Em 2011, em uma operação conhecida como “Operation Cupcake”, a MI6 - agência britânica de inteligência – atacou uma revista online da Al-Qaeda. A revista continha instruções para a construção de bombas, que foram substituídas por receitas de bolo.
Este incidente de segurança envolvendo a MI6 e a Al-Qaeda envolve qual princípio de segurança da informação?

Alternativas:

a)
Apenas confidencialidade

b)
Apenas integridade

Alternativa assinalada
c)
Apenas disponibilidade

d)
Nenhuma

e)
Confidencialidade e integridade

2)
Um sistema criptográfico é composto pelo algoritmo criptográfico e pelas chaves criptográficas. A fraqueza ou vulnerabilidade pode existir no algoritmo, na implementação do algoritmo ou na chave criptográfica. Um incidente de segurança recente fez com que chaves criptográficas utilizadas pelo governo americano fossem comprometidas.

Qual controle de segurança deve tratar de situações com essa relacionada ao comprometimento de chaves criptográficas?

Alternativas:

a)
Gestão de chaves criptográficas

Alternativa assinalada
b)
Criptografia de chave pública

c)
Hash criptográfico

d)
Firewall

e)
Backup

3)
A segurança da informação possui um conjunto de funções, que são: identificação, proteção, detecção, resposta e recuperação. É preciso controles de segurança para cada uma das funções, como para fazer a proteção, como o firewall, ou para fazer a detecção, como o IDS.

Qual é a norma ou framework que define controles de segurança com base nessas cinco funções de segurança?

Alternativas:

a)
CIS Controls

b)
NIST Cybersecurity Framework

Alternativa assinalada
c)
ABNT NBR ISO/IEC 27001

d)
ABNT NBR ISO/IEC 27002

e)
LGPD

4)
Um passo importante para o sucesso da política de segurança e privacidade é que ela reflita, da melhor forma possível, as características de cada empresa. Ela deve ser plausível e deve ser aplicável, ou seja, a política deve definir as diretrizes a serem seguidas por todos, e deve definir controles de segurança que deverão ser efetivamente implementados.



Além destas características, considere as citadas a seguir:

i. Ser organizada de acordo com o seu público-alvo

ii. Estar acessível

iii. Estar sempre atualizada

iv. Ser comunicada regularmente

Qual alternativa indica as características adicionais que uma política de segurança deve ter?

Alternativas:

a)
Somente i e ii

b)
Somente ii e iii

c)
Somente iii e iv

d)
Somente ii e iv

e)
I, ii, iii e iv

Alternativa assinalada
5)
No modelo (i), a responsabilidade de todos os elementos é da própria empresa: aplicações, dados, execução (runtime), middleware, sistema operacional (O/S), virtualização, servidores, armazenamento (storage) e redes. Do lado oposto, no (ii), o fornecedor ou provedor do software como serviço é o responsável por toda a segurança daquele software. No modelo (iii), o que o fornecedor ou provedor oferece é a plataforma de computação, com a aplicação e os dados sendo de responsabilidade da empresa. Neste caso, os sistemas operacionais e o middleware são de responsabilidade do provedor. Já no modelo (iv), a empresa contrata a infraestrutura como serviço, o que inclui as redes, armazenamento, virtualização e parte do sistema operacional. A empresa deve, neste caso, cuidar da segurança do sistema operacional, middleware, ambiente de execução, dados e aplicações.

Assinale a alternativa que preenche as lacunas correspondentes (i), (ii), (iii) e (iv).

Alternativas:

a)
IaaS, PaaS, SaaS, on premises

b)
On premises, SaaS, PaaS, IaaS

Alternativa assinalada
c)
On premises, IaaS, PaaS, SaaS

d)
SaaS, on premises, IaaS, PaaS

e)
On premises, PaaS, SaaS, IaaS