Segundo Sêmola, o teste de Invasão avalia o grau de segurança oferecido pelos controles de segurança de determinado perímetro, simulando tentativas de acesso indevido e invasão a partir de pontos distintos.

Fonte: (SÊMOLA, Marcos. Gestão da Segurança da Informação - Uma visão executiva. 17 ed. São Paulo: Elsevier, 2003).

As sentenças abaixo descrevem formatos de testes de invasão, com EXCEÇÃO de:

As sentenças abaixo são inspiradas no texto de Ramos (2006) sobre Segurança da Informação:

I. Evento que tem potencial em si próprio para comprometer os objetivos da organização e pode trazer danos diretos aos ativos, ou prejuízos decorrentes de situações inesperadas.

II. Ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existentes.

III. Medida indicativa de probabilidade de uma ocorrência que possa comprometer os objetivos da organização, combinada com os impactos que ela trará.

Fonte: (RAMOS, Anderson. Security Officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006.)

Tais sentenças descrevem, respectivamente, as definições de:

Leia as sentenças abaixo.

I. programa capaz de se propagar automaticamente pelas redes, explorando vulnerabilidades nos programas instalados e enviando cópias de si mesmo de equipamento para equipamento.

II. conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um equipamento comprometido.

III. programa que permite o retorno de um invasor a um equipamento comprometido, por meio da inclusão de serviços criados ou modificados para este fim.

IV. programa que possui mecanismos de comunicação com o invasor que permitem que ele seja remotamente controlado.

As sentenças dizem respeito a códigos maliciosos e são, respectivamente, as definições de:

Segundo Stallings & Brown, "política de segurança organizacional ou corporativa pode ser um grande documento único ou, mais comumente, um conjunto de documentos relacionados”. Alguns dos tópicos que essa política precisa abordar estão relacionados abaixo, EXCETO:

(STALLINGS, William & BROWN, Laurie. Segurança de computadores: princípios e práticas. 2ed. Rio de Janeiro: Elsevier, 2014.)

Indique o item INCORRETO.

Conforme ABNT NBR ISO/IEC 27004:2017, monitoramento, medição, análise e avaliação consistem nos seguintes processos:

Uma das funções do hash se refere à verificação da integridade de uma mensagem, pois, caso haja a modificação de apenas um bit nesta mensagem, o valor do hash calculado será totalmente diferente. Considerando as funções hash, assinale a afirmativa correta.

A melhoria de processos, a adoção de sistemas íntegros e a busca pela melhoria da governança exigem padrões para a mitigação de riscos, por exemplo, a ISO 31000, que é uma norma genérica para construção de uma estrutura de gestão de riscos corporativos. Sobre os principais conceitos da ISO 31000, assinale a afirmativa INCORRETA.

O processo de avaliação de riscos na ISO 31000 é composto por três etapas denominadas identificação; análise; e, avaliação de riscos. Sobre as etapas do processo de gestão de riscos da ISO 31000, marque V para as afirmativas verdadeiras e F para as falsas.

( ) A análise de riscos está preocupada em desenvolver uma compreensão de cada risco, suas consequências e probabilidade dessas consequências.

( ) A identificação de riscos requer a aplicação sistemática de técnicas e ferramentas para entender o que pode acontecer, como, quando e por quê.

( ) A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessário ação adicional.

A sequência está correta em

Segundo a Norma ISO/IEC 27002, segurança da informação é definida como sendo a preservação da confidencialidade, da integridade e da disponibilidade da informação. Considerando os conceitos abordados nesta normativa, assinale a afirmativa correta.

Ataque do dia zero (zero-day attack) é um tipo de ataque que explora falhas de segurança de softwares da qual o fornecedor ou desenvolvedor pode não estar ciente. Sobre ataque do dia zero, marque V paras as afirmativas verdadeiras e F para as falsas.

-

( ) O ataque geralmente ocorre entre o momento em que a vulnerabilidade é encontrada e explorada pela primeira vez e o momento em que os desenvolvedores do software lançam a solução necessária para combater a exploração. Esse intervalo é chamado de janela de vulnerabilidade.

( ) Diferentes controles de acesso, incluindo LANs virtuais e firewalls, não podem fornecer proteção contra esse tipo de ataque.

( ) A solução para corrigir o software violado pelo ataque é conhecido como patch de software.

-

A sequência está correta em