Samuel é o analista responsável por treinar as equipes de auditoria de TI do Tribunal de Contas do Estado de Pernambuco (TCE-PE) na aplicação da norma ISO/IEC 27001. Durante a capacitação, ele esclarece que a norma contempla diferentes tipos de controles de segurança da informação, incluindo os controles físicos.
Considerando esse contexto, selecione a opção que apresenta um exemplo de controle físico previsto na ISO/IEC 27001.

Para proteger dados sensíveis contra acessos não autorizados utilizam-se mecanismos de autenticação, criptografia e certificação digital, entre outras técnicas. Com relação à segurança da informação, analise as afirmativas a seguir.

I. A autenticação multifator eleva a segurança de sistemas ao exigir a combinação de dois ou mais fatores de autenticação distintos, como algo que o usuário sabe, algo que possui e algo que é.
II. Na criptografia simétrica, cada parte da comunicação usa um par de chaves diferentes - uma pública e uma privada - para criptografar e descriptografar mensagens.
III. A certificação digital utiliza uma estrutura chamada Infraestrutura de Chaves Públicas (PKI) e serve para associar uma identidade a uma chave pública, por meio de uma Autoridade Certificadora (CA).

Está correto o que se afirma em:

O certificado digital é um componente fundamental da Infraestrutura de Chave Pública (PKI) e desempenha papel fundamental na segurança digital.

Assinale a afirmativa que descreve corretamente a principal função de um certificado digital.

A confidencialidade, a autenticidade e a integridade constituem a base da segurança da informação. Considerando esses princípios, estabeleça a correlação entre cada um deles e os protocolos ou algoritmos apresentados.

Princípios:

1. Confidencialidade
2. Autenticidade
3. Integridade Protocolos/Algoritmos:

( ) Kerberos
( ) 3DES (Triple Data Encryption Standard)
( ) SHA-1 (Secure Hash Algorithm 1)

Assinale a opção que indica a relação correta, na ordem apresentada.

A norma ISO/IEC 27001 define diversos tipos de controles de segurança da informação, cujas diretrizes são detalhadas na ISO/IEC 27002. No contexto de uma avaliação realizada no TCE-PE, o analista Jorge está avaliando a implementação de controles tecnológicos no TCE-PE.
Com base nesse cenário, assinale a opção que apresenta apenas controles tecnológicos previstos na norma ISO/IEC 27001.

A analista Maria foi incumbida de implementar no TCE-PE um controle previsto na norma ISO/IEC 27002:2022 (trata-se do controle organizacional de contato com as autoridades). Esse controle visa garantir que haja um fluxo adequado de informações em relação à segurança da informação entre a organização e as autoridades legais, regulatórias e de supervisão relevantes.
Considerando as diretrizes da ISO/IEC 27002:2022, assinale a opção que apresenta corretamente os atributos dos domínios de segurança associados ao controle que será implementado por Maria.

Em um procedimento de análise forense de sistemas, foi solicitada a análise de dados armazenados em notebook apreendido em operação oficial de busca e apreensão.

A respeito do processo, analise as seguintes informações descritivas, documentadas sequencialmente:

I. No momento da operação, o computador estava desligado e foi armazenado de forma adequada após a retirada da bateria, tendo sido, posteriormente, realizada a cópia completa do disco do equipamento, conforme registro cronológico de toda a movimentação;
II. O processo de análise foi realizado no disco original, uma vez que a cópia obtida por duplicação “mídia para arquivoimagem” havia sido adequadamente armazenada no cofre, para preservação dos dados e da autenticidade;
III. A perícia foi realizada a pedido da autoridade competente, por servidora concursada plantonista, que é uma profissional experiente e capacitada, com formação de nível médio e portadora de Certificação em Computação Forense de instituição de elevada credibilidade.

Está correto o procedimento descrito em:

Quanto aos cuidados essenciais para proteger suas contas na internet, assinale a opção que indica a estratégia correta.

Considere que um agente mal-intencionado usa um ransomware para criptografar os dados dos usuários de uma organização, impedindo o acesso a arquivos, bancos de dados e aplicativos. Em seguida, é exigido o pagamento de um resgate para a liberação do acesso.

Sabe-se que a organização foi, de fato, atacada, que houve negligência por parte do gestor de segurança, e que o ransomware apresentará uma mensagem de sequestro na tela ou adicionará um arquivo de texto (mensagem) nas pastas afetadas.

Com base no caso relatado, analise as afirmativas a seguir sobre formas de proteção contra ataques do tipo ransomware.

I. Fazer backup dos dados de modo regular e manter pelo menos um backup completo off-line.
II. Manter todos os softwares, incluindo os sistemas operacionais, atualizados e com patches de segurança.
III. Combinar boas práticas como monitoramento, softwares antimalware, treinamento e conscientização dos usuários.

Está correto o que se afirma em:

O Google Meet é uma ferramenta de comunicação online que pode ser utilizada nos Tribunais de Contas para inúmeras atividades, de atendimento ao público até treinamentos e oficinas. A ferramenta suporta diversos recursos de segurança, entre eles a encriptação de dados.

Com relação à encriptação, analise as afirmativas a seguir.

I. O Google Meet cumpre as normas de segurança da Internet Engineering Task Force (IETF) relativas a Datagram Transport Layer Security (DTLS) e Secure Real-time Transport Protocol (SRTP).
II. Por predefinição, as gravações do Google Meet armazenadas no Google Drive são encriptadas em repouso.
III. Por padrão, todos os dados transmitidos durante videoconferências realizadas pelo Google Meet — seja por navegador de internet, pelos aplicativos do Google Meet em dispositivos Android ou Apple® iOS®, ou por meio de hardware específico para salas de reunião — são criptografados durante o trânsito entre o cliente e os servidores da Google.

Está correto o que se afirma em: