Aula7 TI EXERC INSS 62355 PDF

A l e xs a ndr o A l ve s V a s c o nc e 02924580617
TI EM EXERCCIOS P/ INSS
Conhecimentos especficos - Formao em Tecnologia da Informao (TEINF)

Prof
a
. Patrcia Lima Quinto www.pontodosconcursos.com.br 1 de 117
AULA 7 SEGURANA DA INFORMAO
Ol amigos do Ponto dos Concursos, tudo bem!

Nessa aula, abordaremos os principais pontos da norma ABNT NBR ISO/IEC
17799:2005 (renumerada para ABNT NBR ISO/IEC 27002) e demais tpicos
de segurana do edital, com destaque para os conceitos mais cobrados nos
ltimos certames.
Desde 2006 fao parte do Comit Brasileiro de Processamento de Dados
responsvel pela criao das normas de segurana no mbito brasileiro, sob a
coordenao da ABNT. Estou, inclusive, neste momento, auxiliando colegas da
ABNT no processo de reviso da ABNT NBR ISO/IEC 27002.
Resumidamente, cabe destacar que toda norma ao ser criada/traduzida passa
por uma srie de revises junto ao comit, em seguida encaminhada para
consulta pblica e s ento a verso oficial homologada publicada e vendida
diretamente pela ABNT.
Que Deus os abenoe, e vamos ao que interessa !!
Profa Patrcia Lima Quinto
Twitter: http://www.twitter.com/pquintao
Facebook: http://www.facebook.com/professorapatriciaquintao (Aguardo
vocs por l!)
Instagram: @patriciaquintao
#professorapatriciaquintao


Prof
a
Contedo desta Aula Pgina
Reviso em tpicos e palavras-chave (MEMOREX). 02
Lista de Questes Comentadas. 35
Lista das Questes Apresentadas na Aula. 99
Gabarito. 115
Acompanhe a evoluo do seu aproveitamento. 117

Norma ABNT NBR ISO/IEC 27002:2005
A ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR ISO/IEC
27002) estabelece diretrizes e princpios gerais para iniciar,
implementar, manter e melhorar a gesto de segurana da informao
em uma organizao.

Os objetivos definidos nesta norma proveem diretrizes gerais sobre as
metas geralmente aceitas para a gesto da segurana da informao.
importante destacar que o grupo internacional JTC1/SC27, formado pelas
organizaes ISO e IEC, criou em 2000 a norma ISO/IEC 17799 baseada na
primeira parte da norma britnica BS 7799. Esse grupo promoveu a reviso da
ISO/IEC 17799, renomeando-a para ISO/IEC 17799:2005. Posteriormente, a
ABNT NBR ISO/IEC 17799:2005 foi renumerada para NBR ISO/IEC
27.002, conforme quadro a seguir.

Prof
a

As principais sees da norma ABNT NBR ISO IEC 17799:2005
(renumerada para ABNT NBR ISO/IEC 27002) so as seguintes:
0. Introduo
1. Objetivo
2. Termos e definies
3. Estrutura da norma
4. Anlise/avaliao e tratamento de riscos
5. Poltica de segurana da informao
6. Organizando a segurana da informao
7. Gesto de ativos
8. Segurana em recursos humanos
9. Segurana fsica e do ambiente
10. Gerenciamento das operaes e comunicaes
11. Controle de acesso.
12. Aquisio, desenvolvimento e manuteno de sistemas de
informao
13. Gesto de incidentes de segurana da informao
14. Gesto da continuidade do negcio
15. Conformidade

Conforme visto na tabela seguinte, a norma contm 11 sees de controles
de segurana, totalizando 39 categorias principais de segurana e uma
seo introdutria que aborda a anlise/avaliao e o tratamento de
riscos.


Prof
a
N
Seo
Nome Objetivos
de Controle
(categorias)
Controles
5 Poltica de Segurana da
Informao.
1 2
6 Organizando a Segurana da
Informao.
2 11
7 Gesto de Ativos. 2 5
8 Segurana em Recursos
Humanos.
3 9
9 Segurana Fsica e do
Ambiente.
2 13
10 Gesto das Operaes e
Comunicaes.
10 32
11 Controle de Acessos. 7 25
12 Aquisio, Desenvolvimento e
Manuteno de Sistemas de
Informao.
6 16
13 Gesto de Incidentes de
Segurana da Informao.
2 5
14 Gesto da Continuidade do
Negcio.
1 5
15 Conformidade. 3 10
Total 39 133

Ao todo, a norma apresenta 133 controles de segurana. A ordem das
sees no segue um grau de importncia, ficando a cargo de cada
organizao identificar as sees aplicveis e a relevncia de cada uma.

O que Significa Segurana?
colocar tranca nas portas de sua casa? ter as informaes
guardadas de forma suficientemente segura para que pessoas
sem autorizao no tenham acesso a elas? Vamos nos
preparar para que a prxima vtima no seja voc !!!
A segurana uma palavra que est presente em nosso
cotidiano e refere-se a um estado de proteo, em que
estamos livres de perigos e incertezas (Quinto, 2012)!

Prof
a

Segurana da informao o processo de proteger a
informao de diversos tipos de ameaas externas e
internas para garantir a continuidade dos negcios,
minimizar os danos aos negcios e maximizar o
retorno dos investimentos e as oportunidades de
negcio.
Em uma corporao, a segurana est ligada a tudo o que manipula direta ou
indiretamente a informao (inclui-se a tambm a prpria informao e os
usurios!!!), e que merece proteo.
Esses elementos so chamados de ATIVOS, e podem ser divididos em:
tangveis: informaes impressas, mveis, hardware (Ex.:impressoras,
scanners);
intangveis: marca de um produto, nome da empresa, confiabilidade de um
rgo federal etc.;
lgicos: informaes armazenadas em uma rede, sistema ERP (sistema de
gesto integrada), etc.;
fsicos: galpo, sistema de eletricidade, estao de trabalho, etc;
humanos: funcionrios.
Para Beal (2005), ativo de informao qualquer dado ou informao a que
esteja associado um valor para o negcio. Representam ativos de informao
as informaes relevantes mantidas na mente dos tomadores de deciso, em
base de dados, arquivos de computador, documentos e planos registrados em
papel etc.
Segundo Technet (2006) um ativo todo elemento que compe o processo da
comunicao, partindo da informao, seu emissor, o meio pelo qual
transmitida, at chegar ao seu receptor.
Moreira (2001, p.20) afirma que:
[...] ativo tudo que manipula direta ou indiretamente uma informao,
inclusive a prpria informao, dentro de uma Organizao e, isso que deve
ser protegido contra ameaas para que o negcio funcione corretamente.
Uma alterao, destruio, erro ou indisponibilidade de algum dos ativos pode
comprometer os sistemas e, por conseguinte, o bom funcionamento das
atividades de uma empresa.
De acordo com a NBR ISO/IEC 27002:2005, a informao um ativo que,
como qualquer outro ativo importante, essencial para os negcios de uma
organizao e consequentemente necessita ser adequadamente protegida.

A informao pode existir em diversas formas: ela pode ser impressa ou
escrita em papel, armazenada eletronicamente, transmitida pelo correio ou
por meios eletrnicos, apresentada em filmes ou falada em conversas. Dessa
definio, podemos depreender que a informao um bem, um patrimnio a
ser preservado para uma empresa e que tem importncia aos negcios. Devido
a essa importncia, deve ser oferecida proteo adequada, ou seja, a proteo

Prof
a
deve ser proporcional importncia que determinada informao tem para
uma empresa.

Para a NBR 27002:2005, a segurana da informao consiste na
preservao dos princpios bsicos da confidencialidade, da
integridade e da disponibilidade da informao:
Confidencialidade: o acesso informao deve ser obtido apenas por
pessoas autorizadas;
Integridade: as informaes em trnsito ou em um sistema de
computador somente podem ser modificadas pelas partes autorizadas;
Disponibilidade: as informaes podem ser acessadas pelas pessoas
autorizadas sempre que for necessrio.

Adicionalmente, outras propriedades podem estar envolvidas como:

Autenticidade: a origem da informao deve ser identificada e o seu
remetente deve ser realmente a pessoa indicada na prpria mensagem;
Confiabilidade: pode ser caracterizada como a condio em que um
sistema de informao presta seus servios de forma eficaz e eficiente, ou
melhor, um sistema de informao ir desempenhar o papel que foi
proposto para si.

Confiabilidade: visa garantir que um sistema vai se
comportar (vai realizar seu servio) segundo o esperado e
projetado (ser confivel, fazer bem seu papel).
No repdio (irretratabilidade): a garantia de que um agente no
consiga negar (dizer que no foi feito) uma operao ou servio que
modificou ou criou uma informao. Tal garantia condio necessria
para a validade jurdica de documentos e transaes digitais. S se pode
garantir o no-repdio quando houver autenticidade e integridade (ou seja,
quando for possvel determinar quem mandou
a mensagem e garantir que a mesma no foi
alterada).
Legalidade: aderncia do sistema
legislao.
Auditoria: a possibilidade de rastrear o
histrico dos eventos de um sistema para
determinar quando e onde ocorreu uma
violao de segurana, bem como identificar os
envolvidos nesse processo.
Privacidade: diz respeito ao direito
fundamental de cada indivduo de decidir quem
deve ter acesso aos seus dados pessoais.
A privacidade a capacidade de um sistema manter incgnito um
usurio (capacidade de um usurio realizar operaes em um sistema sem
que seja identificado), impossibilitando a ligao direta da identidade

Prof
a
do usurio com as aes por este realizadas. Privacidade uma
caracterstica de segurana requerida, por exemplo, em eleies secretas.
Uma informao privada deve ser vista, lida ou alterada somente pelo seu
dono. Esse princpio difere da confidencialidade, pois uma informao pode
ser considerada confidencial, mas no privada.

O que queremos sob a tica de segurana?
Desejamos entregar a informao CORRETA, para a pessoa CERTA, no
momento CORRETO, confirmando a IDENTIDADE da pessoa ou
entidade que presta ou acessa as informaes!!! Entenderam??
Eis a essncia da aplicao dos quatro princpios acima destacados. Ainda,
cabe destacar que a perda de pelo menos um desses princpios j ir
ocasionar impactos ao negcio (a surgem os incidentes de segurana!!)
Quando falamos em segurana da informao, estamos nos referindo a
salvaguardas para manter a confidencialidade, integridade,
disponibilidade e demais aspectos da segurana das informaes
dentro das necessidades do cliente!

Incidente de segurana da informao: indicado por
um simples ou por uma srie de eventos de segurana
da informao indesejados ou inesperados, que tenham
uma grande probabilidade de comprometer as operaes
do negcio e ameaar a segurana. Exemplos: invaso
digital; violao de padres de segurana de informao.

Vulnerabilidades de Segurana
Vulnerabilidade uma fragilidade que poderia ser explorada por uma
ameaa para concretizar um ataque.

Outro conceito bastante comum para o termo:
Vulnerabilidade uma evidncia ou fragilidade que eleva o grau de
exposio dos ativos que sustentam o negcio, aumentando a probabilidade de
sucesso pela investida de uma ameaa.

O conhecimento do maior nmero de vulnerabilidades possveis permite
equipe de segurana tomar medidas para proteo, evitando assim ataques
e consequentemente perda de dados.
Ainda, trata-se de falha no projeto, implementao ou configurao de
software ou sistema operacional que, quando explorada por um
atacante, resulta na violao da segurana de um computador.

Prof
a
No h uma receita ou lista padro de vulnerabilidades. Esta deve ser
levantada junto a cada organizao ou ambiente. Sempre se deve ter em
mente o que precisa ser protegido e de quem precisa ser protegido de acordo
com as ameaas existentes. Podemos citar, como exemplo inicial, uma anlise
de ambiente em uma sala de servidores de conectividade e Internet com a
seguinte descrio: a sala dos servidores no possui controle de acesso fsico!!
Eis a vulnerabilidade detectada nesse ambiente.
Outros exemplos de vulnerabilidades:
ambientes com informaes sigilosas
com acesso no controlado;
hardware sem o devido
acondicionamento e proteo;
software mal desenvolvido; falta de atualizao de software
e hardware;
falta de mecanismos de
monitoramento e controle (auditoria);
ausncia de pessoal capacitado
para a segurana;
inexistncia de polticas de
segurana;
instalaes prediais fora do
padro;
ausncia de recursos para combate a
incndios, etc.

Ameaas Segurana
Ameaa algo que possa provocar danos segurana da informao,
prejudicar as aes da empresa e sua sustentao no negcio, mediante a
explorao de uma determinada vulnerabilidade.
Em outras palavras, uma AMEAA tudo aquilo que pode comprometer a
segurana de um sistema, podendo ser acidental (falha de hardware,
erros de programao, desastres naturais, erros do usurio, bugs de software,
uma ameaa secreta enviada a um endereo incorreto, etc.) ou deliberada
(roubo, espionagem, fraude, sabotagem, invaso de hackers, entre outros).
Ameaa pode ser uma pessoa, uma coisa, um evento ou uma ideia capaz de
causar dano a um recurso, em termos de confidencialidade, integridade,
disponibilidade etc. Como exemplos de ameaa podemos destacar:
concorrente, cracker, erro humano (deleo de arquivos digitais
acidentalmente etc.), acidentes naturais (inundao etc.), funcionrio
insatisfeito, tcnicas (engenharia social, etc.), ferramentas de software
(sniffer, cavalo de troia, etc.).
Basicamente existem dois tipos de ameaas: internas e externas.
Ameaas externas: so aqui representadas por todas as tentativas de
ataque e desvio de informaes vindas de fora da empresa. Normalmente
essas tentativas so realizadas por pessoas com a inteno de prejudicar a
empresa ou para utilizar seus recursos para invadir outras empresas.
Ameaas internas: esto presentes, independentemente das empresas
estarem ou no conectadas Internet. Podem causar desde incidentes
leves at os mais graves, como a inatividade das operaes da empresa.

Prof
a
Resumindo, temos que...

Os ATIVOS so os elementos que sustentam a
operao do negcio e estes sempre traro consigo
VULNERABILIDADES que, por sua vez, submetem os
ativos a AMEAAS.

Risco
RISCO a medida da exposio qual o sistema computacional est sujeito.
Depende da probabilidade de uma ameaa atacar o sistema e do impacto
resultante desse ataque.

Como exemplo de um risco pode-se imaginar um funcionrio insatisfeito e um
martelo ao seu alcance; nesse caso o funcionrio poderia danificar algum ativo
da informao.
Existem algumas maneiras de se classificar o grau de risco no mercado de
segurana, mas de uma forma simples, poderamos tratar como alto, mdio e
baixo risco. No caso do nosso exemplo da sala dos servidores, poderamos
dizer que, baseado na vulnerabilidade encontrada, a ameaa associada de
alto risco.

Ciclo da Segurana
Como mostrado na figura seguinte os ATIVOS de uma organizao precisam
ser protegidos, pois esto sujeitos a VULNERABILIDADES.
Se as vulnerabilidades aumentam, aumentam-se os riscos permitindo a
explorao por uma ameaa e a concretizao de um ataque. Se estas
ameaas crescem, aumentam-se ainda mais os riscos de perda da integridade,
disponibilidade e confidencialidade da informao podendo causar impacto nos
negcios.
Nesse contexto, MEDIDAS DE SEGURANA devem ser tomadas, os riscos
devem ser analisados e diminudos para que se estabelea a segurana dos
ativos da informao.
Smola (2003, p. 50) diz que risco a probabilidade de ameaas
explorarem vulnerabilidades, provocando perdas de
confidencialidade, integridade e disponibilidade, causando,
possivelmente, impactos nos negcios.

Prof
a

Ativos

Medidas de
Segurana diminui
limitados

Vulnerabilidades
aumenta
sujeitos

Impactos no
negcio
causam
aumenta
Riscos

Confidencialidade
Integridade
Disponibilidade
perdas
aumenta

permitem
aumenta
Ameaas

protege
Ciclo da
segurana

Figura. Ciclo da Segurana da Informao (MOREIRA, 2001)

As ameaas so causas em potencial de um incidente indesejado (por
exemplo, um ataque de um hacker uma ameaa). As ameaas e as
vulnerabilidades aumentam os riscos relativos segurana por parte de uma
organizao.
Dessa forma, podemos dizer que os riscos so medidos pela combinao entre:
nmero de vulnerabilidades dos ativos;
a probabilidade de vulnerabilidades serem exploradas por uma ameaa; e
o impacto decorrente dos incidentes de segurana na organizao.

Vulnerabilidades x ameaas x impacto => risco
A partir da anlise dos riscos, pelo processo de gesto dos riscos, so
identificadas as ameaas que causam maior impacto para a organizao, ou
seja, so definidas as necessidades de segurana da informao. Essas
necessidades so implementadas pelos controles de segurana, que fazem a
proteo contra essas ameaas e reduzem os riscos de ataques para a
organizao.


Prof
a

Para a ISO/IEC 27002:2005, os riscos devem ser combatidos a um custo
aceitvel, uma vez que no existe segurana absoluta para qualquer tipo de
ameaa.
Como os recursos da organizao so limitados, preciso combater os riscos
de maior impacto. Os custos com segurana, como regra, no podem ser
maiores que o valor da informao a ser protegida. Os riscos de menor
impacto que no forem combatidos compreendem o chamado risco residual,
ou seja, so aqueles riscos que foram aceitos pela organizao, por no
gerarem impacto significativo.

Sistema de gesto da segurana da informao SGSI
O SGSI a parte de um sistema de gesto global da organizao para
estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar a segurana da informao, baseado na abordagem de
riscos do negcio. O sistema de gesto inclui estrutura organizacional,
polticas, atividades de planejamento, responsabilidades, prticas,
procedimentos, processos e recursos.
Lembre-se do famoso EIOMAMM" para as 7 etapas, que so:
1 - E: Estabelecer
2 - I: Implementar
3 - O: Operar
4 - M: Monitorar
5 - A: Analisar criticamente
6 - M: Manter
7 - M: Melhorar

Prof
a
A ISO/IEC 27002 define os seguintes fatores crticos de sucesso para a
implantao da segurana da informao dentro de uma entidade:
a) poltica de segurana da informao, objetivos e atividades, que
reflitam os objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao, manuteno,
monitoramento e melhoria da segurana da informao que seja
consistente com a cultura organizacional;
c) comprometimento e apoio visvel de todos os nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da informao,
da anlise/avaliao de riscos e da gesto de risco;
e) divulgao eficiente da segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas para se alcanar a conscientizao;
f) distribuio de diretrizes e normas sobre a poltica de segurana da
informao para todos os gerentes, funcionrios e outras partes
envolvidas;
g) proviso de recursos financeiros para as atividades da gesto de segurana
da informao;
h) proviso de conscientizao, treinamento e educao adequados;
i) estabelecimento de um eficiente processo de gesto de incidentes de
segurana da informao;
j) implementao de um sistema de medio, que seja usado para avaliar o
desempenho da gesto da segurana da informao e obteno de sugestes
para a melhoria.
muito importante que todos os funcionrios da
organizao estejam cientes das normas e polticas de segurana da
informao, desde os setores gerenciais at os operacionais. A segurana da
informao de responsabilidade de todos. Entretanto, no necessrio
que o nvel gerencial de uma empresa tenha conhecimento sobre assuntos
tcnicos ligados a segurana da informao, que podem ficar a cargo de um
setor especfico.

Desse ponto em diante, sero descritos os aspectos tcnicos relacionados
norma. Esses aspectos no so impositivos, apesar de a redao deixar
a entender. A organizao pode implementar ou no, de acordo com a
avaliao dos riscos e sua convenincia. A ISO 27002 NO impe a
implementao de nenhum controle, e nem estabelece conjunto de
controles mnimos.

Anlise/Avaliao e tratamento dos riscos
Conforme visto, risco medido pela probabilidade de uma ameaa
acontecer e causar algum dano potencial empresa.

Prof
a
Vamos ao entendimento das aes que podem ser realizadas na
identificao/anlise/avaliao e tratamento dos riscos. Nesse caso, temos
que:
1)identificar os ativos dentro do escopo do SGSI e os proprietrios destes
ativos;
2)identificar as ameaas a esses ativos;
3)identificar as vulnerabilidades que podem ser exploradas pelas ameaas;
4)identificar os impactos que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
5)realizar a anlise e avaliao dos riscos;
6)identificar e avaliar as OPES para o tratamento dos riscos. Possveis
aes incluem:
6.1.aplicar os controles apropriados;
6.2.aceitar os riscos;
6.3.evitar riscos;
6.4.transferir os riscos associados ao negcio a outras partes, como
seguradoras etc.

A norma ABNT NBR ISO/IEC 27002 trata a avaliao dos riscos como uma
atividade fundamental para ajuste das necessidades de controles. Assim,
ANTES de se implementar qualquer controle, deve-se fazer uma anlise e
avaliao dos riscos de segurana.
Importante ressaltar que no h controles mnimos OBRIGATRIOS a
serem implementados, ou seja, nem todos os controles e diretrizes
contidos na norma podem ser aplicados. Alm disto, controles
adicionais e recomendaes no includos na norma podem ser
necessrios.
A ABNT NBR ISO/IEC 27002 NO uma norma impositiva, ela faz
recomendaes de segurana baseadas nas melhores prticas relacionadas
segurana da informao, de forma que qualquer empresa possa fazer a
implementao e a adaptao da norma de acordo com a sua convenincia ou
necessidade.
O processo de gesto dos riscos de uma empresa passa pelas etapas listadas
a seguir.
=>Estabelecimento de contexto para avaliao dos riscos, que envolve:
1) identificar uma metodologia de anlise/avaliao de riscos adequada ao
SGSI e aos requisitos legais, regulamentares e de segurana da informao
para o negcio;
2) desenvolver critrios para aceitao de riscos e identificar os nveis
aceitveis de risco (risco residual).
=>Identificao dos riscos

Prof
a
De acordo com o contexto em que a entidade est inserida, necessrio
identificar os ativos dentro do escopo do SGSI e os seus proprietrios, alm de
identificar as ameaas a esses ativos, as vulnerabilidades que podem ser
exploradas pelas ameaas, os impactos que as perdas de confidencialidade,
integridade e disponibilidade podem causar organizao.

=>Anlise e mensurao dos riscos
Aps a identificao dos riscos, necessrio:
1) avaliar os impactos para o negcio da organizao que podem resultar de
falhas de segurana;
2) avaliar a probabilidade real da ocorrncia de falhas de segurana, com base
nas ameaas e vulnerabilidades, nos impactos associados a estes ativos, e nos
controles atualmente implementados;
3) estimar os nveis de riscos e determinar se so aceitveis ou no.

=>Tratamento dos riscos
O tratamento de riscos pode incluir as seguintes medidas:
1) aplicar os controles apropriados (mitigar riscos);
2) no fazer nada para combater o risco, desde que isso no viole as polticas
da organizao (aceitar os riscos que se enquadrem no risco residual);
3) evitar situaes que aumentem os riscos(evitar riscos); e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores (transferir riscos).

=>Monitorao e reviso dos riscos
O processo de gerenciamento dos riscos contnuo, uma vez que o contexto
dos negcios em que uma entidade est inserida muda constantemente. Dessa
maneira, os riscos devem ser monitorados e revisados periodicamente para se
adequar s mudanas no contexto.

Poltica de segurana da informao
Esta seo possui 1 categoria:
- poltica de segurana da informao.


Prof
a

Conforme Moreira (2001) a Poltica de Segurana um conjunto de normas
e diretrizes destinadas proteo dos ativos da organizao, sendo
caracterizada pela tentativa de manter a confidencialidade, a integridade e a
disponibilidade da mesma, independentemente de onde ela esteja. A Poltica
de Segurana passa a ter uma importante funo, visando proteo dos
ativos para que os negcios no parem e o ambiente fique seguro.
TCU (2007) destaca que a Poltica de Segurana de Informaes um
conjunto de princpios que norteiam a gesto de segurana de
informaes e que deve ser observado pelo corpo tcnico e gerencial e
pelos usurios internos e externos. As diretrizes estabelecidas nesta
poltica determinam as linhas mestras que devem ser seguidas pela
organizao para que sejam assegurados seus recursos computacionais e suas
informaes.
A poltica de segurana da informao tem como objetivo prover uma
orientao e apoio da direo para a segurana da informao de acordo com
os requisitos do negcio e com as leis e regulamentaes relevantes (ABNT
NBR ISO/IEC 27002:2005).
Algumas observaes:
deve prever o que pode ou no ser feito na instituio e o que ser
considerado inaceitvel;
atribui direitos e responsabilidades s pessoas que lidam com os
recursos computacionais de uma instituio e com as informaes neles
armazenados.;
tudo que descumprir a poltica de segurana considerado um
incidente de segurana;
na poltica esto definidas as penalidades s quais esto sujeitos aqueles
que no cumprirem a poltica.
(CESPE/2010)

Prof
a
A poltica de segurana cumpre trs principais funes: define o que e
mostra por que se deve proteger; atribui responsabilidades pela
proteo; e serve de base para interpretar situaes e resolver
conflitos que venham a surgir no futuro.

Gesto de ativos
Esta seo possui 2 categorias:
- responsabilidade pelos ativos;
- classificao da informao.

Esta seo da norma ABNT NBR ISO/IEC 27002:2005 possui 2 categorias, que
so: responsabilidade pelos ativos; e classificao da informao.

A norma ABNT NBR ISO/IEC 27002, destaca vrios tipos de ativos, como:
a) ativos de informao: base de dados e arquivos, contratos e acordos,
documentao de sistema, informaes sobre pesquisa, manuais de usurio,
material de treinamento, procedimentos de suporte ou operao, planos de

Prof
a
continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e
informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de
desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais, equipamentos de
comunicao, mdias removveis e outros equipamentos;
d) servios: servios de computao e comunicaes, utilidades gerais, por
exemplo aquecimento, iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.

A organizao s ir classificar seus ativos se o custo associado a essa
atividade for justificvel em relao aos benefcios de segurana. A
classificao da informao no obrigatria, e sim opcional!
Essa foi uma das sees que sofreu modificao aps a
reviso consolidada em 2005, atravs da incorporao de novos tipos de
ativos, a saber: -pessoas e suas qualificaes, habilidades e experincias; -
intangveis, tais como a reputao e a imagem da organizao.

Segurana fsica e do ambiente
Esta seo da norma possui 2 categorias:
- reas seguras e segurana de equipamentos.


Prof
a

Gerenciamento das operaes e comunicaes
- procedimentos e responsabilidades operacionais;

Prof
a
- gerenciamento de servios terceirizados;
- planejamento e aceitao dos sistemas;
- proteo contra cdigos maliciosos e cdigos mveis;
- cpias de segurana;
- gerenciamento da segurana em redes;
- manuseio de mdias;
-troca de informaes;
- servios de comrcio eletrnico;
- monitoramento.
A norma destaca que a organizao deve garantir a operao segura e correta
dos recursos de processamento da informao. Para isso, os procedimentos e
responsabilidades pela gesto e operao de todos os recursos de
processamento das informaes devem ser definidos.
Convm que seja utilizada a segregao de funes quando apropriado, para
reduzir o risco de se ter um mau uso ou uso doloso dos sistemas da
organizao.


Prof
a


Prof
a


Prof
a

Controle de acesso
- requisitos de negcio para controle de acesso;
- gerenciamento de acesso do usurio;
- responsabilidades dos usurios;

Prof
a
- controle de acesso rede;
- controle de acesso ao sistema operacional;
- controle de acesso aplicao e informao;
- computao mvel e trabalho remoto.


Prof
a


Prof
a

Aquisio, desenvolvimento e manuteno de sistemas de
informao
Esta seo possui 6 categorias. So elas:
- requisitos de segurana de sistemas de informao;
- processamento correto nas aplicaes;
- controles criptogrficos;
- segurana dos arquivos do sistema;
- segurana em processos de desenvolvimento e de suporte;
- gesto de vulnerabilidades tcnicas.
A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7


Prof
a


Prof
a

Gesto de Incidentes de Segurana da Informao
- notificao de fragilidades e eventos de segurana da informao;
- gesto de incidentes de segurana da informao e melhorias.

A.13.1 Notificao de fragilidades e eventos de segurana da
informao
A organizao deve assegurar que fragilidades e eventos de segurana da
informao associados com sistemas de informao sejam comunicados,
permitindo a tomada de ao corretiva em tempo hbil. Para isso, devem ser
estabelecidos procedimentos formais de registro e escalonamento.

A.13. 1.1. Notificao de eventos de segurana da informao
Um procedimento de notificao formal deve ser estabelecido para relatar os
eventos de segurana da informao, junto com um procedimento de resposta
a incidente e escalonamento, estabelecendo a ao a ser tomada ao se receber
a notificao de um evento de segurana da informao. Um ponto de
contato deve ser estabelecido para receber as notificaes dos eventos de
segurana da informao. Esse ponto deve ser conhecimento de toda a

Prof
a
organizao e deve estar sempre disponvel e em condies de assegurar uma
resposta adequada e oportuna.

Quando ocorre um evento de segurana da informao, devemos ter as
seguintes posturas:
anotar todos os detalhes importantes imediatamente (por exemplo, tipo
de no conformidade ou violao, mau funcionamento, mensagens na
tela, comportamento estranho);
no tomar nenhuma ao prpria, mas informar imediatamente o evento
ao ponto de contato; etc.
Em ambientes de alto risco, podem ser fornecidos alarmes de coao atravs
do qual a pessoa que est sendo coagida possa sinalizar que est ocorrendo
algum incidente de forma secreta.

A.13. 1.2. Notificando fragilidades de segurana da informao
Os funcionrios, fornecedores e terceiros de sistemas e servios de informao
devem ser instrudos a registrar e notificar qualquer observao ou suspeita de
fragilidade em sistemas ou servios, para o ponto de contato ou a direo, de
forma a prevenir incidentes de segurana da Informao, por meio de um
mecanismo de notificao fcil, acessvel e disponvel sempre que possvel. Os
usurios devem ser informados que no podem, sob nenhuma circunstncia,
tentar averiguar fragilidade suspeita.

A.13.2 Gesto de incidentes de segurana da informao e melhorias
A entidade deve fazer a definio de responsabilidades e procedimentos para o
manuseio efetivo de eventos de segurana da informao e fragilidades, uma
vez que estes tenham sido notificados. Deve ser aplicado um processo de
melhoria contnua s respostas, monitoramento, avaliao e gesto total de
incidentes de segurana da informao., Devem ser coletadas evidncias
quando forem necessrias para assegurar a conformidade com as exigncias
legais.

A.13.2.1. Responsabilidades e procedimentos
As responsabilidades e procedimentos de gesto devem ser estabelecidos para
assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana
da informao. importante a criao de procedimentos diferentes para cada
tipo de incidente de segurana da informao (Denial of service, cdigo
malicioso, etc.). Tambm importante a criao de procedimentos para
investigar a causa de problemas e reteno do conhecimento. Apenas
funcionrios autorizados podem tomar medidas para averiguao e tomar
medidas para combate fragilidades suspeitas.

A.13.2.2. Aprendendo com os incidentes de segurana da informao
Convm que sejam estabelecidos mecanismos para permitir que tipos,
quantidades e custos dos incidentes de segurana da informao sejam
quantificados e monitorados.

A.13.2.3. Coleta de evidncias

Prof
a
No caso em que uma ao uma pessoa ou organizao, aps um incidente de
segurana da informao, envolver uma ao legal (civil ou criminal),
importante que as evidncias sejam coletadas, armazenadas e apresentadas
em conformidade com as normas de armazenamento de evidncias da
jurisdio(es) pertinente(s), de forma a considerar sua a importncia e a
admissibilidade.
Qualquer trabalho de investigao somente deve ser realizado em cpias do
material de evidncia de forma a manter a integridade do material das
evidncias A cpia do material de evidncia deve ser supervisionada por
pessoas confiveis e as informaes sobre a data, local, pessoas, ferramentas
e programas envolvidos no processo de cpia devem ser registradas.

Gesto da Continuidade do Negcio
- aspectos da gesto da continuidade do negcio, relativos segurana
da informao.


Prof
a

(CESPE/2010/ANEEL)
A gesto de continuidade de negcios complementar gesto de
riscos e tem como foco o desenvolvimento de uma resposta a uma
interrupo causada por um incidente de difcil previso, materializada
na forma de um plano de continuidade de negcios.
Os negcios da organizao podem ser interrompidos por uma grande
variedade de incidentes, como falhas tecnolgicas, atos de terrorismo etc.
No entanto, para a maioria desses incidentes, h como fazer uma previso e,
portanto, tomar medidas preventivas para evitar que realmente se tornem
realidade. Nesse contexto temos a gesto de riscos!! Mas como a
organizao precisa estar preparada para enfrentar situaes no previstas
que atinjam seus recursos de informao, para os incidentes de difcil deteco
(que no foram previstos e que podem causar uma interrupo) utilizamos a
gesto de continuidade de negcios, com o objetivo de fazer com que os
negcios da organizao no sejam interrompidos em virtude do incidente.
O Plano de Continuidade de Negcios, nesse contexto, ir listar as medidas
de resposta ao incidente que devem ser realizadas de forma que a organizao
continue trabalhando e, em seguida, volte situao anterior de normalidade.
(CESPE/2007/TCU)

Prof
a
Um plano de continuidade de negcios distingue-se de um plano de
recuperao de desastres por vrios aspectos, entre os quais a maior
nfase no gerenciamento de riscos.
Planos de continuidade de negcios (PCNs) tm como propsito permitir
que uma organizao recupere ou mantenha suas atividades em caso de uma
interrupo das operaes normais de negcios.
Os PCNs so ativados para dar suporte s atividades crticas necessrias para
cumprir os objetivos da organizao, e podem ser executados integral ou
parcialmente e em qualquer etapa da resposta a um incidente.
A fase de avaliao de riscos e anlise de impactos no negcio compe uma
das etapas de elaborao de um PCN e tem como objetivo levantar as ameaas
a que o negcio est exposto; uma inspeo fsica realizada nos sites onde
h processamento de dados ou operao de processos considerados crticos
para o negcio, essa inspeo fsica busca controles de segurana fsica nas
instalaes. De posse dessa anlise, e atravs de entrevistas com pessoas
envolvidas com a manuteno e operao das instalaes possvel fazer uma
anlise de risco que ser base para implementao de controles que mitigam
esses riscos e anlise de uma possvel estratgia de contingncia.
J a Anlise de Impactos nos Negcios feita buscando identificar os
processos crticos que suportam a cadeia de valor, e qual impacto para o
negcio caso as ameaas mapeadas venham a se concretizar.

O plano de recuperao de desastres (tambm conhecido como Disaster
Recovery Plan) um plano focado exclusivamente na recuperao de ativos de
TI danificados por uma catstrofe ou por uma falha de sistema.

Figura. Linha do tempo de um incidente

Prof
a
Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renumerada
para ABNT NBR ISO/IEC 27002) os planos de continuidade do negcio
devem ser testados e atualizados regularmente, de forma a assegurar sua
permanente atualizao e efetividade.
Nesse contexto diversas tcnicas devem ser usadas para fornecer garantia de
que os planos funcionaro na vida real, como as listadas a seguir:
a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um
grupo/equipe discutindo os arranjos para recuperao);
b) simulaes (particularmente para treinar pessoas em seus papis de
gerenciamento ps-incidente/crise);
c) testes da recuperao tcnica (garantindo que os sistemas de
informao podem ser restaurados eficientemente);
d) testar recuperao em um site alternativo (executando processos do
negcio em paralelo com operaes de recuperao longe do site principal);
e) testes das facilidades e servios de fornecimento (garantindo que
servios e produtos providos externamente satisfaro o compromisso
contratado);
f) ensaios completos (testando se a organizao, pessoal, equipamento,
facilidades e processos conseguem lidar com interrupes).
Segundo a ABNT NBR ISO/IEC 27002, as tcnicas podem ser usadas por
qualquer organizao e devem refletir a natureza do plano de recuperao
especfico.
A seguir disponibilizamos um quadro resumo sobre tipos e mtodos de teste
de estratgias de Gesto de Continuidade de Negcios.

Prof
a

(CESPE/2009)
A identificao de eventos que podem causar interrupes aos
processos de negcio e das probabilidades e impactos de tais
interrupes, associada s consequncias para a segurana de
informao, constitui atividade executada no mbito da gesto de
continuidade de negcios, embora se constitua, mais
especificamente, atividade de anlise de risco.
Segundo a NBR 15999, os testes devem ser realistas, planejados
cuidadosamente e acordados com as partes interessadas, de modo que haja
um risco mnimo de interrupo dos processos de negcio, e de forma a
minimizar a chance de que ocorra um incidente como resultado direto do teste.
Todo teste deve ter objetivos claramente definidos. Relatrios e anlises que
demonstrem se os objetivos do teste foram alcanados devem ser elaborados
aps o teste. Alm disso, importante que seja elaborado um relatrio
ps-teste, que contenha recomendaes juntamente de uma previso de
tempo para a implementao destas.
A escala e a complexidade dos testes devem ser apropriadas aos objetivos de
recuperao da organizao. O programa de testes deve considerar o papel de
todas as partes envolvidas, inclusive principais fornecedores, parceiros
terceirizados e outros que poderiam participar das atividades de recuperao.
A organizao deve inclu-los nos testes.


Prof
a
Observaes:
As normas de segurana da ABNT (27001, 27005, etc.) podem ser compradas
no site da ABNT. Coloquei alguns bizus imprescindveis em nosso curso, que
devem ser estudados. Mas como o curso somente de exerccios, no tive
como detalhar todo o contedo.
A norma 27002 (antiga 17999) mais fcil de ser obtida pela internet,
algumas empresas a disponibilizam na ntegra, apesar de isso ser proibido!
Veja por exemplo em
http://pt.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-
Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-
Seguranca-da-Informacao.
Normativos do Gabinete de Segurana Institucional da Presidncia da
Repblica -> Vide normas complementares em:
http://dsic.planalto.gov.br/legislacaodsic/53
Algumas so muito importantes, sendo de leitura obrigatria, como:
Norma Complementar n 04/IN01/DSIC/GSIPR, e seu anexo, (Reviso
01) Diretrizes para o processo de Gesto de Riscos de Segurana da
Informao e Comunicaes - GRSIC nos rgos e entidades da
Administrao Pblica Federal. (Publicada no DOU N 37, de 25 Fev 2013
- Seo 1)
Norma Complementar n 06/IN01/DSIC/GSIPR, Estabelece Diretrizes
para Gesto de Continuidade de Negcios, nos aspectos relacionados
Segurana da Informao e Comunicaes, nos rgos e entidades da
Administrao Pblica Federal, direta e indireta APF.
(Publicada no DOU N 223, de 23 Nov 2009 - Seo 1)
Norma Complementar n 07/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Implementao de Controles de Acesso Relativos Segurana da
Informao e Comunicaes, nos rgos e entidades da Administrao
Pblica Federal, direta e indireta APF.
(Publicada no DOU N 86, de 7 Maio 2010 - Seo 1)
Norma Complementar n 08/IN01/DSIC/GSIPR, Estabelece as Diretrizes
para Gerenciamento de Incidentes em Redes Computacionais nos rgos
e entidades da Administrao Pblica Federal.
(Publicada no DOU N 162, de 24 Ago 2010 - Seo 1)
Norma Complementar n 11/IN01/DSIC/GSIPR, Estabelece diretrizes
para avaliao de conformidade nos aspectos relativos Segurana da
Informao e Comunicaes (SIC) nos rgos ou entidades da
Administrao Pblica Federal, direta e indireta APF.
(Publicada no DOU N 30, de 10 Fev 2012 - Seo 1).
Muito bem, aps termos visto alguns dos conceitos primordiais de
segurana para a prova, vamos s questes!!

Prof
a
QUESTES DE PROVAS COMENTADAS

1. (Consulplan/2011/Mun. Londrina/PR - Analista Sistemas Servio
Anlise Informtica) So consideradas pragas digitais, EXCETO:
a) Cavalos-de-Troia.
b) MalwareBytes.
c) Worm.
d) KeyLoggers.
e) Hijackers.

Comentrios
O termo pragas virtuais est associado aos malwares (combinao de
malicious software programa malicioso): so programas que executam
deliberadamente aes mal-intencionadas em um computador, como
vrus, worms, bots, cavalos de troia, spyware, backdoor, keylogger,
screenlogger.

Figura - Mapa Mental sobre Malware
O cavalo de troia um programa aparentemente inofensivo que, quando
executado (com a sua autorizao!), parece lhe divertir, mas, por trs abre
portas de comunicao do seu computador para que ele possa ser invadido.
Algumas das funes maliciosas que podem ser executadas por um cavalo
de troia so: furto de senhas e outras informaes sensveis, como
nmeros de cartes de crdito; incluso de backdoors, para permitir que
um atacante tenha total controle sobre o computador; alterao ou
destruio de arquivos; etc.
Worms (vermes) so programas parecidos com vrus, mas que
na verdade so capazes de se propagarem automaticamente
atravs de redes, enviando cpias de si mesmo de computador
para computador (observe que os worms apenas se copiam, no

Prof
a
infectam outros arquivos, eles mesmos so os arquivos!!). Alm disso,
geralmente utilizam as redes de comunicao para infectar outros
computadores (via e-mails, Web, FTP, redes das empresas etc).
Keylogger
Um tipo de malware que capaz de capturar e armazenar as teclas
digitadas pelo usurio no teclado de um computador. Dentre as
informaes capturadas podem estar o texto de um e-mail, dados digitados
na declarao de Imposto de Renda e outras informaes sensveis, como
senhas bancrias e nmeros de cartes de crdito. Em muitos casos, a
ativao do keylogger condicionada a uma ao prvia do usurio, como
por exemplo, aps o acesso a um site especfico de comrcio eletrnico ou
Internet Banking. Normalmente, o keylogger contm mecanismos que
permitem o envio automtico das informaes capturadas para terceiros
(por exemplo, atravs de e-mails).
As instituies financeiras desenvolveram os teclados virtuais para evitar
que os keyloggers pudessem capturar informaes sensveis de usurios.
Ento, foram desenvolvidas formas mais avanadas de keyloggers, tambm
conhecidas como screenloggers, capazes de:
armazenar a posio do cursor e a tela apresentada no monitor, nos
momentos em que o mouse clicado, ou
armazenar a regio que circunda a posio onde o mouse clicado.
Normalmente, o keylogger vem como parte de um programa spyware ou
cavalo de troia. Desta forma, necessrio que este programa seja
executado para que o keylogger se instale em um computador. Geralmente,
tais programas vm anexados a e-mails ou esto disponveis em sites na
Internet.
Hijackers so programas ou scripts que "sequestram" navegadores de
Internet, principalmente o Internet Explorer. Quando isso ocorre, o hijacker
altera a pgina inicial do browser e impede o usurio de mud-la. Nesse
momento, vira uma confuso s, porque muitas vezes aparecem pginas de
contedo ertico e o usurio no consegue alter-la!!
Gabarito: letra B.

2. (FUNRIO/2009/Analista de Seguro Social/Servio Social) Das
sentenas abaixo, relativas segurana de computadores e sistemas,
I. Um dos principais objetivos da criptografia impedir a invaso de redes.
II. O certificado digital um arquivo eletrnico que contm dados de uma
pessoa ou instituio, utilizados para comprovar sua identidade.
III. Um antivrus capaz de impedir que um hacker tente explorar alguma
vulnerabilidade existente em um computador.
IV. Vrus, keyloggers, worms e cavalos de troia so alguns dos exemplos de
Malware.
Esto corretas:
A) I, II e III, apenas.
B) I e IV, apenas.
C) II e IV, apenas.
D) III e IV, apenas.
E) I, II, III e IV.

Prof
a

Comentrios
Item I. A Criptografia a cincia e arte de escrever mensagens em forma
cifrada ou em cdigo. Os mtodos de criptografia atuais so seguros e
eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma
sequncia de caracteres, que pode conter letras, dgitos e smbolos (como uma
senha), e que convertida em um nmero, utilizado pelos mtodos de
criptografia para codificar e decodificar mensagens.
Cabe destacar ento que a principal finalidade da criptografia , sem
dvida, reescrever uma mensagem original de uma forma que seja
incompreensvel, para que ela no seja lida por pessoas no
autorizadas. E isso no suficiente para impedir a invaso de redes. Item
FALSO.
Item II. O certificado digital uma credencial eletrnica, no palpvel
gerada por uma Autoridade Certificadora (AC), que vincula a pessoa fsica ou
jurdica a um par de chaves sendo uma pblica e outra privada (ou secreta). O
certificado fica armazenado em dispositivos de segurana, como por ex.:
Token ou Smart Card, ilustrados na figura seguinte.
Token
Smart Card
Figura. Ilustrao de dispositivos de segurana
Quanto aos objetivos do certificado digital podemos destacar:
tansferir a credibilidade que hoje baseada em papel e conhecimento para
o ambiente eletrnico;
vincular uma chave pblica a um titular (eis o objetivo principal). O
certificado digital precisa ser emitido por uma autoridade reconhecida pelas
partes interessadas na transao, conforme visto na prxima figura.
Chamamos essa autoridade de Autoridade Certificadora, ou AC.

Prof
a

Figura. Vnculo da chave pblica ao titular

assinar digitalmente um documento eletrnico atribuindo validade jurdica,
integridade, autoria e no-repdio.

Um certificado contm:

Item VERDADEIRO.
A seguir, irei explicar primeiramente o item IV, em seguida, passamos aos
comentrios do item III, para uma melhor compreenso.

Item III. Os antivrus procuram detectar e, ento, anular ou remover cdigos
maliciosos do computador (vrus, vermes (worms), cavalos de tria, etc). Exs:
McAfee Internet Security, Norton Internet Security, Panda Internet Security,
Kaspersky Internet Security, Antivir Personal, AVG Antivrus, etc.
Ao contrrio do que afirma a questo, o antivrus no impede que um
atacante explore alguma vulnerabilidade (fragilidade, ponto fraco)
existente no computador.

Prof
a
Algumas prticas so recomendadas na preveno/deteco de
malware, como:
ter instalado, em seu computador e no da empresa, um programa antivrus
capaz de detectar a presena de malware em e-mails ou arquivos do
computador. Esse utilitrio conta, muitas vezes, com a vacina capaz de
matar o malware e deixar o arquivo infectado SEM a ameaa.
Alguns fornecedores de programas antivrus distribuem atualizaes
regulares do seu produto. Muitos programas antivrus tm um recurso de
atualizao automtica. Quando o programa antivrus atualizado,
informaes sobre novos vrus so adicionadas a uma lista de vrus a serem
verificados. Quando no possui a vacina, ele, pelo menos, tem como
detectar o vrus, informando ao usurio acerca do perigo que est iminente;

no executar ou abrir arquivos recebidos por e-mail ou por outras fontes,
mesmo que venham de pessoas conhecidas (caso seja necessrio abrir o
arquivo, certifique-se de que ele foi verificado pelo programa antivrus);

procurar utilizar na elaborao de documentos formatos menos suscetveis
propagao de vrus, tais como RTF, ou PDF, dentre outros;

no abrir arquivos anexos a e-mails de pessoas que voc no conhece;
idem para os e-mails de pessoas conhecidas tambm! (Os Worms atuais
atacam um computador e usam a sua listagem de endereos para mandar
um e-mail para cada pessoa da lista como se fosse o dono do computador!),
etc.
Item FALSO.
Item IV. O que significa malware?
Malware um termo proveniente de Malicious Software,
software designado a se infiltrar em um sistema de
computador alheio de forma ilcita com o intuito de causar
algum dano ou roubo de informaes. Tambm pode ser
considerado malware uma aplicao legal que por uma falha de programao
(intencional ou no) execute funes que se enquadrem na definio.

Resumindo, malware so programas que executam deliberadamente
aes mal-intencionadas em um computador!!
Dentre os tipos de malwares temos os vrus, os keyloggers, os worms e os
cavalos de troia destacados na questo. Item VERDADEIRO.
Gabarito: letra C.

3. (FUNRIO/2008/Prefeitura de Coronel Fabriciano) Um Firewall um
sistema de proteo que pode:
A) utilizar assinaturas de vrus para impedir que a mquina seja infectada.
B) bloquear possveis tentativas de invaso atravs de filtros de pacotes.
C) impedir a replicao de worms e conseqente ataque ao computador.
D) eliminar spywares que possam invadir e espionar a mquina.
E) neutralizar ataques aos computadores por spams.

Comentrios

Prof
a
O firewall um conjunto de componentes colocados entre duas redes,
permitindo que alguns pacotes passem e outros no. Eles garantem que TODO
o trfego de DENTRO PARA FORA da rede, e VICE-VERSA, passe por ele.
Somente o trfego autorizado pela poltica de segurana pode atravessar o
firewall e, finalmente, ele deve ser prova de violaes.
A figura seguinte destaca um exemplo de firewall isolando a rede interna de
uma organizao da rea pblica da Internet.

Figura. Firewall isolando a rede interna da Internet
Complementando, o firewall pessoal um software ou programa utilizado
para proteger um computador contra acessos no autorizados vindos da
Internet.
Nesse caso, se algum ou algum programa suspeito tentar se conectar ao seu
computador, um firewall bem configurado entra em ao para bloquear
tentativas de invaso sua mquina.
Gabarito: letra B.

4. (FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um
e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo
ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga
suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo
do e-mail. O link remetia para o seguinte endereo:
http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa
executado (invadi.exe) se instalou na mquina e capturou sua senha de
banco. Esse um procedimento caracterstico de infeco por:
A) vrus de boot
B) vrus de macro
C) worm
D) trojan

Prof
a
E) spam

Comentrios
Realmente a questo seria muito mais interessante se a banca tivesse
explorado o tipo de golpe que aconteceu no caso mencionado.
Vamos aos comentrios dos itens:
Itens A e B. Para o entendimento dos itens A e B, cabe mencionar o conceito
de vrus e seus principais tipos.
Vrus: um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga infectando, isto , inserindo cpias
de si mesmo e se tornando parte de outros programas e arquivos de um
computador. O vrus depende da execuo do programa ou arquivo
hospedeiro para que possa se tornar ativo e dar continuidade ao processo
de infeco. Para que um computador seja infectado por um vrus,
necessrio que um programa previamente infectado seja executado, e o
vrus pode se propagar sem que o usurio perceba.
Alguns vrus so inofensivos, outros, porm, podem danificar um sistema
operacional e os programas de um computador.
A seguir listamos os 2 tipos de vrus mencionados na questo, vrus de
macro e vrus de boot.
Vrus de macro:
Uma macro um conjunto de comandos que so armazenados em
alguns aplicativos e utilizados para automatizar determinadas tarefas
repetitivas em editores de texto e planilhas.
Um vrus de macro escrito de forma a explorar esta facilidade de
automatizao e parte de um arquivo que normalmente manipulado
por algum aplicativo que utiliza macros. Para que o vrus possa ser
executado, o arquivo que o contm precisa ser aberto. A partir da, o
vrus vai executar uma srie de comandos automaticamente e infectar
outros arquivos no computador.

Vrus de boot: infectam o setor de boot de um disco - ou seja, o registro
de inicializao de disquetes e discos rgidos. Os vrus de boot se copiam
para esta parte do disco e so ativados quando o usurio tenta iniciar o
sistema operacional a partir do disco infectado.

Outros tipos de vrus comumente encontrados so listados em seguida:

Vrus de programa: infectam arquivos de programa (de inmeras
extenses, como .exe, .com,.vbs, .pif);


Prof
a
Vrus stealth: programado para se esconder e enganar o antivrus
durante uma varredura deste programa. Tem a capacidade de se
remover da memria temporariamente para evitar que antivrus o
detecte;

Vrus polimrficos: alteram seu formato (mudam de forma)
constantemente. A cada nova infeco, esses vrus geram uma nova
seqncia de bytes em seu cdigo, para que o antivrus se confunda na
hora de executar a varredura e no reconhea o invasor;

Vrus de script: propagam-se por meio de scripts, nome que designa uma
sequncia de comandos previamente estabelecidos e que so executados
automaticamente em um sistema, sem necessidade de interveno do
usurio. Dois tipos de scripts muito usados so os projetados com as
linguagens Javascript (JS) e Visual Basic Script (VBS). Segundo Oliveira
(2008) tanto um quanto o outro podem ser inseridos em pginas Web e
interpretados por navegadores como Internet Explorer e outros. Os
arquivos Javascript tornaram-se to comuns na Internet que difcil
encontrar algum site atual que no os utilize. Assim como as macros, os
scripts no so necessariamente malficos. Na maioria das vezes
executam tarefas teis, que facilitam a vida dos usurios prova disso
que se a execuo dos scripts for desativada nos navegadores, a maioria
dos sites passar a ser apresentada de forma incompleta ou incorreta;

Vrus de celular: propaga de telefone para telefone atravs da tecnologia
bluetooth ou da tecnologia MMS (Multimedia Message Service). O servio
MMS usado para enviar mensagens multimdia, isto , que contm no
s texto, mas tambm sons e imagens, como
vdeos, fotos e animaes.
F-Secure divulgou
reproduo de uma

Prof
a

A infeco ocorre da seguinte forma: o usurio
recebe uma mensagem que diz que seu telefone est prestes a receber
um arquivo e permite que o arquivo infectado seja recebido, instalado e
executado em seu aparelho; o vrus, ento, continua o processo de
propagao para outros telefones, atravs de uma das tecnologias
mencionadas anteriormente.
Os vrus de celular diferem-se dos vrus tradicionais, pois normalmente
no inserem cpias de si mesmos em outros arquivos armazenados no
telefone celular, mas podem ser especificamente projetados para
sobrescrever arquivos de aplicativos ou do sistema operacional instalado
no aparelho.
Depois de infectar um telefone celular, o vrus pode realizar diversas
atividades, tais como:
destruir/sobrescrever arquivos,
remover contatos da agenda,
efetuar ligaes telefnicas,
o aparelho fica desconfigurado e tentando se conectar via
Bluetooth com outros celulares,
a bateria do celular dura menos do que o previsto pelo
fabricante, mesmo quando voc no fica horas pendurado nele;
emitir algumas mensagens multimdia esquisitas;
tentar se propagar para outros telefones.
Os itens A e B so FALSOS.

Item C. Worm um programa capaz de propagar
automaticamente atravs de redes, enviando cpias de si
mesmo de computador para computador (observe que os worms
apenas se copiam, no infectam outros arquivos, eles mesmos
so os arquivos!!). Alm disso, geralmente utilizam as redes de
comunicao para infectar outros computadores (via e-mails, Web, FTP, redes
das empresas, etc.).
Portanto, diferentemente do vrus, o worm no embute cpias de si mesmo em
outros programas ou arquivos e no necessita ser explicitamente executado
para se propagar. Sua propagao ocorre atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de softwares instalados
em computadores.
Os worms geram muitas perdas pelo consumo de recursos que provocam.
Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido
de computadores, devido grande quantidade de cpias de si mesmo, gerando
grandes transtornos para aqueles que esto recebendo tais cpias. Item
FALSO.

mensagem infectada
(INFOGUERRA, 2005)

Prof
a
Item D. Na informtica, um cavalo de troia (trojan horse) um programa,
normalmente recebido como um presente (por exemplo, carto virtual,
lbum de fotos, protetor de tela, jogo, etc.), que, quando executado (com a
sua autorizao!), alm de executar funes para as quais foi aparentemente
projetado, tambm executa outras funes maliciosas e sem o consentimento
do usurio, como por exemplo:

furto de senhas e outras informaes sensveis, como nmeros de
cartes de crdito;

incluso de backdoors, para permitir que um atacante tenha total
controle sobre o computador;

alterao ou destruio de arquivos;

instalao de keyloggers (programa capaz de capturar e armazenar as
teclas digitadas pelo usurio no teclado de um computador) ou
screenloggers (uma variante do keylogger que faz a gravao da tela do
usurio, alm do teclado).
O cavalo de troia distingue-se de um vrus ou de um worm por no infectar
outros arquivos, nem propagar cpias de si mesmo automaticamente.
Normalmente um cavalo de troia consiste em um nico arquivo que necessita
ser explicitamente executado. Item VERDADEIRO.

Item E. Spam o termo usado para se referir aos e-mails no solicitados, que
geralmente so enviados para um grande nmero de pessoas. O antispam
um programa utilizado para filtrar os e-mails indesejados, principalmente
aqueles com propaganda, que lotam a nossa caixa postal. Item FALSO.
Gabarito: letra D.

Trojan x Phishing
Como complemento, gostaria de destacar a diferena entre trojan e phishing,
j que por diversas vezes os alunos fizeram esse questionamento.
Ento, temos que:
Phishing (ou Phishing scam): o nome do GOLPE em que "iscas" (e-
mails) so usadas para "pescar" informaes sensveis (senhas e dados
financeiros, por exemplo) de usurios da Internet.
Atualmente, este termo vem sendo utilizado tambm para se referir aos
seguintes casos:
o mensagem que procura induzir o usurio instalao de cdigos
maliciosos, projetados para furtar dados pessoais e financeiros;
o mensagem que, no prprio contedo, apresenta formulrios para o
preenchimento e envio de dados pessoais e financeiros de usurios.

Trojan (cavalo-de-troia): um tipo de MALWARE (cdigo malicioso) que
pode ser recebido pelo usurio em uma "isca" de phishing scam.

Prof
a

5. (CESPE/2007/TCU/Analista de Controle Externo - Tecnologia da
Informao/Segurana da Informao) Com relao segurana de
hosts e redes, julgue o item seguinte. [Algumas providncias que um
processo de hardening deve incluir so: limitar o software instalado quele
que se destina funo desejada do sistema; aplicar e manter os patches
atualizados, tanto de sistema operacional quanto de aplicaes; revisar e
modificar as permisses dos sistemas de arquivos, em especial no que diz
respeito a escrita e execuo; reforar a segurana do login, impondo uma
poltica de senhas fortes; habilitar apenas os servios necessrios].

Comentrios
Hardening, ou blindagem de sistemas, responsvel pela realizao de
alguns ajustes finos, como os listados nessa questo, para o fortalecimento
da segurana de um sistema.
Consiste na utilizao de tcnicas para prover mais segurana a servidores que
disponibilizam servios externos, como servidores Web, ou at mesmo servios
internos, como servidores de banco de dados, de arquivos, entre outros. Com
a blindagem de sistemas possvel aumentar o desempenho do hardware,
liberando recursos que esto sendo utilizados por aplicativos desnecessrios,
implementando configuraes especficas em alguns servios, alm de gerar
um ambiente mais seguro.
Leia mais em: Hardening - Artigo Revista Infra Magazine 1
http://www.devmedia.com.br/hardening-artigo-revista-infra-magazine-
1/20818#ixzz2NxRj1r5w
Gabarito: item correto.

6. Com relao Instruo Normativa GSI/PR n 1, de 13 de junho de 2008,
julgue o item seguinte: Para fins desta Instruo Normativa, entende-se por
Poltica de Segurana da Informao e Comunicaes o documento
aprovado pela autoridade responsvel pelo rgo ou entidade da
Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer
diretrizes, critrios e suporte administrativo suficientes implementao da
segurana da informao e comunicaes.

Comentrios
A Poltica de Segurana da Informao e Comunicaes est bem descrita,
mais detalhes sobre a IN em
http://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ve
d=0CCoQFjAA&url=http%3A%2F%2Fwww.governoeletronico.gov.br%2Fanexo
s%2Finstrucao-normativa-no-01-2009-gsi&ei=rz21Uc-
3HZK54AOtn4HgDw&usg=AFQjCNFuYUGAbsRipANwbVkzG_qIWCUlBg&sig2=S4
c3k6FK8ANxsNDcF-yM4A&bvm=bv.47534661,d.dmg.

Prof
a

7. (Elaborao Prpria) Os procedimentos previstos na ISO/IEC 27002
destinam-se a assegurar o direito fundamental de acesso informao e
devem ser executados em conformidade com os princpios bsicos da
administrao pblica.

Comentrios
O Art. 3
o
da Lei no. 12.527/2011 destaca que os procedimentos previstos
nesta Lei destinam-se a assegurar o direito fundamental de acesso
informao e devem ser executados em conformidade com os princpios
bsicos da administrao pblica e com as seguintes diretrizes:
I - observncia da publicidade como preceito geral e do sigilo como
exceo;
II - divulgao de informaes de interesse pblico, independentemente
de solicitaes;
III - utilizao de meios de comunicao viabilizados pela tecnologia da
informao;
IV - fomento ao desenvolvimento da cultura de transparncia na
administrao pblica;
V - desenvolvimento do controle social da administrao pblica.
Gabarito: item errado.

8. (CESPE/2010/Banco da Amaznia/Tcnico Cientfico
Especialidade: TI Segurana da Informao) So exemplos de ativos
de uma organizao a informao e os processos de apoio, sistemas e
redes. Os requisitos de segurana, em uma organizao, so identificados
por meio de anlise sistemtica dos riscos de segurana.

Comentrios
A segurana uma palavra que est presente em nosso cotidiano e refere-se a
um estado de proteo, livre de perigos e incertezas. Em uma corporao, a
segurana est ligada a todos os objetos de valor, que necessitam de
proteo. Tais objetos so considerados como ativos (RAMOS et al., 2006).
Segundo Smola (2003), ativo tudo aquilo que tem um valor significativo
para a empresa. So os elementos que compem e processam a informao,
incluindo ela mesma. O termo ativo tem origem na rea financeira, podendo
ser descrito como um elemento de valor para um indivduo ou empresa, e,
portanto, merece ser protegido. O termo ativo possui essa denominao,
oriunda da rea financeira, por ser considerado um elemento de valor para um

Prof
a
indivduo ou organizao, e que, por esse motivo, necessita de proteo
adequada (ISO/IEC-27002) (SMOLA, 2003, p. 45). Em linhas gerais, os ativos
podem ser divididos nas categorias especificadas a seguir.

Cada grupo tem sua importncia no ambiente corporativo, pois sem eles o
negcio da organizao no funciona, ou seja, ela ter problemas no seu dia a
dia. Vamos ao estudo de cada um deles!!
Aplicaes: grupo de ativos que engloba todos os programas de
computador utilizados para a automatizao de processos, isto , acesso,
leitura, trnsito, armazenamento e processamento das informaes.
Dentre eles citamos: sistema de Folha de Pagamento, sistemas
operacionais, etc.
Informao: neste grupo tem-se o principal ativo da empresa que a
informao. A informao pode estar registrada em meio eletrnico ou
fsico. Deve-se considerar qualquer tipo de informao, independente do
tipo de meio em que esteja armazenada, que seja importante para a
empresa e seus negcios.
Usurios (ou pessoas): este grupo refere-se aos indivduos que
utilizam a estrutura tecnolgica e de comunicao da empresa e que
lidam com a informao. Exemplos: usurios do setor de Recursos
Humanos, direo da empresa, etc.
Equipamentos: esse grupo de ativos representa toda a infraestrutura
tecnolgica que oferece suporte informao durante seu uso, trnsito,
processamento e armazenamento. Faz parte desse grupo qualquer
equipamento no qual se armazene, processe ou transmita as
informaes da empresa, como microcomputadores, servidores, hubs,
switches.
Organizao: neste grupo, segundo Technet (2006) esto includos os
aspectos que compem a estrutura fsica e organizacional das empresas.
Refere-se organizao lgica e fsica do pessoal dentro da empresa em
questo. Como exemplos de estrutura organizacional, temos, entre
outros: a estrutura departamental e funcional, a distribuio de funes
e os fluxos de informao da empresa os servidores. Em relao ao
ambiente fsico, entre outros, so considerados: salas e armrios em que
esto localizados os documentos, fitoteca, sala de servidores, etc.

A norma ABNT NBR ISO/IEC 27002, destaca vrios tipos de ativos, como:
a) ativos de informao: base de dados e arquivos, contratos e acordos,
documentao de sistema, informaes sobre pesquisa, manuais de usurio,
Figura. Categorias de Ativos

Prof
a
material de treinamento, procedimentos de suporte ou operao, planos de
continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e
informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de
desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais, equipamentos de
comunicao, mdias removveis e outros equipamentos;
d) servios: servios de computao e comunicaes, utilidades gerais, por
exemplo aquecimento, iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.
A organizao s ir classificar seus ativos se o custo associado a essa
Obs: essa foi uma das sees que sofreu modificao aps a reviso
consolidada em 2005, atravs da incorporao de novos tipos de ativos, a
saber:
- pessoas e suas qualificaes, habilidades e experincias;
-intangveis, tais como a reputao e a imagem da organizao.
Finalizando, conforme visto, os elementos considerados na questo
(informaes, equipamentos, usurios, aplicaes e processos de
apoio) so exemplos de ativos. Quanto aos requisitos de segurana, em
uma organizao, cabe destacar que so identificados por meio de anlise
sistemtica dos riscos de segurana da informao.

9. (CESPE/2013/TRT-10RJ/Analista) As caractersticas bsicas da
segurana da informao confidencialidade, integridade e disponibilidade
no so atributos exclusivos dos sistemas computacionais.

Comentrios
Essas caractersticas (tambm conhecidas como atributos ou princpios)
atuam sobre quaisquer ativos de segurana da informao, que o que a
segurana da informao quer proteger, como servidores, estaes de
trabalho, sistemas computacionais, etc.
Gabarito preliminar: item correto.

10. (CESPE/2013/CNJ/Analista Judicirio - Anlise de Sistemas)
Acerca da gesto de segurana da informao, conforme as normas da
ABNT, julgue os itens a seguir.

Prof
a
Como determina a norma ABNT NBR ISO/IEC 27002, para manuteno e
reavaliao dos planos de continuidade do negcio, deve haver testes de
interrupo e recuperao dos servios, em que se identifiquem informaes
relevantes que precisam ser atualizadas. Entre essas informaes, por serem
desnecessrias, no constam nomes, endereos e telefones de participantes e
estratgias de negcio.
Comentrios
O uso da expresso deve haver est inadequado aqui. A norma ABNT NBR
ISO/IEC 27002:2005, na pgina 107, no controle 14.1.5 intitulado Testes,
manuteno e reavaliao dos planos de continuidade do negcio destaca:
Os exemplos de mudanas onde convm que a atualizao dos planos de
continuidade do negcio seja considerada so a aquisio de novos
equipamentos, atualizao de sistemas e mudanas de:
a) pessoal;
b) endereos ou nmeros telefnicos;
c) estratgia de negcio;
d) localizao, instalaes e recursos;
e) legislao;
f) prestadores de servios, fornecedores e clientes-chave;
g) processos (incluses e excluses);
h) risco (operacional e financeiro).

11. (CESPE/2013/TRE-MS/Analista Judicirio/Anlise de Sistemas)
Na gesto de incidentes de segurana da informao, de acordo com a
norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns
procedimentos sejam estabelecidos de acordo com o evento ocorrido.
Segundo essa norma, os eventos que demandam a criao de
procedimentos para o seu tratamento incluem a
a) permisso para que pessoas no autorizadas trafeguem em permetro
fsico.
b) negao de servio.
c) anlise de logs de auditoria.
d) identificao de nova vulnerabilidade no ambiente de tecnologia da
informao.
e) ocorrncia de defeito em um dos discos de uma estao de trabalho que
contenha dois discos rgidos redundantes.

Comentrios
A norma ABNT NBR ISO/IEC 27.002, na pgina 100 destaca:

Prof
a
Convm que, adicionalmente notificao de eventos de segurana
da informao e fragilidades, o monitoramento de sistemas, alertas e
vulnerabilidades seja utilizado para a deteco de incidentes de segurana da
informao. Convm que as seguintes diretrizes para procedimentos de gesto
de incidentes de segurana da informao sejam consideradas:
a) procedimentos sejam estabelecidos para manusear diferentes tipos
de incidentes de segurana da informao, incluindo:

1) falhas de sistemas de informaes e perda de servios;
2) cdigo malicioso;
3) denial of service (negao de servio);
4) erros resultantes de dados incompletos ou inconsistentes;
5) violaes de confidencialidade e integridade;
6) uso imprprio de sistemas de informao;
Gabarito: letra B.

12. (CESPE/2012/TCE-ES/Auditor de Controle Externo - Tecnologia
da Informao) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue
os itens a seguir, a respeito de gesto de segurana da informao.
Uma poltica de segurana da informao deve fornecer orientao e apoio da
direo para a segurana da informao, de acordo com os requisitos do
negcio e com as leis e regulamentaes relevantes. O documento da poltica
de segurana da informao necessita da aprovao da direo da organizao
e deve ser publicado e comunicado para todos os funcionrios e partes
externas relevantes, no devendo ser alterado a partir de ento.
Comentrios
Veja o controle ilustrado no item A.5.1.2 da norma ABNT NBR ISO/IEC 27.002:
Conforme visto, uma vez estabelecida, uma poltica de segurana deve ser
analisada criticamente em intervalos planejados ou quando houver mudanas
significativas, o que poder levar sua alterao.


Prof
a
13. (CESPE/2012/TCE-ES - Auditor de Controle Externo) Segundo as
normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de
gesto de segurana da informao.
A contratao de seguro para uma atividade/produto pode representar uma
das formas elementares de se transferirem riscos relacionados
atividade/produto assegurados.

Comentrios
Isso mesmo! O tratamento de riscos pode incluir as seguintes medidas:
1) aplicar os controles apropriados (mitigar riscos);
2) no fazer nada para combater o risco, desde que isso no viole as polticas
da organizao (aceitar os riscos que se enquadrem no risco residual);
3) evitar situaes que aumentem os riscos (evitar riscos); e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores (transferir riscos).

Especialidade: TI Redes e Telecomunicaes) Com relao
segurana de redes, julgue o item seguinte. A poltica de segurana cumpre
trs principais funes: define o que e mostra por que se deve proteger;
atribui responsabilidades pela proteo; e serve de base para interpretar
situaes e resolver conflitos que venham a surgir no futuro.

Comentrios
Conforme Moreira (2001) a Poltica de Segurana um conjunto de normas e
diretrizes destinadas proteo dos ativos da organizao, sendo
caracterizada pela tentativa de manter a confidencialidade, a integridade e a
disponibilidade da mesma, independentemente de onde ela esteja. A Poltica
de Segurana passa a ter uma importante funo, visando proteo dos
ativos para que os negcios no parem e o ambiente fique seguro.

NBR ISO/IEC 27002:2005).

Algumas observaes:
atribui direitos e responsabilidades s pessoas que lidam com os
recursos computacionais de uma instituio e com as informaes neles
armazenados.;
deve prever o que pode ou no ser feito na instituio e o que ser
considerado inaceitvel;

Prof
a
tudo que descumprir a poltica de segurana considerado um
incidente de segurana;
na poltica esto definidas as penalidades s quais esto sujeitos aqueles
que no cumprirem a poltica.

A segurana da informao procura garantir a preservao da
confidencialidade, a integridade e a disponibilidade da informao.
Relativamente s normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999,
julgue os itens seguintes.
Especialidade: TI Segurana da Informao) Um incidente de
segurana da informao refere-se a um ou mais riscos no desejados ou
esperados que possuem significativa probabilidade de comprometer os
ativos de informao e ameaam a segurana da informao.

Comentrios
Um incidente qualquer evento no previsto nos padres de segurana da
informao que podem causar danos materiais, financeiros, humanos, reduo
de qualidade de servios e at mesmo interrupo dos mesmos (CAMPOS,
2007).

Figura. Impacto de incidentes de segurana nos negcios
Fonte: Laureano (2005)
As ameaas so elementos causadores de incidentes que colocam em risco as
informaes e os seus ativos atravs de explorao de falhas, originando assim
prejuzos de confidencialidade, integridade e disponibilidade e, em
consequncia disso, os impactos negativos aos negcios da empresa (CAMPOS,
2007). Assim, o conceito mencionado na questo o de ameaa e no
incidente!
A ameaa o QU ou QUEM pode causar um incidente. Incidente o fato
(evento) que pode prejudicar a empresa.

Prof
a
A ameaa pode ser um indivduo que quer se aproveitar de uma
vulnerabilidade na segurana da empresa para causar um incidente. Em outras
palavras, um criminoso (ameaa) pode se aproveitar da desatualizao dos
sistemas da empresa (vulnerabilidade) para roubar dados de clientes (o
incidente).

16. (CESPE/2009/ANATEL/Analista Administrativo TI/Arquitetura
de solues) Acerca das normas ABNT NBR ISO/IEC 27001:2006 e ABNT
NBR ISO/IEC 17799:2005, correto afirmar que ambas apresentam
orientaes para a seleo de controles de segurana e enunciam menos de
uma centena de controles.

Comentrios
A norma ABNT NBR ISO/IEC 17799:2005 (renumerada para ABNT NBR
ISO/IEC 27002) enuncia diretrizes de segurana da informao, utilizadas na
implementao dos controles. Ela no estabelece orientaes para a seleo
dos controles!! a norma ABNT NBR ISO/IEC 27001:2006 que
estabelece as orientaes para a seleo dos controles e define os
controles com base nas diretrizes da norma ABNT NBR ISO/IEC
17799:2005 (renumerada para ABNT NBR ISO/IEC 27002).

de solues) A identificao de eventos que podem causar interrupes
aos processos de negcio e das probabilidades e impactos de tais
interrupes, associada s consequncias para a segurana de informao,
constitui atividade executada no mbito da gesto de continuidade de
negcios, embora se constitua, mais especificamente, atividade de anlise
de risco.

Comentrios
A atividade mencionada na questo pode ser aplicada tanto no mbito da
gesto de continuidade de negcios, quanto na anlise de riscos de segurana.

Especialidade: TI Segurana da Informao) Entre os ativos
associados a sistemas de informao em uma organizao, incluem-se as
bases de dados e arquivos, os aplicativos e os equipamentos de
comunicao (roteadores, secretrias eletrnicas etc.).

Comentrios
Ramos et al. (2006) destacam que os ativos podem ser divididos em:

Prof
a
tangvel: informaes digitais ou impressas, mveis, hardwares
(impressoras, scanners) etc.;
intangvel: marca de um produto, nome da empresa, confiabilidade de um
rgo federal etc.;
lgico: informaes armazenadas em uma rede, sistema ERP, rede VOIP
etc.;
fsico: galpo, sistema de eletricidade, estao de trabalho etc.;
humano: funcionrios.
Os ativos, dentro do contexto de uma organizao, devem estar relacionados
aos negcios da empresa. Na questo, as secretrias eletrnicas no esto
ligadas ao negcio em si da empresa, e, portanto, no podem ser classificadas
como ativos associados aos sistemas de informao.

Especialidade: TI Segurana da Informao) Uma organizao deve
ser capaz de inventariar seus ativos, identificar seus respectivos valores e
importncias e indicar um proprietrio responsvel por eles. A informao
deve ser classificada em termos de sua utilidade, adequabilidade e nvel de
segurana.

Comentrios
A organizao s ir classificar a informao se o custo associado a essa

Especialidade: TI Segurana da Informao) conveniente que, na
classificao das informaes e seu respectivo controle de proteo,
considerem-se as necessidades de compartilhamento ou restrio de
informaes. Ao se tornar pblica, uma informao frequentemente deixa
de ser sensvel ou crtica.

Comentrios
A organizao deve classificar da informao e definir seus respectivos
controles de proteo levando em considerao as necessidades de
compartilhamento ou restrio de informaes e os respectivos impactos nos
negcios. Essa classificao deve ser de responsabilidade do proprietrio do
ativo, e deve haver uma anlise crtica em intervalos regulares, para assegurar
que a classificao est atualizada e no nvel apropriado.
Esta classificao deve ser feita pelo proprietrio (gestor) de cada uma delas,
em um momento inicial e posteriormente em prazos pr-definidos, onde uma
informao pode ser reclassificada de acordo com os requisitos de
confidencialidade que ainda representa para a organizao. Alguns ativos de
informao perdem totalmente o valor depois de um determinado evento.


Prof
a
de solues) Testes de mesa, testes de recuperao em local alternativo e
ensaio geral so tcnicas que podem ser empregadas na gesto da
continuidade de negcios, conforme prescrio na norma ABNT NBR
ISO/IEC 17799:2005.

Comentrios
Conforme prescrito na norma ABNT NBR ISO/IEC 17799:2005 (renomeada
para 27002) os planos de continuidade do negcio devem ser testados e
atualizados regularmente, de forma a assegurar sua permanente atualizao e
efetividade.
Nesse contexto diversas tcnicas devem ser usadas para fornecer garantia de
que os planos funcionaro na vida real, como as listadas a seguir:
a) testes de mesa (faz-se a leitura em conjunto dos procedimentos de um
grupo/equipe discutindo os arranjos para recuperao);
b) simulaes (particularmente para treinar pessoas em seus papis de
gerenciamento ps-incidente/crise);
c) testes da recuperao tcnica (garantindo que os sistemas de
informao
podem ser restaurados eficientemente);
d) testar recuperao em um site alternativo (executando processos do
negcio em paralelo com operaes de recuperao longe do site principal);
e) testes das facilidades e servios de fornecimento (garantindo que
servios e produtos providos externamente satisfaro o compromisso
contratado);
f) ensaios completos (testando se a organizao, pessoal, equipamento,
facilidades e processos conseguem lidar com interrupes).
Segundo a ISO/IEC 17799:2005, as tcnicas podem ser usadas por qualquer
organizao e devem refletir a natureza do plano de recuperao especfico.
A seguir disponibilizamos um quadro resumo sobre tipos e mtodos de teste
de estratgias de Gesto de Continuidade de Negcios.
Segundo a NBR 15999, os testes devem ser realistas, planejados
cuidadosamente e acordados com as partes interessadas, de modo que haja
um risco mnimo de interrupo dos processos de negcio, e de forma a
minimizar a chance de que ocorra um incidente como resultado direto do teste.
Todo teste deve ter objetivos claramente definidos. Relatrios e anlises que
demonstrem se os objetivos do teste foram alcanados devem ser elaborados
aps o teste. Alm disso, importante que seja elaborado um relatrio ps-
teste, que contenha recomendaes juntamente de uma previso de tempo
para a implementao destas.
A escala e a complexidade dos testes devem ser apropriadas aos objetivos de
recuperao da organizao. O programa de testes deve considerar o papel de
todas as partes envolvidas, inclusive principais fornecedores, parceiros
terceirizados e outros que poderiam participar das atividades de recuperao.
A organizao deve inclu-los nos testes.

Prof
a


22. (FGV/2009/ICMS-RJ) No Brasil, a NBR ISO 17799 constitui um padro
de recomendaes para prticas na gesto de Segurana da Informao. De
acordo com o estabelecido nesse padro, trs termos assumem papel de
importncia capital: confidencialidade, integridade e disponibilidade.
Nesse contexto, a confidencialidade tem por objetivo:
(A) salvaguardar a exatido e a inteireza das informaes e mtodos de
processamento.
(B) salvaguardar os dados gravados no backup por meio de software que
utilize assinatura digital.
(C) permitir que os usurios tenham acesso aos arquivos de backup e aos
mtodos de criptografia empregados.
(D) permitir que os usurios autorizados tenham acesso s informaes e
aos ativos associados, quando necessrio.
(E) garantir que as informaes sejam acessveis apenas para aqueles que
estejam autorizados a acess-las.

Comentrios
Para os propsitos da norma, as definies seguintes se aplicam: a segurana
de informaes busca a preservao da confidencialidade, integridade e
disponibilidade das informaes.
Confidencialidade: garantir que as informaes sejam acessveis apenas
para aqueles que esto autorizados a acess-las.
Integridade: salvaguardar a exatido e a inteireza das informaes e
mtodos de processamento.
Disponibilidade: assegurar que os usurios autorizados tenham acesso s
informaes e aos ativos associados quando necessrio.
Gabarito: letra E.

Prof
a

23. (ESAF/2008/CGU/AFC/Infraestrutura e Suporte) Um plano de
contingncia no compreende
a) respostas imediatas a desastres.
b) identificao e compreenso do problema (desastre).
c) processo de restaurao.
d) conteno de danos e a eliminao das causas.
e) anlise crtica dos direitos de acesso dos usurios.

Comentrios
Plano de Contingncias consiste num conjunto de estratgias e
procedimentos que devem ser adotados quando a instituio ou uma rea
depara-se com problemas que comprometem o andamento normal dos
processos e a consequente prestao dos servios.

Essas estratgias e procedimentos devero minimizar o impacto sofrido diante
do acontecimento de situaes inesperadas, desastres, falhas de segurana,
entre outras, at que se retorne normalidade.
O Plano de Contingncias um conjunto de medidas que combinam
aes preventivas e de recuperao. Obviamente, os tipos de riscos a que
esto sujeitas as organizaes variam no tempo e no espao. Porm, pode-se
citar como exemplos de riscos mais comuns a ocorrncia de desastres naturais
(enchentes, terremotos, furaces), incndios, desabamentos, falhas de
equipamentos, acidentes, greves, terrorismo, sabotagem, aes intencionais.
De maneira geral, o Plano de Contingncias contm informaes sobre:
condies e procedimentos para ativao do Plano (como se avaliar a
situao provocada por um incidente);
procedimentos a serem seguidos imediatamente APS a ocorrncia de
um desastre (como, por exemplo, contato eficaz com as autoridades
pblicas apropriadas: polcia, bombeiro, governo local);
a instalao reserva, com especificao dos bens de informtica nela
disponveis, como hardware, software e equipamentos de
telecomunicaes;
a escala de prioridade dos aplicativos, de acordo com seu grau de
interferncia nos resultados operacionais e financeiros da organizao.
Quanto mais o aplicativo influenciar na capacidade de funcionamento da
organizao, na sua situao econmica e na sua imagem, mais crtico
ele ser;
arquivos, programas, procedimentos necessrios para que os aplicativos
crticos entrem em operao no menor tempo possvel, mesmo que
parcialmente;
sistema operacional, utilitrios e recursos de telecomunicaes
necessrios para assegurar o processamento dos aplicativos crticos, em
grau pr-estabelecido;
documentao dos aplicativos crticos, sistema operacional e utilitrios,
bem como suprimentos de informtica, ambos disponveis na instalao
reserva e capazes de garantir a boa execuo dos processos definidos;
dependncia de recursos e servios externos ao negcio;

Prof
a
procedimentos necessrios para restaurar os servios computacionais na
instalao reserva;
pessoas responsveis por executar e comandar cada uma das atividades
previstas no Plano ( interessante definir suplentes, quando se julgar
necessrio);
referncias para contato dos responsveis, sejam eles funcionrios ou
terceiros;
organizaes responsveis por oferecer servios, equipamentos,
suprimentos ou quaisquer outros bens necessrios para a restaurao;
contratos e acordos que faam parte do plano para recuperao dos
servios.
Conforme visto, os itens de A ao D esto diretamente relacionados a Planos de
Contingncia de TI escritos, divulgados, testados, mantidos e atualizados com
o objetivo real de proteger o negcio. Itens CORRETOS.

Item E. A atividade em questo no est relacionada ao escopo do Plano de
Contingncia. Item ERRADO.
Gabarito: letra E.

24. (ESAF/2005/AFRFB) Analise as seguintes afirmaes relacionadas
I. Um plano de contingncia consiste em procedimentos de recuperao
preestabelecidos, com a finalidade de minimizar o impacto sobre as
atividades da organizao no caso de ocorrncia de um dano ou desastre
que os procedimentos de segurana no consigam evitar.
II. Entende-se por Poltica de Segurana um conjunto de regras que pode
ser aplicado a qualquer empresa, que no necessite de processos de reviso
e que possa atuar de forma independente em qualquer setor desta
empresa.
III. Um Proxy Server um sistema que atua como intermedirio entre duas
pontas de uma conexo, evitando a comunicao direta entre elas.
IV. A segurana da informao de uma organizao deve ser de exclusiva
responsabilidade do setor de segurana, deve ter uma estrutura de
segurana esttica e, uma vez implementada, todas as informaes sero
consideradas seguras.

Indique a opo que contenha todas as afirmaes verdadeiras.
a) I e II
b) II e III
c) III e IV
d) II e IV
e) I e III

Comentrios
Item I. A poltica de segurana deve assegurar a existncia de um plano de
contingncia capaz de orientar todo o processo de restaurao parcial ou total
do ambiente de sistemas, incluindo tambm as atividades de teste e
manuteno do documento. Em seu contedo devem ser abordados diversos
aspectos com relao avaliao de risco e impacto no negcio. A poltica

Prof
a
deve ressaltar que, o plano a ser desenvolvido, resultar num conjunto de
documentos onde estaro registradas as aes relativas s adequaes da
infraestrutura e s alteraes nos procedimentos. Item CORRETO.

Item II. A poltica de segurana deve ser revisada e atualizada sempre que
necessrio. Deve haver anlise peridica da efetividade da poltica,
demonstrada pelo tipo, volume e impacto dos incidentes de segurana
registrados! Item ERRADO.

Item III. O Proxy Server pode gerenciar gerencia o trfego da Internet
de/para uma rede local e pode oferecer outros recursos, como o cache de
documentos e o controle de acesso. Item CORRETO.

Item IV. Que absurdo!!! A segurana responsabilidade de todos ns, eu at
uso essa frase em campanhas de segurana dentro da empresa em que
trabalho. A estrutura bem dinmica, e obter 100% de segurana uma
utopia!!! Item ERRADO.
Gabarito: letra E.

25. (ESAF/MPOG-Ministrio do Planejamento/Analista de
Planejamento e Oramento TI/Prova 3/Q. 38) Um dos objetivos da
Poltica de Segurana a
a) eliminao de ocorrncias.
b) reduo dos danos provocados por eventuais ocorrncias.
c) criao de procedimentos para sistematizar eventuais danos.
d) formalizao de procedimentos para eliminao de ameaas.
e) reduo dos custos com segurana.

Comentrios
Item a. O objetivo aqui especificado est muito vago. Conforme TCU (2007) a
Poltica de Segurana de Informaes um conjunto de princpios que
norteiam a gesto de segurana de informaes e que deve ser
observado pelo corpo tcnico e gerencial e pelos usurios internos e
externos. As diretrizes estabelecidas nesta poltica determinam as linhas
mestras que devem ser seguidas pela organizao para que sejam
assegurados seus recursos computacionais e suas informaes. Item
ERRADO.

Item b. A Poltica de segurana, preferencialmente, deve ser criada antes da
ocorrncia de problemas com a segurana, ou depois, para evitar
reincidncias! A preveno costuma ser mais barata que a restaurao dos
danos provocados pela falta de segurana. Item CORRETO.

Itens C e D. composta por um conjunto de regras e padres sobre o que
deve ser feito para assegurar que as informaes e servios importantes para
a empresa recebam a proteo conveniente, de modo a garantir a sua
confidencialidade, integridade e disponibilidade. Itens ERRADOS.


Prof
a
Item e. Nem sempre os custos sero reduzidos (isso pode acontecer se a
empresa gastava demais de forma descontrolada!!). Mas o contrrio tambm
poder acontecer, com diminuio dos gastos. Item ERRADO.
Gabarito: letra B.

(CESPE/2009/ANATEL/Analista Administrativo TI Ambiente
Operacional) Acerca dos procedimentos de segurana da informao relativos
ao gerenciamento da continuidade do negcio, julgue os itens que se seguem.

26. (CESPE/2009/ANATEL/Analista Administrativo TI Ambiente
Operacional) A estruturao de planos de contingncia requer que a
avaliao dos riscos e dos respectivos impactos, relativos infraestrutura de
TI, anteceda a identificao dos eventos em geral que possam causar
interrupo nos processos do negcio.

Comentrios
A identificao desses eventos ocorre durante o processo de avaliao dos
riscos, e no posteriormente!!.
27. (CESPE/2008/TCU/Analista de Controle Externo-TI) Segundo a
norma 17799/2005, no caso de desenvolvimento de software por
mo-de-obra terceirizada, necessrio estabelecer controles adicionais para
testar e detectar, antes da instalao desse software, a presena de cdigo
troiano.

Comentrios
Quanto ao desenvolvimento terceirizado de software, a norma 17799/2005
destaca que a organizao deve supervisionar e monitorar o desenvolvimento
terceirizado de software, de forma a levar em considerao os itens
relacionados a seguir:
a realizao de acordos de licenciamento, propriedade do cdigo e
direitos de propriedade intelectual;
a certificao da qualidade e exatido do servio realizado;
as provises para custdia no caso de falha da terceira parte;
testes antes da instalao para detectar a presena de cdigo
malicioso e troiano.

28. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 184) As
ameaas e perturbaes da ordem pblica que podem, eventualmente,
afetar o funcionamento de uma organizao pblica federal, mesmo que
apenas indiretamente relacionadas aos sistemas de tecnologia da
informao e comunicao (TIC) dessas organizaes, devem ser
consideradas nas diretrizes de implementao de controle de proteo do
meio ambiente e contra ameaas externas, conforme previsto na norma
17799/2005.

Comentrios

Prof
a
A norma 17799/2005, em proteo contra ameaas externas e do meio
ambiente, destaca que a organizao deve ter uma proteo fsica contra
incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e
outras formas de desastres. Nesse caso, devem-se levar em considerao
todas as ameaas segurana representadas por instalaes vizinhas (como o
risco de exploso em um prdio vizinho). Tambm ressalta que os
equipamentos para contingncia e mdia de backup devem ficar a uma
distncia segura, para que no sejam danificados por um desastre que afete o
local principal.

29. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI)
A NBR 17799 prescreve explicitamente que as instalaes de
processamento da informao gerenciadas por uma organizao devem
estar fisicamente separadas daquelas que so gerenciadas por terceiros.
Esse controle est descrito no captulo 9 da referida NBR, juntamente com
outros relacionados a ameaas externas como exploses e perturbaes
sociais, e controle de acesso com mltiplos fatores de autenticao, como
senhas, smart cards e biometria.
Comentrios
A ISO/IEC 27002 (antiga 17799) no faz prescries, e sim, recomendaes de
segurana baseadas nas melhores prticas relacionadas segurana da
informao, de forma que a empresa segue se desejar!! (Ela no uma norma
impositiva, guardem isso !!).

30. (CESPE/2007/TCU/Analista de Controle Externo TI) A poltica
corporativa de segurana da informao dever ser elaborada somente aps
o estabelecimento das polticas de segurana no desenvolvimento de
software e de segurana em operaes de TI.

Comentrios
As polticas de segurana no desenvolvimento de software e de segurana em
operaes de TI iro fazer parte da poltica corporativa de segurana, que
dever ser estabelecida primeiramente.

31. (CESPE/2007/TCU/Analista de Controle Externo TI) Todo evento
de segurana da informao identificado no mbito da organizao
corresponder a uma ou mais violaes da poltica de segurana da
informao da organizao.

Comentrios
Existem eventos de segurana da informao que no iro provocar a violao
da poltica de segurana da informao da organizao.


Prof
a
32. (CESPE/2007/TCU/Analista de Controle Externo TI) A ISO
17799 define diretrizes para certificao de que uma organizao est em
conformidade prpria norma. Essa certificao conferida por meio de
uma auditoria de terceira parte, nos moldes da ISO 19011.

Comentrios
A norma 17799 (renomeada para 27002) estabelece diretrizes e princpios
gerais para iniciar, implementar, manter e melhorar a gesto de segurana da
informao em uma organizao. Os objetivos definidos nesta norma provem
diretrizes gerais sobre as metas geralmente aceitas para a gesto da
segurana da informao.
Cabe ressaltar que no h certificao para pessoas, somente para as
empresas. E essa certificao baseada na ISO/IEC 27001 e no na ISO/IEC
27002!!
A norma 27001 usada para fins de certificao (faz referncia aos controles
apenas para fins de checagem para certificao). a norma que deve ser
adotada como base para uma organizao que deseja implantar um Sistema
de Gesto de Segurana da Informao (SGSI). A rigor, essa norma uma
especificao (documento que utilizado para a realizao de auditorias e
consequente certificao) de um SGSI.

33. (CESPE/2007/TCU/Analista de Controle Externo TI) Conforme a
ISO 17799, obrigatrio o relatrio de incidentes de segurana ao ponto de
contato designado. Assim, um funcionrio de uma organizao que realiza
operaes de alto risco e identifica uma violao de acesso, porm
encontra-se sob coao, poder utilizar-se de um mtodo secreto para
indicar esse evento de segurana. Esse mtodo conhecido como alarme
de coao.

Comentrios
A questo ficou inadequada ao afirmar que o relatrio de incidentes
obrigatrio, j que a ISO 17799 no impositiva!!

34. (ESAF/2008/CGU/AFC-Analista de Finanas e Controle
/CGU/Infraestrutura e Suporte) De acordo com a ISO/IEC 17799:2005,
a fim de evitar a interrupo de servios e das atividades do negcio e
proteger os processos crticos de desastres, em tempo hbil, recomenda-se
implantar
a) acordo de termos e condies de contratao de funcionrios.
b) poltica de uso de controles criptogrficos.
c) plano de continuidade do negcio.
d) acordo de confidencialidade.
e) poltica para a troca de informaes com partes externas.

Comentrios
Item a. A afirmativa est ligada ao controle de Segurana em Recursos
Humanos que tem por objetivo assegurar que os funcionrios, fornecedores e

Prof
a
terceiros entendam suas responsabilidade e estejam de acordo com os papis,
e reduzir o risco de roubo, fraude ou mau uso de recursos. Devem ser
estabelecidas as responsabilidades de segurana antes da contratao de cada
funcionrio. Item ERRADO.

Item b. Afirmativa pertence ao controle de Conformidade que tem por objetivo
evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou
obrigaes contratuais e de quaisquer requisitos de segurana da informao.
Convm que controles de criptografia sejam usados em conformidade com
todas as leis, acordos e regulamentaes relevantes. Item ERRADO.

Item c. Afirmativa trata da Gesto da Continuidade do Negcio, que tem por
objetivo no permitir a interrupo das atividades do negcio e proteger os
processos crticos contra efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hbil, se for o caso. Item CORRETO.

Obs.: A seo intitulada Gesto da Continuidade do Negcio possui 1
categoria: aspectos da gesto da continuidade do negcio, relativos
segurana da informao, conforme detalhes ilustrados a seguir.


Prof
a
Item d. Afirmativa trata a respeito da seo Organizando a segurana da
informao, que tem por objetivo gerenciar a segurana da informao dentro
da organizao. No controle de acordos de confidencialidade convm que os
requisitos para confidencialidade ou acordos de no divulgao que reflitam as
necessidades da organizao para a proteo da informao sejam
identificados e analisados criticamente, de forma regular. Item ERRADO.

Item e. Afirmativa trata da seo: Organizando a segurana da informao que
no controle de acesso a partes externas relata que deve manter a segurana
dos recursos de processamento da informao da organizao, que so
acessados, processados, comunicados ou gerenciados por partes externas.
Item ERRADO.
Gabarito: letra C.

/Infraestrutura e Suporte TI) A respeito do documento da Poltica de
Segurana da Informao de uma dada Organizao, incorreto afirmar
que
a) deve ser aprovado pela direo antes de ser publicado e divulgado.
b) deve ser analisado regularmente ou na ocorrncia de mudanas
significativas.
c) gestores devem garantir que os procedimentos de segurana so
executados em conformidade com tal documento.
d) deve incluir informaes quanto tecnologia a ser empregada para a
e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e
adequao.

Comentrios
Segundo a ISO 17799:2005 a Poltica de segurana da informao tem por
objetivo prover uma orientao e apoio direo para a segurana da
informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes.
A gerncia deve estabelecer uma direo poltica clara e demonstrar suporte a,
e comprometimento com, a segurana das informaes atravs da emisso e
manuteno de uma poltica de segurana de informaes para toda a
organizao.
Um documento com a poltica deve ser aprovado pela gerncia, publicado e
divulgado, conforme apropriado, para todos os empregados. Ele deve declarar
o comprometimento da gerncia e estabelecer a abordagem da organizao
quanto gesto da segurana de informaes.
A poltica deve ter um encarregado que seja responsvel por sua manuteno
e reviso de acordo com um processo de reviso definido. Esse processo deve
assegurar que seja executada uma reviso em resposta a quaisquer mudanas
que afetem a base da avaliao de riscos original, por exemplo incidentes de
segurana significativos, novas vulnerabilidades ou mudanas na infraestrutura
organizacional ou tcnica.

Prof
a
Na Poltica de Segurana da Informao NO se deve ter informaes quanto
tecnologia que ser empregada na segurana da informao de uma
organizao.
Gabarito: letra D.

36. (ESAF/2005/MPOG) O princpio do menor privilgio em Segurana da
Informao significa que
a) todos os usurios do sistema sero considerados convidados.
b) ser especificado o que proibido, todo o restante ser permitido.
c) qualquer objeto s pode ter permisses bsicas para executar as suas
tarefas, e nenhuma outra.
d) haver uma segurana mnima no sistema, mas que no ser possvel
garantir a segurana contra a exposio e os danos causados por ataques
especficos.
e) haver um ponto de estrangulamento onde tudo ser proibido,
dependendo apenas da profundidade de defesa do sistema.


Prof
a
Comentrios
O princpio do menor privilgio (Least Privilege) destaca que os
acessos sejam reduzidos ao mnimo necessrio para execuo das
atividades profissionais.
O foco neste caso garantir os aspectos bsicos de segurana da informao,
evitando a utilizao indevida que venha afetar a integridade e a
disponibilidade das informaes.
Tal princpio importante para todos os administradores de redes nunca d a
uma conta de usurio mais privilgios do que o absolutamente necessrio! A
aplicao desse princpio diminui o risco de se ter um incidente de segurana,
ou acesso no autorizado aos sistemas da empresa.
Gabarito: letra C.

37. (ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa,
a poltica de segurana pode ser definida e modificada por um conjunto
pequeno de funcionrios em funo de nveis de segurana. Este um
cenrio relacionado ao servio de segurana denominado
a) Confidencialidade.
b) Integridade.
c) Disponibilidade.
d) Controle de acesso.
e) Assinatura digital.

Comentrios
O cenrio est relacionado ao servio de controle de acesso, que dever
assegurar que:
apenas usurios autorizados tenham acesso aos recursos;
os usurios tenham acesso apenas aos recursos realmente necessrios para
a execuo de suas atividades;
o acesso aos recursos crticos seja constantemente monitorado e restrito;
os usurios sejam impedidos de executar transaes incompatveis com a
sua funo.
Gabarito: letra D.

38. (ESAF/2008/PSS) Com relao s tcnicas de segurana da
informao, uma poltica de segurana deve conter elementos que dizem
respeito a tudo aquilo que essencial para combate s adversidades. Com
relao a esses elementos essenciais, a Vigilncia prega:
a) a criatividade quanto s definies da poltica e do plano de defesa
contra intruses.
b) o correto planejamento, pois a segurana deve fazer parte de um longo e
gradual processo dentro da organizao.
c) que todos os membros da organizao devem entender a importncia da
segurana, atuando como guardies da rede.
d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as
necessidades estratgicas da organizao.
e) uma economia na aplicao de novas tecnologias, pois estas no so
vulnerveis a novos ataques.


Prof
a
Comentrios
Todos os membros da empresa so responsveis pela segurana da
informao!!
Gabarito: letra C.

39. (CESPE/2013/ESCRIVO DE POLCIA FEDERAL) Considere que o
usurio de um computador com sistema operacional Windows 7 tenha
permisso de administrador e deseje fazer o controle mais preciso da
segurana das conexes de rede estabelecidas no e com o seu computador.
Nessa situao, ele poder usar o modo de segurana avanado do firewall
do Windows para especificar precisamente quais aplicativos podem e no
podem fazer acesso rede, bem como quais servios residentes podem, ou
no, ser externamente acessados.

Comentrios
Isso mesmo!! Atravs do firewall do Windows tambm podemos definir as
configuraes de forma pontual para portas, protocolos, servios e
aplicaes.
Segundo Microsoft (2013) o Firewall do Windows com Segurana Avanada
um firewall com monitorao de estado que inspeciona e filtra todos os pacotes
para trfego de Protocolo IP verso 4 (IPv4) e Protocolo IP verso 6 (IPv6).
Neste contexto, filtrar significa permitir ou bloquear o trfego de rede
processando-o por meio de regras definidas pelo administrador. Por
padro, o trfego de entrada bloqueado, a menos que seja uma
resposta a uma solicitao do host (trfego solicitado) ou seja especificamente
permitido (isto , tenha sido criada uma regra de firewall para permitir o
trfego). As conexes de sada so permitidas, por padro, a menos que
correspondam a uma regra que as bloqueie.
Voc pode configurar o Firewall do Windows com Segurana Avanada para
permitir explicitamente o trfego especificando um nmero de porta,
nome do aplicativo, nome do servio ou outros critrios.
O Firewall do Windows com Segurana Avanada tambm permite que voc
solicite ou exija que os computadores autentiquem uns aos outros antes de se
comunicar e exijam o uso de integridade de dados ou criptografia de dados ao
se comunicar.

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7


Prof
a

Figura. Painel de Controle -> Firewall do Windows

Ao clicar em Configuraes Avanadas, a tela seguinte exibida, a partir da
qual as configuraes sero realizadas:


40. (CESGRANRIO/Petrobrs - Analista de Sistemas Pleno -
Especialidade - Infraestrutura /2006) Assinale a afirmao

Prof
a
INCORRETA sobre os firewalls e sistemas de deteco de intruso (IDS -
Intrusion Detection Systems).
a) Os IDS podem ser utilizados para detectar e bloquear tentativas feitas
por invasores para determinar as regras de filtragem de um firewall.
b) Os IDS podem monitorar em tempo real os servidores de uma rede e/ou
auditar os logs dos servidores procura de padres especficos de
comportamento.
c) Os IDS podem ser utilizados para detectar falhas de segurana em uma
rede ou computadores antes mesmo que um ataque ou falha ocorra.
d) Mesmo que os firewalls de uma rede estejam bem configurados, os
sistemas IDS continuam necessrios.
e) Um firewall bem configurado deve responder a mensagens ICMP Echo
Request.

Comentrios
Em um sistema em segurana de redes de computadores, a intruso
qualquer conjunto de aes que tendem a comprometer a integridade,
confidencialidade ou disponibilidade dos dados ou sistemas.
Os intrusos em uma rede podem ser de dois tipos: internos (que tentam
acessar informaes no autorizadas para ele); externos (tentam acessar
informaes via Internet).
IDS (Intrusion Detection Systems) so sistemas de deteco de intrusos,
que tm por finalidade detectar atividades incorretas, maliciosas ou anmalas,
em tempo real, permitindo que algumas aes sejam tomadas.
Geram logs para casos de tentativas de ataques e para casos em que
um ataque teve sucesso.
Mesmo sistemas com Firewall devem ter formas para deteco de
intrusos.
Assim como os firewalls, os IDSs tambm podem gerar falsos positivos
(Uma situao em que o firewall ou IDS aponta uma atividade como
sendo um ataque, quando na verdade no ).

As informaes podem ser coletadas em redes, de vrias formas:
Sistemas de deteco de intruso baseados em rede (NIDS)
Neste tipo de sistema, as informaes so coletadas na rede, normalmente
por dispositivos dedicados que funcionam de forma similar a sniffers de
pacotes.
Vantagens: diversas mquinas podem ser monitoradas utilizando-se apenas
um agente (componente que coleta os dados).
Desvantagens: o IDS enxerga apenas os pacotes trafegando, sem ter
viso do que ocorre na mquina atacada.

Prof
a
Sistemas de deteco de intruso baseados em host (HIDS)
Coletam informaes dentro das mquinas monitoradas, o que
normalmente feito atravs de um software instalado dentro delas.
Hybrid IDS
Combina as 2 solues anteriores!!
Baseados em Kernel (Kernel Based)
Cuidam basicamente de buffer overflow, ou seja, do estouro da capacidade
de armazenamento temporrio. Sistemas de deteco de intrusos baseados
em Kernel so uma nova forma de trabalho e esto comeando a ser
utilizados em plataformas mais comuns, especialmente no Linux e outros
sistemas Unix.
Cabe ressaltar que o IDS (Intrusion Detection Systems) procura por
ataques j catalogados e registrados, podendo, em alguns casos, fazer anlise
comportamental.
O firewall no tem a funo de procurar por ataques. Ele realiza a filtragem
dos pacotes e, ento, bloqueia as transmisses no permitidas. O firewall atua
entre a rede externa e interna, controlando o trfego de informaes que
existem entre elas, procurando certificar-se de que este trfego confivel,
em conformidade com a poltica de segurana do site acessado. Tambm pode
ser utilizado para atuar entre redes com necessidades de segurana distintas.
O IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!! Um IPS um sistema que detecta e
obstrui automaticamente ataques computacionais a recursos protegidos.
Diferente dos IDS tradicionais, que localizam e notificam os administradores
sobre anomalias, um IPS defende o alvo sem uma participao direta humana.

Em outras palavras, os IDS podem ser classificados em (importante):
passivos: fazem a anlise das informaes recebidas, SEM interferir no
funcionamento da rede, comunicando os administradores em caso de
alerta;
reativos: chamados de Intrusion Prevention Systems (IPS), pois,
alm de emitir o alerta, podem tomar contramedidas, como resetar
conexes suspeitas e fazer reprogramaes no firewall de acordo com a
situao detectada.
Caiu na prova
IDS e IPS so sistemas que protegem a rede de intruses, diferindo no
tratamento dado quando uma intruso detectada. IDS limita-se a gerar
alertas e ativar alarmes, e o IPS executa contramedidas, como
interromper o fluxo de dados referente intruso detectada.
Um dos grandes desafios dos sistemas de deteco de intrusos Minimizar
FALSOS POSITIVOS e FALSOS NEGATIVOS!

Prof
a
- Falso Positivo: o IDS gera um alarme de ataque na ocorrncia de um
evento ou trfego normal.
- Falso Negativo: o IDS no gera alarme na ocorrncia de um evento ou
trfego mal intencionado.
Cabe destacar que o falso positivo um evento observvel e relevante, que
classificado pelo IDS como um evento intrusivo!!
Seu maior problema a gerao de um grande nmero de alertas, o que
dificulta a administrao e a anlise das informaes do IDS.
Caiu na prova
A ocorrncia de falsos positivos normalmente acarreta consequncias
mais graves para as redes que utilizam IPS do que para aquelas que
usam IDS!!
As consequncias mais graves ocorrero com a utilizao do IPS, j que
executa contramedidas, como resetar conexes suspeitas e fazer
reprogramaes no firewall de acordo com a situao detectada.
Aps a anlise da questo, vimos que a assertiva incorreta a letra e.
Um firewall bem configurado ir restringir o ICMP Echo Request, quando o
mesmo solicitado a partir da Internet com destino ao permetro da rede, pois
esse protocolo pode ser utilizado por invasores para levantar informaes do
ambiente, de forma a descobrir mquinas na rede, dentre outros.
Gabarito: letra E.

41. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012)
Os worms, assim como os vrus, infectam computadores, mas,
diferentemente dos vrus, eles no precisam de um programa hospedeiro
para se propagar.

Comentrios
Tantos os Worms como os vrus so considerados como malwares (softwares
maliciosos que infectam computadores), no entanto, diferentemente do vrus,
o Worm no embute cpias de si mesmo em outros programas ou arquivos e
no necessita ser explicitamente executado para se propagar.

42. (CESPE/Tcnico Administrativo Nvel Mdio PREVIC/2011)
Entre os atributos de segurana da informao, incluem-se a
confidencialidade, a integridade, a disponibilidade e a autenticidade. A
integridade consiste na propriedade que limita o acesso informao
somente s pessoas ou entidades autorizadas pelo proprietrio da
informao.

Comentrios

Prof
a
Os quatro princpios considerados centrais ou principais, mais comumente
cobrados em provas, esto listados na questo, a saber: a confidencialidade,
a integridade, a disponibilidade e a autenticidade ( possvel encontrar a sigla
CIDA, ou DICA, para fazer meno a estes princpios!).
D isponibilidade
I ntegridade
C onfidencialidade
A utenticidade
Figura. Mnemnico DICA
a confidencialidade (sigilo) que evitar o acesso no autorizado s
informaes, permitindo somente que pessoas explicitamente autorizadas
possam acess-las. A integridade evita alteraes nos dados, garantindo que
a informao que foi armazenada a que ser recuperada.

43. (CESPE/2002/POLCIA FEDERAL/PERITO: REA 3 .
COMPUTAO) Sistemas criptogrficos so ditos simtricos ou de chave
secreta quando a chave utilizada para cifrar a mesma utilizada para
decifrar. Sistemas assimtricos ou de chave pblica utilizam chaves
distintas para cifrar e decifrar. Algoritmos simtricos so geralmente mais
eficientes computacionalmente que os assimtricos e por isso so preferidos
para cifrar grandes massas de dados ou para operaes online.

Comentrios
A criptografia de chave simtrica (tambm chamada de criptografia de
chave nica, ou criptografia privada, ou criptografia convencional)
utiliza APENAS UMA chave para encriptar e decriptar as mensagens. Assim,
como s utiliza UMA chave, obviamente ela deve ser compartilhada entre o
remetente e o destinatrio da mensagem.
Para ilustrar os sistemas simtricos, podemos usar a imagem de um cofre, que
s pode ser fechado e aberto com uso de uma chave. Esta pode ser, por
exemplo, uma combinao de nmeros. A mesma combinao abre e fecha o
cofre. Para criptografar uma mensagem, usamos a chave (fechamos o cofre) e
para decifr-la utilizamos a mesma chave (abrimos o cofre).

Os sistemas simtricos tm o problema em relao distribuio de chaves,
que devem ser combinadas entre as partes antes que a comunicao segura se

Prof
a
inicie. Esta distribuio se torna um problema em situaes em que as partes
no podem se encontrar facilmente. Mas h outros problemas: a chave pode
ser interceptada e/ou alterada em trnsito por um inimigo.

Na criptografia simtrica (ou de chave nica) tanto o emissor
quanto o receptor da mensagem devem conhecer a chave utilizada!!

Nos algoritmos de criptografia assimtrica (criptografia de chave
pblica) utilizam DUAS chaves DIFERENTES, uma PBLICA (que pode ser
distribuda) e uma PRIVADA (pessoal e intransfervel). Assim, nesse mtodo
cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser
divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono. As mensagens codificadas com a chave pblica s podem ser
decodificadas com a chave privada correspondente.
Do ponto de vista do custo computacional, os sistemas simtricos
apresentam melhor desempenho que os sistemas assimtricos, e isso j
foi cobrado em provas vrias vezes!

44. (CESPE/Agente Tcnico de Inteligncia rea de Tecnologia da
Informao ABIN/2010) A chave assimtrica composta por duas
chaves criptogrficas: uma privada e outra pblica.

Comentrios
A criptografia de chave pblica (aSSimtrica) utiliza duas chaves: uma
denominada privada e outra denominada pblica. Nesse mtodo, uma pessoa
deve criar uma chave de codificao e envi-la a quem for mandar
informaes a ela. Essa a chave pblica. Outra chave deve ser criada para a
decodificao. Esta a chave privada secreta.

45. (CESPE/Oficial Tcnico de Inteligncia-rea de Arquivologia -
ABIN/2010) A respeito de mecanismos de segurana da informao, e
considerando que uma mensagem tenha sido criptografada com a chave
pblica de determinado destino e enviada por meio de um canal de
comunicao, pode-se afirmar que a mensagem criptografada com a chave
pblica do destinatrio garante que somente quem gerou a informao
criptografada e o destinatrio sejam capazes de abri-la.

Comentrios
Quando se criptografa a mensagem com a chave pblica do destinatrio ela
poder ser aberta (descriptografada) apenas pelo destinatrio, j que s ele

Prof
a
tem acesso sua chave privada. O remetente (quem gerou a mensagem) j
tem acesso mensagem em claro, no criptografada.
Muita ateno aqui pessoal!!

Na criptografia assimtrica ou simplesmente criptografia
de chaves pblicas, as entidades envolvidas possuem duas
chaves, uma privada e uma pblica.

Quando a inteno fazer uso da confidencialidade,
o emissor/remetente precisa conhecer a chave pblica do
destinatrio/receptor, sendo assim, o emissor/remetente
criptografa a mensagem utilizando a chave pblica do
destinatrio/receptor, para descriptografar a mensagem o
destinatrio utiliza sua prpria chave privada.
Quando se quer atestar a autenticidade, o
emissor/remetente precisa assinar o documento a ser
transmitido, exemplo assinatura digital, correio
eletrnico, aplicaes por meio do SSL, entre outros. O
remetente/emissor criptografa o documento utilizando
sua chave privada, e disponibiliza sua chave pblica ao
destinatrio/receptor.
Outra aplicao para o uso de criptografias de chaves
pblicas so os certificados digitais. O certificado digital
um documento eletrnico assinado digitalmente e cumpre
a funo de associar uma pessoa ou entidade a uma
chave pblica.

46. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir
que essa mensagem tenha sido enviada pelo prprio remetente.

Comentrios
Esta uma das utilidades do uso de criptografia assimtrica. O emissor utiliza
sua chave privada para encriptar a mensagem, sendo possvel a decriptao
apenas com sua chave pblica. Assim, pode-se confirmar que o emissor
quem diz ser, pois somente a chave dele permite decriptar a mensagem.
Complementando, a questo refere-se ao princpio da autenticidade e
exatamente isso, a mensagem criptografada com a chave privada do
remetente, e descriptografada pelo destinatrio/receptor utilizando a chave
pblica do remetente/emissor.


Prof
a
47. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica
de uma nica chave.

Comentrios
A assinatura digital facilita a identificao de uma comunicao, mas baseia-se
em criptografia assimtrica com par de chaves: uma pblica e outra privada.

48. (CESPE/TCU/Tcnico Federal de Controle Externo/2012) Por meio
de certificados digitais, possvel assinar digitalmente documentos a fim de
garantir o sigilo das informaes contidas em tais documentos.
Comentrios
A assinatura digital, por si s, no garante a confidencialidade (sigilo) dos
dados, pois, teoricamente, todos possuem a chave pblica do remetente. Essa
confidencialidade obtida por meio de tcnicas de criptografia, que so
utilizadas em conjunto com as assinaturas digitais!
A assinatura digital fornece uma prova inegvel de que uma mensagem veio
do emissor. Para verificar esse requisito, uma assinatura deve ter as seguintes
propriedades:
autenticidade: o receptor (destinatrio de uma mensagem) pode
confirmar que a assinatura foi feita pelo emissor;
integridade: qualquer alterao da mensagem faz com que a assinatura
seja invalidada;
no repdio (irretratabilidade): o emissor (aquele que assinou
digitalmente a mensagem) no pode negar que foi o autor da
mensagem, ou seja, no pode dizer mais tarde que a sua assinatura foi
falsificada.

49. (CESPE/Oficial Tcnico de Inteligncia/rea de Desenvolvimento
e Manuteno de Sistemas ABIN/2010) As assinaturas digitais atuam
sob o princpio bsico da confidencialidade da informao, uma vez que
conferem a autenticao da identidade do remetente de uma mensagem.
No entanto, tal soluo no garante a integridade da informao, que deve
ser conferida por meio de tecnologias adicionais de criptografia.

Comentrios
Com as assinaturas digitais temos garantida a autenticidade, a integridade e o
no repdio.


Prof
a
50. (CESPE/Tcnico Bancrio/Carreira administrativa- Caixa
Econmica Federal-NM1/2010) Para assinar uma mensagem digital, o
remetente usa uma chave privada.

Comentrios
O remetente usa sua chave privada para realizar um processo matemtico
com a mensagem, gerando caracteres de assinatura (chamamos aqui de
assinar a mensagem).

Firewall o elemento de defesa mais externo na intranet de uma empresa e
sua principal funo impedir que usurios da intranet acessem qualquer
rede externa ligada Web.

Comentrios
O firewall tem como principal funo impedir a entrada de usurios no
autorizados e no impedir a sada (os usurios da intranet podem acessar
sites na Internet, sem problemas), apesar de poder ser configurado dessa
forma tambm!!

52. (CESPE/MPE-PI/2012) A adoo de crachs para identificar as
pessoas e controlar seus acessos s dependncias de uma empresa um
mecanismo adequado para preservar a segurana da informao da
empresa.

Comentrios
Essa uma das medidas necessrias para resguardar a segurana na
empresa.

53. (CESPE/Nvel Superior - PREVIC/2011) Por meio do uso de
certificados digitais, possvel garantir a integridade dos dados que
transitam pela Internet, pois esses certificados so uma forma confivel de
se conhecer a origem dos dados.

Comentrios
Integridade no tem relao com a origem dos dados. Integridade diz
respeito no alterao dos dados. Conhecer a origem est ligado ao
princpio da autenticidade.

Prof
a

54. (CESPE/Analista de Saneamento/Analista de Tecnologia da
Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico
est automaticamente autorizado para uso dos sistemas.

Comentrios
Cuidado aqui! A segunda parte da afirmao est incorreta. Um usurio ou
processo (programa) autenticado no est automaticamente apto para uso dos
sistemas. Isto depender do nvel de acesso que ele possuir. possvel, por
exemplo, que um usurio tenha permisso apenas para visualizar a caixa de
mensagens dele ou, ainda, para ler os arquivos de sua pasta particular.

55. (CESPE/Tcnico Administrativo - ANATEL/2009) Com o
desenvolvimento da Internet e a migrao de um grande nmero de
sistemas especializados de informao de grandes organizaes para
sistemas de propsito geral acessveis universalmente, surgiu a
preocupao com a segurana das informaes no ambiente da Internet.
Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando
necessrio, e a segunda corresponde garantia de que sistemas de
informaes sejam acessveis apenas queles autorizados a acess-los.

Comentrios
O conceito de disponibilidade est correto, mas o conceito de integridade no.
O conceito apresentado na questo foi o de confidencialidade: garantia de que
sistemas de informaes sejam acessveis apenas queles autorizados a
acess-los.

56. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.

Comentrios
a autoridade de registro recebe as solicitaes de certificados dos usurios e
as envia autoridade certificadora que os emite.
A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7

A
l
e
x
s
a
n
d
r
o

A
l
v
e
s

V
a
s
c
o
n
c
e
0
2
9
2
4
5
8
0
6
1
7


Prof
a
Ateno aqui!!

Componentes de uma ICP
Uma Infraestrutura de Chaves Pblicas (ICP) envolve um
processo colaborativo entre vrias entidades: autoridade
certificadora (AC), autoridade de registro (AR), repositrio
de certificados e o usurio final.

Autoridade Certificadora (AC)
Vamos ao exemplo da carteira de motorista. Se pensarmos
em um certificado como uma carteira de motorista, a
Autoridade Certificadora opera como um tipo de rgo de
licenciamento. Em uma ICP, a AC emite, gerencia e revoga
os certificados para uma comunidade de usurios finais. A
AC assume a tarefa de autenticao de seus usurios finais e
ento assina digitalmente as informaes sobre o certificado
antes de dissemin-lo. A AC, no final, responsvel pela
autenticidade dos certificados emitidos por ela.

Autoridade de Registro (AR)
Embora a AR possa ser considerada um componente
estendido de uma ICP, os administradores esto descobrindo
que isso uma necessidade. medida que aumenta o
nmero de usurios finais dentro de uma ICP, tambm
aumenta a carga de trabalho de uma AC.
A AR serve como uma entidade intermediria entre a AC e
seus usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.
Uma AR necessariamente uma entidade operacionalmente
vinculada a uma AC, a quem compete:
identificar os titulares de certificados: indivduos,
organizaes ou equipamentos;
encaminhar solicitaes de emisso e revogao de
certificados AC;
guardar os documentos apresentados para
identificao dos titulares.
A AC deve manter uma lista de suas ARs credenciadas e
estas ARs so consideradas confiveis, pelo ponto de vista
dessa AC.

Resumindo...
a AC emite, gerencia e revoga os certificados para

Prof
a
uma comunidade de usurios finais. A AR serve
como uma entidade intermediria entre a AC e seus
usurios finais, ajudando a AC em suas funes
rotineiras para o processamento de certificados.

57. (CESPE/Tcnico Judicirio/Programao de Sistemas - TRE-
MT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.

Comentrios
A disponibilidade garante que a informao estar l quando for preciso
acess-la. Obviamente, o acesso s ser permitido a quem de direito. O texto
da questo afirma que a disponibilidade a garantia de que o acesso
informao seja obtido apenas por pessoas autorizadas, o que a garantia da
confidencialidade.

58. (CESPE/2010/ABIN/AGENTE TCNICO DE INTELIGNCIA - REA
DE TECNOLOGIA DA INFORMAO) Acerca de auditoria na rea de
tecnologia da informao (TI), julgue o item abaixo.

A auditoria realizada em TI engloba a verificao de operaes, processos,
sistemas e responsabilidades.

Comentrios
A Auditoria de TI engloba o exame das operaes, processos, sistemas e
responsabilidades de uma das reas mais crticas e dispendiosas das
empresas. Verifica o retorno dos investimentos em Tecnologia da Informao.
Exerce uma funo preventiva e saneadora ao confirmar a veracidade e
integridade dos registros e a confiabilidade das informaes.

59. (CESPE/TRE-MT/Tcnico Judicirio - Programao de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.

Comentrios
O texto refere-se disponibilidade. A informao deve estar disponvel a quem
de direito.


Prof
a
60. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de
troia um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode
oferecer acesso de outros usurios mquina infectada.
Comentrios
O Trojan Horse (Cavalo de Troia) pode utilizar um mecanismo de propagao
bastante eficiente, escondendo-se dentro de um aplicativo til.

61. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus
um programa que pode se reproduzir anexando seu cdigo a um outro
programa, da mesma forma que os vrus biolgicos se reproduzem.

Comentrios
Os vrus so pequenos cdigos de programao maliciosos que se agregam a
arquivos e so transmitidos com eles. Quando o arquivo aberto na memria
RAM, o vrus tambm , e, a partir da se propaga infectando, isto , inserindo
cpias de si mesmo e se tornando parte de outros programas e arquivos de um
computador. Assim, do mesmo modo como um vrus biolgico precisa de
material reprodutivo das clulas hospedeiras para se copiar, o vrus de
computador necessita de um ambiente propcio para sua existncia... Esse
ambiente o arquivo a quem ele (o vrus) se anexa.

62. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalos-
de-troia, adwares e vermes so exemplos de pragas virtuais.

Comentrios
Todos os trs programas mencionados so exemplos de pragas virtuais,
conforme visto a seguir:
O Cavalo de Troia um programa no qual um cdigo malicioso ou
prejudicial est contido dentro de uma programao ou dados
aparentemente inofensivos de modo a poder obter o controle e causar
danos.
Adware (Advertising software) um software projetado para exibir
anncios de propaganda em seu computador. Esses softwares podem ser
maliciosos!
Worms: so programas parecidos com vrus, mas que na verdade so
capazes de se propagarem automaticamente atravs de redes, enviando
cpias de si mesmo de computador para computador (observe que os
worms apenas se copiam, no infectam outros arquivos, eles mesmos so
os arquivos!!).

Prof
a

63. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea:
Desenvolvimento/2010) O princpio da autenticao em segurana diz
que um usurio ou processo deve ser corretamente identificado. Alm disso,
todo processo ou usurio autntico est automaticamente autorizado para
uso dos sistemas.

Comentrios
por meio da autenticao que se confirma a identidade do usurio ou
processo (programa) que presta ou acessa as informaes. No entanto,
afirmar que TODO processo ou usurio autntico est automaticamente
autorizado falsa, j que essa autorizao depender do nvel de acesso que
ele possui. Em linhas gerais, autenticao o processo de provar que voc
quem diz ser. Autorizao o processo de determinar o que permitido que
voc faa depois que voc foi autenticado!!

64. (CESPE/TRE-MT/Analista Judicirio - Tecnologia da
Informao/2010) Uma das vantagens da criptografia simtrica em
relao assimtrica a maior velocidade de cifragem ou decifragem das
mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos
que os de chave simtrica, uma das desvantagens desse tipo de criptografia
a exigncia de uma chave secreta compartilhada.

Comentrios
Inverteu os conceitos. Os algoritmos mais rpidos e que compartilham chaves
so os algoritmos de chave simtrica.

65. (CESPE/TRE-MT/Analista Judicirio/Tecnologia da
Informao/2010) Na criptografia assimtrica, cada parte da
comunicao possui um par de chaves. Uma chave utilizada para encriptar
e a outra para decriptar uma mensagem. A chave utilizada para encriptar a
mensagem privada e divulgada para o transmissor, enquanto a chave
usada para decriptar a mensagem pblica.

Comentrios
O erro est na localizao das palavras pblica e privada. Devem ser trocadas
de lugar. A chave utilizada para encriptar a mensagem pblica e divulgada
para o transmissor, enquanto a chave usada para decriptar a mensagem
privada.


Prof
a
66. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de
usurio que tem poderes de acesso s informaes contidas em uma
mensagem assinada, privada e certificada.

Comentrios
Autoridade certificadora (AC) o termo utilizado para designar a entidade que
emite, renova ou revoga certificados digitais de outras ACs ou de titulares
finais. Alm disso, emite e publica a LCR (Lista de Certificados Revogados).

67. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.

Comentrios
A Autoridade Certificadora (AC) a entidade responsvel por emitir
certificados digitais.

68. (CESPE/2010/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da
Informao) tambm conhecido como Autoridade Certificadora Raiz
Brasileira.

Comentrios
A Autoridade Certificadora RAIZ (AC Raiz) primeira autoridade da cadeia
de certificao e compete a ela emitir, expedir, distribuir, revogar e
gerenciar os certificados das AC de nvel imediatamente subsequente,
gerenciar a lista de certificados emitidos, revogados e vencidos, e executar
atividades de fiscalizao e auditoria das ACs e das ARs e dos
prestadores de servio habilitados na ICP. A funo da AC-Raiz foi
delegada ao Instituto Nacional de Tecnologia da Informao ITI,
autarquia federal atualmente ligada Casa Civil da Presidncia da Repblica.
Logo, o ITI tambm conhecido como Autoridade Certificadora Raiz Brasileira.
A AC-Raiz s pode emitir certificados s ACs imediatamente subordinadas,
sendo vedada de emitir certificados a usurios finais.

ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi
emitido por uma autoridade certificadora.


Prof
a
Comentrios
PKI (Public Key Infrastrusture) a infraestrutura de chaves pblicas. A
ICP-Brasil um exemplo de PKI.

ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.

Comentrios
Um certificado digital um documento eletrnico que identifica pessoas,
fsicas ou jurdicas, URLs, contas de usurio, servidores
(computadores) dentre outras entidades. Este documento na verdade
uma estrutura de dados que contm a chave pblica do seu titular e outras
informaes de interesse. Contm informaes relevantes para a identificao
real da entidade a que visam certificar (CPF, CNPJ, endereo, nome, etc) e
informaes relevantes para a aplicao a que se destinam. O certificado
digital precisa ser emitido por uma autoridade reconhecida pelas partes
interessadas na transao. Chamamos essa autoridade de Autoridade
Certificadora, ou AC. Dentre as informaes que compem um certificado
temos:
Verso: indica qual formato de certificado est sendo seguido
Nmero de srie: identifica unicamente um certificado dentro do
escopo do seu emissor.
Algoritmo: identificador dos algoritmos de hash+assinatura utilizados
pelo emissor para assinar o certificado.
Emissor: entidade que emitiu o certificado.
Validade: data de emisso e expirao.
Titular: nome da pessoa, URL ou demais informaes que esto sendo
certificadas.
Chave pblica: informaes da chave pblica do titular.
Extenses: campo opcional para estender o certificado.
Assinatura: valor da assinatura digital feita pelo emissor.

71. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Vrus, worms e cavalos-de-troia so exemplos de software
mal-intencionados que tm o objetivo de, deliberadamente, prejudicar o
funcionamento do computador. O firewall um tipo de malware que ajuda a
proteger o computador contra cavalos-de-troia.


Prof
a
Comentrios
Os vrus, worms e cavalos-de-troia so exemplos de software
funcionamento do computador, e, consequentemente, o usurio!!
O cavalo de troia por exemplo "parece" ser inofensivo, quando na verdade no
!! um presente de grego (rs)!! Fica instalado no seu computador abrindo
portas para que a mquina seja acessada remotamente, pode funcionar como
um keylogger ao capturar as informaes digitadas no computador, etc,
portanto, a primeira parte da assertiva est correta.
A assertiva tornou-se falsa ao afirmar que o firewall um tipo de malware, um
absurdo! O malware (malicious software) um software destinado a se
infiltrar em um sistema de computador de forma ilcita, com o intuito de causar
algum dano ou roubo de informaes (confidenciais ou no), e no esse o
objetivo do firewall.

72. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.

Comentrios
Colocar um site fora da rede significa que ningum ter acesso via rede ao
site, nem mesmo as pessoas autorizadas. Alm disso, no se esquea dos
acessos feitos localmente, direto na mquina onde o site est hospedado!

73. (CESPE/2010/TRE-MT/Analista Judicirio - Tecnologia da
Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da
organizao. A proteo fornecida deve ser compatvel com os riscos
identificados, assegurando a preservao da confidencialidade da
informao.

Comentrios
No esquecer que alm da proteo lgica, deve existir a proteo fsica. De
nada adianta um sistema protegido dos acessos no autorizados via rede se
permitido o acesso fsico mquina. Um atacante pode incendiar, quebrar,
estragar, roubar e at invadir um sistema quando o mesmo no possui
controles fsicos.


Prof
a
Informao) Servios de no repudiao so tcnicas utilizadas para
detectar alteraes no autorizadas ou corrompimento dos contedos de
uma mensagem transmitida eletronicamente. Essas tcnicas, que tm como
base o uso de criptografia e assinatura digital, podem ajudar a estabelecer
provas para substanciar se determinado evento ou ao ocorreu.

Comentrios
No repdio ocorre quando no possvel ao emissor da mensagem negar a
autoria da mesma.

75. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall
em uma rede considerado uma defesa de permetro e consegue coibir
todo tipo de invaso em redes de computadores.

Comentrios
O firewall, como o nome sugere (traduzindo = parede de fogo) uma barreira
tecnolgica entre dois pontos de uma rede, em que normalmente o nico
ponto de acesso entre a rede interna e a Internet. O firewall dever permitir
somente a passagem de trfego autorizado. Alm disso, tem a funo de filtrar
todo o trfego de rede que passa por ele, dizendo o que permitido e o que
bloqueado ou rejeitado.
Pode ser comparado com uma sequncia de perguntas e respostas. Por
exemplo, o firewall faz uma pergunta ao pacote de rede, se a resposta for
correta ele deixa passar o trfego ou encaminha a requisio a outro
equipamento, se a resposta for errada ele no permite a passagem ou ento
rejeita o pacote. O firewall no consegue coibir todos os tipos de invaso.
Um firewall qualquer nunca vai proteger uma rede de seus usurios internos,
independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois
os usurios podem manipular os dados dentro das corporaes das formas
mais variadas possveis, como exemplo, se utilizando de um pen drive, para
roubar ou passar alguma informao para um terceiro ou at mesmo para uso
prprio.
Um firewall nunca ir proteger contra servios ou ameaas totalmente novas,
ou seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente
esse firewall vai proteger desse tipo de ataque, pois uma nova tcnica
existente no mercado e at o final de sua implementao, no se tinha
conhecimento sobre a mesma, o que acarreta na espera de uma nova verso
que supra essa necessidade.
Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de
dados como outros quaisquer. Para identificar um vrus necessria uma
anlise mais criteriosa, que onde o antivrus atua.

Prof
a

76. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.

Comentrios
Os firewalls so equipamentos tpicos do permetro de segurana de uma rede,
no entanto o IPS (Sistema de Preveno de Intruso) que faz a deteco de
ataques e intruses, e no o firewall!!
O firewall permite restringir o trfego de comunicao de dados entre a parte
da rede que est dentro ou antes do firewall, protegendo-a assim das
ameaas da rede de computadores que est fora ou depois do firewall. Esse
mecanismo de proteo geralmente utilizado para proteger uma rede menor
(como os computadores de uma empresa) de uma rede maior (como a
Internet).

77. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.

Comentrios
Uma VPN (Virtual Private Network Rede Privada Virtual) uma rede
privada (no de acesso pblico!) que usa a estrutura de uma rede pblica
(como por exemplo, a Internet) para transferir seus dados (os dados devem
estar criptografados para passarem despercebidos e inacessveis pela
Internet). As VPNs so muito utilizadas para interligar filiais de uma mesma
empresa, ou fornecedores com seus clientes (em negcios eletrnicos) atravs
da estrutura fsica de uma rede pblica.
O trfego de dados levado pela rede pblica utilizando protocolos no
necessariamente seguros. VPNs seguras usam protocolos de criptografia
por tunelamento que fornecem a confidencialidade (sigilo), autenticao e
integridade necessrias para garantir a privacidade das comunicaes
requeridas. Quando adequadamente implementados, estes protocolos podem
assegurar comunicaes seguras atravs de redes inseguras.

78. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICO-
ADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de
segurana estabelecidas.

Prof
a

Comentrios
A banca especificou corretamente o conceito para o termo firewall. Em outras
palavras, basicamente, o firewall um sistema para controlar o acesso s
redes de computadores, e foi desenvolvido para evitar acessos no autorizados
em uma rede local ou rede privada de uma corporao.
Um firewall deve ser instalado no ponto de conexo entre as redes, onde,
atravs de regras de segurana, controla o trfego que flui para dentro e para
fora da rede protegida.
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede.

79. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3)
Um dos mais conhecidos ataques a um computador conectado a uma rede
o de negao de servio (DoS denial of service), que ocorre quando um
determinado recurso torna-se indisponvel devido ao de um agente que
tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.

Comentrios
No ataque de Negao de Servio (Denial of Service - DoS) o atacante
utiliza um computador, a partir do qual ele envia vrios pacotes ou
requisies de servio de uma vez, para tirar de operao um servio ou
computador(es) conectado(s) Internet, causando prejuzos. Para isso, so
usadas tcnicas que podem:
gerar uma sobrecarga no processamento de um computador, de modo
que o verdadeiro usurio do equipamento no consiga utiliz-lo;
gerar um grande trfego de dados para uma rede, ocasionando a
indisponibilidade dela;
indisponibilizar servios importantes de um provedor, impossibilitando o
acesso de seus usurios etc.

Prof
a


80. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e
de software antivrus a nica forma eficiente atualmente de se
implementar os denominados filtros anti-spam.

Comentrios
Para se proteger dos spams temos que instalar um anti-spam, uma nova
medida de segurana que pode ser implementada independentemente do
antivrus e do firewall.
O uso de um firewall (filtro que controla as comunicaes que passam de uma
rede para outra e, em funo do resultado permite ou bloqueia seu passo),
software antivrus e filtros anti-spam so mecanismos de segurana
importantes.

81. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se
diferenciando, entre eles, pelo fato de que um atua em mensagens de e-
mail trocadas por servios de webmail e o outro, no.

Comentrios
O Phishing (ou Phishing scam) e o Pharming (ou DNS Poisoining) no so
pragas virtuais. Phishing e Pharming so dois tipos de golpes na Internet, e,
portanto, no so variaes de um cavalo de troia (trojan horse) que se trata
de um programa aparentemente inofensivo que entra em seu computador na
forma de carto virtual, lbum de fotos, protetor de tela, jogo etc, e que,

Prof
a
quando executado (com a sua autorizao!), parece lhe divertir, mas, por trs
abre portas de comunicao do seu computador para que ele possa ser
invadido.
Normalmente consiste em um nico arquivo que necessita ser explicitamente
executado. Para evitar a invaso, fechando as portas que o cavalo de troia
abre, necessrio ter, em seu sistema, um programa chamado firewall.

82. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse
sistema interprete incorretamente a URL (uniform resource locator) de
determinado stio, esse sistema pode estar sendo vtima de pharming.

Comentrios
O DNS (Domain Name System Sistema de Nome de Domnio) utilizado
para traduzir endereos de domnios da Internet, como
www.pontodosconcursos.com.br, em endereos IP, como 200.234.196.65.
Imagine se tivssemos que decorar todos os IPs dos endereos da Internet
que normalmente visitamos!!
O Pharming envolve algum tipo de redirecionamento da vtima para sites
fraudulentos, atravs de alteraes nos servios de resoluo de nomes (DNS).
Complementando, a tcnica de infectar o DNS para que ele lhe direcione
para um site fantasma que idntico ao original.

83. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de
destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.

Comentrios
Os hoaxes (boatos) so e-mails que possuem contedos alarmantes ou
falsos e que, geralmente, tm como remetente ou apontam como autora da
mensagem alguma instituio, empresa importante ou rgo governamental.
Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente,
possvel identificar em seu contedo mensagens absurdas e muitas vezes sem
sentido.
Normalmente, os boatos se propagam pela boa vontade e solidariedade de
quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:
confiam no remetente da mensagem; no verificam a procedncia da
mensagem; no checam a veracidade do contedo da mensagem.

Prof
a
Spam o envio em massa de mensagens de correio eletrnico (e-mails) NO
autorizadas pelo destinatrio.
Portanto, o hoax pode ser considerado um spam, quando for enviado em
massa para os destinatrios, de forma no-autorizada.

84. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus
de computador, com inteno maliciosa, que se instalam no computador
sem a autorizao do usurio, e enviam, de forma automtica e
imperceptvel, informaes do computador invadido.

Comentrios
Cookies no so vrus, e sim arquivos lcitos que permitem a identificao do
computador cliente no acesso a uma pgina. Podem ser utilizados para guardar
preferncias do usurio, bem como informaes tcnicas como o nome e a
verso do browser do usurio.

85. (FCC/TRE-CE/Tcnico Judicirio/Programao de
Sistemas/2012) Sobre segurana da informao, analise:
I. obtida a partir da implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas organizacionais e
funes de software e hardware.
II. A interconexo de redes pblicas e privadas e o compartilhamento de
recursos de informao aumentam a dificuldade de se controlar o acesso. A
tendncia da computao distribuda aumenta a eficcia da implementao de
um controle de acesso centralizado.
III. Os controles de segurana precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessrio, para
garantir que os objetivos do negcio e de segurana da organizao sejam
atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio.
IV. importante para os negcios, tanto do setor pblico como do setor
privado, e para proteger as infraestruturas crticas. Em ambos os setores, a
funo da segurana da informao viabilizar os negcios como o governo
eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os
riscos relevantes.

Est correto o que consta em
a) I, II, III e IV.
b) I, III e IV, apenas

Prof
a
c) I e IV, apenas.
d) III e IV, apenas.
e) I e II, apenas.

Comentrios
A nica assertiva indevida a II. A tendncia da computao distribuda
REDUZ a eficcia da implementao de um controle de acesso centralizado.
Gabarito: letra B.

86. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Em
relao segurana da informao, considere:
I. Capacidade do sistema de permitir que alguns usurios acessem
determinadas informaes, enquanto impede que outros, no autorizados,
sequer as consultem.
II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e
fora do controle do proprietrio da informao) por pessoa no autorizada.
III. O sistema deve ter condies de verificar a identidade dos usurios, e
este ter condies de analisar a identidade do sistema.
Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de
a) confidencialidade, integridade e autenticidade.
b) autenticidade, confidencialidade e irretratabilidade.
c) confidencialidade, confidencialidade e irretratabilidade.
d) autenticidade, confidencialidade e autenticidade.
e) integridade, confidencialidade e integridade.

Comentrios
Vamos caracterizao dos princpios destacados na questo:
Item I. Confidencialidade (sigilo): a garantia de que a informao no
ser conhecida por quem no deve. O acesso s informaes deve ser
limitado, ou seja, somente as pessoas explicitamente autorizadas podem
acess-las. Perda de confidencialidade significa perda de segredo. Se uma
informao for confidencial, ela ser secreta e dever ser guardada com
segurana, e no divulgada para pessoas no-autorizadas. Exemplo: o nmero
do seu carto de crdito s poder ser conhecido por voc e pela loja onde
usado. Se esse nmero for descoberto por algum mal-intencionado, o
prejuzo causado pela perda de confidencialidade poder ser elevado, j que
podero se fazer passar por voc para realizar compras pela Internet,
proporcionando-lhe prejuzos financeiros e uma grande dor de cabea!

Item II. Integridade: esse princpio destaca que a informao deve ser
mantida na condio em que foi liberada pelo seu proprietrio, garantindo a

Prof
a
sua proteo CONTRA MUDANAS INTENCIONAIS, INDEVIDAS OU
ACIDENTAIS. Em outras palavras, a garantia de que a informao que foi
armazenada a que ser recuperada!!! O fato de se ter a informao exposta,
com alteraes no aprovadas e fora do controle do proprietrio da informao
por pessoa no autorizada est relacionada a esse princpio.
Observe que a quebra de integridade pode ser considerada sob 2 aspectos:
1. alteraes nos elementos que suportam a informao - so feitas
alteraes na estrutura fsica e lgica em que uma informao est
armazenada. Por exemplo quando so alteradas as configuraes de
um sistema para ter acesso a informaes restritas;
2. alteraes do contedo dos documentos:
ex1.: imagine que algum invada o notebook que est sendo
utilizado para realizar a sua declarao do Imposto de Renda deste
ano, e, momentos antes de voc envi-la para a Receita Federal a
mesma alterada sem o seu consentimento! Neste caso, a
informao no ser transmitida da maneira adequada, o que
quebra o princpio da integridade;
ex2: alterao de sites por hackers (vide a figura seguinte, retirada
de http://www.g1.globo.com). Acesso em jun. 2011.

Figura. Site da Cia - agncia de inteligncia do governo Americano - que teve
seu contedo alterado indevidamente em jun. 2011.

Item III. Autenticidade: a capacidade de garantir a IDENTIDADE de uma
pessoa (fsica ou jurdica) que acessa as informaes do sistema ou de um
servidor (computador) com quem se estabelece uma transao (de
comunicao, como um e-mail, ou comercial, como uma venda on-line). por
meio da autenticao que se confirma a identidade da pessoa ou
entidade que presta ou acessa as informaes.
Gabarito: letra A.

87. (FCC/TRT-MS/Analista Sistemas/2006) Segundo a NBR ISO/IEC
17799:2001, o conceito de segurana da informao caracterizado pela
preservao de:

Prof
a
I.que a garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;
II.que a salvaguarda da exatido e completeza da informao e dos
mtodos de processamento;
III.que a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes, sempre que necessrio.
Preencham correta e respectivamente as lacunas I, II e III:
(a)disponibilidade integridade confidencialidade
(b)confidencialidade integridade disponibilidade
(c)integridade confidencialidade disponibilidade
(d)confidencialidade disponibilidade - integridade
(e) disponibilidade - confidencialidade integridade

Comentrios
Agora ficou bem fcil!! Mais uma vez, em outras palavras, para memorizar !
Item I. Est relacionando o princpio da confidencialidade (ou sigilo), que
ir prevenir o acesso no autorizado informao.
Item II. A integridade ir prevenir a alterao ou modificao no autorizada
(acidental ou no) da informao e de todo o ambiente que suporta a
informao. Observe que h vrias maneiras de se alterar uma mensagem:
modificar uma parte, inserir texto novo, reordenar a mensagem, retransmisso
de mensagem antiga etc.
A integridade pode ser comprometida de duas maneiras:
alterao maliciosa: quando um atacante altera a mensagem armazenada
ou em trnsito. No caso da alterao maliciosa, a maior preocupao, em
geral, detectar ataques ativos (alterao de dados) muito mais do que
corrigir a modificao. Quando um ataque detectado, deve-se parar o
ataque e depois retransmitir a mensagem;
alterao acidental: pode acontecer, por exemplo, por erros de
transmisso ou corrupo de dados armazenados. Em relao alterao
acidental, muitos protocolos de transmisso incluem cdigos de deteco
e/ou correo de erros, isto , parte da mensagem destina-se a detectar se
esta foi alterada (deteco de erro) e, em alguma medida, corrigir os erros.
Item III. Est relacionado disponibilidade, que permite acesso autorizado
informao sempre que necessrio!
Gabarito: letra B.

88. (FCC/TRT-24 Regio/Analista Judicirio/Tecnologia da
Informao/2011/Adaptada) Considere:
I. Garantia de que o acesso informao seja obtido somente por pessoas
autorizadas.

Prof
a
II. Salvaguarda da exatido e completeza da informao e dos mtodos de
processamento.
III. Garantia de que os usurios autorizados obtenham acesso informao e
aos ativos correspondentes sempre que necessrio.
Na ISO/IEC 17799(renomeada para 27002), I, II e III correspondem,
respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.

Comentrios
Bem, pessoal, se pararam para analisar, essa questo idntica de 2006.
Recapitulando temos:
Princpio bsico Conceito Objetivo
Confidencialidade
Propriedade de que a
informao no esteja
disponvel ou revelada
a indivduos,
entidades ou
processos no
autorizados.
Proteger contra o
acesso no autorizado,
mesmo para dados em
trnsito.
Integridade
Propriedade de
salvaguarda da
exatido e completeza
de ativos
Proteger informao
contra modificao sem
permisso;
garantir a fidedignidade
das informaes.
Disponibilidade
Propriedade de estar
acessvel e utilizvel
sob demanda por uma
entidade autorizada
Proteger contra
indisponibilidade dos
servios (ou
degradao);
garantir aos usurios
com autorizao, o
acesso aos dados.
Gabarito: letra C.

relao vulnerabilidades e ataques a sistemas computacionais, correto
afirmar:
a) Medidas de segurana podem ser definidas como aes que visam
eliminar riscos para evitar a concretizao de uma vulnerabilidade.

Prof
a
b) O vazamento de informao e falha de segurana em um software
constituem vulnerabilidades.
c) Roubo de informaes e perda de negcios constitui ameaas.
d) Medidas de segurana podem ser definidas como aes que visam
eliminar vulnerabilidades para evitar a concretizao de uma ameaa.
e) rea de armazenamento sem proteo e travamento automtico da
estao aps perodo de tempo sem uso constituem ameaa.

Comentrios
Item A. Item errado. Os ATIVOS so os elementos que sustentam a operao
do negcio e estes sempre traro consigo VULNERABILIDADES que, por sua
vez, submetem os ativos a AMEAAS. Vulnerabilidade uma evidncia ou
fragilidade que eleva o grau de exposio dos ativos que sustentam o negcio,
aumentando a probabilidade de sucesso pela investida de uma ameaa.
Nesse contexto, medidas de segurana podem ser definidas como aes que
visam eliminar vulnerabilidades para evitar a concretizao de uma ameaa.
Item B. Item errado. O vazamento de informao uma ameaa e a falha de
segurana em um software uma vulnerabilidade (fragilidade que poderia
ser explorada por uma ameaa para concretizar um ataque).
Item C. Item errado. So impactos sobre o negcio da organizao.

Ativos

Medidas de
Segurana
diminui
limitados

Vulnerabilidades
aumenta
sujeitos

Impactos no
negcio
causam
aumenta
Riscos

Confidencialidade
Integridade
Disponibilidade
perdas
aumenta

permitem
aumenta
Ameaas

protege
Ciclo da
segurana

Figura. Ciclo da Segurana da Informao. Fonte: (MOREIRA, 2001)

Item D. Item correto, conforme comentrio anterior.
Item E. Item errado. rea de armazenamento sem proteo uma
vulnerabilidade e travamento automtico da estao aps perodo de tempo
sem uso constitui uma medida de segurana.

Prof
a
Gabarito: letra D.

90. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Ao
elaborar e comunicar uma Poltica de Segurana da Informao - PSI
necessrio usar uma linguagem conhecida e meios adequados aos tipos de
mensagens e usurios; adotar estilo simples e claro; respeitar o interlocutor
sem superestim-lo nem subestim-lo; respeitar a cultura organizacional e
a do pas a que se destina. Nesse sentido, correto concluir que tal
afirmao
a) adere parcialmente s expectativas de uma PSI, pois a poltica deve ser
nica, e no deve levar em conta caractersticas humanas e legais do pas
no qual ela aplicada.
b) adere parcialmente s expectativas de uma PSI, tendo em vista que ela
deve ser construda considerando uma linguagem tecnolgica desvinculada
de adoo de estilos.
c) adere integralmente a formulao de uma PSI, pois ao elaborar uma
poltica necessrio que ela seja ajustada a cada instituio e deve ser
comunicada de maneira que todos entendam.
d) adere parcialmente s expectativas de uma PSI, porque os atributos do
interlocutor no devem constituir relevncia, j que todos os usurios,
presumivelmente, foram selecionados pela empresa para entenderem a
tecnologia usada.
e) no atende aos propsitos de uma PSI, pois linguagem, estilo e
interlocutor no podem sobrepor-se linguagem tecnolgica e preciso
levar em conta a cultura do pas no qual ela aplicada, a linguagem
tecnolgica utilizada e os nveis de sensibilidade de cada tipo de
interlocutor.

Comentrios
TCU (2007) destaca que a Poltica de Segurana de Informaes um
conjunto de princpios que norteiam a gesto de segurana de
informaes e que deve ser observado pelo corpo tcnico e gerencial e
pelos usurios internos e externos. As diretrizes estabelecidas nesta
poltica determinam as linhas mestras que devem ser seguidas pela
organizao para que sejam assegurados seus recursos computacionais e suas
informaes.
NBR ISO/IEC 27002:2005).
Gabarito: letra C.

91. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e
Tcnico Judicirio) Quando o cliente de um banco acessa sua conta

Prof
a
corrente atravs da internet, comum que tenha que digitar a senha em
um teclado virtual, cujas teclas mudam de lugar a cada caractere fornecido.
Esse procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.

Comentrios
J vimos a definio de todas as ameaas nesta
aula. O teclado virtual uma forma de
preveno contra os programas maliciosos
(malwares) keyloggers (capazes de capturar e
armazenar as teclas digitadas pelo usurio no teclado de um
computador) e screenloggers (que tentam coletar dados vindos da tela do
computador). Portanto, a letra E a resposta da questo!
Gabarito: letra E.

CONSIDERAES FINAIS
Por hoje ficamos por aqui.
Espero que esse material, feito com todo o carinho, ajude-o a entender melhor
o funcionamento das ameaas virtuais e principais medidas de segurana que
devem ser adotadas para se proteger dessas ameaas, e o ajude a acertar as
questes de segurana da sua prova!
Um grande abrao,
Prof
a
Patrcia Lima Quinto

BIBLIOGRAFIA
QUINTO, PATRCIA LIMA. Notas de aula, 2012/2013.
ABNT NBR ISO/IEC 27002:2005 Tecnologia da Informao Tcnicas de
Segurana Cdigo de Prtica para a Gesto de Segurana da Informao
(antiga 17799:2005).
CHESWICK, W. R., BELLOVIN, S. M. e RUBIN, A. D. Firewalls e Segurana
na Internet: repelindo o hacker ardiloso. Ed. Bookman, 2 Ed., 2005.
NAKAMURA, E. T., GEUS, P.L. Segurana de Redes em Ambientes
Cooperativos. Ed. Novatec, 2007.
GUIMARES, A. G., LINS, R. D. e OLIVEIRA, R. Segurana com Redes
Privadas Virtuais (VPNs). Ed. Brasport, Rio de Janeiro, 2006.

Prof
a
STALLINGS, W., Criptografia e Segurana de Redes: Princpios e
Prticas., 4. ed. So Paulo: Pearson Prentice-Hall, 2008.
SCHNEIER, B., Applied Cryptography: Protocols, Algorithms and Source
Code in C. 2. ed. John Wiley & Sons, 1996.
MENEZES, A.; VAN OORSCHOT, P. C.; VANSTONE, S. A., Handbook of
Applied Cryptography. CRC Press, 1996.


Prof
a
LISTA DE QUESTES COMENTADAS NESTA AULA
1. (Consulplan/2011/Mun. Londrina/PR - Analista Sistemas Servio
Anlise Informtica) So consideradas pragas digitais, EXCETO:
a) Cavalos-de-Troia.
b) MalwareBytes.
c) Worm.
d) KeyLoggers.
e) Hijackers.

2. (FUNRIO/2009/Analista de Seguro Social/Servio Social) Das
sentenas abaixo, relativas segurana de computadores e sistemas,
I. Um dos principais objetivos da criptografia impedir a invaso de redes.
II. O certificado digital um arquivo eletrnico que contm dados de uma
pessoa ou instituio, utilizados para comprovar sua identidade.
III. Um antivrus capaz de impedir que um hacker tente explorar alguma
vulnerabilidade existente em um computador.
IV. Vrus, keyloggers, worms e cavalos de troia so alguns dos exemplos de
Malware.
Esto corretas:
A) I, II e III, apenas.
B) I e IV, apenas.
C) II e IV, apenas.
D) III e IV, apenas.
E) I, II, III e IV.

3. (FUNRIO/2008/Prefeitura de Coronel Fabriciano) Um Firewall um
sistema de proteo que pode:
A) utilizar assinaturas de vrus para impedir que a mquina seja infectada.
B) bloquear possveis tentativas de invaso atravs de filtros de pacotes.
C) impedir a replicao de worms e conseqente ataque ao computador.
D) eliminar spywares que possam invadir e espionar a mquina.
E) neutralizar ataques aos computadores por spams.

4. (FUNRIO/2007/Prefeitura Municipal de Maric) Juvncio recebeu um
e-mail reportando que seu CPF estava cadastrado no Sistema de Proteo
ao Crdito. Mesmo no havendo possibilidade disso acontecer, pois paga
suas contas em dia ele, inadvertidamente, clicou no link que havia no corpo
do e-mail. O link remetia para o seguinte endereo:
http://www.vocecaiu.com/invadi.exe. A partir desse momento, o programa
executado (invadi.exe) se instalou na mquina e capturou sua senha de
banco. Esse um procedimento caracterstico de infeco por:
A) vrus de boot
B) vrus de macro
C) worm

Prof
a
D) trojan
E) spam

5. (CESPE/2007/TCU/Analista de Controle Externo - Tecnologia da
Informao/Segurana da Informao) Com relao segurana de
hosts e redes, julgue o item seguinte. [Algumas providncias que um
processo de hardening deve incluir so: limitar o software instalado quele
que se destina funo desejada do sistema; aplicar e manter os patches
atualizados, tanto de sistema operacional quanto de aplicaes; revisar e
modificar as permisses dos sistemas de arquivos, em especial no que diz
respeito a escrita e execuo; reforar a segurana do login, impondo uma
poltica de senhas fortes; habilitar apenas os servios necessrios].

6. Com relao Instruo Normativa GSI/PR n 1, de 13 de junho de 2008,
julgue o item seguinte: Para fins desta Instruo Normativa, entende-se por
Poltica de Segurana da Informao e Comunicaes o documento
aprovado pela autoridade responsvel pelo rgo ou entidade da
Administrao Pblica Federal, direta e indireta, com o objetivo de fornecer
diretrizes, critrios e suporte administrativo suficientes implementao da
segurana da informao e comunicaes.

7. (Elaborao Prpria) Os procedimentos previstos na ISO/IEC 27002
destinam-se a assegurar o direito fundamental de acesso informao e
devem ser executados em conformidade com os princpios bsicos da
administrao pblica.

Especialidade: TI Segurana da Informao) So exemplos de ativos
de uma organizao a informao e os processos de apoio, sistemas e
redes. Os requisitos de segurana, em uma organizao, so identificados
por meio de anlise sistemtica dos riscos de segurana.

9. (CESPE/2013/TRT-10RJ/Analista) As caractersticas bsicas da
segurana da informao confidencialidade, integridade e disponibilidade
no so atributos exclusivos dos sistemas computacionais.

10. (CESPE/2013/CNJ/Analista Judicirio - Anlise de Sistemas)
Acerca da gesto de segurana da informao, conforme as normas da
ABNT, julgue os itens a seguir.
Como determina a norma ABNT NBR ISO/IEC 27002, para manuteno e
reavaliao dos planos de continuidade do negcio, deve haver testes de
interrupo e recuperao dos servios, em que se identifiquem informaes
relevantes que precisam ser atualizadas. Entre essas informaes, por serem

Prof
a
desnecessrias, no constam nomes, endereos e telefones de participantes e
estratgias de negcio.
11. (CESPE/2013/TRE-MS/Analista Judicirio/Anlise de Sistemas)
Na gesto de incidentes de segurana da informao, de acordo com a
norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns
procedimentos sejam estabelecidos de acordo com o evento ocorrido.
Segundo essa norma, os eventos que demandam a criao de
procedimentos para o seu tratamento incluem a
a) permisso para que pessoas no autorizadas trafeguem em permetro
fsico.
b) negao de servio.
c) anlise de logs de auditoria.
d) identificao de nova vulnerabilidade no ambiente de tecnologia da
informao.
e) ocorrncia de defeito em um dos discos de uma estao de trabalho que
contenha dois discos rgidos redundantes.

12. (CESPE/2012/TCE-ES/Auditor de Controle Externo - Tecnologia
da Informao) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue
os itens a seguir, a respeito de gesto de segurana da informao.
Uma poltica de segurana da informao deve fornecer orientao e apoio da
direo para a segurana da informao, de acordo com os requisitos do
negcio e com as leis e regulamentaes relevantes. O documento da poltica
de segurana da informao necessita da aprovao da direo da organizao
e deve ser publicado e comunicado para todos os funcionrios e partes
externas relevantes, no devendo ser alterado a partir de ento.
13. (CESPE/2012/TCE-ES - Auditor de Controle Externo) Segundo as
normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de
gesto de segurana da informao.
A contratao de seguro para uma atividade/produto pode representar uma
das formas elementares de se transferirem riscos relacionados
atividade/produto assegurados.

Especialidade: TI Redes e Telecomunicaes) Com relao
segurana de redes, julgue o item seguinte. A poltica de segurana cumpre
trs principais funes: define o que e mostra por que se deve proteger;

Prof
a
atribui responsabilidades pela proteo; e serve de base para interpretar
situaes e resolver conflitos que venham a surgir no futuro.

A segurana da informao procura garantir a preservao da
confidencialidade, a integridade e a disponibilidade da informao.
Relativamente s normas ISO 27001, ISO 27002, ISO 27005 e ISO 15999,
julgue os itens seguintes.
Especialidade: TI Segurana da Informao) Um incidente de
segurana da informao refere-se a um ou mais riscos no desejados ou
esperados que possuem significativa probabilidade de comprometer os
ativos de informao e ameaam a segurana da informao.

de solues) Acerca das normas ABNT NBR ISO/IEC 27001:2006 e ABNT
NBR ISO/IEC 17799:2005, correto afirmar que ambas apresentam
orientaes para a seleo de controles de segurana e enunciam menos de
uma centena de controles.

de solues) A identificao de eventos que podem causar interrupes
aos processos de negcio e das probabilidades e impactos de tais
interrupes, associada s consequncias para a segurana de informao,
constitui atividade executada no mbito da gesto de continuidade de
negcios, embora se constitua, mais especificamente, atividade de anlise
de risco.

Especialidade: TI Segurana da Informao) Entre os ativos
associados a sistemas de informao em uma organizao, incluem-se as
bases de dados e arquivos, os aplicativos e os equipamentos de
comunicao (roteadores, secretrias eletrnicas etc.).

Especialidade: TI Segurana da Informao) Uma organizao deve
ser capaz de inventariar seus ativos, identificar seus respectivos valores e
importncias e indicar um proprietrio responsvel por eles. A informao
deve ser classificada em termos de sua utilidade, adequabilidade e nvel de
segurana.

Especialidade: TI Segurana da Informao) conveniente que, na
classificao das informaes e seu respectivo controle de proteo,
considerem-se as necessidades de compartilhamento ou restrio de
informaes. Ao se tornar pblica, uma informao frequentemente deixa
de ser sensvel ou crtica.


Prof
a
de solues) Testes de mesa, testes de recuperao em local alternativo e
ensaio geral so tcnicas que podem ser empregadas na gesto da
continuidade de negcios, conforme prescrio na norma ABNT NBR
ISO/IEC 17799:2005.

22. (FGV/2009/ICMS-RJ) No Brasil, a NBR ISO 17799 constitui um padro
de recomendaes para prticas na gesto de Segurana da Informao. De
acordo com o estabelecido nesse padro, trs termos assumem papel de
importncia capital: confidencialidade, integridade e disponibilidade.
Nesse contexto, a confidencialidade tem por objetivo:
(A) salvaguardar a exatido e a inteireza das informaes e mtodos de
processamento.
(B) salvaguardar os dados gravados no backup por meio de software que
utilize assinatura digital.
(C) permitir que os usurios tenham acesso aos arquivos de backup e aos
mtodos de criptografia empregados.
(D) permitir que os usurios autorizados tenham acesso s informaes e
aos ativos associados, quando necessrio.
(E) garantir que as informaes sejam acessveis apenas para aqueles que
estejam autorizados a acess-las.

23. (ESAF/2008/CGU/AFC/Infraestrutura e Suporte) Um plano de
contingncia no compreende
a) respostas imediatas a desastres.
b) identificao e compreenso do problema (desastre).
c) processo de restaurao.
d) conteno de danos e a eliminao das causas.
e) anlise crtica dos direitos de acesso dos usurios.

24. (ESAF/2005/AFRFB) Analise as seguintes afirmaes relacionadas
I. Um plano de contingncia consiste em procedimentos de recuperao
preestabelecidos, com a finalidade de minimizar o impacto sobre as
atividades da organizao no caso de ocorrncia de um dano ou desastre
que os procedimentos de segurana no consigam evitar.
II. Entende-se por Poltica de Segurana um conjunto de regras que pode
ser aplicado a qualquer empresa, que no necessite de processos de reviso
e que possa atuar de forma independente em qualquer setor desta
empresa.
III. Um Proxy Server um sistema que atua como intermedirio entre duas
pontas de uma conexo, evitando a comunicao direta entre elas.
IV. A segurana da informao de uma organizao deve ser de exclusiva
responsabilidade do setor de segurana, deve ter uma estrutura de
segurana esttica e, uma vez implementada, todas as informaes sero
consideradas seguras.

Indique a opo que contenha todas as afirmaes verdadeiras.
b) I e II

Prof
a
b) II e III
c) III e IV
d) II e IV
e) I e III

25. (ESAF/MPOG-Ministrio do Planejamento/Analista de
Planejamento e Oramento TI/Prova 3/Q. 38) Um dos objetivos da
Poltica de Segurana a
a) eliminao de ocorrncias.
b) reduo dos danos provocados por eventuais ocorrncias.
c) criao de procedimentos para sistematizar eventuais danos.
d) formalizao de procedimentos para eliminao de ameaas.
e) reduo dos custos com segurana.

(CESPE/2009/ANATEL/Analista Administrativo TI Ambiente
Operacional) Acerca dos procedimentos de segurana da informao relativos
ao gerenciamento da continuidade do negcio, julgue os itens que se seguem.

26. (CESPE/2009/ANATEL/Analista Administrativo TI Ambiente
Operacional) A estruturao de planos de contingncia requer que a
avaliao dos riscos e dos respectivos impactos, relativos infraestrutura de
TI, anteceda a identificao dos eventos em geral que possam causar
interrupo nos processos do negcio.

27. (CESPE/2008/TCU/Analista de Controle Externo-TI) Segundo a
norma 17799/2005, no caso de desenvolvimento de software por
mo-de-obra terceirizada, necessrio estabelecer controles adicionais para
testar e detectar, antes da instalao desse software, a presena de cdigo
troiano.

28. (CESPE/2008/TCU/Analista de Controle Externo-TI/Q. 184) As
ameaas e perturbaes da ordem pblica que podem, eventualmente,
afetar o funcionamento de uma organizao pblica federal, mesmo que
apenas indiretamente relacionadas aos sistemas de tecnologia da
informao e comunicao (TIC) dessas organizaes, devem ser
consideradas nas diretrizes de implementao de controle de proteo do
meio ambiente e contra ameaas externas, conforme previsto na norma
17799/2005.

29. (CESPE/2007/TCU/Analista de Controle Externo/Auditoria de TI)
A NBR 17799 prescreve explicitamente que as instalaes de
processamento da informao gerenciadas por uma organizao devem
estar fisicamente separadas daquelas que so gerenciadas por terceiros.
Esse controle est descrito no captulo 9 da referida NBR, juntamente com
outros relacionados a ameaas externas como exploses e perturbaes
sociais, e controle de acesso com mltiplos fatores de autenticao, como
senhas, smart cards e biometria.


Prof
a
30. (CESPE/2007/TCU/Analista de Controle Externo TI) A poltica
corporativa de segurana da informao dever ser elaborada somente aps
o estabelecimento das polticas de segurana no desenvolvimento de
software e de segurana em operaes de TI.

31. (CESPE/2007/TCU/Analista de Controle Externo TI) Todo evento
de segurana da informao identificado no mbito da organizao
corresponder a uma ou mais violaes da poltica de segurana da
informao da organizao.

32. (CESPE/2007/TCU/Analista de Controle Externo TI) A ISO
17799 define diretrizes para certificao de que uma organizao est em
conformidade prpria norma. Essa certificao conferida por meio de
uma auditoria de terceira parte, nos moldes da ISO 19011.

33. (CESPE/2007/TCU/Analista de Controle Externo TI) Conforme a
ISO 17799, obrigatrio o relatrio de incidentes de segurana ao ponto de
contato designado. Assim, um funcionrio de uma organizao que realiza
operaes de alto risco e identifica uma violao de acesso, porm
encontra-se sob coao, poder utilizar-se de um mtodo secreto para
indicar esse evento de segurana. Esse mtodo conhecido como alarme
de coao.

/CGU/Infraestrutura e Suporte) De acordo com a ISO/IEC 17799:2005,
a fim de evitar a interrupo de servios e das atividades do negcio e
proteger os processos crticos de desastres, em tempo hbil, recomenda-se
implantar
a) acordo de termos e condies de contratao de funcionrios.
b) poltica de uso de controles criptogrficos.
c) plano de continuidade do negcio.
d) acordo de confidencialidade.
e) poltica para a troca de informaes com partes externas.

/Infraestrutura e Suporte TI) A respeito do documento da Poltica de
Segurana da Informao de uma dada Organizao, incorreto afirmar
que
a) deve ser aprovado pela direo antes de ser publicado e divulgado.
b) deve ser analisado regularmente ou na ocorrncia de mudanas
significativas.
c) gestores devem garantir que os procedimentos de segurana so
executados em conformidade com tal documento.
d) deve incluir informaes quanto tecnologia a ser empregada para a
e) no caso de mudanas, deve-se assegurar a sua contnua pertinncia e
adequao.


Prof
a
36. (ESAF/2005/MPOG) O princpio do menor privilgio em Segurana da
Informao significa que
a) todos os usurios do sistema sero considerados convidados.
b) ser especificado o que proibido, todo o restante ser permitido.
c) qualquer objeto s pode ter permisses bsicas para executar as suas
tarefas, e nenhuma outra.
d) haver uma segurana mnima no sistema, mas que no ser possvel
garantir a segurana contra a exposio e os danos causados por ataques
especficos.
e) haver um ponto de estrangulamento onde tudo ser proibido,
dependendo apenas da profundidade de defesa do sistema.

37. (ESAF/2008/AFC/STN/TI/Infraestrutura) Em uma dada empresa,
a poltica de segurana pode ser definida e modificada por um conjunto
pequeno de funcionrios em funo de nveis de segurana. Este um
cenrio relacionado ao servio de segurana denominado
a) Confidencialidade.
b) Integridade.
c) Disponibilidade.
d) Controle de acesso.
e) Assinatura digital.

38. (ESAF/2008/PSS) Com relao s tcnicas de segurana da
informao, uma poltica de segurana deve conter elementos que dizem
respeito a tudo aquilo que essencial para combate s adversidades. Com
relao a esses elementos essenciais, a Vigilncia prega:
a) a criatividade quanto s definies da poltica e do plano de defesa
contra intruses.
b) o correto planejamento, pois a segurana deve fazer parte de um longo e
gradual processo dentro da organizao.
c) que todos os membros da organizao devem entender a importncia da
segurana, atuando como guardies da rede.
d) uma soluo tecnolgica adaptativa e flexvel, a fim de suprir as
necessidades estratgicas da organizao.
e) uma economia na aplicao de novas tecnologias, pois estas no so
vulnerveis a novos ataques.

39. (CESPE/2013/ESCRIVO DE POLCIA FEDERAL) Considere que o
usurio de um computador com sistema operacional Windows 7 tenha
permisso de administrador e deseje fazer o controle mais preciso da
segurana das conexes de rede estabelecidas no e com o seu computador.
Nessa situao, ele poder usar o modo de segurana avanado do firewall
do Windows para especificar precisamente quais aplicativos podem e no
podem fazer acesso rede, bem como quais servios residentes podem, ou
no, ser externamente acessados.

40. (CESGRANRIO/Petrobrs - Analista de Sistemas Pleno -
Especialidade - Infraestrutura /2006) Assinale a afirmao

Prof
a
INCORRETA sobre os firewalls e sistemas de deteco de intruso (IDS -
Intrusion Detection Systems).
a) Os IDS podem ser utilizados para detectar e bloquear tentativas feitas
por invasores para determinar as regras de filtragem de um firewall.
b) Os IDS podem monitorar em tempo real os servidores de uma rede e/ou
auditar os logs dos servidores procura de padres especficos de
comportamento.
c) Os IDS podem ser utilizados para detectar falhas de segurana em uma
rede ou computadores antes mesmo que um ataque ou falha ocorra.
d) Mesmo que os firewalls de uma rede estejam bem configurados, os
sistemas IDS continuam necessrios.
e) Um firewall bem configurado deve responder a mensagens ICMP Echo
Request.

41. (Cespe/Cmara dos Deputados/ Arquiteto e Engenheiros/2012)
Os worms, assim como os vrus, infectam computadores, mas,
diferentemente dos vrus, eles no precisam de um programa hospedeiro
para se propagar.

Entre os atributos de segurana da informao, incluem-se a
confidencialidade, a integridade, a disponibilidade e a autenticidade. A
integridade consiste na propriedade que limita o acesso informao
somente s pessoas ou entidades autorizadas pelo proprietrio da
informao.

43. (CESPE/2002/POLCIA FEDERAL/PERITO: REA 3 .
COMPUTAO) Sistemas criptogrficos so ditos simtricos ou de chave
secreta quando a chave utilizada para cifrar a mesma utilizada para
decifrar. Sistemas assimtricos ou de chave pblica utilizam chaves
distintas para cifrar e decifrar. Algoritmos simtricos so geralmente mais
eficientes computacionalmente que os assimtricos e por isso so preferidos
para cifrar grandes massas de dados ou para operaes online.

44. (CESPE/Agente Tcnico de Inteligncia rea de Tecnologia da
Informao ABIN/2010) A chave assimtrica composta por duas
chaves criptogrficas: uma privada e outra pblica.
45. (CESPE/Oficial Tcnico de Inteligncia-rea de Arquivologia -
ABIN/2010) A respeito de mecanismos de segurana da informao, e
considerando que uma mensagem tenha sido criptografada com a chave
pblica de determinado destino e enviada por meio de um canal de
comunicao, pode-se afirmar que a mensagem criptografada com a chave
pblica do destinatrio garante que somente quem gerou a informao
criptografada e o destinatrio sejam capazes de abri-la.


Prof
a
46. (CESPE/2010/Caixa/Tcnico Bancrio) O destinatrio de uma
mensagem assinada utiliza a chave pblica do remetente para garantir
que essa mensagem tenha sido enviada pelo prprio remetente.

47. (CESPE/2010/Caixa/Tcnico Bancrio) A assinatura digital facilita a
identificao de uma comunicao, pois baseia-se em criptografia simtrica
de uma nica chave.

48. (CESPE/TCU/Tcnico Federal de Controle Externo/2012) Por meio
de certificados digitais, possvel assinar digitalmente documentos a fim de
garantir o sigilo das informaes contidas em tais documentos.

49. (CESPE/Oficial Tcnico de Inteligncia/rea de Desenvolvimento
e Manuteno de Sistemas ABIN/2010) As assinaturas digitais atuam
sob o princpio bsico da confidencialidade da informao, uma vez que
conferem a autenticao da identidade do remetente de uma mensagem.
No entanto, tal soluo no garante a integridade da informao, que deve
ser conferida por meio de tecnologias adicionais de criptografia.

50. (CESPE/Tcnico Bancrio/Carreira administrativa- Caixa
Econmica Federal-NM1/2010) Para assinar uma mensagem digital, o
remetente usa uma chave privada.

Firewall o elemento de defesa mais externo na intranet de uma empresa e
sua principal funo impedir que usurios da intranet acessem qualquer
rede externa ligada Web.

52. (CESPE/MPE-PI/2012) A adoo de crachs para identificar as
pessoas e controlar seus acessos s dependncias de uma empresa um
mecanismo adequado para preservar a segurana da informao da
empresa.

53. (CESPE/Nvel Superior - PREVIC/2011) Por meio do uso de
certificados digitais, possvel garantir a integridade dos dados que
transitam pela Internet, pois esses certificados so uma forma confivel de
se conhecer a origem dos dados.
54. (CESPE/Analista de Saneamento/Analista de Tecnologia da
Informao Desenvolvimento - EMBASA/2010) O princpio da
autenticao em segurana diz que um usurio ou processo deve ser
corretamente identificado. Alm disso, todo processo ou usurio autntico
est automaticamente autorizado para uso dos sistemas.

55. (CESPE/Tcnico Administrativo - ANATEL/2009) Com o
desenvolvimento da Internet e a migrao de um grande nmero de
sistemas especializados de informao de grandes organizaes para

Prof
a
sistemas de propsito geral acessveis universalmente, surgiu a
preocupao com a segurana das informaes no ambiente da Internet.
Acerca da segurana e da tecnologia da informao, julgue o item a seguir.
-> A disponibilidade e a integridade so itens que caracterizam a segurana
da informao. A primeira representa a garantia de que usurios
autorizados tenham acesso a informaes e ativos associados quando
necessrio, e a segunda corresponde garantia de que sistemas de
informaes sejam acessveis apenas queles autorizados a acess-los.

56. (CESPE/2010/Caixa/Tcnico Bancrio/Administrativo) Uma
autoridade de registro emite o par de chaves do usurio que podem ser
utilizadas tanto para criptografia como para assinatura de mensagens
eletrnicas.

57. (CESPE/Tcnico Judicirio/Programao de Sistemas - TRE-
MT/2010) Disponibilidade a garantia de que o acesso informao seja
obtido apenas por pessoas autorizadas.

58. (CESPE/2010/ABIN/AGENTE TCNICO DE INTELIGNCIA - REA
DE TECNOLOGIA DA INFORMAO) Acerca de auditoria na rea de
tecnologia da informao (TI), julgue o item abaixo.

A auditoria realizada em TI engloba a verificao de operaes, processos,
sistemas e responsabilidades.

59. (CESPE/TRE-MT/Tcnico Judicirio - Programao de
Sistemas/2010) Confidencialidade a garantia de que os usurios
autorizados obtenham acesso informao e aos ativos correspondentes
sempre que necessrio.

60. (CESPE/UERN/Agente Tcnico Administrativo/2010) Cavalo de
troia um programa que se instala a partir de um arquivo aparentemente
inofensivo, sem conhecimento do usurio que o recebeu, e que pode
oferecer acesso de outros usurios mquina infectada.

61. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Vrus
um programa que pode se reproduzir anexando seu cdigo a um outro
programa, da mesma forma que os vrus biolgicos se reproduzem.

62. (CESPE/SEDU-ES/Agente de Suporte Educacional/2010) Cavalos-
de-troia, adwares e vermes so exemplos de pragas virtuais.

63. (CESPE/EMBASA/Analista de Saneamento - Analista de TI rea:
Desenvolvimento/2010) O princpio da autenticao em segurana diz
que um usurio ou processo deve ser corretamente identificado. Alm disso,

Prof
a
todo processo ou usurio autntico est automaticamente autorizado para
uso dos sistemas.

64. (CESPE/TRE-MT/Analista Judicirio - Tecnologia da
Informao/2010) Uma das vantagens da criptografia simtrica em
relao assimtrica a maior velocidade de cifragem ou decifragem das
mensagens. Embora os algoritmos de chave assimtrica sejam mais rpidos
que os de chave simtrica, uma das desvantagens desse tipo de criptografia
a exigncia de uma chave secreta compartilhada.

65. (CESPE/TRE-MT/Analista Judicirio/Tecnologia da
Informao/2010) Na criptografia assimtrica, cada parte da
comunicao possui um par de chaves. Uma chave utilizada para encriptar
e a outra para decriptar uma mensagem. A chave utilizada para encriptar a
mensagem privada e divulgada para o transmissor, enquanto a chave
usada para decriptar a mensagem pblica.

66. (CESPE/CAIXA-NM1/ Tcnico Bancrio/Carreira
administrativa/2010) Autoridade certificadora a denominao de
usurio que tem poderes de acesso s informaes contidas em uma
mensagem assinada, privada e certificada.

67. (CESPE/CAIXA-NM1/ TCNICO BANCRIO/CARREIRA
ADMINISTRATIVA/2010) A autoridade reguladora tem a funo de emitir
certificados digitais, funcionando como um cartrio da Internet.

ADMINISTRATIVA) O ITI (Instituto Nacional de Tecnologia da
Informao) tambm conhecido como Autoridade Certificadora Raiz
Brasileira.

ADMINISTRATIVA) PKI ou ICP o nome dado ao certificado que foi
emitido por uma autoridade certificadora.

ADMINISTRATIVA) Um certificado digital pessoal, intransfervel e no
possui data de validade.

71. (CESPE/2010/UERN/TCNICO DE NVEL SUPERIOR-Adaptada)
Vrus, worms e cavalos-de-troia so exemplos de software
funcionamento do computador. O firewall um tipo de malware que ajuda a
proteger o computador contra cavalos-de-troia.


Prof
a
72. (CESPE/2010/UERN/Agente Tcnico Administrativo) Uma das
formas de se garantir a segurana das informaes de um website no
coloc-lo em rede, o que elimina a possibilidade de acesso por pessoas
intrusas.

Informao) A segurana fsica objetiva impedir acesso no autorizado,
danos ou interferncia s instalaes fsicas e s informaes da
organizao. A proteo fornecida deve ser compatvel com os riscos
identificados, assegurando a preservao da confidencialidade da
informao.

Informao) Servios de no repudiao so tcnicas utilizadas para
detectar alteraes no autorizadas ou corrompimento dos contedos de
uma mensagem transmitida eletronicamente. Essas tcnicas, que tm como
base o uso de criptografia e assinatura digital, podem ajudar a estabelecer
provas para substanciar se determinado evento ou ao ocorreu.

75. (CESPE/2010/EMBASA/ANALISTA DE SANEAMENTO) Um firewall
em uma rede considerado uma defesa de permetro e consegue coibir
todo tipo de invaso em redes de computadores.

76. (CESPE/2009/TRE/PR/Tcnico Judicirio Especialidade:
Operao de computadores) Firewalls so equipamentos tpicos do
permetro de segurana de uma rede, sendo responsveis pela deteco e
conteno de ataques e intruses.

77. (CESPE/2008/TRT-1R/Analista Judicirio-Adaptada) Uma
caracterstica das redes do tipo VPN (virtual private networks) que elas
nunca devem usar criptografia, devido a requisitos de segurana e
confidencialidade.

78. (CESPE/2010/MINISTRIO DA SADE /ANALISTA TCNICO-
ADMINISTRATIVO) Firewall o mecanismo usado em redes de
computadores para controlar e autorizar o trfego de informaes, por meio
do uso de filtros que so configurados de acordo com as polticas de
segurana estabelecidas.

79. (CESPE/2004/POLCIA FEDERAL/REGIONAL/PERITO/REA 3)
Um dos mais conhecidos ataques a um computador conectado a uma rede
o de negao de servio (DoS denial of service), que ocorre quando um
determinado recurso torna-se indisponvel devido ao de um agente que
tem por finalidade, em muitos casos, diminuir a capacidade de
processamento ou de armazenagem de dados.


Prof
a
80. (CESPE/2008/PRF/Policial Rodovirio Federal) O uso de firewall e
de software antivrus a nica forma eficiente atualmente de se
implementar os denominados filtros anti-spam.

81. (CESPE/2008/PRF-POLICIAL RODOVIRIO FEDERAL-ADAPTADA)
Phishing e pharming so pragas virtuais variantes dos denominados
cavalos-de-tria, se diferenciando destes por precisarem de arquivos
especficos para se replicar e contaminar um computador e se
diferenciando, entre eles, pelo fato de que um atua em mensagens de e-
mail trocadas por servios de webmail e o outro, no.

82. (CESPE/2008/PRF/Policial Rodovirio Federal) Se o sistema de
nomes de domnio (DNS) de uma rede de computadores for corrompido por
meio de tcnica denominada DNS cache poisoning, fazendo que esse
sistema interprete incorretamente a URL (uniform resource locator) de
determinado stio, esse sistema pode estar sendo vtima de pharming.

83. (CESPE/2008/PRF/Policial Rodovirio Federal) Quando enviado na
forma de correio eletrnico para uma quantidade considervel de
destinatrios, um hoax pode ser considerado um tipo de spam, em que o
spammer cria e distribui histrias falsas, algumas delas denominadas lendas
urbanas.

84. (CESPE/2008/TRT-1R/Analista Judicirio) Os arquivos
denominados cookies, tambm conhecidos como cavalos de troia, so vrus
de computador, com inteno maliciosa, que se instalam no computador
sem a autorizao do usurio, e enviam, de forma automtica e
imperceptvel, informaes do computador invadido.

85. (FCC/TRE-CE/Tcnico Judicirio/Programao de
Sistemas/2012) Sobre segurana da informao, analise:
I. obtida a partir da implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas organizacionais e
funes de software e hardware.
II. A interconexo de redes pblicas e privadas e o compartilhamento de
recursos de informao aumentam a dificuldade de se controlar o acesso. A
tendncia da computao distribuda aumenta a eficcia da implementao de
um controle de acesso centralizado.
III. Os controles de segurana precisam ser estabelecidos, implementados,
monitorados, analisados criticamente e melhorados, onde necessrio, para
garantir que os objetivos do negcio e de segurana da organizao sejam
atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio.
IV. importante para os negcios, tanto do setor pblico como do setor
privado, e para proteger as infraestruturas crticas. Em ambos os setores, a
funo da segurana da informao viabilizar os negcios como o governo

Prof
a
eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os
riscos relevantes.

Est correto o que consta em
a) I, II, III e IV.
b) I, III e IV, apenas
c) I e IV, apenas.
d) III e IV, apenas.
e) I e II, apenas.

relao segurana da informao, considere:
I. Capacidade do sistema de permitir que alguns usurios acessem
determinadas informaes, enquanto impede que outros, no autorizados,
sequer as consultem.
II. Informao exposta, sob risco de manuseio (alteraes no aprovadas e
fora do controle do proprietrio da informao) por pessoa no autorizada.
III. O sistema deve ter condies de verificar a identidade dos usurios, e
este ter condies de analisar a identidade do sistema.
Os itens I, II e III, associam-se, direta e respectivamente, aos princpios de
a) confidencialidade, integridade e autenticidade.
b) autenticidade, confidencialidade e irretratabilidade.
c) confidencialidade, confidencialidade e irretratabilidade.
d) autenticidade, confidencialidade e autenticidade.
e) integridade, confidencialidade e integridade.

87. (FCC/TRT-MS/Analista Sistemas/2006) Segundo a NBR ISO/IEC
17799:2001, o conceito de segurana da informao caracterizado pela
preservao de:
I.que a garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso;
II.que a salvaguarda da exatido e completeza da informao e dos
mtodos de processamento;
III.que a garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes, sempre que necessrio.
Preencham correta e respectivamente as lacunas I, II e III:
(a)disponibilidade integridade confidencialidade
(b)confidencialidade integridade disponibilidade
(c)integridade confidencialidade disponibilidade

Prof
a
(d)confidencialidade disponibilidade - integridade
(e) disponibilidade - confidencialidade integridade

88. (FCC/TRT-24 Regio/Analista Judicirio/Tecnologia da
Informao/2011/Adaptada) Considere:
I. Garantia de que o acesso informao seja obtido somente por pessoas
autorizadas.
II. Salvaguarda da exatido e completeza da informao e dos mtodos de
processamento.
III. Garantia de que os usurios autorizados obtenham acesso informao e
aos ativos correspondentes sempre que necessrio.
Na ISO/IEC 17799(renomeada para 27002), I, II e III correspondem,
respectivamente, a
a) disponibilidade, integridade e confiabilidade.
b) confiabilidade, integridade e distributividade.
c) confidencialidade, integridade e disponibilidade.
d) confidencialidade, confiabilidade e disponibilidade.
e) integridade, confiabilidade e disponibilidade.

relao vulnerabilidades e ataques a sistemas computacionais, correto
afirmar:
a) Medidas de segurana podem ser definidas como aes que visam
eliminar riscos para evitar a concretizao de uma vulnerabilidade.
b) O vazamento de informao e falha de segurana em um software
constituem vulnerabilidades.
c) Roubo de informaes e perda de negcios constitui ameaas.
d) Medidas de segurana podem ser definidas como aes que visam
eliminar vulnerabilidades para evitar a concretizao de uma ameaa.
e) rea de armazenamento sem proteo e travamento automtico da
estao aps perodo de tempo sem uso constituem ameaa.

90. (FCC/TRE-CE/Analista Judicirio/Anlise de Sistemas/2012) Ao
elaborar e comunicar uma Poltica de Segurana da Informao - PSI
necessrio usar uma linguagem conhecida e meios adequados aos tipos de
mensagens e usurios; adotar estilo simples e claro; respeitar o interlocutor
sem superestim-lo nem subestim-lo; respeitar a cultura organizacional e
a do pas a que se destina. Nesse sentido, correto concluir que tal
afirmao

Prof
a
a) adere parcialmente s expectativas de uma PSI, pois a poltica deve ser
nica, e no deve levar em conta caractersticas humanas e legais do pas
no qual ela aplicada.
b) adere parcialmente s expectativas de uma PSI, tendo em vista que ela
deve ser construda considerando uma linguagem tecnolgica desvinculada
de adoo de estilos.
c) adere integralmente a formulao de uma PSI, pois ao elaborar uma
poltica necessrio que ela seja ajustada a cada instituio e deve ser
comunicada de maneira que todos entendam.
d) adere parcialmente s expectativas de uma PSI, porque os atributos do
interlocutor no devem constituir relevncia, j que todos os usurios,
presumivelmente, foram selecionados pela empresa para entenderem a
tecnologia usada.
e) no atende aos propsitos de uma PSI, pois linguagem, estilo e
interlocutor no podem sobrepor-se linguagem tecnolgica e preciso
levar em conta a cultura do pas no qual ela aplicada, a linguagem
tecnolgica utilizada e os nveis de sensibilidade de cada tipo de
interlocutor.

91. (FCC/2012/TRT-11.Regio/Provas de Analista Judicirio e
Tcnico Judicirio) Quando o cliente de um banco acessa sua conta
corrente atravs da internet, comum que tenha que digitar a senha em
um teclado virtual, cujas teclas mudam de lugar a cada caractere fornecido.
Esse procedimento de segurana visa evitar ataques de
(A) spywares e adwares.
(B) keyloggers e adwares.
(C) screenloggers e adwares.
(D) phishing e pharming.
(E) keyloggers e screenloggers.
GABARITO
1. Letra B.
2. Letra C.
3. Letra B.
4. Letra D.
5. Item correto.
6. Item correto.
7. Item errado.
8. Item correto.
9. Item correto.
10. Item errado.
11. Letra B.
12. Item errado.
13. Item correto.
14. Item correto.
15. Item errado.
16. Item errado.
17. Item errado.
18. Item errado.
19. Item errado.
20. Item correto.

Prof
a
21. Item correto.
22. Letra E.
23. Letra E.
24. Letra E.
25. Letra B.
26. Item errado.
27. Item correto.
28. Item correto.
29. Item errado.
30. Item errado.
31. Item errado.
32. Item errado.
33. Item errado.
34. Letra C.
35. Letra D.
36. Letra C.
37. Letra D.
38. Letra C.
39. Item correto.
40. Letra E.
41. Item correto.
42. Item errado.
43. Item correto.
44. Item correto.
45. Item errado.
46. Item correto.
47. Item errado.
48. Item errado.
49. Item errado.
50. Item correto.
51. Item errado.
52. Item correto.
53. Item errado.
54. Item errado.
55. Item errado.
56. Item errado.
57. Item errado.
58. Item correto.
59. Item errado.
60. Item correto.
61. Item correto.
62. Item correto.
63. Item errado.
64. Item errado.
65. Item errado.
66. Item errado.
67. Item errado.
68. Item correto.
69. Item errado.
70. Item errado.
71. Item errado.
72. Item errado.
73. Item correto.
74. Item errado.
75. Item errado.
76. Item errado.
77. Item errado.
78. Item correto.
79. Item correto.
80. Item errado.
81. Item errado.
82. Item correto.
83. Item correto.
84. Item errado.
85. Letra B.
86. Letra A.
87. Letra B.
88. Letra B.
89. Letra D.
90. Letra C.

Prof
a
91. Letra E.

ACOMPANHE A EVOLUO DO SEU APROVEITAMENTO
Data N
questes
Acertos %
acerto
Data N
questes
Acertos %
acerto
91 91
Data N
questes
Acertos %
acerto
Data N
questes
Acertos %
acerto
91 91
Data N
questes
Acertos %
acerto
Data N
questes
Acertos %
acerto
91 91

Aula7 TI EXERC INSS 62355 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula7 TI EXERC INSS 62355 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

A l e xs a ndr o A l ve s V a s c o nc e 02924580617

Você também pode gostar