1952952 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Analista Judiciário - TI/Suporte
Provas ×

GestãoGestão de RiscosISO 27005: Gestão de Riscos de Segurança da Informação

Texto 4A04-I

Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.

I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.

A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto 4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase

Provas

Questão presente nas seguintes provas

1952951 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Conceitos BásicosTerminologiaRisco
GestãoGestão de RiscosAvaliação de Riscos
GestãoGestão de RiscosAnálise de Riscos

Em relação aos conceitos, processos e metodologias utilizadas na gestão de risco, é correto afirmar que, para o cálculo de risco de

A

interrupção de energia de um datacenter, é indicada a análise quantitativa, que utiliza uma escala de valores baseados em séries históricas.

B

interrupção de energia de um datacenter, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em séries históricas.

C

ataque cibernético, é indicada a análise quantitativa, que utiliza uma escala de valores baseados em opiniões subjetivas das partes interessadas.

D

ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em séries históricas.

E

ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em opiniões subjetivas das partes interessadas e em séries históricas.

Provas

Questão presente nas seguintes provas

1952950 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Analista Judiciário - TI/Suporte
Provas ×

GestãoSGSIISO 27002
Segurança LógicaSegurança de Endpoints

Um dos desafios atuais da segurança da informação é o crescente uso de BYOD (bring your own device, ou, em português, traga seu próprio dispositivo) nas instituições. Notebooks, tablets e principalmente smartphones estão invadindo as redes institucionais. Nesse contexto, são necessárias políticas, procedimentos e tecnologias especializadas acerca do tema. Com base na NBR ISO/IEC n.º 27002, em uma política de dispositivos móveis, é correto

A

validar informações de entrada no sistema somente quando todos os dados de entrada estiverem completos e íntegros, em conformidade com as boas práticas.

B

separar o uso do dispositivo para negócio e para fins pessoais, incluindo os softwares para apoiar essa separação e proteger os dados do negócio em um dispositivo privado.

C

monitorar as condições ambientais, como temperatura e umidade, para a detecção de condições que possam afetar negativamente as instalações de processamento da informação.

D

avaliar regularmente a referida política quanto à sua capacidade de atender ao crescimento do negócio e às interações com outras utilidades.

E

segregar as funções de controle de acesso como, por exemplo, pedido de acesso, autorização de acesso e administração de acesso.

Provas

Questão presente nas seguintes provas

1952949 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Ataques e Golpes e AmeaçasEngenharia Social
Ataques e Golpes e AmeaçasMalwaresRansomware
Backup e RecuperaçãoConceitos e Fundamentos de Backup
GestãoPolíticas de Segurança de InformaçãoBoas Práticas em Segurança da Informação

Texto 4A04-II

Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as páginas web com uso de engenharia social, e a propagação na rede através de exploração de vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns da rede.

Internet: <www.exame.com.br> (com adaptações).

Constitui boa prática para o combate ao malware mencionado no texto 4A04-II

A

o uso de sistema de becapes corporativos, para salvaguarda e posterior recuperação das informações, o qual deve ser utilizado como último recurso em cenários de propagação de ransomwares.

B

adotar sistemas de rastreamento de ativos, com o objetivo de identificar e bloquear os emails recebidos com os ransomwares.

C

utilizar sistemas de aceleração web para os usuários institucionais, o que evita o download de ransomwares a partir de páginas web.

D

atualizar a BIOS (sistema básico de entrada e saída), com o objetivo de corrigir vulnerabilidades dos sistemas operacionais e dificultar a propagação do ransomwares na rede institucional.

E

o ajuste de privilégios das contas de usuários comuns, possibilitando acesso às pastas protegidas do sistema operacional e instalação de softwares para permitir a exclusão de ransomwares.

Provas

Questão presente nas seguintes provas

1952948 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Analista Judiciário - TI/Suporte
Provas ×

Conceitos BásicosClassificação de Informações
GestãoGestão de Ativos de Informação
GestãoPolíticas de Segurança de Informação
GestãoSGSIISO 27002

Texto 4A04-II

Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as páginas web com uso de engenharia social, e a propagação na rede através de exploração de vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns da rede.

Internet: <www.exame.com.br> (com adaptações).

A gestão de ativos é um dos principais conceitos abordados na gestão de segurança da informação. São controles da gestão de ativos:

A

responsabilidade pelos ativos, dispositivos móveis e trabalho remoto, classificação da informação.

B

responsabilidade pelos ativos, gerenciamento de mídias removíveis, dispositivos móveis e trabalho remoto.

C

controle de acesso dos ativos, teste de segurança do sistema, dispositivos móveis e trabalho remoto.

D

teste de segurança do sistema, tratamento de mídias, criptografia.

E

classificação da informação, responsabilidade pelos ativos e tratamento de mídias.

Provas

Questão presente nas seguintes provas

1952947 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Auxiliar Judiciário - Programador
Provas ×

Controle de AcessoModelos de Controle de Acesso

Para o controle de acesso a sistemas de informação, podem ser adotadas diferentes formas de controle de acesso lógico, com vistas à segurança de um recurso. Quanto a essas formas de controle, assinale a opção correta.

A

Do ponto de vista do usuário, um controle discricionário é, em geral, menos flexível que um mandatório.

B

Em geral, é mais difícil auditar sistemas que operam com controle de acesso discricionário do que sistemas com controle de acesso mandatório.

C

Como regra geral, no controle de acesso mandatório, os donos e usuários de recursos podem conceder acesso além dos limites declarados pela política da empresa.

D

No controle discricionário, podem ser transferidos para terceiros os direitos de acesso, mas não a propriedade de um recurso.

E

Em um sistema mandatório, o acesso é concedido com base na avaliação das funções dos sujeitos em relação às reivindicações relacionadas ao seu papel no sistema de informação.

Provas

Questão presente nas seguintes provas

1952946 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Auxiliar Judiciário - Programador
Provas ×

Conceitos BásicosPrincípiosIrretratabilidade (Não Repúdio)
Certificado DigitalCarimbo de Tempo (Timestamping)

Assinale a opção que indica um serviço de segurança diretamente favorecido com a escolha de um mecanismo de segurança baseado na notarização.

Provas

Questão presente nas seguintes provas

1952945 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Auxiliar Judiciário - Programador
Provas ×

CriptografiaCriptografia Assimétrica
CriptografiaCriptografia Simétrica

A respeito da criptografia com uso de chave pública assimétrica e com uso de chaves simétricas, assinale a opção correta.

A

A criptografia simétrica caiu em desuso a partir dos atuais esquemas de criptografia com chave pública.

B

Os procedimentos da criptografia de chave pública são mais simples que os adotados pela criptografia simétrica.

C

Sob o ponto de vista da criptoanálise, a criptografia de chave pública é mais resistente à descoberta do texto original cifrado do que a criptografia simétrica.

D

Tal como na criptografia simétrica, na criptografia assimétrica é preciso que a mensagem inteira seja criptografada para se garantir a sua autenticidade.

E

Tanto a criptografia simétrica quanto a encriptação de chave pública são vulneráveis a um ataque de força bruta.

Provas

Questão presente nas seguintes provas

1952944 Ano: 2020
Disciplina: TI - Segurança da Informação
Banca: CESPE / CEBRASPE
Orgão: TJ-PA

Provas:

Auxiliar Judiciário - Programador
Provas ×

CriptografiaCriptoanálise
CriptografiaCriptografia AssimétricaRSA: Rivest, Shamir and Adelman

O algoritmo criptográfico RSA, assim como outros sistemas de criptografia de chave pública, é sensível a um ataque de temporização. Uma das contramedidas que pode ser usada consiste em multiplicar o texto cifrado por um número cifrado antes de realizar a exponenciação. Esse recurso é conhecido como