Durante a primeira fase do processo de atualização da política de segurança da informação da empresa de contabilidade XXX Ltda., foi(foram) elencado(s)/a(s) como recurso crítico sob risco de segurança:
A organização UMTINO, de recursos humanos, teve um prejuízo de mais da metade de seu faturamento, porque suas regras para a mudança do estado do seu principal software (desenvolvimento para produção) não haviam sido definidas e documentadas com níveis de separação para prevenir problemas operacionais.
No tocante aos procedimentos e responsabilidades operacionais que a UMTINO deveria implementar, considera(m)-se prática(s) essencial(is):
Durante uma auditoria na empresa XXX Ltda, foi verificado que o plano de gestão de risco não tinha sido atualizado. Nessa auditoria foi possível observar que não existia código de conduta a ser seguido pelos funcionarios.
O código de conduta deve ser implementado no nível de gestão:
Um servidor público necessita enviar informações sigilosas sobre
um projeto de pesquisa para os membros de sua equipe. Para
evitar a interceptação e a leitura não autorizada dessas
informações, o servidor protegeu os arquivos com criptografia
assimétrica.
Um dos métodos criptográficos que pode ser utilizado na técnica
de criptografia adotada é:
Um órgão adotou o uso de assinaturas digitais para seus
documentos natos digitais. Para evitar a contestação da
assinatura digital, estão sendo utilizados certificados digitais
padrão ICP-Brasil.
O pilar da segurança da informação assegurado pelo uso de
assinaturas digitais é:
Um sistema possui uma política de backup que estabelece cópias
incrementais executadas diariamente às 6 horas e às 18 horas, de
segunda-feira a sábado. Aos domingos é realizada uma cópia
completa semanal às 5 horas e uma cópia incremental às 18
horas. O tempo disponível para a equipe de Tecnologia da
Informação (TI) recuperar o backup é de 4 horas.
Supondo que o sistema tenha sofrido uma avaria às 3 horas de
uma quarta-feira e considerando o backup disponível para
recuperação de acordo com a política de backup estabelecida, é
correto afirmar que:
Um órgão adquiriu novos servidores para os ambientes de
produção e desenvolvimento. Os servidores de produção
acessarão o storage P, enquanto os servidores de
desenvolvimento acessarão o storage D. Existe um equipamento
para backup em fita (Tape Library) disponível para realizar as
cópias de segurança dos servidores. Todos os dispositivos estão
conectados entre si por meio de uma rede de armazenamento
(SAN), composta por 2 fabric switches. Para permitir a
transmissão de dados na SAN, foram criados zoneamentos (fabric
zoning) envolvendo os dispositivos de armazenamento e backup,
conforme descrito abaixo:
Zona A com Storage P
Zona B com Storage D
Zona C com Tape Library
Para fazer backup dos dados dos servidores de produção
armazenados no storage P, é necessário incluir os servidores de
produção apenas na(s) zona(s):
Em um projeto de grande importância para o TJMS, durante o
processo de planejar as respostas aos riscos, foi identificada uma
ameaça, risco negativo, de alta prioridade.
O gerente do projeto decidiu por tratar a ameaça estabelecendo
uma reserva de contingência, incluindo valores para tempo,
dinheiro ou recursos para cuidar do risco, caso ocorra.
A estratégia empregada pelo gerente para lidar com a ameaça é
do tipo:
O setor de pagamento da empresa XIMLINTO Ltda foi
criptografado após a ação de um grupo hacker denominado
Fancy Bear. Para remover a criptografia, o grupo está solicitando
um pagamento em bitcoins para uma conta em um país do leste
europeu. Durante a auditoria no sistema, foi identificado que um
dos maiores diretores da empresa, fanático por motos e carros,
acessou um link malicioso com uma oferta imperdível de compra
de insumos para moto e carro com 50% de desconto de dentro
de um dos computadores da empresa.
Nessa situação, os tipos de ataque utilizados pelo grupo Fancy
Bear foram:
Durante uma varredura na rede interna, a equipe de segurança
do Tribunal de Justiça de Mato Grosso do Sul detectou a
ocorrência de alguns incidentes de segurança. Como forma de
mitigar a ocorrência de incidentes, um membro da equipe foi
orientado, pelo Chefe de Departamento de Segurança, a fazer
uma notificação dos incidentes ocorridos ao CERT.BR (Centros de
estudos, resposta e tratamento de incidentes de segurança no
Brasil).
Porém, em virtude da falta de respostas às notificações
anteriores, a equipe de desenvolvimento utilizou como
método(s) alternativo(s):