Sobre segurança e gerenciamento de redes, considere as afirmações a seguir.

I → O protocolo SNMP trabalha tanto por pooling do gerenciador central como por notificação de cada agente para o gerenciador central, já o CMIP faz uso somente do pooling do gerenciador central.

II → O conceito de VPN consiste em criar um túnel privativo lógico (virtual) entre dois pontos, com criptografia dos dados entre a origem e o destino final, garantindo a confidencialidade e integridade da informação no caminho. Essa solução é uma vantagemeconômica ao ser usada em redes públicas como a Internet, pois reduz os custos em relação ao uso de links dedicados (LPs) ou de redes Frame-relay.

III → A partir de 1980, introduziram-se os padrões de gerenciamento de redes pela comunidade Internet IRTF (Internet Engineering Task Force) e pela ISO, as quais desenvolveram protocolos e sistemas de gerenciamento tais como: SNMP (Simple Network Management Protocol); CMIP ISO (Common Management Information Protocolol Over TCP/ IP-CMOT).

IV → A vantagem do tunelamento é a possibilidade de transportar diferentes pacotes e protocolos por uma rede de protocolo único, no caso o IP. Assim, por um backbone de rede WAN totalmente IP, levam-se pacotes de outros protocolos de rede, como IPX, X.25 e outros.

Está(ão) correta(s)

Muitas empresas, como medida de segurança, têm utilizado o PXE, Ambiente de Pré-execução, em suas instalações. Tal ambiente diz respeito, exatamente, a quê?

Sobre criptografia assimétrica, considere as seguintes afirmações:

I → A criptografia e descriptografia são realizadas pela mesma chave.

II → A criptografia assimétrica usa o criptossistema RSA.

III → Não permite a autenticação.

Está(ão) correta(s)

Assinale a alternativa que apresente um tipo de programa que se propaga pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores e não por meio da inclusão de cópias de si mesmo em outros programas ou arquivos. Este programa pode ser capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Estes programas são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

Com relação à certificação digital são realizadas as seguintes afirmações:

I. Ao acessar um site na Internet você pode receber uma mensagem de erro avisando que há um problema com o certificado de segurança de um site. A mensagem que o certificado de segurança deste site não provém de uma fonte confiável indica que o certificado foi emitido por uma autoridade de certificação que é reconhecida pelo navegador como sendo confiável, mas fora do prazo de validade.

II. O certificado digital funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora, e associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas.

III. Uma função de resumo criptográfico (função hashing) é uma função criptográfica que, quando aplicada sobre uma informação, independentemente do tamanho que ela tenha, gera um resultado único e de tamanho variável, chamado hash. Para verificar a integridade de um arquivo, calcula-se o hash dele e, quando julgar necessário, gera-se novamente este valor. Se os dois hashes forem iguais então você pode concluir que o arquivo não foi alterado.

Em relação a estas afirmações, assinale a alternativa correta:

Com relação à ABNT NBR ISO/IEC 27001 de 2013 são realizadas as seguintes afirmações:

I. Esta norma adota o modelo Plan-Design-Configure-Analyze (PDCA), que é aplicado para estruturar todos os processos do SGI.

II. Esta norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

III. A documentação do SGSI deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.

IV. A Direção da empresa não deve se envolver com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI.

Em relação a estas afirmações, assinale a alternativa correta:

De acordo com a norma ABNT NBR ISO/IEC 27001 de 2013, a organização deve conduzir auditorias internas do SGSI. Assinale a alternativa INCORRETA.

De acordo com a ABNT NBR ISO/IEC 27002 de 2005 é essencial que uma organização identifique os seus requisitos de segurança da informação. Com relação a este assunto são realizadas as seguintes afirmações:

I. Uma fonte de requisitos de segurança da informação é a legislação vigente, os estatutos, a regulamentação e a cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.

II. Uma vez que os requisitos de segurança da informação, os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam eliminados. Não é aceitável a simples redução a níveis aceitáveis.

III. A análise/avaliação de riscos deve ser realizada na implantação do SGI e, posteriormente, semestralmente, independente de quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.

IV. Uma possível opção para o tratamento do risco inclui transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Em relação a estas afirmações, assinale a alternativa correta:

Com relação a organização da segurança da informação, de acordo com a ABNT NBR ISO/IEC 27002 de 2005, assinale a alternativa correta.

Com relação ao assunto criptografia são realizadas as seguintes afirmações:

I. Criptografia de chaves assimétricas, também conhecida como criptografia de chave pública, utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono.

II. A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes de dados, pois seu processamento é mais rápido.

III. Criptografia de chave simétrica, também chamada de criptografia de chave pública, utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados.

IV. Exemplos de métodos criptográficos que usam chave simétrica são: AES, Blowfish, RC4, 3DES e IDEA.

Em relação a estas afirmações, assinale a alternativa correta: