Escolar Documentos
Profissional Documentos
Cultura Documentos
SÓCRATES FILHO –
http://socratesfilho.wordpress.com
86) O gerenciamento dos riscos envolve atividades que procuram impedir um ataque
antes que ele ocorra e(ou) que reduzam os efeitos de uma ameaça.
R: Certo. Esse é o espírito do que preconiza a 27001.
87) Tomar as ações corretivas e preventivas para alcançar a melhoria contínua, com
base nos resultados da auditoria interna do SGSI, na revisão gerencial ou em outra
informação pertinente, faz parte da fase do planejamento do SGSI.
R: Errado. A tomada de ações corretivas e preventivas são parte da fase “manutenção
e melhoria do SGSI” (Act).
SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com
R: Certo. Apesar de não ser comum em TI, a destruição da mensagem para evitar que
o segredo seja revelado é algo que pode ser utilizado, principalmente em informações
muito sensíveis, que envolvem segurança nacional, por exemplo.
A figura acima ilustra o esquema geral para a criptografia DES (data encription
standard), projetado para permitir que a decodificação seja feita com a mesma chave
da codificação.
Considerando essa figura, julgue os itens seguintes.
90) O DES é uma cifragem de bloco que utiliza uma chave de 56 bits para criar uma
tabela de chaves. Ao utilizar tal tabela, o DES realiza manipulações de bits sobre o
texto simples e, para decriptar o texto cifrado, simplesmente reverte tudo.
R: Certo. Quando há a decifração ele faz todos os passos da cifração só que na ordem
inversa.
91) Criptoanálise diferencial e linear são tipos de ataques, porém, não podem ser
utilizados no DES com 16 etapas.
SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com
92) A figura a seguir mostra o uso da criptografia de chave pública para oferecer
autenticação.
93) A figura a seguir ilustra o uso da criptografia de chave pública para garantir a
confidencialidade das informações.
R: O gabarito está errado, mas deveria ser correto, pois a figura ilustra o processo de
confidencialidade das informações. Essa questão cabe recurso.
SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com
94) Os gastos com os controles não necessitam ser balanceados de acordo com o
negócio.
R: Errado. De acordo com a ISO 27002, sempre é necessário fazer uma avaliação dos
controles de acordo com a avaliação de riscos que o negócio sofre, para que os custos
dos controles não sejam maiores que os seus benefícios.
95) Convém que a análise e avaliação de riscos seja repetida periodicamente para
contemplar quaisquer mudanças que possam influenciar os resultados desse
procedimento.
R: Certo. A análise/avaliação de riscos deve ser repetida periodicamente, já que as
ameaças e os riscos do negócio costumam ser variáveis com o passar do tempo.
90) Cópias de segurança devem ser testadas periodicamente para verificar o estado
do seu meio de suporte e devem ser guardadas em local distinto das instalações onde
se encontram os dados nelas gravados.
R: Certo. Isso é expressamente recomendado na ISO 27002.
SEGURANÇA DA INFORMAÇÃO – PROF. SÓCRATES FILHO –
http://socratesfilho.wordpress.com
R: O gabarito está certo, mas a questão está muito genérica e cabe recurso, já que na
criptografia assimétrica, apenas a chave privada é secreta, podendo a chave pública
ser divulgada.
97) A técnica S-box realiza uma substituição no nível de bits e inclui três componentes:
um codificador, um decodificador e, internamente, uma implementação da P-box. A P-
box permuta a saída do decodificador e o codificador converte a saída da P-box de
volta para código binário cifrado, com a mesma quantidade de bits encontrada na
entrada do decodificador.
R: Certo. Essa questão foi muito específica, e o CESPE apelou.