Segurança da Informação Flashcards
(33 cards)
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
Segundo a norma ISO/IEC 27001:2006, a organização deve elaborar uma declaração de aplicabilidade, detalhando os ativos dentro do escopo do SGSI e os seus proprietários, bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas.
( ) Certo
( ) Errado
(X) Errado
A Declaração de Aplicabilidade deve identificar os controles de segurança que são aplicáveis e justificá-los, com base no processo de avaliação de riscos e no contexto organizacional. No entanto, o enunciado da questão afirma que a SoA deve “detalhar os ativos dentro do escopo do SGSI e seus proprietários, bem como as possíveis ameaças aplicadas a tais ativos e as vulnerabilidades por elas exploradas”.
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
De acordo com a norma ISO/IEC 27001:2006, a formulação de um plano de tratamento de riscos que identifique a ação apropriada, os recursos, as responsabilidades e as prioridades para a gestão de riscos está relacionada à etapa Do do ciclo PDCA.
( ) Certo
( ) Errado
(X) Certo
Dentro da ISO 27001, o ciclo PDCA (Plan-Do-Check-Act) é uma parte fundamental. Este modelo de ciclo contínuo é aplicado para a melhoria contínua do SGSI. Ao olharmos para a etapa “Do” desse ciclo no contexto da gestão de riscos, estamos falando da implementação e operação do SGSI conforme o que foi planejado. Isso inclui a formulação de um plano de tratamento de riscos, onde são identificadas as ações necessárias para enfrentar os riscos avaliados durante a fase de planejamento (“Plan”).
[CESPE/CEBRASPE] No que se refere a processos de desenvolvimento seguro de aplicações, julgue os itens subsecutivos.
O CLASP (Comprehensive, Lightweight Application Security Process) fornece uma taxonomia de vulnerabilidades que podem ocorrer no código-fonte e que podem ser verificadas com o uso de ferramentas automatizadas para análise estática de código.
( ) Certo
( ) Errado
(X) Certo
[CESPE/CEBRASPE] Com relação à norma ISO/IEC 27001:2006, julgue os itens a seguir.
Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI), devem-se identificar e avaliar as opções para o tratamento de riscos, cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização), bem como a possibilidade de transferência dos riscos para outras partes, como seguradoras e fornecedores.
( ) Certo
( ) Errado
(X) Certo
Aceitação consciente dos riscos: Isso significa que, após a identificação e a avaliação dos riscos, a organização pode optar por aceitar certos riscos. Essa aceitação deve ser feita de forma consciente, ou seja, com total entendimento das implicações, desde que esteja de acordo com as políticas estabelecidas dentro da organização. Esta abordagem é válida quando o custo de mitigar o risco é maior do que o impacto do risco em si.
Transferência dos riscos: Outra abordagem é a transferência dos riscos para outra parte, como seguradoras ou fornecedores. Isso não elimina o risco, mas compartilha a responsabilidade e o impacto financeiro com outras entidades externas.
[CESPE/CEBRASPE] O emprego sistemático de diversas técnicas de segurança da informação resolve, ou pelo menos atenua, boa parte das vulnerabilidades existentes nesse contexto. Entre as técnicas mais efetivas utilizadas para fornecer segurança da informação, incluem-se a criptografia, a esteganografia e as funções hash. A respeito de tais técnicas e do seu emprego adequado, julgue o item a seguir.
A esteganografia pode ser utilizada com o objetivo de disfarçar a existência de determinadas informações. Atualmente, a esteganografia utiliza o BMS (bit mais significativo) para embutir informações, o que degrada, contudo, a informação hospedeira, pois modifica seu conteúdo.
( ) Certo
( ) Errado
(X) Errado
O enunciado da questão afirma que a esteganografia utiliza o BMS (bit mais significativo) para embutir informações, o que degradaria a informação hospedeira. Essa afirmação contém um erro técnico. Na prática, a esteganografia utiliza o LSB (Least Significant Bit ou bit menos significativo) para ocultar dados. O uso do LSB é preferido porque altera muito pouco a informação original, fazendo com que as mudanças sejam praticamente imperceptíveis e, assim, não degrada significativamente o conteúdo hospedeiro.
[CESPE/CEBRASPE] A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se de difícil controle e aceitação.
( ) Certo
( ) Errado
(X) Certo
Primeiramente, é fundamental que a política de segurança seja aprovada pela administração da organização. Isso porque a administração tem a autoridade e responsabilidade para garantir que as diretrizes estabelecidas sejam seguidas por todos os membros da organização.
Além disso, uma vez aprovada, a política deve ser formalmente comunicada a todos os que devem cumpri-la. Esta comunicação formal garante que todos os colaboradores estejam cientes das normas e procedimentos a serem seguidos. Caso contrário, a aplicação da política torna-se difícil de controlar e aceitar, levando a potenciais falhas de segurança.
[CESPE/CEBRASPE] A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na gestão da segurança como um todo.
( ) Certo
( ) Errado
(X) Errado
Embora seja verdade que uma política de segurança deve ter um caráter conscientizador e participativo, isso não exclui a necessidade de definir sanções ou penalidades. Na realidade, o estabelecimento de sanções é uma prática recomendada para garantir que todos os membros da organização levem a política de segurança a sério. A ausência de penalidades poderia reduzir a eficácia da política, uma vez que não haveria consequências claras para o não cumprimento das normas estabelecidas.
[CESPE/CEBRASPE] A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.
( ) Certo
( ) Errado
(X) Errado
Uma política de segurança deve ser um reflexo não só do conhecimento técnico sobre segurança da informação dos profissionais, mas também deve considerar a cultura organizacional.
[CESPE/CEBRASPE] Para o Windows 95 e o Windows 98, removendo o registro e reiniciando o sistema, o usuário receberá uma mensagem indicando que o registro deve ser reparado e terá permissão para alterá-lo, podendo assim modificar o sistema.
( ) Certo
( ) Errado
(X) Errado
Portanto, a afirmação de que o usuário terá permissão para alterar o registro para modificar o sistema está incorreta. Na verdade, o sistema pode tentar repará-lo, mas se o registro estiver muito corrompido ou ausente, o sistema pode não funcionar corretamente, e o usuário pode não conseguir resolver isso sem ferramentas avançadas ou reinstalação do sistema.
[CESPE/CEBRASPE] Julgue o item abaixo, referente às técnicas de recuperação de arquivos apagados.
Cópias de segurança físicas armazenam dados, usando uma estrutura de diretório e permitem que os dados de arquivo sejam recuperados por sistemas heterogêneos. Salvar arquivos nesse formato é eficiente, pois não ocorre sobrecarga na tradução entre o formato do arquivo nativo e o formato de arquivamento.
( ) Certo
( ) Errado
(X) Errado
“Armazenam dados usando uma estrutura de diretório” – Sim, backups físicos geralmente mantêm a estrutura de diretórios do sistema original, o que facilita a restauração.
“Permitem que os dados de arquivo sejam recuperados por sistemas heterogêneos” – ❌ Nem sempre. Backups físicos são geralmente dependentes do sistema operacional ou do sistema de arquivos em que foram criados (ex: NTFS, EXT4, etc.). Isso limita a interoperabilidade com sistemas heterogêneos (Windows, Linux, macOS, etc.).
“Salvar arquivos nesse formato é eficiente, pois não ocorre sobrecarga na tradução entre formatos” – ❌ Isso é questionável:
Embora evite a tradução entre formatos (como ao fazer um backup lógico), backups físicos podem incluir dados irrelevantes (blocos não utilizados, estrutura de baixo nível), tornando o processo mais pesado e menos flexível.
Além disso, eles são menos portáveis e menos compatíveis com outros sistemas, ao contrário do que o item sugere.
[Foco no Concurso] Frequentemente, os usuários de Correio Eletrônico recebem mensagem contendo frases como “atualize seus dados bancários” ou, então “parabéns, você é o novo milionário”, cujo objetivo é capturar informações como senhas de banco e demais informações pessoais para utilizá-las de maneira fraudulenta. Esse tipo de crime, que cresce em ritmo acelerado, é chamado
a) Accounting
b) Backdoor.
c) Download.
d) Phishing.
e) Redirecting.
d) Phishing.
[Foco no Concurso] Julgue o item, relativo a procedimentos de segurança da informação, noções de vírus, worms e pragas virtuais e procedimentos de backup.
Um ataque de rootkit é semelhante a um ataque de phishing, já que ambos exploram vulnerabilidades do sistema, por meio da engenharia social, objetivando conquistar a confiança do usuário e, posteriormente, obter informações sensíveis.
( ) Certo
( ) Errado
(X) Errado
[Foco no Concurso] No que diz respeito aos conceitos de organização e de gerenciamento de arquivos, pasta e programas, aos aplicativos para segurança da informação e aos procedimentos de backup, julgue o item.
Os ativírus são capazes de eliminar phishing e spyware. Contudo, devido à sua rápida multiplicação no ambientem os rootkits não são identificados nem removidos pelos antivírus atuais.
( ) Certo
( ) Errado
(X) Errado
[Foco no Concurso] Leia cada uma das afirmativas abaixo e assinale Verdadeiro(V) ou Falso(F):
( ) Hoax é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição ou órgão governamental.
( ) Phishing é um tipo de fraude por meio do qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela combinação de meios técnicos e engenharia social.
( ) Malware é um tipo de vírus que se propaga, de forma automática, no computador infectado.
( ) Worm é uma praga virtual que diferente do vírus precisa da interação do usuário para se propagar.
a) F - F - F - V
b) V - V - V - F
c) V - F -V -F
d) V - V - F - F
e) V - V - V - F
d) V - V - F - F
[CESPE/CEBRASPE] Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com os controles de segurança de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança.
( ) Certo
( ) Errado
(X) Certo
[CESPE/CEBRASPE] A biometria é um recurso bastante útil para garantir o acesso aos dados de usuário, pois é utilizada para substituir o uso de senhas, tokens ou códigos de acesso, os quais demandam memorização, transporte dos tokens ou outras formas de se burlar a segurança. Assim, com a biometria, o próprio usuário deve estar presente diante do sistema de autenticação para garantir o seu acesso ao ambiente eletrônico.
( ) Certo
( ) Errado
(X) Certo
[CESPE/CEBRASPE] Acerca de segurança da informação, segurança de datacenter, segurança de dispositivos e disponibilidade, julgue o item a seguir.
A NBR ISO/IEC 15408 é uma norma internacionalmente reconhecida para a avaliação da segurança de produtos e sistemas de tecnologia da informação.
( ) Certo
( ) Errado
(X) Certo
Também conhecida como “Critérios de Avaliação para Segurança de TI” ou “Common Criteria”, é de fato uma norma internacionalmente reconhecida que fornece uma estrutura para avaliar os atributos de segurança de produtos e sistemas de tecnologia da informação. Ela define um conjunto comum de requisitos de segurança e critérios de avaliação que podem ser usados para determinar o nível de confiança na segurança de um produto ou sistema.
[CESPE/CEBRASPE] A respeito de gerência de contêineres e segurança com Docker, julgue o item a seguir.
O Registry Access Management permite controlar quais registries os desenvolvedores podem acessar usando o Docker Desktop; esse recurso opera no nível de DNS e garante suporte a registries somente locais.
( ) Certo
( ) Errado
(X) Errado
O Registry Access Management não se limita a registries locais. Ele pode ser usado para permitir ou bloquear tanto registries locais quanto remotos (na internet), como o Docker Hub, GitHub Container Registry, Google Container Registry, etc.
[CESPE/CEBRASPE] Julgue o próximo item, com base nas normas ABNT:NBR ISO/IEC 27001:2022 e ABNT:NBR ISO/IEC 27002:2022.
Na ABNT:NBR ISO/IEC 27001:2022, o capítulo que versa a respeito de liderança apresenta a diretriz que determina que a organização deva controlar as alterações planejadas e rever as consequências das alterações não intencionais.
( ) Certo
( ) Errado
(X) Errado
A imprecisão está em atribuir isso ao capítulo sobre “liderança”, que é o Capítulo 5 da norma.
Ou seja:
* O conteúdo existe na norma, mas não está no capítulo 5 (Liderança) como afirma a questão.
* Está localizado no Capítulo 6 – Planejamento, mais especificamente no item 6.3 – Planejamento de mudanças.
[CESPE/CEBRASPE] Julgue o item seguinte, relativo a políticas de segurança da informação, proteção de dados, prevenção e detecção de incidentes, de informações armazenadas no arquivo e no sistema eletrônico.
A devolução de ativos consiste em controle de segurança da informação referente ao reembolso de despesas emergenciais feitas em decorrência de um sinistro.
( ) Certo
( ) Errado
(X) Errado
Na segurança da informação, especialmente com base na ISO/IEC 27002, devolução de ativos refere-se a um controle que:
Garante que equipamentos, dispositivos, documentos, credenciais e outros ativos fornecidos a um colaborador ou terceiro sejam devolvidos à organização ao fim de um contrato ou vínculo.
[CESPE/CEBRASPE] Julgue o item seguinte, relativo a políticas de segurança da informação, proteção de dados, prevenção e detecção de incidentes, de informações armazenadas no arquivo e no sistema eletrônico.
Entre os princípios da Política Nacional de Segurança da Informação encontra-se a preservação do acervo histórico nacional.
( ) Certo
( ) Errado
(X) Certo
Sim, está correto. Entre os princípios da Política Nacional de Segurança da Informação (PNSI) está, de fato, a preservação do acervo histórico nacional.
Esse princípio consta no Decreto nº 9.637/2018, que institui a PNSI. O artigo 3º define os princípios da política, e um deles é:
"a preservação do acervo documental e histórico nacional"
[CESPE/CEBRASPE] Julgue o item seguinte, relativo a políticas de segurança da informação, proteção de dados, prevenção e detecção de incidentes, de informações armazenadas no arquivo e no sistema eletrônico.
Na categoria de controles físicos vinculados à segurança da informação inserem-se a segurança do cabeamento, o descarte ou reutilização de equipamentos e o acesso ao código-fonte.
( ) Certo
( ) Errado
(X) Errado
A questão está errada porque mistura categorias distintas de controle da segurança da informação. Apenas segurança do cabeamento e descarte de equipamentos são controles físicos. O acesso ao código-fonte não é.
[CESPE/CEBRASPE] Em um computador, a execução remota de código (RCE) geralmente é permitida devido
a) à validação insuficiente de entrada de dados.
b) à segmentação de rede à qual o computador está conectado.
c) ao fato de a arquitetura do sistema ser de 64 bits.
d) ao fato de o computador possuir sistema de arquivo com RAID.
e) ao tipo de gerenciamento seguro de memória.
a) à validação insuficiente de entrada de dados.
A execução remota de código (Remote Code Execution – RCE) ocorre quando um invasor consegue fazer com que um sistema execute código arbitrário remotamente.
B) Segmentação de rede → Segmentar redes aumenta a segurança, não a vulnerabilidade.
C) Arquitetura de 64 bits → A arquitetura do sistema não é fator determinante direto para RCE.
D) RAID → RAID está relacionado à redundância e desempenho de disco, não à execução de código.
E) Gerenciamento seguro de memória → Um gerenciamento seguro de memória evita, e não permite, RCE.
[CESPE/CEBRASPE] Um protocolo de autenticação que utiliza JSON Web Token (JWT) é o
a) LDAP.
b) SSO.
c) FIDO.
d) NTLM.
e) OPENID.
e) OPENID.
- OpenID Connect (OIDC) é um protocolo de autenticação baseado no protocolo OAuth 2.0.
- Ele utiliza tokens JWT (JSON Web Token) para transmitir informações de autenticação de forma segura e compacta.
- É amplamente usado em sistemas de login único (SSO) e autenticação federada.
A) LDAP: É um protocolo para acessar e manter serviços de diretório, não usa JWT.
B) SSO: É um conceito, não um protocolo específico. Pode usar vários protocolos como SAML, OAuth2, OIDC.
C) FIDO: Usa autenticação baseada em chaves públicas (como biometria), não utiliza JWT.
D) NTLM: Protocolo de autenticação da Microsoft, baseado em desafio-resposta, não usa JWT.
