Segundo Stallings & Brown, "política de segurança organizacional ou corporativa pode ser um grande documento único ou, mais comumente, um conjunto de documentos relacionados”. Alguns dos tópicos que essa política precisa abordar estão relacionados abaixo, EXCETO:

(STALLINGS, William & BROWN, Laurie. Segurança de computadores: princípios e práticas. 2ed. Rio de Janeiro: Elsevier, 2014.)

Indique o item INCORRETO.

Conforme ABNT NBR ISO/IEC 27004:2017, monitoramento, medição, análise e avaliação consistem nos seguintes processos:

Uma das funções do hash se refere à verificação da integridade de uma mensagem, pois, caso haja a modificação de apenas um bit nesta mensagem, o valor do hash calculado será totalmente diferente. Considerando as funções hash, assinale a afirmativa correta.

A melhoria de processos, a adoção de sistemas íntegros e a busca pela melhoria da governança exigem padrões para a mitigação de riscos, por exemplo, a ISO 31000, que é uma norma genérica para construção de uma estrutura de gestão de riscos corporativos. Sobre os principais conceitos da ISO 31000, assinale a afirmativa INCORRETA.

O processo de avaliação de riscos na ISO 31000 é composto por três etapas denominadas identificação; análise; e, avaliação de riscos. Sobre as etapas do processo de gestão de riscos da ISO 31000, marque V para as afirmativas verdadeiras e F para as falsas.

( ) A análise de riscos está preocupada em desenvolver uma compreensão de cada risco, suas consequências e probabilidade dessas consequências.

( ) A identificação de riscos requer a aplicação sistemática de técnicas e ferramentas para entender o que pode acontecer, como, quando e por quê.

( ) A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessário ação adicional.

A sequência está correta em

Segundo a Norma ISO/IEC 27002, segurança da informação é definida como sendo a preservação da confidencialidade, da integridade e da disponibilidade da informação. Considerando os conceitos abordados nesta normativa, assinale a afirmativa correta.

Ataque do dia zero (zero-day attack) é um tipo de ataque que explora falhas de segurança de softwares da qual o fornecedor ou desenvolvedor pode não estar ciente. Sobre ataque do dia zero, marque V paras as afirmativas verdadeiras e F para as falsas.

-

( ) O ataque geralmente ocorre entre o momento em que a vulnerabilidade é encontrada e explorada pela primeira vez e o momento em que os desenvolvedores do software lançam a solução necessária para combater a exploração. Esse intervalo é chamado de janela de vulnerabilidade.

( ) Diferentes controles de acesso, incluindo LANs virtuais e firewalls, não podem fornecer proteção contra esse tipo de ataque.

( ) A solução para corrigir o software violado pelo ataque é conhecido como patch de software.

-

A sequência está correta em

A política de segurança é um mecanismo preventivo de proteção dos dados; contém a definição de processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos da organização.

-

(DIAS, C.; Segurança e auditoria da tecnologia da informação. Ed. Axcel Books, 2000.)

-

Considerando que uma política de segurança possui alguns componentes, marque V para as afirmativas verdadeiras e F para as falsas.

-

( ) Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.

( ) Política de privacidade que define as expectativas de privacidade relacionadas a aspectos como: a monitoração de correio eletrônico; logs de atividades; e, acesso aos arquivos dos usuários.

( ) Política de contabilidade que define as responsabilidades dos usuários, especificando a capacidade de auditoria e as diretrizes no caso de incidentes.

( ) Política de autenticação que deve estabelecer confiança através de uma política efetiva de senhas; diretrizes para autenticação de acessos remotos; e, uso de dispositivos de autenticação.

( ) Não é necessário fornecer contatos para que os usuários possam comunicar violações, apenas definir diretrizes que os usuários devem seguir para gerenciar consultas externas relacionados a um incidente de segurança, ou informação considerada confidencial ou proprietária.

-

A sequência está correta em

Os controles lógicos são barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta à alteração não autorizada por elemento mal-intencionado. Considerando que entre os mecanismos de segurança que apoiam o controle lógico podemos encontrar honeypots e honeynets, marque V para as afirmativas verdadeiras e F para as falsa.

-

( ) Em um honeypot de alta interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

( ) Uma honeypot normalmente contém um segmento de rede com honeynets de diversos sistemas operacionais e que fornecem inúmeras aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para a geração de alertas.

( ) Em honeynet de alta interatividade, os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

-

A sequência está correta em

O Princípio do Menor Privilégio (Principle of Least Privilege – PoLP) se caracteriza pelo conceito da segurança da informação em que um usuário deve ter os mínimos níveis de acesso ou permissões necessárias para a realização das suas atividades laborais. Considerando tal princípio, assinale a afirmativa correta.