SóProvas

Questões de Controles de segurança

ID
10570
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

É crescente o número de incidentes de segurança causados por vírus de computador e suas variações. Com isso, as organizações estão enfrentando o problema com o rigor e cuidados merecidos. Nesse contexto, é correto afirmar que

Alternativas
Comentários
  • * ) cavalos de tróia são variações de vírus que se propagam e possuem um mecanismo de ativação (evento ou data) e uma missão.Cavalo de troia não é vírus. * b) vírus polimórfi cos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execução da atividade não-autorizada, utilizando, muitas vezes, criptografi a para não serem detectados por anti-vírus.Eles se escondem dos rastreadores. Não suprimem mensagens de erros. * c) os vírus de macro utilizam arquivos executáveis como hospedeiros, inserindo macros com as mesmas funções de um vírus em tais arquivos.Virus de macro não insere macro. Ele se instala em uma macro. * d) softwares anti-vírus controlam a integridade dos sistemas e compreendem três etapas: prevenção, detecção e reação, nesta ordem. * e) vírus geram cópias de simesmo a fim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memória ou espaço em disco, eventualmente."...geram cópias de si mesmo..." Conceito de worm.
  • * ) cavalos de tróia são variações de vírus que se propagam e possuem um mecanismo de ativação (evento ou data) e uma missão.Cavalo de troia não é vírus. * b) vírus polimórfi cos suprimem as mensagens de erro que normalmente aparecem nas tentativas de execução da atividade não-autorizada, utilizando, muitas vezes, criptografi a para não serem detectados por anti-vírus.Eles se escondem dos rastreadores. Não suprimem mensagens de erros. * c) os vírus de macro utilizam arquivos executáveis como hospedeiros, inserindo macros com as mesmas funções de um vírus em tais arquivos.Virus de macro não insere macro. Ele se instala em uma macro. * d) softwares anti-vírus controlam a integridade dos sistemas e compreendem três etapas: prevenção, detecção e reação, nesta ordem. * e) vírus geram cópias de simesmo a fim de sobrecarregarem um sistema, podendo consumir toda a capacidade do processador, memória ou espaço em disco, eventualmente."...geram cópias de si mesmo..." Conceito de worm.
  • A)"Trojan horse (Cavalo de tróia): é um programa aparentemente inofensivoque entra em seu computador na forma de cartão virtual, álbum de fotos,protetor de tela, jogo, etc, e que, quando executado (com a sua autorização!),parece lhe divertir, mas, por trás abre portas de comunicação do seu computador para que ele possa ser invadido. Por definição, o cavalo de tróia distingue-se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente."B)"Vírus polimórficos: alteram seu formato (“mudam de forma”) constantemente. A cada nova infecção, esses vírus geram uma nova seqüência de bytes em seu código, para que o antivírus se confunda na hora de executar a varredura e não reconheça o invasor;"C)"Vírus de macro: infectam os arquivos dos programas Microsoft Office(Word, Excel, PowerPoint e Access). Esses vírus são normalmente criados com a linguagem de programação VBA (Visual Basic para Aplicações) e afetam apenas os programas que usam essa linguagem (o Office, por exemplo). Os vírus de macro vinculam suas macros a modelos de documentos (templates) e/ou a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instruções nele contidas, as primeiras instruções executadas serão as do vírus. São parecidos com outros vírus em vários aspectos: são códigos escritos para que, sob certas condições, se “reproduza”, fazendo uma cópia de si mesmo."D)"Os antivírus são programas de proteção contra vírus de computador bastanteeficazes, protegendo o computador contra vírus, cavalos de tróia e uma ampla gama de softwares classificados como malware. Como exemplos cita-se McAfee, Security Center Antivírus, Panda Antivírus, Norton Antivírus, Avira Antivir Personal,AVG, etc."E)"Vírus: são pequenos códigos de programação maliciosos que se “agregam” a arquivos e são transmitidos com eles. Quando o arquivo é aberto na memória RAM, o vírus também é, e, a partir daí se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador."
  • Corrigindo o colega: WORM NÃO gera cópia de si mesmo!!!!
  • Worm é um programa capaz de se propagar pela rede. Não embute cópias de si mesmo em outros programas e arquivos. Ele embute cópias de si mesmo de computador para computador para consumir recursos de rede.

    abs

  • Códigos maliciosos (malware) são programas especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador. 

    Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. 

    Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador.

    Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores.

    https://cartilha.cert.br/malware/

ID
10606
Banca
ESAF
Órgão
CGU
Ano
2006
Provas
Disciplina
Segurança da Informação
Assuntos

Os controles de segurança de dados em sistemas de informação estão relacionados principalmente à proteção da informação quanto a destruição, sabotagem, roubo e acidentes. Quanto à propriedade desses controles é correto afirmar que a disponibilidade visa

Alternativas
Comentários
  • Em segurança da informação:
    (Martins Filho, Manuel. Informática-ESAF, 2ªed.)

    a)Disponibilidade:assegura que os usuários autorizados tenham acesso a informações e a recursos associados quando requeridos;

    b)confidecialidade: assegura que a informação só será acessível por pesssoas explicitamente autorizadas;

    c)integridade: assegua que a informação nao foi alterada durante seu processo de transporte;

    d)autenticidade: permite verificar a indentidade de uma pessoa, a origem da informação;

    e)não repúdio: gera impossibilidade de negar o envio ou recepção de uma informação;

    f)privacidade: permite a realização de atividades vistas, lidas ou alteradas apenas pelo seu dono.

    g)auditoria: é apossibilidade de rastrear o histórico de eventos para determinar quando e onde ocorreu a violação de segurança.

  • disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

    Resposta: "D"

    Fonte: NBR17799

     

ID
29131
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as seguintes recomendações sobre o comportamento que o usuário deve ter para aumentar a sua segurança e proteger seus dados:

I - manter Java e ActiveX sempre ativados;
II - manter o navegador sempre atualizado;
III - só habilitar javascript ao acessar sites confiáveis.

Está(ão) correta(s) a(s) recomendação(ões)

Alternativas
Comentários
  • I- Falsa. A ativação do Java e do Activex pode facilitar a ação de um programa malicioso e capturar informações pessoais;

    II- Verdadeiro. Manter um progrma atualizado é mais do que necessário. O INTERNET EXPLORER tem corrigido muitos defeitos em sua programação. Outro navegador importante é o FIREFOX. Só por curiosidade o primeiro navegador foi o MOSAIC pai do NETSCAPE;

    III- Verdadeiro. como falei anteriormente a habilitação do Javascript pode comprometer a segurança do sistema.
ID
48883
Banca
CESGRANRIO
Órgão
ANP
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Para executar tarefas comuns, que não exijam privilégios de administrador, é uma boa prática de segurança não utilizar um usuário que possua tais privilégios, uma vez que

Alternativas
Comentários
  • a) cavalos de tróia só atacam máquinas autenticadas com administrador do sistema. ERRADO - Podem atacar qualquer máquina,não importando o usuário. b) um código malicioso pode ganhar os privilégios do usuário autenticado. CERTO - Pode sim. c) programas antivírus só podem ser atualizados por usuários sem privilégios de administrador. ERRADO - Tanto os administradores como os usuários podem atualizar programas anti-virus. d) usuários sem privilégio de administrador são imunes a código malicioso. ERRADO - Ninguém é imune a códigos maliciosos. e) usuários sem privilégios de administrador, apenas, possuem permissão para executar o navegador html. ERRADO - Nem sempre.
  • Tentar ganhar os privilégios do usuário autenticado é um dos primeiros passos de um código malicioso. Se este for administrador do sistema, os danos serão bem maiores. Por isso a restrição de privilégios é importante.
ID
51289
Banca
CESGRANRIO
Órgão
TJ-RO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

O CAPTCHA, muito utilizado em aplicações via Internet, tem a finalidade de

Alternativas
Comentários
  • CAPTCHA (acrónimo de "Completely Automated Public Turing test to tell Computers and Humans Apart") é um teste de autentificação do tipo pergunta-resposta usado na internet para distinguir utilizadores humanos de máquinas.Os sítios web que aceitam publicar as contribuções dos usuários como este wiki sofrem, com frequencia, abuso por parte de spammers que usam ferramentas que automatizam a inclusão de lixo na forma de ligações externas de propaganda numa quantidade grande de páginas em pouco tempo.Em ocasiões, em particular quando um utilizador anônimo edita a wikipédia, o wiki pode mostrar uma conta aritmética a ser resolvida pelo editor. Como esta tarefa é difícil de automatizar, permite distinguir entre pessoas e robots, e dificulta os ataques automatizados dos spammers.Infelizmente, isso pode causar transtorno a usuários com dificuldades de visão, ou os que utilizam navegadores de texto ou navegadores baseados em sistemas de voz. Por enquanto, não temos temos uma opção alternativa de áudio.Fonte:http://pt.wikipedia.org/wiki/Especial:Captcha
  • Captcha, acrônimo de Completely Automated Public Turing Test to tell Computers and Humans Apart (Teste de Turing público completamente automatizado para distinguir computadores de seres humanos). Eles também são conhecidos como um tipo de prova interativa humana (Human Interaction Proof - HIP). Você provavelmente já viu montes de testes Captcha em sites na Internet. O mais comum é uma imagem com várias letras distorcidas. Seu trabalho é digitar a série correta de letras em um formulário. Se as letras baterem com aquelas da imagem distorcidas, você passa no teste.
ID
60175
Banca
CESPE / CEBRASPE
Órgão
INSS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da comunicação institucional e da segurança da
informação, julgue os itens que se seguem.

Os controles lógicos são mecanismos de segurança da informação que buscam limitar o contato ou acesso direto à informação ou à infra-estrutura que a contém.

Alternativas
Comentários
  • O suporte para as recomendações de segurança pode ser encontrado em:CONTROLES FÍSICOS: são barreiras que LIMITAM O CONTATO OU ACESSO DIRETO a informação ou a infra-estrutura (que garante a existência da informação) que a suporta.Existem mecanismos de segurança que apóiam os controles físicos: Portas / trancas / paredes / blindagem / guardas / etc .CONTROLE LÓGICO: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada.:)
  • Ótimo o comentário anterior,apenas complementando...os controles lógicos limitam o acesso INDIRETAMENTE a informação.
  • Os controles lógicos limitam o acesso à informação (os dados) e não à intraestrutura (exemplo do próprio computador) que a contém.

    Espero ter ajudado.
  • Os controles lógicos são mecanismos de segurança da informação (correto)
    que buscam limitar o contato ou acesso direto à informação (correto)
    ou o contato ou acesso direto à infra-estrutura que contém a informação. (errado) Isso é controle físico
ID
60184
Banca
CESPE / CEBRASPE
Órgão
INSS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da comunicação institucional e da segurança da
informação, julgue os itens que se seguem.

O Honeypot é um tipo de software cuja função é detectar ou impedir a ação de agente externo, estranho ao sistema, atraindo-o para outra parte do sistema aparentemente vulnerável.

Alternativas
Comentários
  • Honeypot = Pote de MelFerramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Em geral é um elemento atraente para o invasor, ou melhor, uma iguaria para um hacker.

  • Justificativa da Banca: apesar do conceito de Honeypot também estar vinculado ao software que direciona para um
    computador colocado na rede, o item pode suscitar, para alguns candidatos, uma idéia equivocada, excluindo o
    conceito da máquina colocada na rede para “atrair” os hackers. Dessa forma, opta-se pela anulação do item.

ID
95140
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2004
Provas
Disciplina
Segurança da Informação
Assuntos

Na ausência temporária do operador, o acesso ao computador por pessoa não autorizada pode ser evitado, de forma ideal, com a utilização de

Alternativas
Comentários
  • Pessoal fiquei com dúvida nessa, pois se a proteção de tela demorar a entrar ou seja, for configurada num tempo muito grande, o acesso ao computador se dará sem maiores problemas, ou não ?

  • O tempo para que a tela de proteção entre não pode ser muito grande, pois assim uma pessoa não autorizada pode obter o acesso neste tempo.  A situação ideal seria que a pessoa autorizada ao se afastar do pc coloque a tela de proteção do windows e não espere que entre automaticamente.  A entrada da tela de proteção automática é bom nos casos em que a pessoa esqueceu.

  • Na verdade o que ele chama de tela de proteção é o que em locais fazem uso das políticas de segurança da informação chamam de bloquqar o computador ao sde afastar.

    Eu tarabalhei em uma empresa, na época usávamos Windows 2000, e se a gente se afastasse e não bloqueasse a máquina e o diretor estivesse por perto ele mudava a senha e a gente tinha de ir lá para ele dizer qual era e lavávamos uma bronca.

    Em pouco tempo virou hábito e ninguém se afastava mais sem bloquear.

    No Windows o atalho é: Janela + L (L de Lock)
    No Linux (Ubuntu) é : CTRL + ALT + L

    Tenho o hábito até hoje.

    Abraços.
  • Questão Hororosa.
    O problema desta questão é que no enunciado não se faz referencia ao WIndows, o termo usado é computador, que pelo jeito esta sendo usado como sinonimo de Windows.
    Eu entrava com recurso.
  • Júlio,

    A pela questão não dá para tomar computador como sinônimo de Windows (mesmo a questão sendo de 2004 em que nos órgaos públicos talvez ainda não se usassem outros sistemas como Linux, por exemplo)

    Mas, pelo que ele fala na questão, o que ele queria saber é (num ausência TEMPORÁRIA) do operador do computador, qual a opção que impediria o acesso de outras pessoas ao computador.

    Como falado ali pelo Carlos Markennedy, a proteção de Tela COM SENHA, bloqueia o computador. Pode-se bloquear diretamente, sem esperar a proteção através dos atalhos: Janelinha do Windows + L (Windows) ou CTRL + ALT + L no Linux (Ubuntu).

    Bons estudos!!
ID
101947
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a segurança de hosts e redes, julgue os itens
seguintes.

Algumas providências que um processo de hardening deve incluir são: limitar o software instalado àquele que se destina à função desejada do sistema; aplicar e manter os patches atualizados, tanto de sistema operacional quanto de aplicações; revisar e modificar as permissões dos sistemas de arquivos, em especial no que diz respeito a escrita e execução; reforçar a segurança do login, impondo uma política de senhas fortes; habilitar apenas os serviços necessários.

Alternativas
Comentários
  • Eis a correta definição de hardening.
  • É exatamente o conceito que consta em:http://pt.wikipedia.org/wiki/Hardening
  • É difícil saber quem copiou quem. A Wikipédia brasileira traz quase que o mesmo texto desta questão, sem citar nenhuma fonte confiável. O mais provável é que o autor do texto da Wikipédia tenha copiado exatamente o que diz a questão do CESPE.

  • Galera encontrei um excelente artigo sobre hardening da InfraMagazine. (Acesso em 03/06/2014).Segue abaixo. =]

    http://www.devmedia.com.br/websys.5/webreader.asp?cat=62&artigo=3403&revista=inframagazine_1#a-3403 

  • Perfeita a questão, exatamente a definição de hardening.

  • Engraçado que quando o pessoal encontra uma questão igual a uma da Wikipédia, afirma logo que a banca copiou da Wikipedia. Mas não esqueçam que muito conteúdo da Wikipédia é copiado também de livros.

  • Boas medidas preventivas. Isto é hardening.

    Item correto.

  • São medidas que fazem parte das recomendações para hardening de sistemas: desabilitação de serviços desnecessários ou sem uso; a minimização de privilégios de escrita, modificação e execução; e a configuração de execução em jail ou sandbox, sem privilégios administrativos.

ID
148489
Banca
FCC
Órgão
MPU
Ano
2007
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre as maneiras de proteger um computador de vírus, analise:

I. Desabilitar a auto-execução de arquivos anexados às mensagens no programa leitor de e-mails.
II. Executar ou abrir arquivos recebidos por e-mail somente de pessoas conhecidas.
III. Privilegiar o uso de documentos nos formatos RTF, PDF ou PostScript.

Está correto o que consta em

Alternativas
Comentários
  • A II está incorreta pois mesmo e-mails de pessoas conhecidas podem conter vírus e outras pragas, caso o computador delas tenha sido infectado.
  • O que eu achei estranho na afirmativa II é que ela não diz para você abrir todos os arquivos recebidos por pessoas conhecidas, diz apenas para não abrir arquivos que venham de pessoas estranhas.

    Sendo 'a' um arquivo e 'p' uma pessoa:

    ∀a∀p Conhecido(p) ⇒ Abra(a)

    é diferente do que está na afirmativa II:

    ∀a∀p ~Conhecido(p) ⇒ ~Abra(a)

    Portanto, teoricamente, pode haver casos em que a pessoa é conhecida e mesmo assim, não se deve abrir os arquivos. Mas nunca haverá um caso em que se abrirá um arquivo de uma pessoa desconhecida.

  • Complementando o raciocínio dos colegas...

    A alternativa II está errada, devido à possibilidade de utilizar um ataque conhecido como e-mail spoofing.
    Este ataque permite que o atacante envie um e-mail para a vítima, se passando por outra pessoa, ou seja, forjando o e-mail do remetente.
    Neste caso, a vítima acharia que está recebendo um e-mail de uma pessoa conhecida, quando na verdade não está.
    Por isso, a alternativa II está incorreta.

  • Questão similar com essa...

     

    (FCC – ISS/SP – Auditor-Fiscal Tributário Municipal I – Tecnologia da Informação – 2012)
    São algumas das medidas de prevenção contra a infecção ou proliferação de vírus:
    I. Desabilitar no programa leitor de e-mails a autoexecução de arquivos anexados às mensagens. (QUASE IDÊNTICA COM A ALTERNATIVA I)
    II. Procurar utilizar, na elaboração de documentos, formatos menos suscetíveis à propagação de vírus, tais como RTF, PDF ou PostScript. (PARECIDA COM A ALTERNATIVA III)
    III. Procurar não utilizar, no caso de arquivos comprimidos, o formato executável.
    IV. Não executar ou abrir arquivos recebidos por e-mail ou por outras fontes antes de certificar-se de que esses arquivos foram verificados pelo programa antivírus. (PARECIDA COM A ALTERNATIVA II)

     

    Está correto o que se afirma em
    a) I, II e III, apenas.
    b) I, II, III e IV.
    c) I e III, apenas.
    d) II, apenas.
    e) II e III, apenas.

     

    Resposta: B

ID
161851
Banca
FCC
Órgão
TRF - 5ª REGIÃO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

O Tribunal estuda uma licitação para a compra de microcomputadores. Pensando na modernidade, ele pretende encaminhar cartas-convite por meio do correio eletrônico para fornecedores que estejam com o cadastro em dia. O sigilo não é necessário, porém a integridade das informações e a autenticidade são indispensáveis (garantem a não modificação do edital e o reconhecimento de sua autenticidade pelos fornecedores). A solução adotada pelo Tribunal é o envio de uma mensagem S/MIME assinada digitalmente para a lista de e-mails dos fornecedores.

O algoritmo recomendado pelo S/MIME auxilia na geração de um resumo com as seguintes propriedades e características:

- qualquer alteração, por menor que seja (por exemplo, uma omissão de um sinal gráfico no edital) provocará uma alteração dramática no resumo;

- qualquer resumo obtido terá sempre 160 bits (mesmo que sejam croquis e imagens) não importando o tamanho da mensagem.

Trata-se do algoritmo

Alternativas
Comentários
  • Segundo a RFC 2119 o S/MIME deve utilizar o SHA-1 (160 bits) como função hash para criar assinaturas digitais.

  • a) SHA-1.(função hash - 160b)

    b) RSA.(algoritmo assimétrico)

    c) MD5.(função hash - 128b)

    d) 3DES.(algoritmo simétrico)

    e) AES.(algoritmo simétrico)

     

  • Complemento.

    Segundo Forouzan(2008,p.738),"As duas funções de hashing mais comuns são chamadas MD5 (Message Digest 5) e SHA-1 (Secure Hash Algorithm 1). A primeira produz uma compilação de 120 bits. A segunda produz uma compilação de 160 bits."

    Bibliografia:

    FOROUZAN, B. A.; FEGAN, S. C. Protocolo TCP/IP. 3. ed. São Paulo: McGraw-Hill, 2008.

  • Vai Tomar no @#$@# FCC !!!! Ter q memorizar tamanho da função hash !!!! PQP


  • É muito mimimi! Conselho: Estudar mais e reclamar menos!

  • SHA-1: 160 bits / 20 Bytes

ID
189541
Banca
CESGRANRIO
Órgão
ELETROBRAS
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O presidente de uma empresa reclama com o diretor de TI a respeito do recebimento de muitos e-mails indesejados, principalmente sobre oferta de produtos não solicitados. O diretor de TI pede uma solução à sua equipe que aponta ser necessário

Alternativas
Comentários

  • Filtros Bayesianos anti-spam

    Os filtros Bayesianos implementam um algoritmo de probabilidade baseado na Teorias de Bayes. Os programas que utilizam filtros Bayesianos devem passar por um período inicial de treinamento, no qual tratam conjuntos de mensagens legítimas e também mensagens que conhecidamente são spam, criando uma base de dados inicial com informações sobre as ocorrências de palavras em cada um dos casos. Após este período, o programa passa a avaliar as mensagens considerando as ocorrências de palavras e então classifica cada e-mail de acordo com a probabilidade de ser spam ou não, tomando como base o treinamento inicial. Também é possível que este processo de treinamento seja continuado com novas mensagens. Um filtro bastante popular de reconhecimento de spam é o SpamAssassin, um script em Perl que pode utilizar técnicas Bayesianas.

    Os mesmos programas usados para desmontar mensagens para antivírus podem acionar filtros anti-spam. Ao contrário dos antivírus, porém, o foco desses filtros é muito mais o texto da mensagem do que os anexos.

    O consumo de recursos computacionais é elevado, porém menos crítico que no caso dos antivírus, mas mesmo assim pode ser comprometedor em servidores de alto tráfego.

    Para que o filtro se adapte ao caráter mutável do spam é necessário que o treinamento do filtro seja contínuo, com a identificação dos spams que não foram classificados e das mensagens que não são spam e que foram rotuladas como tal.

    Como os filtros Bayesianos podem acarretar falsos positivos, é aconselhável não descartar uma mensagem marcada como spam, mas sim optar por colocá-la em quarentena. Esse problema pode ser agravado caso a base de dados com que ele toma decisão for desatualizada ou baseada em outro idioma.

    Outra questão a ser considerada é o fato de estes filtros poderem ser driblados por spammers que introduzam "ruídos" em suas mensagens, ou seja, além do texto do spam são também introduzidas palavras aleatórias, letras, palavras em outros idiomas, etc. Deste modo, a análise estatística das ocorrências de palavras é afetada. Outra técnica que tem sido utilizada para driblar filtros Bayesianos é a utilização de "ASCII arte" e imagens para representar a mensagem.

    fonte: http://www.antispam.br/admin/filtros/

  • Vai se f.......

  • O filtro de Bayes transformou-se num mecanismo popular para distinguir um e-mail ilegítimo conhecido como spam de um e-mail legítimo.
    Utilizam a filtragem de spams através de inferência por meio da aplicação do teorema de Bayes:

     

    P(spam|palavra) = P(palavra|spam) * P(spam)  /  P(palavra)

     

    https://pt.wikipedia.org/wiki/Filtro_bayesiano

  • Gabarito D

    filtro bayesiano é o processo de usar métodos estatísticos para classificar documentos por categorias. O filtro de Bayes foi definido depois do documento de Paul Graham, A Plan for Spam,[1] e transformou-se num mecanismo popular para distinguir um e-mail ilegítimo conhecido como spam de um e-mail legítimo.

    Muitos programas de e-mail modernos como Mozilla Thunderbird utilizam a filtragem de spams através de inferência por meio da aplicação do teorema de Bayes.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
193069
Banca
FCC
Órgão
TRF - 4ª REGIÃO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O controle de acesso pode ser divido em

Alternativas
Comentários

  • Gabarito E

    A diferença principal entre sistemas de banco de dados centralizados e distribuídos é que no primeiro os dados estão localizados em um único lugar, enquanto que no outro os dados residem em diversos locais. Esta distribuição de dados é motivo de muitas preocupações e dificuldades.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • GABARITO: E

    O controle de acesso pode ser classificado quanto a:

    • Centralização (centralizado e descentralizado/distribuído)
    • Controle de Sistema ( Mandatório ou Discricionário)
    • Mecanismos de controle ( Regras ou Papéis )
ID
223954
Banca
UFF
Órgão
UFF
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

No tocante aos mecanismos e níveis de acesso com relação ao gerenciamento de usuários, o tipo de mecanismo que apresenta como desvantagem a dificuldade de compartilhamento de arquivos é conhecido como:

Alternativas
Comentários
  • Questão ficou difícil por causa da redação muito confusa! Depois que "finalmente" interpreta o enunciado, fica simples.
    Senha de acesso no arquivo dificulta o seu compartilhamento entre os usuários.
  • Não seria uma vantagem então? Não faz sentido por senha de acesso e julgar como descvantagem restringir o acesso...

  • Na minha humilde opinião a questão foi muito mal elaborada.

ID
236014
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do controle de acesso a redes e aplicações, assinale, dentre as alternativas a seguir, a única que contém a ordem correta dos procedimentos lógicos atravessados por um usuário para acessar um recurso:

Alternativas
Comentários
  • Basta pensar numa situação do dia-a-dia.

    Você liga para a central do cartão de crédito e se identifica: "Sou o Fulano de Tal".

    A identificação foi feita, mas ela poderia ser falsa, o que caracterizaria falsidade ideológica.

    Para evitar isso, o atendente solicita diversas informações pessoais para fazer a Validação da sua identificação.

    Em sistemas computacionais, a Validação pode ser feita por meio de senha de uso pessoal, ou por biometria (leitura das digitais, por exemplo).

    Após a validação, você está Autorizado a fazer solicitações ou obter informações do cartão informado.

    Por fim, resta a Auditoria do chamado feito.
ID
236035
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale, dentre as alternativas a seguir, a única que indica o fator mais importante ao se tomar a decisão sobre a implementação de um controle de segurança.

Alternativas
Comentários
  • Como o que se pede é o fator utilizado para decidir sobre a implementação de um controle de segurança, pressupõe-se que a análise de risco já foi realizada, sendo assim a atividade corrente é a de tratamento dos riscos, na qual se avalia o que fazer com o risco identificado, sendo importante assim a análise de custo/benefício de implementação de controles.

  • E lembrando que os Tratamentos dos Riscos de acordo com a ISO 27005 de 2011 são:

    - Modificar: "Durante a seleção de controles, é importante pesar o CUSTO da aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor dos ativos sendo protegidos. Além disso, convém que o RETORNO do investimento, na forma da modificação do risco e da possibilidade de se explorar novas oportunidades de negócio em função da

    existência de certos controles, também seja considerado";

    - Reter (Aceitar);

    - Evitar;

    - Compartilhar;

ID
236047
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas abaixo, assinale a única em que um extintor de incêndio Classe C deve ser utilizado no lugar de um extintor de incêndio Classe A.

Alternativas
Comentários

  •      CLASSES DE INCÊNDIOS

    Classe A- são materiais de fácil combustão com a propriedade de queimarem em sua superfície e profundidade, e que deixam resíduos, como: tecidos, madeira, papel, fibras, etc.;

    Classe B- são considerados os inflamáveis os produtos que queimem somente em sua superfície, não deixando resíduos, como óleo, graxas, vernizes, tintas, gasolina, etc.;

    Classe C- quando ocorrem em equipamentos elétricos energizados como motores, transformadores, quadros de distribuição, fios, etc.

    Classe D- elementos pirofóricos como magnésio, zircônio, titânio.

     

    http://www.bauru.unesp.br/curso_cipa/artigos/extintores.htm

  • O item D está correto.

    Porque o único caso em que deve usar o extintor de classe C no lugar de classe A é no caso de fogo em equipamento elétrico.

    a) Espuma (B ou A), Água-Gás (A) ou Dióxido de Carbono (B ou C).
    b) Espuma (B ou A), Dióxido de carbono (B ou C) ou Químico Seco (B ou C).
    c) Mesma da alternativa A.
    d) Dióxido de Carbono (B ou C) ou Químico Seco (B ou C).
    e) Químico seco não pode ser usado em incêndio Classe A.

  • No lugar de Analista de Segurança da Informação estou me sentindo um bombeiro...

    Não entendi a relevância para uma prova, havendo conteúdos tão vastos para explorar.

ID
236257
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Caracteriza-se pela definição de classes de segurança para os sujeitos e objetos. As classes de segurança são determinadas por duas características: o nível de classificação e a categoria. O nível de classificação reflete a sensibilidade da informação, como por exemplo: público, confidencial, secreto e ultra secreto. Já as categorias buscam refletir áreas ou departamentos das organizações. Cada objeto possui um nível de classificação e pode pertencer a mais de uma categoria, o mesmo acontecendo com os sujeitos. De forma simplificada, pode-se dizer que um sujeito poderá ter acesso a determinado objeto se seu nível de classificação for igual ou superior ao do objeto e se pertencer a pelo menos uma classe a que o objeto também pertença. Trata-se de política de controle de acesso

Alternativas
Comentários
  • segue o link para entendimento da questão

    http://pt.wikipedia.org/wiki/Controle_de_acesso
  • Conforme descrito na monografia sobre: Controle de Acesso Baseado em Papéis na Informatização de Processos Judiciais de André Thiago Souza da Silva e Hugo Vasconcelos Saldanha. (https://docs.google.com/viewer?a=v&q=cache:ImElWq_4x4kJ:www.cic.unb.br/~pedro/trabs/jurisrbac.pdf+politica+de+controle+de+acesso+compuls%C3%B3ria+ou+mandat%C3%A1ria&hl=pt-BR&gl=br&pid=bl&srcid=ADGEEShuP4xx9562G9A1Cd_M4evYtC3TMJbwdqI2iAmYK-84NIYXmUd1X7-ujEx_Sqg7TGJUhOv7luDTvCIKHgkhuNLtE70qMukb8EGyIZJaePC3-FMjau_5GgLJc-4XHK6ImOrRBOcm&sig=AHIEtbQOsgxxu_4p1-D9rjVbY0lehkhNNQ)

    Temos que O controle de acesso compulsório é uma política de acesso suportada por sistemas que processam dados com elevada sensibilidade, como por exemplo informações de governo ou dados sigilosos de corporações. compulsório, todas as decisões de acesso são realizadas pelo sistema. A decisão para negar ou permitir o acesso a um objeto, como por exemplo um arquivo, envolve uma interação entre as seguintes entidades:
    • O rótulo do sujeito:SUPER SECRETO;
    •  O rótulo do objeto — por exemplo um arquivo A: SECRETO;
    • Uma solicitação de acesso — por exemplo, uma tentativa de leitura no arquivo.
    Analisando os outros itens. Temos conforme a Wikipédia que as técnicas de controle de acesso são normalmente categorizadas em discricionárias e obrigatórias.
    Desta forma temos:
    • Discricionários: (discretionary access control ou DAC);
    • obrigatórias: (mandatory access control ou MAC)
    Além destes dois há um terceiro tipo de controle o (RBAC) controle baseado em papeis é uma abordagem para restringir o acesso a usuários autorizados. É uma abordagem nova e uma alternativa aos sistemas de controles de acesso do tipo MAC e DAC.

    Com isso os itens B a E ficam incorretos.
  • GABARITO A

    A técnica de controle de acesso discricionário (DAC) de conceder e revogar privilégios em relações tradicionalmente tem sido o principal mecanismo de segurança em BDs Relacionais. Esse é um método tudo ou nada: um usuário tem ou não tem certo privilégio. Em muitas aplicações, uma política de segurança adicional é necessária p/ classificar os dados e usuários com base nas classes de segurança. Essa técnica é conhecida como acesso obrigatório (MAC), normalmente é combinado com o DAC.

    As classificações de segurança típicas da MAC são:
    Altamente confidencial (top secret, TS),
    secreta (secret, S),
    confidencial (confidential, C) e
    não classificada (unclassified, U).

    A TS é o nível mais alto e U, o mais baixo. TS é maior ou igual a S é maior ou igual a C é maior ou igual a U. A restrição de segurança simples é intuitiva e impõe a regra óbvia de que nenhum sujeito pode ler um objeto cuja classificação de segurança é maior do que a autorização de segurança do sujeito.

    PS: Acesso OBRIGATÓRIO é tb conhecido como acesso MANDATÁRIO.


    Fonte: ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de Banco de Dados. 6. ed. São Paulo: Pearson / Prentice Hall (Grupo Pearson), 2011.

  • Reflexão de questão:   A frase "Trata-se de política de controle de acesso" está no singular. Subentendendo que " a) compulsória ou mandatária." tratasse de somente uma politica de acesso. Compulsória e mandatória no sentindo de obrigação (obrigatória)

ID
236773
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à salvaguarda de dados, informações, documentos
e materiais sigilosos de interesse da segurança da sociedade e do
Estado no âmbito da administração pública federal, julgue os itens
subsequentes.

A expedição, condução e entrega de documento ultrassecreto deve ser efetuada, pessoalmente, por agente público autorizado, sendo vedada a sua postagem, não se admitindo, em nenhuma hipótese, a comunicação de outra forma.

Alternativas
Comentários
  • Art. 25. A expedição, condução e entrega de documento ultra-secreto, em princípio, será efetuada pessoalmente, por agente público autorizado, sendo vedada a sua postagem.

    Parágrafo único. A comunicação de assunto ultra- secreto de outra forma que não a prescrita no caput só será permitida excepcionalmente e em casos extremos, que requeiram tramitação e solução imediatas, em atendimento ao princípio da oportunidade e considerados os interesses da segurança da sociedade e do Estado.

    Fonte: Decreto 4553/2002
  • Embora a Lei supracitada tenha sido revogada pelo Decreto nº 7.845 de 2012, a questão continua errada: Lei 7.845/2012, Art. 27. A expedição, a condução e a entrega de documento com informação classificada em grau de sigilo ultrassecreto serão efetuadas pessoalmente, por agente público autorizado, ou transmitidas por meio eletrônico, desde que sejam usados recursos de criptografia compatíveis com o grau de classificação da informação, vedada sua postagem.
  • Prezados,

    Essa questão é resolvida com o Decreto 7.845 de 14 de novembro de 2012 , que versa sobre credenciamento e tratamento de informação classificada.

    Segundo o art. 27 desse decreto , vemos :

    Art. 27.  A expedição, a condução e a entrega de documento com informação classificada em grau de sigilo ultrassecreto serão efetuadas pessoalmente, por agente público autorizado, ou transmitidas por meio eletrônico, desde que sejam usados recursos de criptografia compatíveis com o grau de classificação da informação, vedada sua postagem. 

    Ou seja , o decreto permite sua transmissão em meio eletrônico, desde que sejam usados recursos de criptografia compatíveis.

    Portanto a questão está errada.

  • Gabarito Certo

    Lei 7.845/2012

    Art. 27.  A classificação do sigilo de informações no âmbito da administração pública federal é de competência:

    I - no grau de ultrassecreto, das seguintes autoridades: 

    a) Presidente da República; 

    b) Vice-Presidente da República; 

    c) Ministros de Estado e autoridades com as mesmas prerrogativas; 

    d) Comandantes da Marinha, do Exército e da Aeronáutica; e 

    e) Chefes de Missões Diplomáticas e Consulares permanentes no exterior; 

    II - no grau de secreto, das autoridades referidas no inciso I, dos titulares de autarquias, fundações ou empresas públicas e sociedades de economia mista; e 

    III - no grau de reservado, das autoridades referidas nos incisos I e II e das que exerçam funções de direção, comando ou chefia, nível DAS 101.5, ou superior, do Grupo-Direção e Assessoramento Superiores, ou de hierarquia equivalente, de acordo com regulamentação específica de cada órgão ou entidade, observado o disposto nesta Lei. 

    § 1o  A competência prevista nos incisos I e II, no que se refere à classificação como ultrassecreta e secreta, poderá ser delegada pela autoridade responsável a agente público, inclusive em missão no exterior, vedada a subdelegação. 

    § 2o  A classificação de informação no grau de sigilo ultrassecreto pelas autoridades previstas nas alíneas “d” e “e” do inciso I deverá ser ratificada pelos respectivos Ministros de Estado, no prazo previsto em regulamento. 

    § 3o  A autoridade ou outro agente público que classificar informação como ultrassecreta deverá encaminhar a decisão de que trata o art. 28 à Comissão Mista de Reavaliação de Informações, a que se refere o art. 35, no prazo previsto em regulamento.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A comunicação pode ser verbal e/ou escrita por pessoas autorizadas

     

  • Vide o caso Moro. Tinha até grupo no Zap kkkk

ID
237547
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o  próximo  item , relativo  à salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado no âmbito da administração pública federal.


Os titulares de órgãos ou entidades públicos encarregados da preparação de planos, pesquisas e trabalhos de aperfeiçoamento ou de novo projeto, prova, produção, aquisição, armazenagem ou emprego de material sigiloso são os responsáveis pela expedição das instruções adicionais que se tornarem necessárias à salvaguarda dos assuntos a eles relacionados.

Alternativas
Comentários

  • A questão exigia do candidato apenas a memorização do artigo 53 do Decreto 4553/02

    "Art. 53. Os titulares de órgãos ou entidades públicos encarregados da preparação de planos, pesquisas e trabalhos de aperfeiçoamento ou de novo projeto, prova, produção, aquisição, armazenagem ou emprego de material sigiloso são responsáveis pela expedição das instruções adicionais que se tornarem necessárias à salvaguarda dos assuntos com eles relacionados"

  • Revogado pelo Decreto http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Decreto/D7845.htm#art60

  • DECRETO Nº 7.845, DE 14 DE NOVEMBRO DE 2012

    Art. 46.  Os órgãos ou entidades públicas encarregadas da preparação de planos, pesquisas e trabalhos de aperfeiçoamento ou de elaboração de projeto, prova, produção, aquisição, armazenagem ou emprego de material de acesso restrito expedirão instruções adicionais necessárias à salvaguarda dos assuntos a eles relacionados.

  • Prezados,

    Essa questão foi extraida do decreto 4.553 de 27 de Dezembro de 2002.

    Art. 53. Os titulares de órgãos ou entidades públicos encarregados da preparação de planos, pesquisas e trabalhos de aperfeiçoamento ou de novo projeto, prova, produção, aquisição, armazenagem ou emprego de material sigiloso são responsáveis pela expedição das instruções adicionais que se tornarem necessárias à salvaguarda dos assuntos com eles relacionados. 

    Portanto a questão está correta.


  • Considerando que o item levou em consideração a legislação de 2010, hoje esse com a legislação atual caberia recurso.

    Prezados com a publicação do Decreto abaixo os titulares da alta administração deverão deliberar acerca das questões de segurança da informação conforme o art.8, inciso II, e art. 9º por meio do Comitê de Governança Digital-CGD, ou seja, se essa questão for repetida na integra o item não especifica de forma clara/objetiva que essa deliberação deve ser realizada por meio de um Colegiado e possívelmente caberá recurso.

    DECRETO Nº 8.638 DE 15, DE JANEIRO DE 2016

    Institui a Política de Governança Digital no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

    Art. 8º  Para contribuir com o alcance dos objetivos estabelecidos na EGD, os órgãos e as entidades da administração pública federal direta, autárquica e fundacional elaborarão:

    II - instrumento de planejamento de segurança da informação e comunicação e de segurança cibernética.

    Art. 9º  Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional deverão manter um Comitê de Governança Digital, ou estrutura equivalente, para deliberar sobre os assuntos relativos à Governança Digital, composto por, no mínimo:

    I - um representante da Secretaria Executiva ou da unidade equivalente do órgão ou da entidade, que o presidirá;

    II - um representante de cada unidade finalística do órgão ou da entidade; e

    III - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.

    Parágrafo único. Os membros do Comitê ou da estrutura equivalente referidos nos incisos I e II do caput deverão ser ocupantes de cargo de provimento em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou equivalente, ou de cargo de hierarquia superior.

    Fonte: http://www.planalto.gov.br/CCIVIL_03/_Ato2015-2018/2016/Decreto/D8638.htm 

ID
237550
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o  próximo  item , relativo  à salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado no âmbito da administração pública federal.


Os órgãos e entidades públicos e as instituições de caráter público, para dar conhecimento de minuta de contrato cujo objeto seja sigiloso ou cuja execução implique a divulgação de desenhos, plantas, materiais, dados ou informações de natureza sigilosa devem exigir dos interessados na contratação a assinatura de termo de compromisso de manutenção do sigilo.

Alternativas
Comentários

  • A questão exigia apenas o conhecimento do artigo 59,I do Decreto 4553/02:

    "Art. 59. A celebração de contrato cujo objeto seja sigiloso, ou que sua execução implique a divulgação de desenhos, plantas, materiais, dados ou informações de natureza sigilosa, obedecerá aos seguintes requisitos:

            I - o conhecimento da minuta de contrato estará condicionado à assinatura de termo de compromisso de manutenção de sigilo pelos interessados na contratação"

  • Prezados,

    Essa questão foi extraída do decreto 4.553 de 27 de Dezembro de 2002.

     Art. 59. A celebração de contrato cujo objeto seja sigiloso, ou que sua execução implique a divulgação de desenhos, plantas, materiais, dados ou informações de natureza sigilosa, obedecerá aos seguintes requisitos:

    I - o conhecimento da minuta de contrato estará condicionado à assinatura de termo de compromisso de manutenção de sigilo pelos interessados na contratação; 

    Portanto a questão está correta.

ID
309814
Banca
CESPE / CEBRASPE
Órgão
TJ-ES
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca do gerenciamento de segurança da informação, julgue os
itens a seguir.

Para o controle lógico do ambiente computacional, deve-se considerar que medidas de segurança devem ser atribuídas aos sistemas corporativos e aos bancos de dados, formas de proteção ao código-fonte, preservação de arquivos de log de acesso ao sistema, incluindo-se o sistema de autenticação de usuários.

Alternativas
Comentários
  • Questão corretíssima, expressa exatamente o conceito de Controle Lógico  dentro da Segurança da Informação e algumas das medidas que podem ser tomadas para garantí-lo.
  • Menos Thiago.
    A questão refere-se aos controles lógicos, portanto você deve procurar se dentre as opções, existe alguma que seja controle fisico.
    Caso nao exista a questão esta correta.
    Parece lógico demais, dai a empolgação do colega acima.

  • Gabarito , CORRETO. Expressa bem o que deve ser feito !

ID
321283
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação ao controle de acesso, assinale a opção correta.

Alternativas
ID
321289
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação aos controles na série ISO 27000, assinale a opção correta.

Alternativas
ID
325381
Banca
FUNCAB
Órgão
SEJUS-RO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Na segurança física são preceitos importantes, EXCETO:

Alternativas
Comentários
  • O controle de acesso poderá ser realizado por catraca eletrônica, crachás, digitais, palma da mão, íris (ou seja, biometria), e garantem a identidade de quem está acessando o local. As salas-cofre para guardar cópias de segurança previnem sinistros de diferentes natureza, porém sem um controle de acesso eficaz, perdem a sua funcionalidade.
  • "Deve ser providenciada no mínimo duas salas-cofre (uma na empresa e outra fora) para guardar das cópias de segurança."
     
                                                       Segurança, de preferência:  sempre com redundância!

  • Gabarito D (para quem quer conferir apenas o gabarito);

    Bons estudos!


  • pra mim controle de acesso é segurança lógica e não fisica!

  • O grande pega da questão está na vírgula, ou seja, é mais uma análise de português do que tudo. Veja que a resposta é descrita: "para controle de acesso, deve haver sala-cofre para guardar cópias de segurança". Veja que ele inicia com um assunto e muda para outro que não tem nada haver. Galera vamos prestar atenção na interpretação.

ID
370669
Banca
FCC
Órgão
TCE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à política de controle de acesso aos recursos de um sistema, considere:

I. Todo objeto em um sistema deve ter um pro- prietário, que é o responsável por determinar a política de acesso aos recursos.

II. Controles de acessos podem ser aplicados por meio de ACLs (Access Control List), que definem os direitos e permissões dados a um usuário ou grupo.

III. No controle de acesso obrigatório (Mandatory Access Control), a política de acesso é determinada pelo sistema e não pelo proprietário do recurso.

IV. O usuário do recurso pode adquirir permissões cumulativas ou pode ser desqualificado para qualquer permissão dada a alguns usuários do grupo ao qual ele pertence.

Está correto o que se afirma em

Alternativas
Comentários

  • ACLs (Lista de Controle de Acesso). As listas de controle de acesso normalmente definem suas permissões com base em atributos do requisitante e do recurso solicitado, como a identificação do usuário, local de acesso, horário, nome do arquivo e endereço de rede.

     

    MAC (Controle de Acesso Obrigatório), do inglês mandatory access control (MAC), refere-se a um tipo de controle de acesso pelo qual o sistema operacional restringe a capacidade de um sujeito ou iniciador de acessar ou geralmente realizar algum tipo de operação em um objeto ou destino. Na prática, um sujeito é normalmente um processo ou thread e objetos são construções como arquivos, diretórios, portas TCP/UDP, segmentos de memória compartilhada, dispositivos de ES etc.

  • Éser, ele fala de "autonomo" (advogado, engenheiro, médico). Esses contratos são regidos pelo direito civil.

ID
444079
Banca
CESPE / CEBRASPE
Órgão
TRE-GO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Os três tipos de controle de acesso lógico utilizados em segurança de informação são

Alternativas
Comentários
  • Resposta - A

    discretionary access control ou DAC.
    mandatory access control ou MAC.
    RBAC.
  • Controle de acesso discricionário (DAC, discrecional) A política de acesso é determinada pelo proprietário do recurso. As autorizações de acesso são atribuídas diretamente aos usuários.

    Controle de acesso mandatório (MAC, mandatory) A política de acesso é determinada pelo sistema. O proprietário do recurso atribui um rótulo de sensibilidade ao recurso, e o usuário que tiver atribuído a ele um rótulo de sensibilidade igual ou superior ao recurso, tem acesso a ele.

    Controle de acesso baseado em papéis (RBAC, role-based) Direitos e permissões são associados a papéis. O usuário que estiver associado àquele papéis terá acesso ao recurso.
ID
458971
Banca
CESPE / CEBRASPE
Órgão
HEMOBRÁS
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nos conceitos de controle de acesso ao banco de dados,
julgue os itens subseqüentes.

A autenticação descreve métodos usados para garantir que o sujeito é a entidade que ele afirma ser. A identificação pode ser fornecida com a utilização de um nome de usuário ou número de conta. Para ser propriamente autenticado, o sujeito é normalmente solicitado a fornecer uma senha, uma frase em código, uma chave criptográfica, um número pessoal de identificação — personal identification number (PIN) —, um atributo anatômico ou um token.

Alternativas
Comentários
  • A autenticação descreve métodos usados para garantir que o sujeito é a entidade que ele afirma ser. A identificação pode ser fornecida com a utilização de um nome de usuário ou número de conta. Para ser propriamente autenticado, o sujeito é normalmente solicitado a fornecer uma senha, uma frase em código, uma chave criptográfica, um número pessoal de identificação — personal identification number (PIN) —, um atributo anatômico ou um token.

    Ninguém deve fornercer a chave criptográfica no momento da auntenticação.

  • Teresa, explica isso melhor...confundiu tudo!

ID
480151
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos mecanismos de controle de acesso,

Alternativas
Comentários
  • RBAC - Role-Base Access Control 

    Também conhecido com "nondiscretionary access control", ele se baseia em grupos de usuários/funções  para realizar os controles. Ao invez de setar a permissão para uma pessoa, voce define para todo um grupo de usuários que tem a mesma função.

  • RBAC é uma tecnologia de controle de acesso flexível, cuja flexibilidade permite que ele seja implementado como DAC [4] ou MAC. [5] Por outro lado, o MAC pode simular RBAC se o gráfico papel é restrito a uma árvore ao invés de um conjunto parcialmente ordenado . [6] Antes do desenvolvimento do RBAC, o Bell-LaPadula modelo modelo (BLP) era sinônimo de MAC e Filesystem permissõeseram sinônimo de DAC. Estes foram considerados os únicos modelos conhecidos para controlo de acesso: se um modelo não era BLP, considerou-se ser um modelo de CAD, e vice-versa. Pesquisa na década de 1990 demonstraram que RBAC cai em nenhuma categoria. [7] Ao contrário baseado em contexto de controle de acesso (CBAC), RBAC não olhar para o contexto da mensagem (como uma fonte de conexão).

    RBAC difere de listas de controle de acesso (ACLs), usado na tradicional controle de acesso discricionário sistemas, na medida em que atribui permissões para operações específicas de significado na organização, ao invés de objetos de dados de baixo nível. Por exemplo, uma lista de controle de acesso pode ser usado para conceder ou negar o acesso de gravação para um arquivo de sistema particular, mas não ditar a forma como esse arquivo poderia ser mudado. Em um sistema baseado em RBAC, uma operação poderia ser a de "criar uma conta de crédito" transação em uma aplicação financeira ou de "preencher um teste de nível de açúcar no sangue" registro em uma aplicação médica. A atribuição de permissão para executar uma operação particular é significativo, porque as operações são granular com sentido de dentro da aplicação. RBAC tem se mostrado particularmente adequado para a separação de tarefas (SoD) requisitos, que asseguram que duas ou mais pessoas devem estar envolvidas na autorização de operações críticas. Condições necessárias e suficientes para a segurança de SoD em RBAC foram analisados. Um princípio subjacente de SoD é que nenhum indivíduo deve ser capaz de efetuar uma violação de segurança, através privilégio duplo. Por extensão, nenhuma pessoa pode deter um papel que exerce autoridade de controlo, auditoria ou revisão em detrimento de outro, o papel simultaneamente realizada

  • Controle de Acesso Mandatário
    É um controle de acesso de segurança obrigatório, pois o papel do administrador em gerenciar os controles de acesso já é implantado nesse
    tipo de controle de acesso. Pois, os usuários não podem alterar os tipos de arquivos, programas, porém o tipo em que o usuário pode determinar
    políticas de acesso é o DAC, Acesso de Controle Discricionário. Possui uma administração centralizada, impõe regras incontornáveis que adicionam às
    regras discricionárias. Os usuários e objetos (recursos do sistema) são etiquetados. Quando, uma pessoa se logou com nível de secreto não pode
    ler dados de alto secreto. Da mesma forma, se uma pessoa se logou com nível de secreto não pode escrever um arquivo com nível limitado. A regra
    básica do MAC é: Não leia para cima; não escreva para baixo. Então, o administrador usuário de top só pode escrever para cima.
    O Acesso de Controle Mandatório é importante, pois o administrador pode designar quais informações devem ser estratificadas por privilégios de
    acesso, quem podem ler ou escrever tal arquivo, por exemplo. É importante blindar a informação, dependendo do seu nível, pois garante melhor
    segurança de quem está manipulando, o MAC veio dá essa possibilidade,onde o administrador pode gerenciar rótulos MAC de sujeitos e objetos e
    que tudo esteja bem estabelecido com a política determinado pelo gestores da informação. MAC e DAC, Segundo o Dr. Goldoi  " DAC é baseado na ideia de que usuários individuais, proprietários dos objetos, têm controle total sobre quem deve ter permissões para acessar o objeto. O usuário transforma-se em proprietário do objeto ao criá-lo. Hoje todas as variantes do UNIX, o Netware e a série Windows NT, 2000 e XP estão utilizando esse modelo como
    padrão básico para controle de acesso.Aqui, deve-se observar uma vulnerabilidade desse modelo, que vem a ser: cavalos de tróia podem ser executados quando
    o usuário, proprietário do objeto, inadvertidamente deixa ocorrer cópias não autorizadas pelo invasor.
    Nos sistemas militares, optou-se pelo do modelo MAC, devido à fragilidade do modelo DAC "
     

  • Gabarito D

    Controle de Acesso Baseado em Papéis flexibiliza o gerenciamento de controle de acesso.

    Vamos lá....

    Existem 4 (quarto) componentes básicos, que são: usuários, papéis, permissões e sessões.

    Os usuários são os humanos ou algum agente controlado por software.
    As permissão é o direito de executar a ação.
    Os papéis são intermediários entre os usuários e permissões.

    Ao invés de conceder permissão diretamente aos usuários, as permissões são concedidas aos papéis (como por exemplo uma função ou cargo: Auditor, Contador) e daí os usuários são associados a um ou mais papéis.

    o acesso não é definido pela identidade, e sim pelo papel exercido pelo usuário na organização.

    Sessão é quando o usuário inicia e passa a usar o sistema, ele 'levanta' uma sessão.
    PS.: durante a sessão pode haver um ou mais papéis ativos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Role-Based Access Control (RBAC)

    O controle de acesso de acesso baseado em papéis é implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

    É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

     

    A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

     

    Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.

     

     

    Letra D

     

     

     

    Fonte:

    Armazenamento e Gerenciamento de Informações:

    Somasundaram

     

     

  • - Controle de acesso obrigatório (MAC – Mandatory Access Control) - política de segurança adicional necessária para classificar dados e usuários com base nas classes de segurança. Possuem alto grau de proteção. Adequadas para aplicações militares.

    - Controle de acesso discricionário (DAC) - são caracterizadas por um alto grau de flexibilidade, que as torna adequadas para uma grande variedade de domínios de aplicação. Não impõe controle sobre como a informação é propagada. São as preferidas pois oferecem maior flexibilidade de escolha entre segurança e aplicabilidade.

    - Controle de acesso baseado em papel (RBAC) - os privilégios e outras permissões são associados a papéis organizacionais, em vez de a usuários individuais. Os papéis de cada usuário podem ser criados usando os comandos CREATE ROLE e DESTROY ROLE. Os papéis podem ser considerados mutuamente exclusivos se ambos não puderem ser usados mutuamente pelo usuário. Essa exclusão mútua pode ser de 2 tipos:

    - exclusão em tempo de autorização (estática)

    - exclusão em tempo de execução (dinâmica)

    Os modelos RBAC têm vários recursos desejáveis, como flexibilidade, neutralidade de política, melhor suporte para gerenciamento e administração de segurança, e outros aspectos que os tornam candidatos atraentes para desenvolver aplicações seguras baseadas na Web.

ID
492733
Banca
FCC
Órgão
TRE-PB
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Senhas de má qualidade colocam as contas, os dados e todo o sistema em risco. Portanto, deve-se evitar:
I. Nomes próprios, logins e datas, mesmo que digitados alternando letras minúsculas e maiúsculas.
II. Nomes de computadores da rede que o usuário participa.
III. Palavras, mesmo que difíceis, de dicionário e datas no estilo “ddmmaaaa".
IV. Juntar pequenos “pedaços" de uma frase combinados com pontuação.

É correto o que se afirma APENAS em:

Alternativas
ID
565765
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A maior parte dos problemas que ocorrem em relação à segurança da informação é gerada por pessoas que tentam obter algum tipo de benefício ou causar prejuízos às organizações. Para garantir a segurança adequada em uma organização, as seguintes medidas de segurança devem ser aplicadas, EXCETO

Alternativas
Comentários

  • Manter uma tabela atualizada com todas as senhas da organização podem causar prejuízos às organizações.

ID
599776
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e, consequentemente, necessita ser adequadamente protegida.

PORQUE

A interconexão de redes públicas e privadas e a tendência da computação distribuída aumentam a eficácia de um controle de acesso centralizado.

Analisando-se as afirmações acima, conclui-se que

Alternativas
Comentários
  • A interconexão de redes públicas e privadas e a tendência da computação distribuída aumentam a eficácia de um controle de acesso centralizado. (Sistema distribuido, ou seja, descentralizado)
  • Aumenta a segurança, mas não aumenta a eficácia, por isso a letra "C" se torna certa.

  • O porquê da primeira está correta.

    Segundo a ISO 27002,"

    0.1 O que é segurança da informação?

    A informação é um ativo que, como qualquer outro ativo importante, é essencial para os negócios de uma organização e conseqüentemente necessita ser adequadamente protegida. Isto é especialmente importante no ambiente dos negócios, cada vez mais interconectado."

ID
613243
Banca
CESPE / CEBRASPE
Órgão
BRB
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a mecanismos de segurança, julgue os itens que se
seguem.

Honeypots são mecanismos de segurança, geralmente isolados e monitorados, que aparentam conter informação útil e valiosa para a organização. São armadilhas para enganar agentes nvasores como spammers ou crackers.

Alternativas
Comentários

  • 1. Honeypot

    Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido [2].

    Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade.

    1.1. Honeypots de baixa interatividade

    Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

    1.2. Honeypots de alta interatividade

    Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

    Exemplos de honeypots de alta interatividade são as honeynets [6,7] e as honeynets virtuais [8].

    Abrangência

    Um honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria, uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto valor e em um volume bem menor do que outras ferramentas de segurança, como por exemplo um IDS.

    A grande desvantagem é que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet só é capaz de observar o tráfego destinado a ele, além de poder introduzir um risco adicional para a instituição.

    É importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurança da rede de uma instituição e não devem ser encarados como substitutos para:

    • boas práticas de segurança;
    • políticas de segurança;
    • sistemas de gerenciamento de correções de segurança (patches);
    • outras ferramentas de segurança, como firewall e IDS.
    Fonte: CERT.br

  • Anulada, pelo termo "nvasores"

ID
628969
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os requerimentos de segurança no desenvolvimento de sistemas aplicativos, analise:

I. O desenvolvimento e manutenção de sistemas deve considerar todos os aspectos que são contemplados pela segurança da informação: controle de acesso, trilha de auditoria e disponibilidade dos recursos de informação.

II. O processo de segurança da informação não precisa participar de todo o trabalho de engenharia do sistema. Basta participar das fases de modelagem, construção e instalação.

III. Os requisitos de segurança devem ser incorporados aos requisitos de desenvolvimento de sistema interno, mas não terceirizado.

IV. Os programas desenvolvidos/adquiridos devem ser testados adequadamente com o objetivo de não ocorrer problemas quando a aplicação já estiver em funcionamento normal no ambiente de produção.

Está correto o que consta em

Alternativas
Comentários
  • I. O desenvolvimento e manutenção de sistemas deve considerar todos os aspectos que são contemplados pela segurança da informação: controle de acesso, trilha de auditoria e disponibilidade dos recursos de informação. (Correto)

    II. O processo de segurança da informação não precisa participar de todo o trabalho de engenharia do sistema. Basta participar das fases de modelagem, construção e instalação.

    III. Os requisitos de segurança devem ser incorporados aos requisitos de desenvolvimento de sistema interno, mas não incluindo terceirizado.

    IV. Os programas desenvolvidos/adquiridos devem ser testados adequadamente com o objetivo de não ocorrer problemas quando a aplicação já estiver em funcionamento normal no ambiente de produção. (Correto)

  • O processo de segurança da informação PRECISA participar de todo o trabalho de engenharia do sistema.

ID
638257
Banca
FUMARC
Órgão
PRODEMGE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Associe, da melhor forma, o conceito à funcionalidade que ele implementa.
I.    Criptografa                    (       ) Distribuição segura de chaves.
II.  Função hash                    (       ) Identificação.
III. Biometria                        (       ) Lista de certificados revogados.
IV.  Chaves Assimétricas         (       ) Sigilo.
V.  Autoridade certificadora    (       ) Integridade.
Está CORRETA a seguinte sequência de respostas, na ordem de cima para baixo:

Alternativas
Comentários
  • Acho q a melhor maneira para resolver esta questão é analisar cada uma das asssertivas abaixo, através da eliminação.

  • Gabarito: C.

     

    O conhecimento de que a biometria visa à identificação elimina metade das alternativas.

    E que a AC detém uma lista de certificados revogados, mata-se a questão.

     

    Como complemento, está a função hash para integridade, e chaves assimétricas para distribuição segura de chaves.

     

ID
644593
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a prevenção de incidentes de segurança da informação e controle de acesso é correto afirmar:

Alternativas
Comentários
  • a) Para prevenir contra ataques de negação de serviço acesso não autorizado deve-se classificar as informações de forma a esclarecer a cada colaborador sobre o que pode ou não ser divulgado.

    b) A autorização de acesso para prestadores de serviço, contratados para consultorias ou quaisquer outros serviços não precisa ser formal ou antecipada, mesmo desde que essas pessoas sejam acompanhadas por um funcionário contratado.

    c) Os equipamentos de transmissão de dados devem ser mantidos em locais seguros, visando evitar o acesso não autorizado a informações por meio de interceptação (sniffer). Correto

    d) O armazenamento de mídias de backup deve ser longe próximo de onde se efetua o processamento dos dados.

    e) A fiação elétrica para o CPD deve ser separada de compartilhada com outras áreas e instalações para que não haja penetração de ruído.

  • Então o atacante só consegue Snifar/farejar o pacote se estiver perto do equipamento de transmissão?

  • Locais seguros previnem sniffing ?

  • As letras a , b, d , e são absurdas de erradas, então só me restou c, a menos errada. Vamos considerar que um equipamento importante(um servidor de arquivos, servidor de banco de dados, etc...) deve estar em locais mais restritos, numa sala de servidores, por exemplo, pois se tiver fácil acesso (físico neste caso) poderia facilitar uma configuração para realização do sniffer.

ID
658714
Banca
CESPE / CEBRASPE
Órgão
ANEEL
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação às características e aos elementos de um modelo de
sistema de gestão de segurança da informação (SGSI) de uma
organização, segundo as normas NBR ISO/IEC 27001 e NBR
ISO/IEC 27002, julgue os itens de 110 a 114.


Para cada usuário ou grupos de usuários, deve ser efetuada uma política de controle de acesso com regras e direitos, com os controles de acesso lógico e físico bem integrados.

Alternativas
ID
661780
Banca
FCC
Órgão
TRE-CE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A propriedade que garante que nem o emissor nem o destinatário das informações possam negar a sua transmissão, recepção ou posse é conhecida como

Alternativas
Comentários
  • autenticidade = visa estabelecer a validade da informação, com objetivo de garantir que o receptor possa comprovar a origem e a autoria de um determinado documento integridade =  a informação não deve ser alterada ou destruída de maneira não autorizada
    irretratabilidade = não repúdio = visa garantir que o autor não negue ter criado ou assinado o documento  
    confidencialidade = a informação não deve ficar acessível e nem ser divulgada para um usuário, uma entidade ou um processo não autorizado
    acessibilidade = disponibilidade = o acesso aos serviços oferecidos pelo sistema deve ser sempre possívelpara um usuário, entidade ou processo autorizado.Operações que procuram ocupar ilegalmente os recursos do sistema devem ser detectadas

  • Senhores, a autenticidade implica no não-repúdio que é o mesmo que irretratabilidade. Logo, pq a respota é IRRETRATABILIDADE e não AUTENTICIDADE? Imagino que as duas estão corretas.

  • LETRA C.

    Segundo Stallings(2008,p.10),"A irretratabilidade impede que o emissor ou o receptor negue uma mensagem transmitida. Assim, quando uma mensagem é enviada, o receptor pode provar que o emissor alegado de fato enviou a mensagem. De modo semelhante, quando uma mensagem é recebida, o emissor pode provar que o receptor alegado de fato recebeu a mensagem."

    Bibliografia:

    CRIPTOGRAFIA E SEGURANÇA DE REDES-4 EDIÇÃO 2008- WILLIAM STALLINGS

  • Danilo a autenticidade não implica o não repúdio. O inverso sim. A autenticidade assegura que apenas remetentes identificados consigam receber a mensagem, podem até ter acesso por invasões, o que comprometeria a disponibilidade, mas entender a mensagem apenas quem dela for o remetente identificado, seja por uma senha, criptografia, biometria.

    Quanto ao não repúdio ou irretratabilidade, esse princípio é a soma da integridade + a autenticidade. Ele garante que o usuário não negue sua autoria ao alterar ou acessar os dados. 

     

    Uma mensagem pode ter o princípio da autenticidade afetado sem afetar a irretratabilidade? SIM. Um usuário teve acesso a uma informação a qual não era o destinatário.

     

    Uma mensagem pode ter o princípio da irretratabilidade sem afetar a autenticidade? NÃO. Um usuário que alterou uma informação que não para ele. 

ID
699364
Banca
FCC
Órgão
TRE-SP
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre a criação e gerenciamento de senha do usuário, analise:

I. Solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação.

II. Garantir, onde os usuários necessitam manter suas próprias senhas, que sejam fornecidas inicialmente senhas seguras e temporárias, o que obriga o usuário a alterá-la imediatamente.

III. Estabelecer procedimentos para verificar a identidade de um usuário antes de fornecer uma senha temporária, de substituição ou nova.

IV. Estabelecer procedimentos para que as senhas sejam armazenadas nos sistemas de um computador de forma desprotegida para facilitar a recuperação.

Em uma empresa, convém que a concessão de senhas seja controlada através de um processo de gerenciamento formal. Podem ser requisitos corretos desse processo o que consta em

Alternativas
Comentários
  • Este artigo passa algumas informações presentes na questão:

    http://www.pastelariadigital.com.br/index.php/seguranca/como-gerenciar-senhas-de-forma-segura-e-centralizada/
  • A questão foi tirada da Norma ISO/IEC 27002.

    O assunto é abordado pela Norma na Seção 11 (Controle de Acesso) e os Itens a serem analisados na questão estão nas Diretrizes de Implementação do controle 11.2.3 (Gerenciamento de senha de usuário):

    "Convém que o processo considere os seguintes requisitos:
    a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação;" -> Corresponde ao item I
    "b) garantir, onde os usuários necessitam manter suas próprias senhas, que sejam fornecidas inicialmente senhas seguras e temporárias (ver 11.3.1), o que obriga o usuário a alterá-la imediatamente;" -> Corresponde ao item II
    "    c) estabelecer procedimentos para verificar a identidade de um usuário antes de fornecer uma senha temporária, de substituição ou nova;" -> Corresponde ao item III
    "g) as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida;" -> Invalida o que está escrito no Item IV

    Bons Estudos!

  • I. Solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação.


    Quer dizer que para pessoas fora do grupo eu posso divulgar a senha ? Muito sacana essa questão, merecia recurso.

  • A banca quis dizer que as senhas de grupo devem ser mantidas somente entre os membros do grupo, não divulgar pra fora.

    Mas o modo como foi escrito realmente ficou estranho...

  • Eu acredito que este seja problemas na tradução da norma, pois:
    "...garantir, onde os usuários necessitam manter suas próprias senhas,..."onde dá ideia de lugar necessário para armazenar a senha. Imaginem as pessoas anotando a senha pessoal em um lugar seguro...

    Talvez dessa vez a Banca nao tivesse culpa, mas foi sacana do mesmo jeito.

  • Fiquei com medo desse senha de grupo, mas quando vi que o item IV era totalmente absurdo marquei tranquilo, I, II e III.

     

    As questões ora são faceis, ora difíceis, mas ia ser estranho um item com um erro menor depois desse absurdo.

  • Gabarito D

    Fui por eliminação, só podia ser a D ou a E.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
709339
Banca
FCC
Órgão
MPE-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Sobre os rootkits é correto afirmar:

Alternativas
Comentários
  • Admito, cai na casca de banana da questão...

    a) O nome rootkit indica que as ferramentas que o compõem são usadas exclusivamente para obter acesso privilegiado (root ou Administrator) em um computador. Pra quem lê rapido parece a mais certa... mas está errada... rootkit tem uma série de utilidades, entre elas está o acesso privilegiado (Não exclusivamente)
    b) Podem fornecer sniffers, para capturar informações na rede onde o computador está localizado, como, por exemplo, senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia. Pra quem lê rapido parece errada, mas está correta... rootkit pode conter um sniffer anexo
    c) Pode fornecer programas com as mais diversas funcionalidades, exceto inclusive backdoors que servem para assegurar o acesso futuro do invasor ao computador comprometido.
    d) São projetados para ficarem visíveis   invisíveis   juntamente com uma aplicação conhecida. Sua identificação é sempre uma tarefa bem fácil difícil.
    e) São um softwares construídos exclusivamente para capturar e armazenar as teclas digitadas pelo usuário. Dentre as informações capturadas podem estar senhas bancárias, números de cartões de crédito etc. Errado, pode até embutir esta funcionalidade, mas não é uma obrigação para ser classificado como rootkit

  • Esta questão é palhaçada. Qualquer fonte que voce pesquisar vai estar escrito que rootkit é usado para ter acesso privilegiado. Não querem testar nossos conhecimentos e sim tirar sarro.... "Olha o bobo que estuda pra concurso ai...  Eu peguei ele!!!"

  • Não é utilizado para obter acesso privilegiado em um computador, mas sim para manter o acesso privilegiado.

    fonte: Prof Gustavo Vilar

  • Cartilha de segurança: "é muito importante ressaltar que o nome ´ rootkit nao indica que os programas e as t ˜ ecnicas que o ´ compoe s ˜ ao usadas para obter acesso privilegiado a um computador, mas sim para mant ˜ e-lo."

  • Uma questão palhaçada, sem condições!

  • Eu sabia que a opção A estava errada por falar exclusivamente. Mas mesmo assim, não sabia qual marcar, pois me pareceu a menos errada kkkkkkk.

ID
711688
Banca
FDC
Órgão
CREMERJ
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que tange à segurança dos sistemas de informação, a ISO 17.799 recomenda dois controles para o cabeamento elétrico e de telecomunicações, descritas a seguir:

I - as linhas devem ser implementadas preferencialmente de um modo ALFA

II - cabos elétricos e de telecomunicações devem ser instalados de um modo BETA.

ALFA e BETA referem-se, respectivamente, aos seguintes modos de instalação:

Alternativas
ID
717394
Banca
FCC
Órgão
TCE-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito a Group Policy Objects - GPO, considere:

I. Com o recurso de GPO, o administrador pode configurar uma GPO para que pastas sejam redirecionadas para uma pasta compartilhada em um servidor da rede da empresa, o que torna possível a criação e implementação de uma política de backup centralizada.

II. As configurações efetuadas por meio de GPO são aplicadas para usuários, computadores, member servers e DCs, em computadores executando Windows 2000 ou mais recente. Em versões mais antigas, tais como, Windows 95/98/Me e NT 4.0, a GPO pode ser aplicada somente às estações de trabalho.

III. Ao invés de efetuar as configurações de usuários na registry de cada estação de trabalho, o administrador pode criá-las centralizadamente, usando GPOs, com base em templates de administração. Um exemplo são as configurações de usuário que podem ser carregadas na opção HKEY_CURRENT_USER (HKCU), da registry.

IV. As GPOs permitem configurações que são aplicadas em nível de usuário, ou seja, em qualquer estação de trabalho que o usuário faça o logon, as políticas associadas à sua conta de usuário serão aplicadas.

É correto o que consta em

Alternativas
ID
726961
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Analise os itens e aponte a opção incorreta:

I. Em segurança da informação, de acordo com o princípio da confidencialidade, somente o remetente e o destinatário pretendido podem entender o conteúdo da mensagem transmitida.

II. A integridade da mensagem é desejável em uma comunicação segura. Neste princípio, devemos garantir que o conteúdo de sua comunicação não seja alterado durante a transmissão.

III. Um dos princípios básicos da segurança da informação é a disponibilidade. Neste princípio, devemos garantir que os usuários são quem eles realmente dizem ser.

IV. Em criptografia, a função de uma chave criptográfica é personalizar o processo de criptografia, uma vez que o processo a ser realizado utilizará a combinação do algoritmo desejado com a chave informada pelo usuário.

Alternativas
Comentários

  • I. Em segurança da informação, de acordo com o princípio da confidencialidade, somente o remetente e o destinatário pretendido podem entender o conteúdo da mensagem transmitida. Correto
    II. A integridade da mensagem é desejável em uma comunicação segura. Neste princípio, devemos garantir que o conteúdo de sua comunicação não seja alterado durante a transmissão. Correto
    III. Um dos princípios básicos da segurança da informação é a disponibilidade. Neste princípio, devemos garantir que os usuários são quem eles realmente dizem ser. Errado, Disponibilidade é o príncipio no qual a informação deve estar sempre disponível a todos que possuem direito de acesso
    IV. Em criptografia, a função de uma chave criptográfica é personalizar o processo de criptografia, uma vez que o processo a ser realizado utilizará a combinação do algoritmo desejado com a chave informada pelo usuário.Correto, este também é conhecido como princípio de Kerckhoff ("O segredo está na chave e não no algoritmo")
  • A integridade de uma mensagem é "desejável??" em uma comunicação segura?
    Não seria necessária

  • Confidencialidade - apenas pessoas autorizadas pode acessa-la;

    Integridade - garantir que a informação não foi alterada;

    Disponibilidade - informação deve está sempre disponível para uso de pessoas AUTORIZADAS

  • E eu perdendo tempo procurando os itens corretos.

ID
770725
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Entre os controles referentes ao gerenciamento de acesso do usuário, tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado, o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.

Alternativas
Comentários

  • A.11.2 Gerenciamento de acesso do usuário

    A.11.2.4 Análise crítica dos direitos de acesso de usuário

    "O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal."


    Fonte: NBR/ISO 27001:2006

ID
771961
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a antispam, julgue os próximos itens.



O recurso de greylist recusa, de forma temporária, o recebimento de uma mensagem e aguarda sua retransmissão, levando em consideração que servidores de e-mail legítimos possuem políticas de retransmissão em caso de erros.

Alternativas
Comentários
  • Gabarito "Certo"

    O conceito de greylisting consiste em recusar temporariamente uma mensagem e esperar por sua retransmissão, e parte dos seguintes princípios:

    que e-mails válidos são enviados a partir de MTAs legítimos, que mantém filas e possuem políticas de retransmissão em caso de erros temporários; spammers e códigos maliciosos raramente usam MTAs legítimos.

    Contudo, existem spammers que utilizam MTAs legítimos ou mesmo reenviam as mensagens a fim de contornar esta técnica. Ainda assim, o greylisting tem se mostrado eficiente para barrar mensagens enviadas por vírus, worms e spam zombies.

  •  greylisting configurado no servidor do destinatário, toda mensagem inédita, ou seja, cujo endereço de IP, endereço de e-mail do remetente e endereço de e-mail do destinatário nunca remeteram mensagens antes, essas informações são armazenadas em uma lista cinza e um  temporário (código 4XX) é informado ao servidor remetente.

    todo servidor de e-mails, tenta entregar novamente uma mensagem após determinado tempo, quando recebe um erro temporário como resposta.

    Já os servidores de SPAM, por padrão não o fazem

    Portanto, o greylisting parte do pressuposto de que no caso de mensagens legítimas, o servidor remetente tentará entregá-las novamente e neste caso ele (servidor destinatário) as receberá na segunda tentativa ou posteriores.

  • Na técnica greylisting, utilizada para antispam,

    ao se receber uma nova mensagem de um contato desconhecido, ela é temporariamente rejeitada e mantida no sistema de greylisting;

    após um curto intervalo de tempo, servidores de SMTP, que aderem corretamente aos padrões do protocolo,

    farão uma nova tentativa de envio da mensagem e,

    ao ser reenviada, o sistema encontrará suas informações na base de dados, liberando sua entrega.

    Fonte: Peguei de alguém do Qc kkkk

ID
774055
Banca
UFLA
Órgão
UFLA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

São procedimentos e medidas de controle de acesso lógico para proteção de dados, programas e sistemas:

Alternativas
ID
774235
Banca
IADES
Órgão
CFA
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Os antivírus utilizam diversas técnicas, dentre as quais destacam-se a investigação de assinatura, o monitoramento de atividades e a verificação de integridade. Assinale a alternativa incorreta sobre estas 3 técnicas.

Alternativas
Comentários

  • Pessoal, documentação em inglês que encontrei, explica legal a análise heurística dos antivírus.

    Heuristic analyzer (or simply, a heuristic) is a technology of virus detection, which cannot be detected by Anti-virus databases. It allows detecting objects, which are suspiced being infected by unknown or new modification of known viruses. Files which are found by heuristics analyzer are considered to be probably infected.

    http://support.kaspersky.com/6668


    A letra b é correto porque a analise heurística "pega" novos vírus, contrário do que a questão afirma.

ID
776485
Banca
CESGRANRIO
Órgão
Chesf
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Entre os controles que convêm ser realizados prioritariamente com o objetivo de proteger a integridade do software e da informação contra códigos maliciosos e códigos móveis no gerenciamento das operações de TI e das comunicações em uma empresa, inclui-se a ação de

Alternativas
Comentários
  • Segundo a norma 27002:
     
    10.4.1 - convém que sejam implantados controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.
  • Para mim está errada a letra b)

    A engenharia social como método de controle a integridade da informação? o princípio não seria confidêncialidade!!

    acho q o certo é a letra c)
ID
777676
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Considerando a segurança de ambientes físicos e lógicos bem como controles de acesso, julgue os itens subsecutivos.

Ao se identificar quais seriam as informações que, caso percam a confiabilidade, a integridade e a disponibilidade, trariam prejuízos à organização, e, ao se localizar onde tais informações são processadas e armazenadas, as áreas críticas de informação e os locais que precisam ser protegidos serão determinados.

Alternativas
Comentários

  • Questão pra deixar o candidato confuso, mas a resposta é VERDADEIRA.

  • CERTO.

    A ISO/IEC 27002 define segurança da informação como sendo “preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem estar envolvidas.”

    Os critérios críticos para a segurança da informação são: confidencialidade, integridade, disponibilidade. Entretanto, apesar de a questão ter deixado de fora a confidencialidade, ela está correta, pois não utilizou nenhuma palavra limitadora (apenas, somente), logo também incluiu o critério de confiabilidade.

ID
788608
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Há vários modos de operação para cifras de bloco, dentre os quais, os modos ECB, CBC, CFB e OFB.
A cifração de uma mensagem com o algoritmo DES no modo CBC apresenta como uma de suas vantagens o fato de



Alternativas
Comentários

  • CBC (Cipher-Block Chaining)

    - O mesmo bloco de texto claro, se repetido, produz diferentes blocos de texto cifrado.

    - Aplicações: transmissão de uso geral orientado a bloco e autenticação.

    Alternativa: A

ID
788611
Banca
CESGRANRIO
Órgão
Transpetro
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O keylogger é um software que pode armazenar as informações digitadas por um usuário num computador por ele infectado. Para aumentar a proteção dos seus clientes, alguns bancos que prestam serviços via Internet utilizam a tecnologia do teclado virtual, com recursos que reduzem a probabilidade de sucesso desses softwares.

Nesse contexto, o software que armazena a posição do ponteiro do mouse no momento em que esse é acionado (clique) é, genericamente, conhecido como


Alternativas
Comentários

  • LETRA C.

    "Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking."

     

    http://cartilha.cert.br/malware/

ID
801583
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens seguintes, relacionados a segurança física, segurança
lógica e gestão de risco.

Em um sistema de controle de acesso discricionário, o administrador do sistema estabelece os direitos de acesso dos usuários aos recursos disponíveis. Com o uso de listas de controle de acesso, os direitos de acesso são concedidos diretamente pelo dono do recurso.

Alternativas
Comentários
  • O sistema descrito é de acesso mandatório, no qual os direitos são estabelecidos pelo administrador. No acesso discricionário, o próprio proprietário do recurso estabelece os direitos.
  • Controle Discricionários ou baseados em identidade Estes mecanismos controlam individualmente, pelo dono do recurso, e não por uma administração central, quais sujeitos possuem direitos sobre objetos, e quais estes direitos são.
     
    Controle de Acesso Mandatório
    O controle de acesso mandatórioé definido como mecanismos que não são controlados à discrição do usuário, mas, sim, à de um administrador central. Assim, elimina-se o problema de um usuário inadvertidamente reduzir a segurança de acesso a um objeto, e consegue-se uma maior garantia que as políticas estabelecidas serão seguidas, porém ao custo de uma exibilidade grandemente diminuida.
     
    Baseado em papéis O controle de acesso baseado em papéis estão fortemente ligado à função do sujeito dentro de uma organização; cada papel do sujeito está vinculado a um tipo de atividade, e a um conjunto de direitos.

  • A questão descreve o controle de acesso mandatório ou obrigatório (MAC), e por este motivo está incorreta.

  • Seguem os 3 tipos de controles, p/ complemento dos estudos:


    RBAC: Role-Based Access Control

    Possibilita ao administrador de sistema criar papéis, definir permissões para esses papéis e, então, associar usuários para os papéis com base nas responsabilidades associadas a uma determinada atividade.

    DAC: Discretionary Access Control

    DAC é baseado na noção de que usuários individuais são donos de objetos e, portanto, tem controle (discreção) total em quem deve ter permissões para acessar o objeto. Um usuário transforma-se em dono do objeto ao criá-lo.

    MAC: Mandatory Access Control

    Enquanto o ponto-chave do DAC é o fato de que os usuários são considerados donos do objeto e, portanto, responsáveis pelas suas permissões de acesso, o modelo mandatório prevê que usuários individuais não têm escolha em relação a que permissões de acesso eles possuem ou a que objetos podem acessar.

    Nesse modelo, os usuários individuais não são considerados donos dos objetos, e não podem definir suas permissões, isso é realizado pelos administradores do sistema.


  • Em um sistema de controle de acesso discricionário, o administrador do sistema estabelece os direitos de acesso dos usuários aos recursos disponíveis. (ERRADO. Isso ocorre no acesso mandatório). Com o uso de listas de controle de acesso, os direitos de acesso são concedidos diretamente pelo dono do recurso (CORRETO. Isso ocorre no acesso discricionário).


    controle de acesso discricionário (discretionary access control ou DAC) é uma política de controle de acesso determinada pelo proprietário (owner) do recurso (um arquivo, por exemplo). O proprietário do recurso decide quem tem permissão de acesso em determinado recurso e qual privilégio ele tem.

    O DAC tem dois conceitos importantes:

    • 1. Todo objeto em um sistema deve ter um proprietário. A política de acesso é determinada pelo proprietário do recurso. Teoricamente um objeto sem um proprietário é considerado não protegido.
    • 2. Direitos de acesso são estabelecidos pelo proprietário do recurso, que pode inclusive transferir essa propriedade.


    No controle de acesso obrigatório (mandatory access control ou MAC) a política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Este controle é utilizado em sistemas de cujos dados são altamente sensíveis, como governamentais e militares.

  • Reprodução da questão com os pontos INCORRETOS
    Em um sistema de controle de acesso discricionário, o administrador do sistema estabelece os direitos de acesso dos usuários aos recursos disponíveis. Com o uso de listas de controle de acesso, os direitos de acesso são concedidos diretamente pelo dono do recurso.

     

    Reprodução da questão com os pontos CORRETOS
    Em um sistema de controle de acesso discricionário, o proprietário do recurso estabelece os direitos de acesso dos usuários a determinado recurso. Com o uso de listas de controle de acesso, os direitos de acesso são concedidos diretamente pelo dono do recurso.

ID
815206
Banca
FUNDEP (Gestão de Concursos)
Órgão
Prefeitura de Belo Horizonte - MG
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma brasileira de segurança das informações (ISO-17799-2005), os seguintes controles são considerados essenciais para uma organização, EXCETO

Alternativas
ID
815359
Banca
AOCP
Órgão
TCE-PA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O Terminal Access Controller Access-Control System (TACACS) é

Alternativas
Comentários

  • https://pt.wikipedia.org/wiki/TACACS

  •  Radius/Tacacs
    Protocolos que provêm serviço AAA
     Sistemas que provêm recursos de Autenticação, Autorização e Accouting (Contabilização/Auditoria) remota (em um servidor)
    Uso de modelo Cliente-Servidor
    Possuem versões abertas e gratuitas e versões/implementações proprietárias/pagas
    Possibilitam autenticação de contas de usuários (ou equipamentos) locais (criados no próprio servidor) e de usuários registrados em um serviço de diretório (ex: AD, LDAP etc)
    Serviços podem ser usados para controle de:
     Acesso à redes cabeadas
     Acesso à redes sem fio
     Acesso VPN ou dial-up (discado)
     Acesso à equipamentos (switches, roteadores, servidores, etc)
     Acesso à sistemas e recursos que suportem autenticação remota com estes
    protocolos
     

  • Gabarito A

    Terminal Access Controller Access-Control System (TACACS) é um protocolo de autenticação remota usado para comunicação com servidores de autenticação, comumente em redes UNIX. TACACS permite que um servidor de acesso remoto se comunique com um servidor de autenticação para verificar se o usuário tem acesso à rede.

    Um cliente coleta o nome de usuário e a senha e então envia uma consulta a um servidor de autenticação TACACS, as vezes chamado de TACACS daemon ou simplesmente TACACSD. Baseado na resposta desta consulta, o acesso ao usuário e liberado ou não.

    Outra versão do TACACS lançada em 1990 foi batizada de XTACACS (extended TACACS). Entretanto, estas duas versões vem sendo substituídas pelo TACACS+ e pelo RADIUS em redes mais novas. Apesar do nome, TACACS+ é um protocolo completamente novo e não é compatível com TACACS ou XTACACS.

    TACACS é definido pela RFC 1492, usando tanto TCP como UDP e por padrão a porta 49.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
827995
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da classificação e controle de ativos de informação, de segurança de ambientes físicos e lógicos e de controles de acesso, assinale a opção correta.

Alternativas
Comentários

  • a) Paredes, portões de entrada controlados por cartão e balcões de recepção com recepcionista são os objetos que devem ser utilizados para delimitar um perímetro de segurança física.

     

    9.1.1 Perímetro de segurança física
    Controle - Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação

    Fonte: ABNT NBR ISO/IEC 27002:2005
     

    b) As instalações de processamento da informação gerenciadas pela organização devem localizar-se fisicamente separadas daquelas que são gerenciadas por terceiros.

     

    9.1.1 Perímetro de segurança física
    g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
    Fonte: ABNT NBR ISO/IEC 27002:2005

ID
828127
Banca
CESPE / CEBRASPE
Órgão
TJ-RO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da classificação e controle de ativos de informação, de segurança de ambientes físicos e lógicos e de controles de acesso, assinale a opção correta.

Alternativas
Comentários
  • Fiquei em dúvida entre as alternativas b) e c).
    Com relação à alternativa "b", na página 30 do pdf da referida norma está escrito o seguinte:
    9.1.1 Perímetro de segurança física Controle Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.
    Com relação à alternativa "c", na página 32 do pdf está o seguinte:
    9.1.1 Perímetro de segurança física
    Diretrizes para implementação     g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
    Gente, já estou com muito sono, mas parece-me que o motivo da alternativa "b" estar ERRADA é o uso da palavra "deve" no lugar de "convém". Já a letra "c" está conforme está escrito na norma.
  • É isso mesmo, o erro da alternativa B está em dizer que se "deve utilizar". A norma 27002, diferentemente da norma 27001, não é taxativa, impositiva. Muitas das vezes, ao invés de nos deparamos com palavras como deve, obrigatório, teremos palavras como convém. Dessa forma, a norma 27002 é basicamente uma norma de recomendação de boas e melhores práticas.
  • Galera, a alternativa C também contém a palavra "devem", no entanto, é a correta.

  • Sobre a alternativa "A" usei este trecho para eliminar a questão 

    Segundo a ISO 27002, "9.2.6 Reutilização e alienação segura de equipamentos

    Informações adicionais

    No caso de dispositivos defeituosos que contenham informações sensíveis, pode ser necessária uma

    análise/avaliação de riscos para determinar se convém destruir fisicamente o dispositivo em vez de mandá-lo

    para o conserto ou descartá-lo."

    **Portanto, nem todo equipamento precisa ser destruído. Para tal, é necessária passar por uma análise/avaliação de riscos.

  • Me parece que o erro da alternativa "B" é que os perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) são utilizados para proteger as áreas que contenham informações e instalações de processamento da informação, e NÃO para delimitar o perímetro de segurança.

  • Questão chata devido ao 'devem' do item C, mesmo estando na norma desse modo. Na norma, há um contexto, pois está dentro de uma diretriz, ou seja, será considerado na implantação do controle a sua necessidade. Na questão, solto, parece que é algo com um sentido muito mais taxativo.

  • na letra B não são objetos, e sim controles;

  • Em relação ao item B, o texto da norma fala: Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.

    Nesse sentido, parece que a norma trata esses exemplos como os próprios perímetros de segurança e não como objetos para delimitar um perímetro. Se isso foi um pega, foi ridículo. Serve apenas para desclassificar quem estudou. Eu acertei a questão por que a C pareceu mais certa que a B.

  • Instalações de processamento da informação gerenciada pela organização DEVEM ficar separadas das gerenciadas por terceiros.

     

    Gab. C

  • De acordo com a 27002:2013 - Convém, que as instalações de processamento da informação gerenciada pela organização fiquem separadas das gerenciadas por terceiros.

    Mas por eliminação a mais correta seria a C mesmo.

ID
829774
Banca
CESGRANRIO
Órgão
Innova
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Após montar uma rede MS Windows 2008 em uma empresa e configurar 10.000 objetos usuários dentro do domínio criado, deseja-se atribuir a um Grupo de Administração Especial (GAE) a permissão para redefinir as senhas desse grupo de objetos usuários de modo rápido. Um modo possível para realizar essa tarefa é

Alternativas
ID
837475
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da gestão de segurança da informação, julgue os itens subsequentes.

Em uma empresa, a terceirização de uma atividade diminui a responsabilidade gerencial sobre o prestador de serviços, mas causa aumento da carga operacional para a companhia em virtude dos controles paralelos e SLA (service level agreement) para a gestão do contrato.

Alternativas
Comentários

  • Gabarito Errado

    Inverteram os conceitos.... Carga operacional diminiu mas a Gerencial aumenta.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
843388
Banca
UFBA
Órgão
UFBA
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

O software de antivírus deve ser removido, ao se instalar um software anti-spam.

Alternativas
Comentários
  • Errado

    Os dois podem atuar em conjunto. Não nenhuma restrição.

  • Ambos softwares exercem funções diferentes, e portanto podem ser executados simultaneamente. O que é bom evitar são sistemas antimalwares convivendo no mesmo "espaço".

    Segundo o CERT.BR,na Cartilha de segurança,"

    7.7 Ferramentas antimalware

    Cuidados a serem tomados:

    evite executar simultaneamente diferentes programas antimalware (eles podem entrar em conflito, afetar o desempenho do computador e interferir na capacidade de detecc¸ ˜ao um do outro);"

    Bibliografia:

    http://cartilha.cert.br/

  • Gabarito: Errado.

    O AntiSpam é um recurso ou ferramenta que filtra e-mails não desejados, nocivos ou não solicitados pelo usuário. Além disso, o AntiSpam ajuda a garantir a segurança da informação da empresa, já que ele identifica e-mails falsos que são utilizados para roubar dados dos usuários.

    • Ou seja, é um ótimo aliado do antivírus!
ID
883273
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação tem sido motivo de crescente
preocupação das empresas. Julgue os itens que se seguem acerca de
procedimentos de segurança.

Para garantir a segurança da informação, é recomendável não apenas a instalação de procedimentos relacionados a sistemas e manipulação de dados eletrônicos, mas também daqueles pertinentes ao controle de acesso físico.

Alternativas
Comentários
  • CERTO.
    Em termos de segurança da informação há os conceitos de controles físicos e controles lógicos.
    Os controles lógicos dizem respeito aos dados e sistemas em si: sua manipulação, o controle de acesso através de meios lógicos como redes e logins, a manutenção da integridade das informações, etc.
    Os controles físicos dizem respeito à infraestrutura: sua adequação, vigilância, proteção contra intempéries, controle de acesso físico, etc.
  • CERTO

    Proteção Lógica : Você xinga, assim como os softwares;
    Proteção Física : Você chuta, assim como os hardwares.

    Fazendo essa analogia você não errará nunca mais.

  • CERTO.

    Segundo a ISO 27002,"9 Segurança física e do ambiente,9.1 Áreas seguras

    Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Convém que as instalações de processamento da informação críticas ou sensíveis sejam mantidas em áreas seguras, protegidas por perímetros de segurança definidos, com barreiras de segurança e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra o acesso não autorizado, danos e interferências."

  • Para garantir a segurança da informação?

    É fundamental compreender que nenhuma organização é capaz de atingir um nível de controle de 100% das ameaças à segurança da informação. Um dos principais motivos é a constante inovação e evolução de hardwares e softwares. O que pode acontecer é utilizar diversos tipos de proteções para combater ao máximo de um possível ataque.

    Mesmo sabendo que essa questão está errada, já sabia que o gabarito seria correto porque já encontrei outras questões desse tipo da CESPE. Por isso da importância de resolver questões.

ID
883276
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação tem sido motivo de crescente
preocupação das empresas. Julgue os itens que se seguem acerca de
procedimentos de segurança.

Os programas de segurança, bem como os procedimentos documentados, determinam as diretrizes de segurança da informação estabelecidos em qualquer empresa.

Alternativas
Comentários
  • qual o erro da questão?
  • O que determina as diretrizes de segurança é a Política de Segurança da Informação, os programas de segurança e os procedimentos documentados são acões executadas a nível operacional.

  • As diretrizes que determinam os programas de segurança e os procedimentos documentados.

ID
883279
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação tem sido motivo de crescente
preocupação das empresas. Julgue os itens que se seguem acerca de
procedimentos de segurança.

O uso não controlado de pendrives expõe os computadores da empresa ao risco de contaminação por programas maliciosos.

Alternativas
Comentários
  • CERTO.
    Trata-se de um dos problemas mais comuns em termos de segurança em ambientes corporativos. Porque a limitação do acesso à Internet, por exemplo, é algo que pode ser feito por um administrador de rede e repercutir em toda a organização no que diz respeito à segurança. Já o uso de pendrives é algo bem mais difícil de ser controlado, e por se tratar de uma ferramenta importante no dia a dia de um escritório não pode ter seu uso simplesmente proibido.

  • CERTO. 

    Complemento.

    Uso não controlado de pendrives= Representando uma VULNERABILIDADE. Exemplo: a vulnerabilidade neste caso pode estar ocorrendo devido a ausência de uma boa política de controle de acesso aos pendrives da empresa.

    [...] programas maliciosos = Representando a ameaça que explora a vulnerabilidade, que no caso se trata do uso descontrolado do ativo físico(pendrive).




  • O clássico "drive.bat"

ID
883282
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A segurança da informação tem sido motivo de crescente
preocupação das empresas. Julgue os itens que se seguem acerca de
procedimentos de segurança.

O acesso aos programas e dados de uma empresa deve ser controlado de maneira que seja possível identificar os usuários que os acessaram. Para esse controle, é suficiente o uso de identificador e senha para cada usuário.

Alternativas
Comentários

  • Questão Errada. Não entendi o porque não é suficiente. Alguém sabe explicar?

  • Acho que o problema tá no "suficiente". Geralmente quando fala suficiente, quer dizer dá uma garantia. E se alguém roubar sua senha? Qual seria a proteção ideal:

    1) Vincular uma chave ao dispositivo, pra que somente os dispositivos com essa chave possam ter acesso à rede

    2) Ter um token de acesso (cartão ou pen drive)

    3) E uma senha

    São 3 camadas diferentes de segurança. É mais ou menos o que alguns bancos fazem.

    O banco do Brasil, por exemplo, solicita que ao adicionar um novo dispositivo, você vá no caixa eletrônico e libere ele (1). Depois, em alguns casos - principalmente contas empresariais, ou que movimentam grandes volumes - eles usam um token (2). Por último, a senha do correnista (3).

    É praticamente impossível um invasor quebrar essas 3 camadas de segurança.

  • Tiago Passos, descordo só do último parágrado do seu comentário. No mundo da tecnologia, é possível sim, por mais sofisticada possível, a segurança ser derrubada. 

ID
883288
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito de aplicativos usados no combate
a pragas virtuais.

Por serem de difícil detecção, os worms só podem ser combatidos por ferramentas específicas para esse fim, que se denominam antiworms.

Alternativas
Comentários
  • De fato os worms são de difícil detecção, mas as ferramentas que podem ser utilizadas podem ser o antivírus, ou mesmo o firewall.
  • Errado.
    Segundo a cartilha CERT - "Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais programas, fazendo com que alguns deles caíssem em desuso."

    Ou seja, atualmente os worms podem ser detectados pelos antivírus.

  • P/ complemento dos estudos...

    Worms: Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo. Auto-replicante, não precisa de outro programa para se propagar. Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Consumo alto de recursos e degradação de desempenho de redes e computadores.


    Gabarito: ERRADO

  • Gabarito: ERRADO

    Worms são combatidos com firewall, que impedem sua propagação pela rede.



    FORÇA E HONRA.
     

ID
883294
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, a respeito de aplicativos usados no combate
a pragas virtuais.

As ferramentas antispam permitem combater o recebimento de mensagens consideradas spam e, em geral, baseiam-se na análise do conteúdo das mensagens.

Alternativas
Comentários
  • Gabarito CORRETO.

    Mas em geral, elas baseiam-se no endereço de e-mail do remetente e no título das mensagens.
    Baseiam-se também no conteúdo, mas não em geral.

    errei essa.

  • CERTO.

    Segundo o CGI.BR(2014),"Existem algumas técnicas de bloqueio de spam que se baseiam na análise do conteúdo da mensagem. Em geral, são filtros baseados no reconhecimento de padrões do conteúdo que buscam identificar se o e-mail pode conter um vírus ou se tem características comuns aos spams.[...] Os filtros de conteúdo mais comuns são os antivírus e os identificadores Bayesianos de spam."

    Bibliografia(A fonte é confiável e o mantenedor é o Comitê Gestor da Internet no Brasil):

    http://antispam.br/admin/filtros/

  • Acho que faltou recurso para essa questão. =S

  • Em um e-mail Tudo é considerado conteúdo.

  • Correto.

    A análise do conteúdo de uma mensagem considera: endereço do remetente, endereços dos destinatários, assunto, mensagem e anexos.

    Se alguns dos itens analisados indicar spam, então a mensagem será sinalizada como lixo eletrônico.

    - remetente - endereço conhecido de spammer, incluso em black lists dos provedores de e-mail

    - destinatário - quantidade de endereços, geralmente sequenciais em ordem alfabética, nos campos PARA, CC e CCO

    - assunto - título da mensagem semelhante a outras mensagens que já foram sinalizadas como spam anteriormente

    - conteúdo da mensagem - compara o conteúdo da mensagem atual com outras semelhantes já sinalizadas anteriormente como spam

    - anexos - arquivos executáveis, anexos com nomes comuns de outras mensagens de spam, etc.

  • Há controvérsias! Não se pode combater o recebimento de um e-mail spam. Ele vai para no Lixo Eletrônico, porém será recebido.

  • IDENTIFICADOR BAYESIANO = ALGORITMO DE CLASSIFICAÇÃO.

ID
888919
Banca
CESGRANRIO
Órgão
EPE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A gestão da segurança da informação em contextos sujeitos a mudanças frequentes no ambiente computacional pode considerar ser adequado o uso de sistema de controle de acesso baseado em papéis porque esses sistemas se baseiam no fato

Alternativas
Comentários

  • Gabarito A

    O modelo considerado o mais seguro atualmente é o RBAC (Role-based Access Control – Controle de acesso baseado em papeis). Este modelo, proposto em 1992 por Ferraiolo e Kuhn, e que evoluiu ao longo dos anos seguintes, foi concebido como forma de integrar os recursos que haviam em algumas aplicações especificas e consolidar um modelo de controle de acesso baseado em papeis que fosse genérico[NIST07].

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • a-

    In computer systems security, role-based access control (RBAC) or role-based security is an approach to restricting system access to authorized users.

    https://en.wikipedia.org/wiki/Role-based_access_control

ID
889477
Banca
Aeronáutica
Órgão
CIAAR
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Kurose e Ross (2010) apresentam quatro propriedades que podem ser consideradas desejáveis em uma comunicação segura. Essas propriedades são apresentadas a seguir. Analise-as.

l. Confidencialidade: somente o remetente e o destinatário pretendido devem ser capazes de entender o conteúdo da mensagem transmitida,

II. Sequranca operacional: o remetente e o destinatário precisam confirmar a identidade da outra parte envolvida na comunicação - confirmar que a outra parte realmente é quem alega ser.

Ill. Autenticação do ponto final: os atacantes podem tentar colocar worms nos hospedeiros da rede, adquirir segredos corporativos, mapear as configurações da rede interna e lançar ataques DoS.

IV. Inteqridade de mensaqem: mesmo que o remetente e o destinatário consigam se autenticar reciprocamente, eles também querem assegurar que o conteúdo de sua comunicação não seja alterado, por acidente ou por má intenção, durante a transmissão.

Estão corretas apenas as afirmativas

Alternativas
Comentários

  • Quem errar essa questão não esta estudando!

    Fiquei até com vergonha.

  • Gabarito: B

    Ao identificar que errou é natural, no início, sentir-se inferior. Mas ao não desanimar e tentar realizar a questão de forma correta, sua segurança volta ao patamar anterior ou até a um nível superior, já que o sentimento é de superação. Isso ajuda a agir com tranquilidade numa crise ou na tomada de decisões. Dizer não sei ou não consigo só mina a autoestima, piorando o problema. Com a confiança em baixa você não se defende ou argumenta, dando a impressão de que pode voltar a cometer os mesmos erros.


    Avante !

ID
901105
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conceitos de segurança da informação, julgue os
itens a seguir.

Para aumentar a segurança de um programa, deve-se evitar o uso de senhas consideradas frágeis, como o próprio nome e identificador de usuário, sendo recomendada a criação de senhas consideradas fortes, ou seja, aquelas que incluem, em sua composição, letras (maiúsculas e minúsculas), números e símbolos embaralhados, totalizando, preferencialmente, mais de seis caracteres.

Alternativas
Comentários
  • dicas simples que, se seguidas, vão deixar seus dados na rede mais seguros. Confira:

    Senhas longas

    Todo mundo sabe que uma senha longa é mais difícil de ser decifrada. Pode parecer difícil se lembrar de uma combinação longa, portanto, a dica é criar uma frase que faça sentido para você.

    Caracteres especiais

    Para tornar a sua frase indecifrável, insira pontos, vírgulas, arrobas e números. A dica para você não se esquecer desta miscelânea, é colocar estes caracteres entre as palavras e, mais uma vez, deuma forma que faça sentido para você, mas só para você.

    Caixa alta

    Diferencie as letras da sua frase usando caixa alta. Insira letra maiúscula no início das palavras ou deixe palavras inteiras em caixa alta, mas faça de uma maneira que seja fácil de lembrar.

    Nunca escreva sua senha

    As dicas acima são para você nunca precisar guardar suas senhas em papeis, e-mail ou arquivo no computador. Portanto, se apegue no sentido da frase mesmo que ela seja escrita de uma forma completamente estranha.

    Não use as mesmas senhas

    Atualmente temos contas em dezenas de serviços e cada um deles pede uma senha. Apesar de ser mais fácil usar a mesma, esta tática pode ser bastante perigosa. Seguindo o esquema de frases cheias de caracteres especiais, você pode criar diversas senhas seguras e usar uma para cada site.

    Mude com frequência

    Ao mudar suas senhas diversas vezes ao ano, você diminui muito as chances de ser hackeado. Estabeleça um cronograma e sempre que mudar a senha de um serviço, mude de todos os outros também. Lembre-se de criar seus sistema de geração de senhas, usando frases que façam sentido para você.

    Verificação em dois passos

    O Google e a Dropbox possuem um sistema que envia um código ou mensagem via SMS ou aplicativo para você digitar antes de colocar a senha. Esse código é descartável e passa a não valer mais depois que é feito o login, o que torna o acesso aos sites bastante seguro.

    Teste sua senha

    Utilize sites como este para checar se sua senha realmente é segura. Muitos serviços já possuem este termômetro na página de cadastro, mas vale a pena testar novamente.

    http://olhardigital.uol.com.br/produtos/digital_news/noticias/dicas-para-criar-um-senha-segura

  • Teste sua senha

    Utilize sites como este para checar se sua senha realmente é segura. Muitos serviços já possuem este termômetro na página de cadastro, mas vale a pena testar novamente.

    http://olhardigital.uol.com.br/produtos/digital_news/noticias/dicas-para-criar-um-senha-segura

    ______________

    Siga todas as recomendações acima, exceto a última. Afinal não podemos confiar nossas senhas em um site de testes né? Nos dias de hoje, é deveras temerário.

     

  • Queria saber da onde retiraram esse "preferencialmente, mais de 6 caracteres". Eu marquei errado por achar que eram 8 caracteres.

     

    Na cartilha do CERT não tem nada sobre isso.

    https://cartilha.cert.br/senhas/

  • Gabarito: CORRETO

    Quando falamos em senha forte estamos nos referindo ao tamanho do esforço para aquela senha ser quebrada (descoberta por quem não é seu proprietário). E aqui nos atenhamos, quando falo de quebra de senhas, a dois conceitos (pelo conteúdo da questão vou deixar de lado o ataque ao banco de dados que armazena a senhas e a Engenharia Social):

    - o chamado Brute Force (Força Bruta) que é a técnica de quebra de senhas baseada na tentativa e erro, ou seja, um programa que simula combinações de senhas e vai testando uma a uma.

    - o chamado Wordlist (dicionário): o programa trabalha com palavras, e para facilitar o trabalho da quebra da senha, ele usa termos conhecidos como nome da pessoa, data de aniversário, etc.

    Então percebemos que usar palavras conhecidas que ligam a senha ao login podem facilitar a vida do cracker. E também, senhas com número reduzidos de caracteres diminuem o número de combinações possíveis e, consequentemente, reduz o número de tentativas que o atacante deve fazer para descobrir a senha. Ou seja, devemos evitar tais práticas.

    Há um consenso de boas práticas para se conseguir uma senha forte. Podemos listar:

    - Utilize senhas longas: senhas de poucos caracteres são, como dito acima, mais fáceis de quebrar;

    - Misture Caixa alta (maiúsculas), caixa baixa (minúsculas) e números;

    - Utilize caracteres especiais ($,%, etc.);

    - Evite palavras que possuam sentido ou ligação com o usuário; e

    - Não repetir a senha anterior e mudar com frequência;

    Para a Microsoft1 uma senha forte é:

    - Tem pelo menos oito caracteres.

    - Não contém seu nome de usuário, seu nome real ou o nome da empresa.

    - Não contém uma palavra completa.

    - É bastante diferente das senhas anteriores.

    - Contém caracteres de cada uma destas quatro categorias:

    Categoria de caracteres -------------------- Exemplos

    Letras maiúsculas ------------------------------------- A, B, C

    Letras minúsculas ------------------------------------- a, b, c

    Números ------------------------------------------------- 0, 1, 2, 3, 4, 5, 6, 7, 8, 9

    Símbolos do

    teclado (todos

    os caracteres

    do teclado ------------------------------------------ ` ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; " ' < > , . ? /

    não definidos

    como letras

    ou números)

    e espaço

    TECCONCURSOS

  • JÁ VI O CESPE COBRAR 8 CARACTERES EM. RSRS

ID
927496
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao controle de acesso, julgue os itens seguintes.

Considere que, ao acessar a intranet da sua empresa, um usuário informe o nome e a senha, para efetuar autenticação. Considere, ainda, que, após acessar o conteúdo da intranet, esse usuário acesse o sistema de recursos humanos da empresa, informando o nome e a senha, a fim de visualizar e imprimir seu contracheque. Nessa situação, foi utilizado single sign-on.

Alternativas
Comentários
  • Single Sign-On é um controle de acesso de múltiplos relacionamentos independentes de software de sistemas. Um usuário faz login uma vez e ganha acesso a todos os sistemas integrados sem a necessidade de efetuar login novamente.

  • ERRADO. Na questão acima foram realizadas duas autenticações, e com SSO(Single Sign-On) só é necessário uma autenticação.


    Segundo Nakamura(2010,p.377),"O SSO surgiu como um método de identificação e autorização que permite uma administração consistente, de maneira que os usuários podem acessar vários sistemas diferentes, de um modo transparente e unificado, por meio de uma única autenticação."

    Bibliografia:

    SEGURANÇA DE REDES EM AMBIENTES COOPERATIVOS-NAKAMURA-2010

  • Gabarito Errado

    Single Sign-on é definido como um único ponto de entrada, ou seja, você necessita se autenticar uma única vez. Isso permite acesso automaticamente a diversos canais do portal Terra, sem a necessidade de digitar seu login e senha em cada sistema, o que proporciona mais segurança aos seus dados de autenticação.

     

    Exemplo: Você autenticou no Terra Mail para verificar suas mensagens, aí decidiu acessar a Central do Assinante, por exemplo, então basta acessar a página da central e já estará autenticado, não havendo a necessidade de efetuar login novamente. 

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ERRADO

    No exemplo citado na questão, o usuário utiliza autenticação com login/senha 2x, e com "single sign-on (SSO)" basta digitar apenas uma senha quando faz o primeiro acesso sem necessidade de digitar novamente a senha.

    É uma solução tecnológica que permite que esses aplicativos usem a mesma senha para todos os acessos de forma segura e transparente.

    Exemplo: Ao utilizar o Youtube ou fazer cadastro em um e-commerce, é possível "logar" em ambos, apenas com sua CONTA GOOGLE.

ID
927499
Banca
CESPE / CEBRASPE
Órgão
INPI
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação ao controle de acesso, julgue os itens seguintes.

No modelo RBAC (role-based access control), o acesso a objetos do sistema é definido pela identidade do usuário ou do grupo que tenta acessar o sistema.

Alternativas
Comentários
  • O Controle de Acesso Baseado em Papéis flexibiliza o gerenciamento de controle de acesso.

    Vamos lá....

    Existem 4 (quarto) componentes básicos, que são: usuários, papéis, permissões e sessões.

    Os usuários são os humanos ou algum agente controlado por software.
    As permissão é o direito de executar a ação.
    Os papéis são intermediários entre os usuários e permissões.

    Ao invés de conceder permissão diretamente aos usuários, as permissões são concedidas aos papéis (como por exemplo uma função ou cargo: Auditor, Contador) e daí os usuários são associados a um ou mais papéis.

    o acesso não é definido pela identidade, e sim pelo papel exercido pelo usuário na organização.

    Sessão é quando o usuário inicia e passa a usar o sistema, ele 'levanta' uma sessão.
    PS.: durante a sessão pode haver um ou mais papéis ativos.
     

  • ERRADO. Complemento.

    Segundo Navathe(2011,p.572),"No controle de acesso baseado em papéis(RBAC) (...) os privilégios e outras permissões são associados a papéis organizacionais, em vez de a usuários individuais."


    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011

  • A questão se referiu ao DAC, o RBAC é baseado em papéis, funções desempenhadas.

ID
931321
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes aos mecanismos de segurança da informação.

Em um sistema de controle de acesso embasado no modelo RBAC (role based access control), uma sessão associa diretamente um usuário a um conjunto de permissões de acesso.

Alternativas
Comentários

  • Gabarito Errado

    Role-Based Access Control (RBAC)

     Significa: Controle de acesso de acesso baseado em papéis

    Implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

    É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

    A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

    Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

  • A definição trazida pela questão se refere ao MAC (mandatory access control)

ID
931330
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes aos mecanismos de segurança da informação.

Entre os métodos assíncronos de geração de passwords dinâmicas (one-time passwords), existem os que usam um token criptográfico que demanda a digitação de um código em resposta a um desafio enviado pelo sistema que se deseja acessar.

Alternativas
Comentários
  • como se fosse um token, a cada acesso ao sistema precisa de uma nova senha.

  • Os tokens fornecem armazenamento seguro para certificados digitais e chaves privadas. Eles permitem que a criptografia de chaves públicas e as assinaturas digitais sejam realizadas com segurança, sem o risco de ocorrer vazamentos das informações da chave privada.

  • Não gosto de citar wikis como fontes de informação, mas gostei tanto dessa explicação, q me senti inclinado a citar[1]:

    Um token de segurança é um dispositivo físico utilizado para obter acesso a um recurso restrito eletronicamente.

    Senhas de uso único:

    Em tempo sincronizado one-time passwords mudam constantemente em um intervalo de tempo definido; por exemplo, uma vez por minuto. Para fazer isso algum tipo de sincronização deve existir entre o cliente de token 's ea autenticação do servidor[1].

    Logo, o erro na questão, é:

    "Entre os métodos assíncronos(sińcronos) de geração de passwords dinâmicas (one-time passwords), existem os que usam um token criptográfico que demanda a digitação de um código em resposta a um desafio enviado pelo sistema que se deseja acessar.

    Fonte:

    [1] https://pt.qwe.wiki/wiki/Security_token

  • "Entre os métodos assíncronos de geração de passwords dinâmicas (one-time passwords), existem os que usam um token criptográfico que demanda a digitação de um código em resposta a um desafio enviado pelo sistema que se deseja acessar."

    ITEM ERRADO!!

    Tais métodos de geração de passwords são dinâmicos, ou seja, Síncronos.

  • Ex: Google Authenticator.

    Acredito que o comando fez menção ao ReCAPTCHA.

    P.S: A proposta inicial desse mecanismo foi genial. Usavam livros antigos com trechos "indecifráveis" e colocavam essas partes do documento como validador ao usuário, ou seja, a empresa conseguiu juntar o útil ao agradável. Decifravam o que estava escrito e permitiam a segurança. Com o tempo as máquinas ficaram mais úteis que os humanos.

    Fonte: https://youtu.be/zstVRbu2FV8

  • como que essa resposta é errado se o token de desafio/resposta é assíncrono? [fonte: imagem no link https://blog.thiagofmleite.com/2019/06/03/tipos-de-one-time-password/ ]

ID
931336
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes, relativos à gerência de riscos de segurança da informação.

O treinamento pode ser considerado um controle de segurança e, portanto, a falta de treinamento pode ser considerada uma vulnerabilidade.

Alternativas
Comentários

  • Para evitar que vulnerabilidades de segurança afetem a confiabilidade da infraestrutura de TI do negócio, algumas medidas podem ser tomadas. Elas devem ser unificadas em uma  bem estruturada, que garanta aos profissionais de TI a capacidade de prevenir, identificar e mitigar ameaças e riscos com alta precisão e agilidade. Nesse sentido, as medidas que podem ser tomadas incluem:

    • uso de sistemas de monitoramento de infraestrutura e de rede;
    • criação de políticas de controle de acesso restritivas;
    • definição de processos de atualização de softwares mais inteligentes e ágeis;
    • instrução de usuários para uso de senhas complexas;
    • criação de um processo de backup de dados contínuo;
    • adoção da autenticação de dois passos (preferindo modos de validação local de acesso, como uso de apps para criação de códigos de verificação ou tokens USB criptografados), sempre que possível;
    • treinamento de profissionais com a divulgação de boas práticas de segurança digital;
    • investimento em SaaS ou cloud computing;
    • realização dos padrões de segura e acompanhamento das tendências da área.

    Fonte : https://it-eam.com/entenda-o-que-e-vulnerabilidade-de-seguranca-e-quais-sao-as-mais-comuns/

ID
932848
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes a respeito da segurança de informação.

No tratamento de incidentes de segurança, quando da coleta de dados nas mídias dos sistemas comprometidos, deve-se priorizar a utilização de ferramentas que realizam a cópia dos dados no nível físico, para evitar alterações nos dados ou metadados.

Alternativas
ID
933244
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à segurança da informação, julgue os seguintes itens.

Com o uso de tecnologia heurística, alguns antivírus são capazes de detectar um vírus ainda desconhecido, por meio de sua ação no sistema do usuário.

Alternativas
Comentários

  • Alguns antivírus dispõem da tecnologia heurística, que é uma forma de detectar a ação de um vírus ainda desconhecido através de sua ação no sistema do usuário. A Panda Software criou um serviço de heurística que foi muito popular, porque detectou 98.92% dos vírus desconhecidos (não na sua base de dados) em um teste. Agora, as pessoas com esta heurística podem ficar 98.92% mais descansadas!
      
    Fonte: Análise De Sistemas Vol. 2 - Flavia Reisswitz

  • CERTO

    Evolução dos antivírus:

    - Primeira Geração: escaneadores simples;

    - Segunda Geração: escaneadores heurísticos;

    - Terceira Geração: armadilhas de atividade;

    - Quarta Geração: proteção total.

  • heurística é uma tecnologia projetada para detectar códigos maliciosos de forma proativa, ou seja, sem a necessidade de contar com uma assinatura específica

    Nesta linha, a solução de segurança analisa um arquivo e compara o seu comportamento com certos padrões que podem indicar a presença de uma ameaça.

    Para cada ação executada pelo arquivo é atribuída uma pontuação, por isso, se esse número for superior a um determinado valor, será classificado como um provável novo malware.

    FONTE: https://www.welivesecurity.com/

  • São vários os tipos de detecção realizados pelo antivírus, por exemplo:

    1) detecção baseada em assinatura: basicamente para malwares já reconhecidos, que constam na base de dados do antivírus.

    2) detecção comportamental: o antimalware vai analisar o processo (além da forma) de execução do programa para detectar a incidência de perigo.

    3) detecção baseada em heurística: analisa o arquivo buscando características suspeitas, como instruções incomuns para determinado tipo de programa. Há ainda a possibilidade de simular a execução do programa, verificando seu comportamento. 

  • CERTO

    Verificação Heurística: quando o antivírus é solicitado a realizar uma verificação heurística, ele fará uma verificação de possíveis vírus e/ou malwares que ainda não são conhecidos ou reconhecidos como tais.

    É uma técnica de detecção de vírus baseado no comportamento anômalo ou malicioso de um software.

ID
933688
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes aos mecanismos de segurança da
informação.

Em um sistema de controle de acesso embasado no modelo RBAC (role based access control), uma sessão associa diretamente um usuário a um conjunto de permissões de acesso.

Alternativas
Comentários

  • Role-Based Access Control (RBAC)

     Significa: Controle de acesso de acesso baseado em papéis

    Implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

    É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

    A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

    Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.

     

    Fonte: Questões de provas: FCC, CESPE...

    Gab : Errado

     

ID
933691
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens a seguir, referentes aos mecanismos de segurança da
informação.

ntre os métodos assíncronos de geração de passwords dinâmicas (one-time passwords), existem os que usam um token criptográfico que demanda a digitação de um código em resposta a um desafio enviado pelo sistema que se deseja acessar.

Alternativas
Comentários

  • Cade os comentários dos professores?!

  • Mesma questão e lá vai ver comentários Q310441

  • Esse desafio aí não é o Token, é o CAPTCHA!

ID
946885
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de controle de acesso e garantia de integridade, julgue os itens que se seguem.

Sistemas de controle de acesso embasados em identificação biométrica são extremamente precisos na recuperação da informação.

Alternativas
Comentários
  • Acertei mas gostaria que alguém explicasse o que a CESPE quis dizer com "extremamente precisos"...
  • Entendo que a banca quis se referir "extremamente precisos" como algo 100% confiável, o que na prática seria completamente errado. Quando o sistema de biométrica foi criado na década de 90, o mesmo foi planejado para ser o nível mais alto de segurança da informação, todavia a partir do momento que o esses sistemas convertem seus dados para linguagem de máquinas (0 e 1), a mesma pode ser burlada. Baseando-se nessa deficiência foi que surgiram os certificados digitais, hoje, é o mais alto nível de segurança da informação.
  • "Extremamente precisos na recuperação da informação:" Imagine uma leitora biométrica de impressões digitais instalada em uma catraca de acesso a um edifício comercial. Agora imagine quantas pessoas (que possuem a impressão digital corretamente cadastrada) essa catraca barra por dia. independentemente de qual seja o problema da negação de acesso (leitura incorreta devido a equipamento de baixa qualidade, devido a mão do usuário estar suja, etc.), essa é a realidade, a recuperação da informação biométrica armazenada, NÃO é extremamente precisa.

  • Sem falar que há pessoas que não conseguem ter a impressão digital lida, mesmo sem ter tido qualquer dano às mesmas.

  • Complementado o que já foi discutido.


    "Os sistemas biométricos automáticos são uma evolução natural dos sistemas manuais de reconhecimento amplamente difundidos há muito tempo, como a análise grafológica de assinaturas, a análise de impressões digitais e o reconhecimento de voz."


    "Um dos problemas enfrentados pelos sistemas biométricos atuais é a alta taxa de erro, em função da mudança das características de uma pessoa com o passar dos anos, ou devido a problemas de saúde ou nervosismo, por exemplo.


    Fonte: Boas práticas em Segurança da Informação - TCU (http://portal.tcu.gov.br/lumis/portal/file/fileDownload.jsp?fileId=8A8182A24D6E86A4014D72AC823F5491&inline=1

  • Uma coisa que aprendi: não há nenhum recurso 100% na informática.

  • Pensei: se alguma informação importante está criptografada e somente com a utilização da digital de um importante empresário ele pode ser decriptada.

    Imagina se esse empresário some? Como vão acessar aqueles dado? Ou seja, não garante nada...

  • O trecho, extremamente precisos me fez acertar.

  • Basta lembrar de quantas vezes vc tem que colocar a digital pro seu celular destravar em alguns dias. Tem dias que eu tenho que colocar umas 8 vezes pra ele reconhecer minha digital, kkkk. Se fosse só "precisos" ainda talvez desse pra argumentar como errada tbm.

  • Gabarito: Errado

ID
946891
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de controle de acesso e garantia de integridade, julgue os itens que se seguem.

Nos sistemas de controle de acesso, a autenticação consiste em o usuário informar ao sistema quem ele é; e a identificação é provar quem ele diz ser.

Alternativas
Comentários
  • A questão apenas inverteu as definições:

    IDENTIFICAÇÃO - O usuário informa ao sistema quem ele é.

    AUTENTICAÇÃO - É realizado o check para provar quem ele diz que é. 


  • ERRADO, pois, é justamente ao contrário, enquanto na identificação usuário informa quem ele é, na autentificação prova-se quem ele diz ser.

    #seguefirme

  • O Cespe malandro inverteu as definições

ID
947452
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de teoria e políticas de becape e recuperação de dados, julgue os itens subsecutivos.

Os requisitos de RPO e RTO são adotados pelas organizações ao definir as estratégias de proteção de dados para a realização do arquivamento.

Alternativas
Comentários

  • RPO -RecoveryPointObjective

    –O período de tempo máximo desejado antes de uma falha ou desastre durante o qual as alterações feitas aos dados podem ser perdidos como processo de uma recuperação

    –Quanto de informação é tolerável perder em caso de falha ou desastre


    RTO -RecoveryTime Objective

    –O período de tempo máximo desejado para trazer um ou mais aplicativos, juntamente com seus dados, a um estado corretamente operacional

    –Quanto tempo leva para os sistemas voltarem ao normal após uma falha ou desastre

    Não entendi qual é o erro da questão
  • Entendo que o erro da questão está quando é afirmado que o RPO e RTO são adotados para realizar arquivamento.

  • Questão chata essa, mas o erro está em afirmar na realização de backup de arquivamento. Backup de arquivamento é realizado para sistema ou dados que não tem mais atualização, ou seja, é guardado como histórico ou questões legais.

    O backup de arquivamento não tem requisitos de RPO e RTO.

  • ERRADO.

    Segundo Somasundaram(2011,p.274),"Com base nos requisitos de RPO e RTO, as organizações utilizam diferentes ESTRATÉGIAS DE BACKUP PARA RECUPERAÇÃO DE DESASTRES."

     

    -ARMAZENAMENTO E GERENCIAMENTO DE INFORMAÇÕES-EMC EDUCATION SERVICES-SOMASUNDARAM-2011

  • Proteção dos dados seria alguma ferramenta como, por exemplo, criptografia...

    Tudo bem que, forçando uma barra, dá para marcar a questão como CERTO.

ID
947572
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os próximos itens.

O prazo máximo de restrição de acesso à informação ultrassecreta em poder dos órgãos e entidades públicas é de quinze anos.

Alternativas
Comentários

  • Lei 12527 (lei de acesso a informação

    Art. 24
    I - ultrassecreta: 25 (vinte e cinco) anos;
    II - secreta: 15 (quinze) anos; e
    III - reservada: 5 (cinco) anos.

  • Prezados,
    Segundo a Lei de acesso a informação, lei nº 12.527 , o prazo máximo para restrição de informações ultrassecretas é de 25 anos.
    Art. 24.  A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada.
    § 1o  Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:
    I - ultrassecreta: 25 (vinte e cinco) anos;
    II - secreta: 15 (quinze) anos; e
    III - reservada: 5 (cinco) anos.
    Fonte : LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011

  • O prazo de restrição da informação ultrassecreta é de 25 anos,prorrogáveis, uma ÚNICA vez, por ATÉ + 25 anos (totalizando um prazo máximo de 50 anos). Os prazos têm que ser SEMPREdeterminados.

  • Segundo a Lei de acesso a informação, lei nº 12.527 , o prazo máximo para restrição de informações ultrassecretas é de 25 anos.

     

    Art. 24.  A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada.

     

    § 1o  Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:

    I - ultrassecreta: 25 (vinte e cinco) anos;
    II - secreta: 15 (quinze) anos; e
    III - reservada: 5 (cinco) anos.

     

    Fonte : LEI Nº 12.527, DE 18 DE NOVEMBRO DE 2011

  • Gabarito: ERRADO.

     

    Lei no 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)

     

    Art. 24. A informação em poder dos órgãos e entidades públicas, observado o seu teor e em razão de sua imprescindibilidade à segurança da sociedade ou do Estado, poderá ser classificada como ultrassecreta, secreta ou reservada.

    § 1o Os prazos máximos de restrição de acesso à informação, conforme a classificação prevista no caput, vigoram a partir da data de sua produção e são os seguintes:

    I – ultrassecreta: 25 (vinte e cinco) anos;

    II – secreta: 15 (quinze) anos; e

    III – reservada: 5 (cinco) anos.

     

    DISPOSIÇÕES FINAIS E T RANSITÓRIAS
    Art. 35. (VETADO).
    § 1o É instituída a Comissão Mista de Reavaliação de Informações, que decidirá, no âmbito da administração pública federal, sobre o tratamento e a classificação de informações sigilosas e terá competência para:
    I – requisitar da autoridade que classificar informação como ultrassecreta e secreta esclarecimento ou conteúdo, parcial ou integral da informação;
    II – rever a classificação de informações ultrassecretas ou secretas, de ofício ou mediante provocação de pessoa interessada, observado o disposto no art. 7o e demais dispositivos desta Lei; e

    III – prorrogar o prazo de sigilo de informação classificada como ultrassecreta, sempre por prazo determinado, enquanto o seu acesso ou divulgação puder ocasionar ameaça externa à soberania nacional ou à integridade do território nacional ou grave risco às relações internacionais do País, observado o prazo previsto no § 1o do art. 24.
    § 2o O prazo referido no inciso III é limitado a uma única renovação.
     

  • Arquivologia no filtro de INFO???

  • Questão interdisciplinar d++

ID
960205
Banca
FCC
Órgão
SEFAZ-SP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A auditoria da segurança da informação avalia a política de segurança e os controles relacionados adotados em cada organização. Nesse contexto, muitas vezes, as organizações não se preocupam, ou até negligenciam, um aspecto básico da
segurança que é a localização dos equipamentos que podem facilitar a intrusão. Na auditoria de segurança da informação, esse aspecto é avaliado no Controle de

Alternativas
Comentários

  • acesso físico - Entendo ativos de redes como - servidores - estações de trabalhos entre outros, como equipamentos físicos.

     

ID
984607
Banca
CESPE / CEBRASPE
Órgão
MPOG
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca de segurança da informação, julgue os itens a seguir.


As organizações devem estabelecer controles de segurança da informação para proteger os direitos a propriedade intelectual, conforme preceitua as melhores práticas de segurança da informação.

Alternativas
Comentários

  • questões parecidas

    Ano: 2012

    Banca: CESPE

    Órgão: Banco da Amazônia

    Prova: Técnico Científico - Segurança da Informação

    Resolvi certo

    A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.

    errraaadas


    Q394141

    Governança de TI

    Analista de Administração Pública - Microinformática e Infraestrutura de TI

    Resolvi certo

    No que se refere à gestão de segurança da informação, julgue os itens que se seguem.

    Direitos de propriedade intelectual, sob o ponto de vista legal, são controles de segurança da informação considerados essenciais para uma organização.

    certa

  • É obrigação da organização fornecer segurança das informações e propriedade intelectual SIM! Assertiva CERTA

  • A norma ISO/IEC 27002 preconiza a aplicação de alguns controles indicados para a gestão da segurança na maioria das empresas, estes são chamados de essenciais. São eles: proteção de dados e informações pessoais; proteção de registros organizacionais e direitos de propriedade intelectual.

ID
991939
Banca
CESPE / CEBRASPE
Órgão
ANTT
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os itens subsequentes com relação a ataques a redes de computadores, prevenção e tratamento de incidentes.

Os logs são essenciais para as notificações de incidentes, pois permitem detectar informações como data e hora em que uma atividade ocorreu, endereço IP de origem da atividade e portas envolvidas.

Alternativas
Comentários

  • Assertiva CORRETA. 


    Logs registram atividades no computador. É como se fosse um diário em tempo real do computador, relatando tudo que ocorre, quem fez, quando fez, de onde veio, para onde foi, etc. Tudo referente às atividades que o computador desempenha. No caso do comando da questão ele menciona alguma conexão feita ao servidor, quem fez (IP), origem da atividade (conectou para que?) e portas envolvidas (conectou em que porta?). 

  • "Logs são essenciais para notificacão de incidentes, pois permitem que diversas informações importantes sejam detectadas, como por exemplo: a data e o horário em que uma determinada atividade ocorreu, o fuso horário do log, o endereço IP de origem da atividade, as portas envolvidas e o protocolo utilizado no ataque (TCP, UDP, ICMP, etc.), os dados completos que foram enviados para o computador ou rede e o resultado da atividade (se ela ocorreu com sucesso ou não)."

    Fonte: Cartilha de Segurança para Internet

  • Questão muito interessante para PF, apesar de antiga.

    Existe o Histórico de Log, que guarda exatamente essas informações, e não podem ser apagadas pelo usuário.

    Basicamente, na investigação, é isso aí que o perito vai usar (entre outras coisas, obviamente).

ID
1035424
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

O modo CBC (cipher block chaining, encadeamento de blocos de cifras) inclui o bloco de cifra anterior na preparação do bloco atual. Assim, o erro em um bloco não se propaga para os demais, isto é, se um ou mais bits estiverem corrompidos durante a transmissão, isso não afeta os bits nos blocos do texto claro seguintes, após a decriptografia.

Alternativas
Comentários

  • Errado. 

    No modo CBC há propagação de falhas. Erro de 1 bit no texto cifrado – gera 1 bit + 8 bytes errados no texto claro decifrado. 

  • ERRADO!!! Afeta simmm!!!

     

    Quando der erro em um bit no bloco cifrado afeta o bloco atual e 1 bit do próximo bloco. Lembrando que no CBC a criptografia é sequencial.

  • Como a colega falou, no CBC o erro afeta apenas o bloco atual e o seguinte. O modo que afeta o bit atual e os outros 8 BITS (caso seja esse o tamanho do IV e o erro esteja relacionado a troca de bit, e não a supressão ou inserção), é o modo CFB.

ID
1035430
Banca
CESPE / CEBRASPE
Órgão
PEFOCE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relacionados a segurança da informação e criptografia.

A confrontação é um valor que varia com o tempo: o requerente aplica a função à confrontação e envia o resultado, denominado resposta, ao verificador.

Alternativas
Comentários

  • Na autenticação confrontação-resposta, o requerente prova que conhece um segredo sem revelá-Io. Em outras palavras, o requerente não revela o segredo ao verificador; o verificador, o possui ou o descobre.A confrontação é um valor que varia com o tempo, como um número aleatório ou um registro de horas que é enviado pelo verificador. O requerente aplica a Função à confrontação e envia o resultado, denominado resposta, ao verificador. Uma resposta mostra que o requerente conhece o segredo.

    https://slideplayer.com.br/slide/12541541/

  • Na autenticação de senhas, o requerente prova sua identidade demonstrando que conhece um segredo, a senha.

    Já que o requerente revela esse segredo, ele é suscetível à interceptação pelo inimigo. 

ID
1042528
Banca
CESPE / CEBRASPE
Órgão
MPU
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de segurança da informação, julgue os itens subsequentes.

É possível controlar redes grandes utilizando-se a segmentação dessas redes em diferentes domínios de redes lógicas.

Alternativas
Comentários

  • Questão correta, como visto abaixo:

    A norma NBR ISO/IEC 17799 (2005) afirma, em um dos seus controles, que um método de controlar a segurança da informação em grandes redes é dividi-la em domínios de redes lógicas diferentes. De fato, esta é uma prática comum em redes de computadores estruturadas que garante acesso restrito a certos serviços. Por exemplo, uma instituição de ensino como uma faculdade, que possui laboratórios de informática utilizados por seus alunos, não seria conveniente que eles estivessem desenvolvendo suas pesquisas na mesma rede onde se encontra o servidor de banco de dados com suas notas, faltas e vida financeira. Tais dados poderiam estar em risco. Porém, também não seria conveniente para a instituição manter uma infra- estrutura física separada para atender apenas aos laboratórios, isso sairia caro, portanto com a divisão lógica da rede é possível manter apenas uma estrutura física impondo limites logicamente.

    Fonte: http://www.teleco.com.br/tutoriais/tutorialitil/pagina_4.asp

    Bons estudos!

  • Assertiva CORRETA. 


    "Divide and conquer..."

    Consiste em "quebrar" uma grande rede em redes menores para facilitar a gestão do todo. Técnica bastante utilizada e não só para poder gerir melhor a rede.

  • Certo. A segmentação pode ser realizada por meio de:

    Máscaras de redes e VLAN

    As máscaras de rede servem para segmentar as redes com seus respectivos endereços lógicos (IPs).

    As VLANs são realizadas no nível de enlace e também segmentam logicamente uma rede.

  • Sim, no caso das Vlans elas tem metodos de controle de trafego, mtu, controles de banda etc
ID
1065052
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Com referência à classificação e ao controle de ativos de informação, julgue os itens que se seguem.

Alternativas
Comentários

  • a - O estabelecimento de controles que ajustem o nível de segurança para o tratamento da informação classificada deve ser diferenciado em função da natureza da informação quanto a valor, requisitos legais, grau de sensibilidade, grau de criticidade e necessidade de compartilhamento.

  • Alternativas A e D fazem afirmações auto-excludentes. Nesses casos, geralmente, uma das duas é a verdadeira.

ID
1098043
Banca
IADES
Órgão
TRE-PA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O controle de acesso à informação pode se dar de forma física ou lógica. A “política da mesa limpa” é um exemplo de prevenção ao acesso físico à informação, uma vez que evita que pessoas não autorizadas possam coletar informações escritas ou impressas, deixadas sobre a mesa de trabalho. Assinale a alternativa que possui exemplo de controle de acesso lógico à informação.

Alternativas
Comentários

  • Analisando as alternativas:

     

     

    a) Uso de cartão de acesso ao CPD.

    Medida física  de segurança segundo a norma ISO/IEC 27002:2013

     

     

    b) Reconhecimento facial para entrada.

    Medida física  de segurança segundo a norma ISO/IEC 27002:2013

     

     

    c) Uso de senha de acesso a sistemas.

    Medida lógica de segurança segundo a norma ISO/IEC 27002:2013

     

     

    d) Uso de crachá de identificação.

    Medida física  de segurança segundo a norma ISO/IEC 27002:2013

     

     

    e)  Acesso ao recinto através de chave.

    Medida física  de segurança segundo a norma ISO/IEC 27002:2013

     

     

     

    ABNT NBR ISO/IEC 27002:2013Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação

     

     

     

    Qcom - Questão comentada

    https://www.youtube.com/channel/UCBY27FNGgRpPa-PgFubwjPQ

  • Gabarito C

    CONTROLE DE ACESSO FÍSICO

    O controle de acesso físico controla o fluxo de pessoas por meio de dispositivos como funcionários (recepcionista ou segurança), fechaduras, chaves e catracas de acesso. Este é um sistema indicado para edifícios comerciais e residenciais e áreas internas de empresas, bem como eventos e salas específicas.


    CONTROLE DE ACESSO LÓGICO

    A tecnologia é a principal aliada do controle de acesso lógico. Nesse tipo de sistema, a verificação da identidade das pessoas e a liberação para entrada é feita por bancos de dados online. Essa verificação pode ser feita por meio de inserção de login e senha ou por identificação biométrica.

    A biometria é o sistema mais confiável entre as opções existentes de controle de acesso. Isso porque a tecnologia biométrica verifica características individuais que não podem ser falsificadas, como a digital, a íris e até a voz da pessoa.



    "Retroceder Nunca Render-se Jamais !"

    Força e Fé !

    Fortuna Audaces Sequitur !

ID
1107367
Banca
FCC
Órgão
AL-PE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que diz respeito a GPO (Group Policy Object) deve-se ter em mente a diretiva de grupo. Diretiva de grupo é um conjunto de regras que se pode utilizar a fim de facilitar o gerenciamento, configuração e segurança de computadores e usuários. As regras das diretivas de grupo se aplicam a usuários e computadores. A configuração das diretivas em uma GPO com essas regras (para usuários e computadores) podem ser aplicadas (vinculadas) em Unidades Organizacionais (OUs), Sites e Domínios que, do mais alto ao mais baixo nível obedecem, respectivamente, à seguinte hierarquia:

Alternativas
Comentários

  • GPO: São associados ou vinculados a sites, domínios e OUs(Nesta ordem) definindo diretivas centralizadas para toda a organização.

     

     

     

     

    Guia de Certificação Windows Server 2003 2a edição

    Daniel Donda

  • Hierarquia das GPOs

    Um outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em 3 níveis diferentes: Sites, domínios e OUs

    Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a todos os domínios que fazem parte dele.

    Domínios: É o segundo nível. Configurações feitas aqui, afetarão todos os usuários e grupos dentro do domínio.

    OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.

  • Pessoal, nao entendo mtu de AD, mas acredito que um domínio é maior que um site, ie, posso ter vários sites dentro de um mesmo domínio. Está certo o raciocínio?
ID
1115407
Banca
CESPE / CEBRASPE
Órgão
SUFRAMA
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à segurança da informação, julgue os itens subsequentes.

O controle de acesso refere-se à verificação da autenticidade de uma pessoa ou de dados. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

Alternativas
Comentários

  • Acho que controle de acesso tem mais a ver com autorização..


    Concordam?

  • Sim, acredito que seja isso mesmo.

  • Perfeito Raphael. Ao implementar um controle de acesso há 3 verificações, quanto à:
    - identificação (saber quem é o requisitante do acesso)
    - autenticação (saber se o requisitante é válido nos registros de controle)
    - autorização (prover o acesso ao usuário que o tenha direito)


  • O fato da questão estar incompleta, ou seja, não citar as 3 verificações: autenticidade, autorização e auditoria não invalida a questão.

    Acho que o erro está em "... verificação da autenticidade de uma pessoa ou de dados." No contexto de controle de acesso, não faz muito sentido um dado se autenticar (identificar-se para obter acesso).

    Uma pessoa se autentica (identifica) e o sistema de controle de acesso verifica o que ela pode acessar (autorização sobre dados).


    Já dentro do contexo de assinatura digital, faz sentido autenticar um dado (arquivo)

  • Fazer questões de informática desperta o que há de pior dentro de um ser humano. QUE MATÉRIA TOSCA!

  • Outra questão ajuda a responder

    Os benefícios providos pelos mecanismos de autenticação incluem a corroboração da identidade das partes e da origem da informação e o controle de acesso. (errado)

    Autenticação, por si só, não garante controle de acesso. Só consegue identificar se alguém é quem diz ser.

  • o controle de acesso subdivide-se em três processos:

    • autenticação (quem acessa o sistema);
    • autorização (o que um usuário autenticado pode fazer);
    • auditoria (diz o que o usuário fez).

    qual o erro da questão então? não sei :)

    fonte: wiki + strongsecurity

  • controle de acesso, na segurança da informação, é composto dos processos de autenticaçãoautorização e auditoria (accounting). Neste contexto o controle de acesso pode ser como a habilidade de permitir ou negar a utilização de um objeto (uma entidade passiva, como um sistema ou arquivo) por um sujeito (uma entidade ativa, como um indivíduo ou um processo). A autenticação identifica quem acessa o sistema, a autorização determina o que um usuário autenticado pode fazer, e a auditoria diz o que o usuário fez.

    Fonte Wikipedia

  • ERRADO

    O controle de acesso refere-se à verificação da autenticidade de uma pessoa ou de dados. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

    Corrigindo a assertiva: O controle de acesso refere-se à verificação da autenticidade de uma pessoa. As técnicas utilizadas, geralmente, formam a base para todas as formas de controle de acesso a sistemas ou dados da organização.

  • Controle de acesso é para pessoas/usuários e não para dados

ID
1117474
Banca
CESGRANRIO
Órgão
FINEP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O acesso aos serviços bancários via Internet está sujeito a várias fases de controle. Um dos bancos que disponibiliza esses serviços solicita, inicialmente, o número da agência e o da conta corrente. Numa segunda etapa, exige uma senha. A partir daí, o cliente pode realizar apenas as transações às quais tem acesso. Os atributos de segurança que esse exemplo implementa, na sequência em que ocorrem são

Alternativas
Comentários

  • o número da agência e o da conta corrente: identificação

    Numa segunda etapa, exige uma senha: autenticação

    realizar apenas as transações às quais tem acesso: autorização

  • identificação, autenticação e autorização

  • Em primeiro momento, o serviço identifica o usuário do banco, solicitando que este forneça seus dados de número de agência e conta corrente.

    Em um segundo momento, o serviço autentica o usuário, confirmando que este é verdadeiramente o detentor da conta que foi identificada, sendo que para isso o serviço solicita a senha da conta.

    Em terceiro e último momento, o serviço autoriza o usuário, permitindo que este efetue as transações autorizadas pelo banco ao seu painel de usuário, de acordo com as características da sua conta no banco.

ID
1119418
Banca
FGV
Órgão
DPE-RJ
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

O CSIRT nacional responsável por receber notificações de incidentes de segurança da informação ocorridos no Brasil é :

Alternativas
Comentários

  • Letra B.

    O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil é mantido pelo NIC.BR, do Comitê Gestor da Internet no Brasil, e atende a qualquer rede brasileira conectada à Internet.

    CGI = Comitê Gestor da Internet no Brasil

    NIC = Núcleo de Informação e Coordenação do Ponto BR(.BR)

    Registro.br = Registro de Domínios

  • Complementando:

    Links Interessantes:

    Tradução do CSIRT FAQ do CERT®/CC, com permissão especial do Software Engineering Institute (SEI)

    http://www.cert.br/certcc/csirts/csirt_faq-br.html

    Estatísticas Mantidas pelo CERT.br

    http://www.cert.br/stats/ 



  • O que é FIRST?

    O FIRST é o fórum internacional de grupos de segurança e resposta a incidentes. Estabelecido em 1990, o FIRST é uma coalizão que reúne diversos grupos de segurança e resposta a incidentes governamentais, comerciais e acadêmicos. Participar da conferência anual do FIRST pode ser uma maneira de um novo time aprender mais a respeito das técnicas e estratégias necessárias para prover um serviço de resposta, bem como uma maneira de entrar em contato com os grupos já estabelecidos.

    http://www.cert.br/certcc/csirts/csirt_faq-br.html

ID
1172185
Banca
CESGRANRIO
Órgão
CEFET-RJ
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Um aluno entrou no sistema NOTAS e:

1. Fez o login e foi aceito pelo sistema.
2. Tentou lançar notas, e o sistema negou o acesso.
3. Tentou ver suas notas e conseguiu a listagem que pretendia.

Nessas três ações, o aluno usou o sistema, sendo intermediado por um sistema de controle de acesso que realizou em cada passo um procedimento específico.

Como são chamados, respectivamente, esses procedimentos?

Alternativas
Comentários

  • Gagarito C

    Questão relativamente fácil...

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Autenticação: Responde a questão "quem é o usuário?

    Autorização: Define o que o usuário já autenticado tem a permissão de fazer.

    Auditoria: Está relacionada com a questão "o que o usuário fez?"

ID
1200712
Banca
COPEVE-UFAL
Órgão
UFAL
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Qual das seguintes restrições de logon para sistemas operacionais em rede será a mais eficaz contra um cracker que está tentando descobrir a senha de alguém com um ataque força bruta ou com dicionário?

Alternativas
Comentários

  • Letra (C).

    ----------

     

    1.5.1 Como deve ser projetado um processo de logon para ser considerado eficiente?

         O procedimento de logon deve divulgar o mínimo de informações sobre o sistema, evitando fornecer a um usuário não autorizado informações detalhadas. Um procedimento de logon eficiente deve:

     

              >> informar que o computador só deve ser acessado por pessoas autorizadas;

     

              >> evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído;

     

              >> durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usuário não autorizado a completar esse procedimento;

     

              >> validar a informação de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está correta ou incorreta, como, por exemplo, ID ou senha;

     

              >> limitar o número de tentativas de logon sem sucesso (é recomendado um máximo de três tentativas), e ainda:

                        a) registrar as tentativas de acesso inválidas;

                        b) forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica;

                        c) encerrar as conexões com o computador.

     

              >> limitar o tempo máximo para o procedimento de logon. Se excedido, o sistema deverá encerrar o procedimento;

     

              >> mostrar as seguintes informações, quando o procedimento de logon no sistema finalizar com êxito:

                        a) data e hora do último logon com sucesso;

                        b) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso.

     

    ----------

    "Um resumo."

    At.te, CW.

    Fonte:

    BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO. http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF

ID
1205023
Banca
FCC
Órgão
TRF - 5ª REGIÃO
Ano
2003
Provas
Disciplina
Segurança da Informação
Assuntos

Um mecanismo muito usado para aumentar a segurança de redes de computadores ligadas à Internet é

Alternativas
Comentários

  • (A)

    Firewall é uma solução de segurança baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas. "Parede de fogo", a tradução literal do nome, já deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. A sua missão, por assim dizer, consiste basicamente em bloquear tráfego de dados indesejado e liberar acessos bem-vindos.

ID
1209052
Banca
FCC
Órgão
TCE-CE
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

A implementação de uma política de mesa limpa e tela limpa é uma regra de controle de acesso que deve ser estabelecida formalmente no processo de

Alternativas
Comentários

  • Gabarito C

    A política de mesa limpa e tela limpa se refere a práticas relacionadas a assegurar que informações sensíveis, tanto em formato digital quanto físico, e ativos (e.g., notebooks, celulares, tablets, etc.) não sejam deixados desprotegidos em espaços de trabalho pessoais ou públicos quando não estão em uso, ou quando alguém deixa sua área de trabalho, seja por um curto período de tempo ou ao final do dia.

    Uma vez que informações e ativos em uma área de trabalho estão em um de seus lugares mais vulneráveis (sujeitos a divulgação ou uso não autorizado, como previamente comentado), a adoção de uma política de mesa limpa e tela limpa é uma das principais estratégias a se utilizar na tentativa de reduzir os riscos de brechas de segurança. E, felizmente, muitas das práticas requerem baixa tecnologia e fáceis de implementar.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Letra C, conforme a norma ANTIGA 27002:2005

     

    11 Controle de acessos

    11.3 Responsabilidades dos usuários

     

    11.3.1 Uso de senhas
    11.3.2 Equipamento de usuário sem monitoração
    11.3.3 Política de mesa limpa e tela limpa

     

    Ressaltando que esse controle mudou de seção na norma NOVA ISO 27002:2013

     

    11 Segurança física e do ambiente

    11.2 Equipamentos

    11.2.9 Política de mesa limpa e tela limpa

ID
1214053
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

Os métodos de autenticação comumente empregados fundamentam-se na clássica divisão entre o que você sabe (senha ou número PIN); o que você tem (token ou um smart card); e o que você é (íris, retina e digitais).

Alternativas
Comentários

  • Achei um um pouco capciosa. A expressão "comumente empregados" no meu entendimento é o que pode ser usado no dia a dia. Eu pelo menos em 10 anos trabalhando e estudando TI nunca vi uma método de implementação usando a íris e a retina ao vivo.

  • se prepara ai pro novo iphone entao

  • Comumente ou raramente não foi o núcleo da questão. A afirmação diz basicamente que esse métodos existem, logo é verdadeiro.

    Delicado, mas...

  • A questão está correta. Vários serviços web já utilizam mecanismo de autenticação que combina 2 ou 3 desses fatores.


    Por exemplo: o Google suporta a autenticação de 2 fatores. Ao logar pode ser exigido a senha (o que você sabe) + um código SMS para celular (o que você tem).


    Fonte: https://nakedsecurity.sophos.com/pt/2013/10/10/security-essentials-what-is-two-factor-authentication/

  • 1, 2 e 3 - correto

    Resumindo:

    1º ponto de autenticação - O que você sabe ? Senha ou PIN.

    2º ponto de autenticação - O que você tem ? Token ou smart crachá.

    3º ponto de autenticação - O que você é ? Íris, retina ou biometria.

  • Gabarito: Correto.

    O que voce é: --> meios biométricos, tais como impressão digital, padrão de retina, padrão de voz, reconhecimento de assinatura, reconhecimento facial.

    O que você tem --> objetos, tais como cartões de identificação, smart cards, tokens USB. Também está sendo muito utilizado o próprio telefone do usuário, com o envio de um SMS, para que ele confirme o código que chegou no telefone. 

    O que você sabe -->senha, dados pessoais, frases secretas. Senha certamente é a forma de autenticação mais comum e utilizada.

    Os tokens são um híbrido entre o que se sabe e o que se tem.

ID
1214056
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos princípios gerais de controle de acesso, julgue os itens subsecutivos.

O controle de acesso RBAC (role-based access control) indica, com base em uma engenharia de papéis, o método de acesso, de modo que o nível de acesso de um colaborador, por exemplo, possa ser determinado a partir do tipo de atividade que este exerce.

Alternativas
Comentários
  • Um controle baseado em papéis (RBAC) é uma abordagem para restringir o acesso a usuários autorizados. Controles de acesso baseados em papéis (roles) definem os direitos e permissões baseados no papel que determinado usuário desempenha na organização. Esta estratégia simplifica o gerenciamento das permissões dadas aos usuários. - http://pt.wikipedia.org/

  • Complemento.

    Segundo Navathe(2011,p.572),"No controle de acesso baseado em papéis(RBAC) (...) os privilégios e outras permissões são associados a papéis organizacionais, em vez de a usuários individuais."

    Bibliografia:

    SISTEMAS DE BANCO DE DADOS-NAVATHE-6 EDIÇÃO 2011


  • Gabarito Certo

    Controle de Acesso Baseado em Papéis flexibiliza o gerenciamento de controle de acesso.

    Vamos lá....

    Existem 4 (quarto) componentes básicos, que são: usuários, papéis, permissões e sessões.

    Os usuários são os humanos ou algum agente controlado por software.
    As permissão é o direito de executar a ação.
    Os papéis são intermediários entre os usuários e permissões.

    Ao invés de conceder permissão diretamente aos usuários, as permissões são concedidas aos papéis (como por exemplo uma função ou cargo: Auditor, Contador) e daí os usuários são associados a um ou mais papéis.

    o acesso não é definido pela identidade, e sim pelo papel exercido pelo usuário na organização.

    Sessão é quando o usuário inicia e passa a usar o sistema, ele 'levanta' uma sessão.
    PS.: durante a sessão pode haver um ou mais papéis ativos.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Role-Based Access Control (RBAC)

    Implantado para atributir os privilégios necessários aos usuários, permitindo executar seus papéis.

    A separação clara das funções assegura que nenhum indivíduo único possa especificar uma ação e executá-la.

     

    É aconselhável considerar controles administrativos, como a "separação de funções", ao definir procedimentos de data centers.

    Exemplo: A pessoa que autoriza a criação de contas administrativas não deve ser a mesma que usa essas contas.

     

    4 (quarto) componentes básicos

    - usuários
    - papéis
    - permissões
    - sessões

     

     

     

    Certo

     

     

     

    Armazenamento e Gerenciamento de Informações - Somasundaram

  • RBAC - Role Based Acess Control: controle baseado em papéis. O administrador garante privilégios de acordo com a função exercida pelo usuário.

    Este é um modelo amplamente usado em organizações uma vez que reflete a estrutura da organização em termos dos papéis dos usuários em relação à instituição e permissões atreladas a estes. 

ID
1217578
Banca
VUNESP
Órgão
DESENVOLVESP
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

A falha de segurança “Heartbleed” permitiu que mecanismos de segurança fossem contornados para revelar dados privados de usuários. Considerando apenas a possibilidade de ter havido acesso à informação por entidades não autorizadas, o risco causado por esse tipo de falha é a perda da

Alternativas
Comentários

  • DISPONIBILIDADE
    Garante que uma informação estará disponível para acesso no momento desejado. Diz respeito à eficácia do sistema, ao correto funcionamento da rede para que quando a informação for necessária ela poderá ser acessada. A perda da disponibilidade se dá quando se tenta acessar uma informação e não se consegue o acesso esperado.



    INTEGRIDADE:
    Garante que o conteúdo da mensagem não foi alterado ou violado indevidamente. Ou seja, mede a exatidão da informação e seus métodos de modificação, manutenção, validade. Há perda da integridade quando a informação é alterada indevidamente ou quando não se pode garantir que a informação é a mais atualizada, por exemplo.



    CONFIDENCIALIDADE:
    Garantir que a informação só será acessível por pessoas autorizadas. A principal forma de garantir a confidencialidade é por meio do controle de acesso (autenticação), já que este controle garante que o conteúdo da mensagem somente será acessado por pessoas autorizadas. A confidencialidade (privacidade) se dá justamente quando se impede que pessoas não autorizadas tenham acesso ao conteúdo da mensagem. Refere-se à proteção da informação contra a divulgação não permitida. A perda da confidencialidade se dá quando alguém não autorizado obtém acesso a recursos/informações.



    AUTENTICIDADE:
    Garante a identidade de quem está enviando a informação, ou seja, gera o não-repúdio que se dá quando há garantia de que o emissor não poderá se esquivar da autoria da mensagem (irretratabilidade). Normalmente não entre como um dos pilares da segurança da informação, mas fica aqui para fechar o mnemônico DICA.

  • (B)


    Muito se comentou nos últimos dias sobre a Heartbleed, uma vulnerabilidade no código OpenSSL que colocou em risco as informações pessoais de milhões de usuários da Internet e de apps móveis.


    Segundo Gary Davis, vice-presidente global de Marketing da divisão Consumer da McAfee, é importante entender que o Heartbleed não é um vírus, mas sim um erro programado no código de criptografia OpenSSL – um padrão de segurança que criptografa as comunicações entre você e os servidores fornecidos pela maioria dos serviços online.


    Embora o bug tenha sido anunciado apenas recentemente, ele tem estado presente nas versões OpenSSL liberadas desde 14 de Março de 2012, dando aos atacantes diversas oportunidades de roubarem certificados ou outras informações confidenciais.

  • Gabarito B

    "Revelar dados privados de usuários", já entrega a questão.... confidencialidade.

     

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !