Um servidor da ALEGO foi solicitado a colocar a assinatura digital em um documento. Ele procurou o setor de TI para responder a algumas dúvidas sobre o adequado manejo de documentos com assinatura digital.
Com relação ao uso de assinaturas digitais, analise os itens a seguir:

I. Em um documento PDF uma assinatura digital colocada em local diferente do local esperado não é válida, pois o selo deveria aparecer adequadamente no local da assinatura esperado.
II. A boa prática aponta que documentos assinados digitalmente quando impressos diretamente perdem a(s) assinatura(s), no entanto, sua validade impressa pode ser mantida quando enviados digitalmente ao cartório oficial onde o documento será validado digitalmente, depois impresso e será reconhecido o documento como válido.
III. A data que aparece no “selo” (representação visual) das assinaturas em um documento PDF corresponde a prova final e tem valor legal.

Está correto o que se afirma em

A criptografia de dados é controlada por algoritmos e fórmulas matemáticas (razoavelmente) complicadas.
Considere que um parlamentar da ALEGO recebeu um texto cifrado, levou a você (profissional de T I) e o informou que o algoritmo Caeser Cipher foi utilizado para codificar o texto. O parlamentar solicitou sua colaboração para apresentar outras alternativas de criptografia simples, empregando apenas cifras de substituição.

Como alternativas que garantem a segurança real, podem ser sugeridas as seguintes cifras, exceto uma. Assinale-a.

A Criptografia de chave simétrica (ou, criptografia de chave privada, ou criptografia de chave secreta ou Symmetric Key Encryption ou Symmetric-key cryptography) usa apenas uma chave no processo de criptografia e descriptografia. Existem dois tipos de algoritmos de chave simétrica: Cifra de bloco e Cifra de fluxo. Exemplos de criptografia simétrica correspondem aos algoritmos

A disponibilidade é um dos elementos críticos no contexto da segurança da informação.

Em relação às características do conceito de disponibilidade, avalie as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) Oportunidade, significa que as informações estarão disponíveis quando necessário.
( ) Continuidade, significa que os usuários conseguem continuar trabalhando no caso da ocorrência de falhas.
( ) Versatilidade, significa que todos os usuários trabalhem nos sistemas apesar da ocorrência de falhas

As afirmativas são, respectivamente,

Padilha é um analista que precisa implementar o controle organizacional denominado “Contato com grupos de interesse específico” presente na norma ISO/IEC 27002:2022. Através desse controle a organização deve estabelecer e manter contato com grupos de interesse específico ou outros fóruns especializados em segurança e associações profissionais.

Considerando a ISO/IEC 27002:2022, o atributo do domínio de segurança deste controle a ser implementado pelo analista se denomina

Fábio e Carlos são analistas de infraestrutura, eles precisam aprimorar a gestão da segurança da informação na ALEGO e decidiram adotar o Cybersecurity Framework (CSF), versão 2.0, do NIST (National Institute of Standards and Technology). O framework está estruturado em torno de funções para gerenciar riscos de segurança cibernética.

As funções elencadas no CSF são denominadas por

Segundo o relatório OWASP Top10:2021, os ataques do tipo injeção (A03:2021 - Injection), ocupam a terceira posição na lista. Analise as alternativas a seguir.

I. Para evitar injeções, é necessário manter os dados separados dos comandos e das consultas. A opção preferencial é usar APIs seguras, que evitam o uso do interpretador de comandos por completo, fornecendo uma interface parametrizada ou migração para ferramentas de mapeamento objeto-relacional (ORMs).
II. Recomenda-se a validação positiva de entrada no servidor. Isso por si só não é uma defesa completa, pois muitos aplicativos exigem caracteres especiais, como áreas de texto ou APIs para aplicativos móveis.
III. Para quaisquer consultas SQL estáticas ou dinâmica não se recomenda a utilização de caracteres de escape junto o interpretador de comandos devido às questões de compatibilidade entre sistemas heterogêneos recomenda-se apenas os caracteres literais.

Está correto o que se afirma em

Com relação a importância da segurança na nuvem em organizações públicas e privadas. Analise as alternativas a seguir.

I. A mitigação de ameaças cibernéticas é importante pois os ambientes de nuvem são alvos frequentes de ataques cibernéticos, incluindo ataques do phishing, ransomware e DDoS. As soluções eficazes de segurança em nuvem protegem contra essas ameaças, garantindo a continuidade dos negócios.
II. Na computação em nuvem o modelo de responsabilidade é compartilhado, a segurança é uma responsabilidade compartilhada entre o provedor de serviços e os clientes. As ferramentas e práticas de segurança permitem que as organizações participem dessa parceria.
III. As violações de dados ou falhas de segurança podem prejudicar a reputação de uma organização e corroer a confiança dos cidadãos. Medidas robustas de segurança na nuvem ajudam a manter a confiança e a fidelidade dos cidadãos.

Está correto o que se afirma em

A engenharia social é um método usado para enganar, manipular ou explorar a confiança das pessoas. A engenharia social pode impactar os profissionais da ALEGO por meio de ataques a dispositivos móveis ou de mesa. No entanto, eles também podem sofrer ameaças pessoalmente. Esses ataques podem se sobrepor e se acumular uns aos outros para criar golpes.
Correlacione os métodos engenharia social que usam os golpistas às respectivas descrições.

1. Phishing.
2. Baiting.
3. Tailgating.
4. Scareware.

( ) Esse tipo de golpe abusa da curiosidade natural dos usuários para o convencer a se expor a um agressor. Tipicamente, o potencial de receber algo gratuito ou exclusivo é usado para manipular e explorar o usuário. O golpe normalmente consiste em infectar o dispositivo do usuário com malwares. Os métodos populares podem incluir desde Pen drives deixados em espaços públicos até anexos de e-mail incluindo detalhes sobre uma oferta gratuita ou software gratuito fraudulento.
( ) é o ato de seguir um membro autorizado da equipe em uma área de acesso restrito. Os agressores podem se aproveitar da cortesia social para fazer com que se segure a porta para conceder acesso físico ou convencimento de que eles também estão autorizados a estar na área.
( ) É uma forma de malware usada para assustar e fazer o usuário agir. Esse recurso enganador utiliza advertências alarmantes que relatam infecções falsas por malware ou afirmam que uma de suas contas foi comprometida. Esse ataque induz o usuário a comprar softwares fraudulentos de cibersegurança ou divulgar detalhes privados como suas credenciais de conta.
( ) Os golpistas desse tipo de ataque fingem ser uma instituição ou um indivíduo confiável na tentativa de persuadi-lo a expor dados pessoais e outros bens valiosos. Esse tipo de ataque pode ser generalizado dirigido a muitos usuários ou utilizar informações personalizadas para direcionar usuários específicos.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

A norma NBR/ISSO que define requisitos para criar, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação e também é direcionada para avaliação e tratamento de riscos adaptados às necessidades das organizações, garantindo proteção de dados e conformidade com objetivos estratégicos é conhecido por.