A elaboração e a implantação de políticas de segurança envolvem a participação das mais diversas áreas de uma corporação.

Acerca das responsabilidades em relação à política de segurança, julgue o item a seguir.

Em cada área da organização, o provedor de segurança da informação tem a responsabilidade de elaborar a política de segurança relativa à sua área de forma autônoma e independente, de modo a assegurar os níveis aceitáveis de segurança para os ativos de informação sob sua responsabilidade.

A elaboração e a implantação de políticas de segurança envolvem a participação das mais diversas áreas de uma corporação.

Acerca das responsabilidades em relação à política de segurança, julgue o item a seguir.

A alta direção da organização deve revisar o investimento em segurança da informação decorrente da política de segurança a ser implantada, verificando se este está alinhado com a estratégia da organização e o perfil de risco, aprovando o desenvolvimento e a implementação de um programa de segurança da informação e requerendo relatórios regulares sobre o gerenciamento do programa de adequação a fim de obter o efeito desejado. Entretanto, a alta administração não deve se envolver nos detalhes de elaboração e implementação da política de segurança, tarefa que deve ser executada por quadros mais técnicos.

A elaboração e a implantação de políticas de segurança envolvem a participação das mais diversas áreas de uma corporação.

Acerca das responsabilidades em relação à política de segurança, julgue o item a seguir.

Todos os colaboradores da organização, bem como quaisquer usuários de sistemas de informação da organização devem compartilhar da responsabilidade sobre a segurança da informação e sistemas de segurança, adquirindo conhecimento acerca da política de segurança da informação, práticas e guias relevantes às regras da organização.

A análise de vulnerabilidades é fundamental para um processo de análise de risco, pois permite identificar os elementos dos sistemas de informação e os ativos de informação que estão potencialmente ameaçados. Entretanto, nem toda vulnerabilidade encontrada estará diretamente relacionada com riscos identificados, haja vista que os riscos se configuram a partir da intenção potencial de se explorar uma vulnerabilidade.

O nível de segurança da informação em uma organização é reconhecido pela diversidade de ferramentas tecnológicas que são implantadas para controlar a aplicação de sua política de segurança.

Com relação aos principais ataques contra a segurança da informação e as ferramentas tecnológicas usadas para proteger a organização desses ataques, julgue o próximo item.

Um sistema de detecção de intrusão com base em assinatura de ataques e atuando em nível de rede pode gerar um elevado número de falsos positivos, o que dificulta seu uso com ferramentas de resposta automática à intrusão, como bloqueadores de tráfego e blacklisting de endereços IP.

Com relação aos principais ataques contra a segurança da informação e as ferramentas tecnológicas usadas para proteger a organização desses ataques, julgue o próximo item.

O uso de serviços de autenticação com base em criptografia assimétrica, como Kerberos e certificação digital, evita a realização de ataques de interceptação pela rede das informações secretas do usuário que são usadas na autenticação, uma vez que determinadas informações necessárias para a efetiva interceptação não trafegam na rede.

Com relação aos principais ataques contra a segurança da informação e as ferramentas tecnológicas usadas para proteger a organização desses ataques, julgue o próximo item.

Um sistema de firewall é essencialmente um dispositivo de controle de acesso. Portanto, ele deve ter uma colocação particular na topologia da rede e uma alta capacidade de processamento, de modo a centralizar a passagem de tráfego e a analisar o conteúdo das informações trocadas, bloqueando mensagens indesejadas.

Com relação aos principais ataques contra a segurança da informação e as ferramentas tecnológicas usadas para proteger a organização desses ataques, julgue o próximo item.

A eficiência de sistemas antivírus está relacionada com a capacidade de atualização automática de suas bases de conhecimento. Para otimizar o processo de atualização, serviços de antivírus corporativos devem manter uma base de dados centralizada sobre vírus conhecidos, evitando o uso de bases de dados locais. Essa base centralizada deve ser consultada pelos clientes locais do sistema de antivírus corporativo durante cada varredura realizada em uma estação de trabalho individual.

A tecnologia de redes sem fio IEEE 802.11 vem permitindo uma grande disseminação de acessos móveis de banda larga em ambientes públicos e corporativos, devido à sua simplicidade de instalação e ao baixo custo dos dispositivos.

Acerca de redes IEEE 802.11, julgue o item que se segue.

Redes IEEE 802.11 podem operar tanto no modo infraestrutura, com uso de pontos de acesso, quanto no modo ad-hoc, em que as estações comunicam-se diretamente entre si. Nesse último modo, não pode haver um sistema de distribuição ligando as estações da rede com o resto da infraestrutura de rede, pois as estações são móveis e a disponibilidade do serviço seria muito baixa.