Julgue o item subsequente.

O paradigma de segurança convencional, com sua principal representação na firewall, é comumente chamado de "Fortaleza de Informação", em uma comparação com estruturas militares. Esse modelo, centrado em um monitor de referência central que implementa uma política de segurança, é fundamentado em três princípios: política de segurança, integridade do monitor e secretismo.

A SEPLAG está implementando uma política de controle de acesso para garantir que os funcionários acessem apenas os recursos necessários para realizar suas funções específicas. O objetivo é simplificar a gestão, agrupando permissões de acordo com os papéis, em vez de usuários individuais.

Nesse sentido, assinale a opção que apresenta o tipo de controle de acesso que o analista responsável deverá implementar.

Em um ambiente corporativo, a equipe de segurança analisa diferentes soluções de proteção para mitigar a ação de malwares e ataques de rede. Durante essa análise, são considerados antivírus, IDS e IPS. Cada solução tem características e funcionalidades específicas, seja na forma de detecção de ameaças, na capacidade de resposta ou no tipo de tráfego e dados monitorados.

Com base nas diferenças entre antivírus, IDS e IPS, assinale a opção que descreve, corretamente, os métodos de detecção usados por cada uma dessas soluções.

O traffic shaping é uma técnica usada em redes de computadores para gerenciar o fluxo de dados, permitindo um controle mais eficiente sobre os pacotes transmitidos. Essa abordagem não apenas influencia o desempenho geral da rede, mas também pode impactar a segurança das comunicações.

Nesse contexto, assinale a opção que apresenta um benefício relevante do traffic shaping em termos de segurança de redes.

A norma ISO 27002, versão 2013, prevê diversas sugestões para implementação de controles de segurança da informação. Nesse contexto, analise as afirmativas a seguir.

I. A segurança física e do ambiente deve ser levada em conta, para prevenir acesso físico não autorizado e danos aos ativos da organização.

II. Deve ser estabelecida uma política de controle de acesso, considerando tanto acesso lógico quanto físico aos ativos da organização.

III. A segurança em recursos humanos deve ser iniciada logo após a contratação e encerrada apenas após o encerramento do contrato de um colaborador.

Está correto o que se afirma em

Um Sistema de Gestão da Segurança da Informação, como preconizado na ISO27001, prevê uma implementação calcada no conceito iterativo PDCA.

Avalie as práticas previstas para a implantação do SGSI a seguir e as correlacione às 4 fases do ciclo PDCA, segundo a norma ISO 27001.

( ) Planejar (P).

( ) Fazer (D).

( ) Checar (C).

( ) Agir (A).

1. Implementar as melhorias identificadas no SGSI.

2. Identificar os ativos dentro do escopo do SGSI e os proprietários destes ativos

3. Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.

4. Implementar programas de conscientização e treinamento.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

Embora seja uma técnica milenar, a esteganografia evoluiu com o tempo e continua sendo usada até hoje no contexto de sistemas computacionais.

Assinale a opção que indica uma aplicação atual da esteganografia.

O site OWASP top 10 classifica os maiores riscos no desenvolvimento de aplicações. Na versão atual de seu relatório, o risco de segurança conhecido como Injection (ou injeção) aparece na terceira posição. Essa categoria inclui vulnerabilidades como Cross site scripting e SQL Injection.

(https://owasp.org/Top10/A03_2021-Injection/ acessado em 13/10/2024).

Já o Security Development Lifecycle (SDL) preconiza que os riscos podem ocorrer em todas as etapas do desenvolvimento, recomendando 10 práticas de segurança para serem incluídas no fluxo de trabalho de desenvolvimento.

Um desenvolvedor, utilizando o SDL, analisou a arquitetura de sua aplicação e percebeu que ela estaria vulnerável a ataques do tipo Injection, recomendando como solução a sanitização de todas as entradas dos usuários.

Assinale a opção que indica a prática de segurança do SDL na qual se encaixa o procedimento realizado pelo desenvolvedor.

O controle de acesso baseado em papéis (RBAC) e os sistemas de autenticação forte, que combinam dois ou mais fatores de verificação (como senha e biometria), são recursos amplamente usados na implementação de segurança nos diversos tipos de sistemas.

Assinale a opção que melhor descreve o impacto do uso de controle de acesso baseado em papéis (RBAC) e autenticação forte na segurança de sistemas.

A criptografia de chave pública, ou assimétrica, usa um par de chaves: uma pública e outra privada. A chave pública é distribuída para qualquer pessoa, enquanto a chave privada é mantida em sigilo.

O sistema de criptografia assimétrica permite que uma mensagem criptografada com a chave pública só possa ser decriptada com a chave privada correspondente. Em contraste, a criptografia de chave privada, ou simétrica, usa uma única chave para criptografar e decriptar a mensagem, exigindo que ambas as partes compartilhem essa chave com segurança.

Considerando as características da criptografia de chave pública e a de chave privada, assinale a afirmativa correta.