Durante a análise de riscos de segurança da informação em um Órgão público, um Analista de Tl é responsável por aplicar os princípios da ABNT NBR ISO/IEC 27005 para definir controles e priorizar ações preventivas. Ao elaborar a matriz de riscos do ambiente de infraestrutura crítica, ele deve assegurar que o processo seja coerente com a metodologia da norma. Nesse contexto, a ação mais alinhada às boas práticas é:

Uma Agência Estadual de TI está revisando suas estratégias de cibersegurança e decide adotar o NIST CSF 2.0. Para isso, a equipe de TI listou os seguintes objetivos de alto nível da Agência, visando mapeá-los às funções do framework:

1. Determinar o apetite de risco de cibersegurança e supervisionar a conformidade regulatória em nível executivo.

2.  Garantir que todos os novos funcionários recebam treinamento obrigatório sobre políticas de senha baseado em 2FA antes de terem acesso aos sistemas.

3.  Estabelecer procedimentos formais para reverter a produção ao estado pré-ataque após um grande incidente de ransomwere.

4. Analisar o impacto potencial e a probabilidade de um ataque de phishing direcionado para classificar a exposição da empresa ao risco.

Os objetivos de 1 a 4 correspondem, correta e respectivamente, às funções do NIST CSF 2.0:

Um Analista de uma Agência Estadual de TI identificou que alguns funcionários acumulavam papéis que poderiam gerar conflito de interesses. Um exemplo envolvia um funcionário que possuía os papéis “Solicitante de Pagamento” e *Aprovador de Pagamento”; embora ele pudesse manter ambos os papéis, o sistema deveria impedir que atuasse sobre o mesmo pagamento. Com base nos conceitos de segregação de funções ou Separation of Duties (SoD), o tipo de controle que se aplica a essa situação é:

De acordo com a ABNT NBR ISO/IEC 27002:2022, para a proteção contra malware deve ser estabelecido o controle e o propósito abaixo:

-  Controle: Convém que a proteção contra malware seja implementada e apoiada pela conscientização adequada do usuário.

-  Propósito: Assegurar que informações e outros ativos associados estejam protegidos contra malwares.

Considerando o controle e o propósito acima, convém que a organização

A equipe de TI passou a revisar rotinas de backup e recuperação de dados, bem como procedimentos relacionados à segurança da informação, incluindo uso de antivírus, configuração de firewall e orientação aos usuários quanto a práticas seguras de utilização dos recursos computacionais. Durante uma reunião de capacitação interna, foram apresentadas algumas afirmações relacionadas a essas práticas. Analise-as e assinale V, para as verdadeiras, e F, para as falsas:

(   ) Rotinas de backup podem ser realizadas de diferentes formas, como cópias completas ou incrementais, sendo recomendável que os procedimentos sejam planejados de acordo com a criticidade das informações armazenadas.

(   ) Ferramentas de backup permitem restaurar arquivos ou sistemas após eventos como exclusão acidental, falhas de armazenamento ou incidentes de segurança, desde que existam cópias previamente registradas.

(   ) Softwares antivírus são utilizados para identificar e remover programas potencialmente maliciosos, podendo atuar também no monitoramento de arquivos e processos em execução.

(   ) Firewalls são mecanismos que auxiliam no controle do tráfego de rede, permitindo definir regras de comunicação entre sistemas e contribuindo para a proteção de ambientes computacionais.

(   ) Práticas seguras de uso dos sistemas incluem cuidados como atualização periódica de softwares, atenção a arquivos recebidos de fontes desconhecidas e utilização responsável de credenciais de acesso.

(   ) A realização de backup elimina a necessidade de outras medidas de segurança da informação, já que a existência de cópias de dados costuma ser suficiente para prevenir incidentes relacionados à perda ou exposição de informações.

Assinale a alternativa que apresenta a sequência CORRETA de V (verdadeiro) e F (falso):

Durante a implementação de políticas de segurança da informação em um órgão público, o gestor de tecnologia adotou diversas medidas com o objetivo de proteger os dados institucionais. Entre as decisões tomadas, destacam-se: restrição de acessos por perfil de usuário, implantação de registros de logs, definição de rotinas de backup e treinamento dos servidores quanto ao uso adequado dos sistemas.

Considerando os princípios e boas práticas de segurança da informação, assinale a alternativa correta:

A manipulação de cadeias de caracteres em computação exige cautela quanto ao terminador nulo e ao tamanho dos vetores alocados para evitar vulnerabilidades de segurança. Considerando o tratamento de vetores de caracteres em memória, analise as afirmativas a seguir:

I.A função de cópia de strings padrão da linguagem C não verifica o limite do destino, podendo causar estouro de pilha se a origem for maior que o espaço alocado.

II.O comprimento de uma string, retornado por funções de biblioteca, contabiliza todos os caracteres visíveis e inclui obrigatoriamente o caractere terminador nulo na contagem final.

III.Em sistemas que utilizam codificação de caracteres Universal Coded Character Set Transformation Format - 8-bit (UTF-8), um único caractere pode ocupar mais de um byte de memória.

Está correto o que se afirma em:

A segurança da informação baseia-se em pilares fundamentais que garantem a proteção dos ativos digitais contra ameaças internas e externas. Considerando as técnicas de criptografia e os planos de contingência, analise as afirmativas a seguir:

I.A criptografia de chave assimétrica utiliza um par de chaves matematicamente relacionadas, denominadas chave pública e chave privada, para realizar os processos de cifragem e decifragem de dados.

II.O backup do tipo incremental realiza a cópia exclusivamente de todos os arquivos do sistema de armazenamento, independentemente de terem sido alterados ou não desde a última execução completa.

III.O princípio da integridade garante que a informação não seja modificada ou corrompida de forma não autorizada durante o seu armazenamento ou trânsito por redes de comunicação públicas.

Está correto o que se afirma em: