitos de negócio. III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas requeridas, avaliando a eficácia das ações executadas. IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação. Está correto o que consta em:

Todas estão corretas!

A direção deve analisar criticamente o Sistema de Gestão da Segurança da Informação (SGSI) da organização a intervalos planejados para assegurar a sua contínua pertinência, adequação e eficácia. Uma das saídas desta análise crítica, segundo a Norma ABNT NBR ISO/IEC 27001:2006, deve incluir quaisquer decisões e ações relacionadas à modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI. Esta saída NÃO inclui mudanças de:

recursos humanos.

Certo ou errado? A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização.

Errado, é feito pela Direção e não pelos gestores de segurança.

Certo ou errado? No que se refere a políticas de segurança da informação, julgue o item a seguir. A elaboração, manutenção e análise crítica da política de segurança da informação competem exclusivamente ao security officer da área de tecnologia da informação da organização.

Errado, isso é papel da Direção!

Certo ou errado? A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.

Errado, a melhoria contínua faz parte da etapa Act e a análise critica faz parte da etapa check.

Certo ou errado? No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema de gestão de segurança da informação), para se alcançar a melhoria contínua, é necessário executar as ações corretivas e preventivas, com base nos resultados da auditoria interna, da análise crítica realizada pela direção ou de outra informação pertinente.

Errado, a fase é a Act.

No âmbito do Sistema de Gestão de Segurança da Informação - SGSI, o procedimento: Monitorar e analisar criticamente o SGSI, recomenda: I. Realizar análises críticas regulares da eficácia do SGSI independente dos resultados de auditorias de segurança da informação. II. Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. III. Conduzir auditorias internas do SGSI a intervalos planejados. Está INCORRETO o que consta APENAS em:

Item I.

Certo ou errado? Requisitos de segurança da informação podem ser obtidos a partir da análise/avaliação dos riscos da organização com base nos seus objetivos estratégicos; a partir da legislação vigente; e, finalmente, a partir dos requisitos do negócio para o processamento da informação que a organização desenvolve para realizar suas operações.

Certo!

Certo ou errado? Para a garantia de um nível de segurança mínimo, que evite a concretização de ameaças em uma organização, é obrigatória a implantação de todos os controles contidos na norma 27002, conforme recomendação feita na ISO, independentemente do tamanho e tipo de organização.

Errado, não é obrigatório a implantação de todos os controles!

A Norma ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.A Norma apresenta alguns termos e definições, como os descritos abaixo: I. forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal. II. preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. III. é indicado por um simples evento ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Os termos referenciados em I, II e III são, respectivamente:

controle; segurança da informação; incidente de | segurança da informação.

Na norma 27002, qual a definição de Política?

intenções e diretrizes globais formalmente expressas pela | direção

Na norma 27002, qual a definição de Risco?

combinação da probabilidade de um evento e de suas | conseqüências

Na norma 27002, qual a definição de gestão de riscos?

atividades coordenadas para direcionar e controlar uma | organização no que se refere a riscos

Na norma 27002, qual a definição de ameaça?

causa potencial de um incidente indesejado, que pode | resultar em dano para um sistema ou organização

Sobre a estrutura, objetivos e conceitos gerais da Norma NBR ISO/IEC 27002, é correto afirmar:

Define política como sendo as intenções e diretrizes globais formalmente expressas pela direção e define risco como sendo a combinação da probabilidade de um evento e de suas consequências.

De acordo com a NBR ISO/IEC 27002:

Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).

A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas:

tendências relacionadas com as ameaças e vulnerabilidades.

Na NBR ISO/IEC 27002:2005, com relação ao tempo de duração de um Acordo de Confidencialidade, tem-se que:

pode durar indefinidamente.

A Norma ISO 27002, ao tratar de comércio eletrônico, estabelece o objetivo garantir a segurança de serviços de comércio eletrônico e sua utilização segura. Estabelece, ainda, a conveniência de que as considerações de segurança da informação para comércio eletrônico incluam, entre outros, o seguinte item:

nível de confiança que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticação.

Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a:

Negação de serviço

O que é ameaça?

É quando uma potencial violação de segurança, que existe quando há uma circunstância, ação ou evento que poderia violar a segurança e causar impacto.

O que é um threat?

Uma threat é um possível ameaça que pode explorar uma vulnerabilidade.

O que é um Ataque?

Violação da segurança a partir de uma ameaça inteligente, isto é, uma ação inteligente que é uma tentativa deliberada para burlar os mecanismos de segurança e violar a política de segurança.

Uma forma de se evitar fraudes através de ataques conhecidos por man-in-the-middle é certificar-se que, quando acessar um site seguro (Exemplo: Bancos, Lojas de compras, etc) o navegador:

apresente o cadeado fechado (obtenção da aprovação da certificadora digital).

Certo ou errado? A técnica de spoofing é normalmente utilizada na fase de invasão a redes de computadores.

Errada! É difícil usar essa técnica para invasão pela dificuldade em continuar com a conexão estabelecida.

Certo ou errado? Utilizado para a captura ilegal de informações de uma máquina em rede, o spoofing analisa o tráfego da rede e coleta dados sigilosos como senhas e endereços IPs.

Errado, esse é o sniffer.

Em um ataque efetuado a roteadores de filtragem de pacotes, o intruso transmite pacotes vindos de fora com um campo de endereço IP de origem contendo o endereço de um host interno. O atacante espera que o uso desse campo de endereço permita a penetração de sistemas que empregam segurança simples do endereço de origem, em que os pacotes de hosts internos confiáveis específicos são aceitos. O ataque descrito é conhecido como:

IP Spoofing

Das alternativas a seguir, assinale a única que contém eventos que caracterizam uma tentativa de ataque do tipo força bruta.

A repetição automática de tentativas de acesso a um recurso protegido, com senhas criadas a partir de combinações aleatórias ou extraídas de listas prédefinidas.

Qual a diferença entre DoS e DDoS?

DoS: o ataque parte de uma única fonte. DDoS: ataque de maneira coordenada.

A rede de telecomunicação segura que utiliza a Internet como sua principal estrutura (backbone), mas se baseia em seus próprios dispositivos de proteção (firewalls) e de segurança de suas conexões de Internet e de intranet e nos dispositivos de proteção das organizações participantes, é conhecida como:

VPN

Certo ou errado? A respeito do uso da tecnologia MPLS em situações nas quais se requer engenharia de tráfego, bem como o uso de VPN, julgue os itens a seguir. Na tabela de informações de VPN de camada 3, conhecida como virtual routing and forwarding (VRF), registram-se dados de prefixo IP. Em geral, as VRF são tabelas de roteamento dedicadas.

Certo!

Um conjunto de computadores está sendo utilizado para tirar de operação um serviço de determinado órgão público. Essa situação configura o ataque do tipo:

DDoS

Buffer Overflow.

Certo ou errado? Um ataque de SQL injection explora vulnerabilidades presentes em aplicações web, podendo ser evitado com inspeção criteriosa dos dados de entrada.

Certo!

A ameaça de segurança em que o atacante consegue inserir uma série de instruções SQL dentro de uma consulta (query) através da manipulação da entrada de dados de uma aplicação é conhecida como:

SQL Injection

Certo ou errado? A injeção de SQL (SQL injection, relacionada à structured query language - linguagem de consulta estruturada) é uma técnica de injeção de código que explora a vulnerabilidade de segurança da camada de banco de dados de uma aplicação. Quando se consegue inserir uma ou mais instruções SQL dentro de uma consulta, ocorre o fenômeno.

Certo!

Em um ataque em que o Cracker injeta códigos JavaScript em um campo texto de uma página Web já existente e este JavaScript é apresentado para outros usuários, este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Este ataque é denominado:

XSS - Cross Site Scripting

Certo ou errado? Vírus é um programa de computador malicioso capaz de se propagar automaticamente por meio de redes, mas necessita ser explicitamente executado para se propagar.

Certo!

Errado

Qual a principal diferença entre Vírus e Worm?

O Worm se alastra sozinho, enquanto o Vírus anexa-se ao arquivo e necessita que o usuário ou sistema realize algum tipo de transporte deste arquivo para disseminá-lo.

Certo ou errado? Worms são programas que se espalham em uma rede, criam cópias funcionais de si mesmo e infectam outros computadores.

Certo!

Negação de Serviço

Negação de Serviço.

Errado!

Bot

Sobre spyware é correto afirmar:

Screenlogger é um tipo de spyware capaz de armazenar a posição do cursor e a tela apresentada no monitor nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais.

Certo ou errado? Embora sejam considerados programas espiões, os spywares também são desenvolvidos por empresas com o objetivo de coletar legalmente informações acessíveis de usuários.

Certo!

Os programas keyloggers e screenloggers são considerados programas do tipo:

Spyware

Um usuário instalou, em determinada livraria que oferece acesso público à Internet por meio de computadores Windows, um keylogger em um dos computadores. Isso significa que:

estarão comprometidas as senhas digitadas por usuários nesse | computador.

Errado, é o keylogger.

Programas do tipo malware que buscam se esconder dos programas de segurança e assegurar a sua presença em um computador comprometido são os:

rootkits

Considerados pragas digitais, os rootkits são malwares que, ao se instalarem no computador alvo:

camuflam a sua existência e fornecem acesso privilegiado ao | computador infectado.

Foi um termo originalmente criado para descrever o tipo de fraude que se dá através do envio, pela Internet, de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários. O termo citado acima é conhecido como:

phishing/scam.

O site Convergência Digital divulgou a seguinte notícia: O Brasil segue como o nº 1 na América Latina em atividades maliciosas e figura na 4ª posição mundial, ficando atrás apenas dos EUA, China e Índia, de acordo a Symantec. Os ataques por malwares cresceram 81%. ... Um desses malwares segue sendo o grande vilão nas corporações, sendo responsável por mais de 220 milhões de máquinas contaminadas no mundo. É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Considerando que o malware citado como vilão não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores, trata-se de um:

worm.

O que é adware?

programa que apresenta propaganda à revelia do usuário.

O que é cavalo de tróia?

programa que se faz passar por outro programa com a finalidade de enganar o usuário.

O que é Keylogger?

programa que armazena os dados digitados pelo usuário para | posteriormente enviá-los a um terceiro.

O que é Spyware?

programa que monitora as ações do usuário para posteriormente enviá-las a um terceiro.