SóProvas

ID
3359719
Banca
CESPE / CEBRASPE
Órgão
TJ-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Texto 4A04-II


Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as páginas web com uso de engenharia social, e a propagação na rede através de exploração de vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns da rede.

                                              Internet:  <www.exame.com.br> (com adaptações).

A gestão de ativos é um dos principais conceitos abordados na gestão de segurança da informação. São controles da gestão de ativos:

Alternativas
Comentários

  • ISO 27002

    SEÇÃO 02: Organização da Segurança da Informação

    a. Organização Interna

    b. Dispositivos móveis e trabalho remoto

    Seção 04 - Gestão de Ativos

    a. Responsabilidade pelos ativos

    b. Classificação da Informação

    c. Tratamento de Mídias

    SEÇÃO 05: Controle de Acesso

    a. Requisitos do negócio para controle de acesso

    b. Gerenciamento de acesso do usuário

    c. Responsabilidades dos usuários

    d. Controle de acesso ao sistema e à aplicação

    SEÇÃO 06: Criptografia

    a. Controles criptográficos

    SEÇÃO 10: Aquisição, Desenvolvimento e Manutenção de Sistemas

    a. Requisitos de Segurança de sistemas de informação

    b. Segurança em processos de desenvolvimento e de suporte

    c. Dados para teste

    viii. Teste de segurança do sistema

  • Complementando o comentário do colega...

     

    Enunciado: "São controles da gestão de ativos..." ou seja... está pedindo controles da seção 8 (Gestão de ativos) da 27002.

    a) responsabilidade pelos ativosdispositivos móveis e trabalho remoto, classificação da informação.

    b) responsabilidade pelos ativos, gerenciamento de mídias removíveis, dispositivos móveis e trabalho remoto

    c) controle de acesso dos ativos, teste de segurança do sistema, dispositivos móveis e trabalho remoto.

    d) teste de segurança do sistema, tratamento de mídias, criptografia.

    e) classificação da informação, responsabilidade pelos ativos e tratamento de mídias.

      

    Seções, objetivos de controle e controles citados nas alternativas:

    6 Organização da segurança da informação

    6.1 Organização interna

    6.2 Dispositivos móveis e trabalho remoto

    8 Gestão de ativos

    8.1 Responsabilidade pelos ativos

    8.2 Classificação da informação

    8.2.1 Classificação da informação

    8.3 Tratamento de mídias

    8.3.1 Gerenciamento de mídias removíveis

    9 Controle de acesso

    10 Criptografia

    14 Aquisição, desenvolvimento e manutenção de sistemas

    14.2 Segurança em processos de desenvolvimento e de suporte

    14.2.8 Teste de segurança do sistema

      

    Se for levar ao pé da letra na norma, nenhuma alternativa estaria correta, pois o enunciado pede por controles.

    A alternativa E, dada como certa, cita os objetivos de controle da gestão de ativos.

    Ainda dá para quebrar um galho por citar classificação da informação, que possui um controle (8.2.1) com o mesmo nome do seu respectivo objetivo de controle (8.2).

      

    Fonte: ABNT NBR ISO/IEC 27002:2013

  • Esta questão é de Segurança a Informação -> 27002