E aí caboco!
Logo abaixo, são apresentadas mais 4 questões da matéria de Segurança da Informação, parte da prova do concurso de 2004 (Regional); encerrando assim, parte de um dos objetivos do blog: comentar todas as questões desse tema, inclusas nas provas mais recentes para o cargo de perito (área 3) da PF. Dessa forma, peço para que me envie um e-mail ou deixe um comentário com as questões do mesmo tema que deseja que sejam comentadas neste blog, de preferência da banca CESPE/UNB.
Dentre os tópicos principais dentro do tema de Segurança, destacam-se: forense computacional, segurança de redes (firewall, ids), auditoria, política de segurança, normas, criptografia (apesar de tratarmos separadamente aqui), ataques, malware. Além destes, acredito que algumas questões possam abordar conhecimento de diversos temas, por exemplo: engenharia reversa, assembly; ataques de injeção de código, sql, asp, php; DoS (redes, sistemas operacionais); segurança em navegadores; análise de logs, etc. Sem contar, os temíveis cenários! E aí, no que tem mais dificuldade? Manda aí!
Segue texto das questões:
Comentários:
107 Essa aí é conhecida de todos, mesmo pelos que só leram o resumo da sinopse das apostilas de SI, trata-se da tríade de SI: Confidencialidade, Integridade e Disponibilidade (o famoso ‘CIA’, em Inglês).
108 Utilizando-se de uma linguagem bem clara, pode-se pensar da seguinte forma. Se algum evento ou incidente, que pode ser a exploração de uma vulnerabilidade (pressupõe-se a existência da ameaça), ocorre em maior frequência, conclui-se que o risco desse evento ocorrer é maior, correto? Entretanto, durante a avaliação de risco – diferente da análise de risco -, ainda não se tem ideia dos controles implementados, concorda? O que se tem é probabilidade do evento ocorrer, valor do ativo envolvido, relevância ao negócio, etc. Na minha – humilde – opinião, está errada; mas a banca anulou esta questão.
109 Após definir as áreas, devem existir controles de acesso a estas áreas, não é mesmo? Entretanto, o texto não afirma que para obter segurança se faz suficiente a definição de áreas, na verdade, o examinador utiliza a palavra ‘contribui’. Definir zonas ou áreas de segurança contribui para aquele objetivo? Sim.
110 Essa aborda o tópico de Gestão de Continuidade de Negócios (GCN), o que abrange bastante coisa. Continuidade relaciona-se diretamente à disponibilidade, esta é mantida em um nível elevado ou aceitável por meio da existência de controles de segurança efetivos. Por conseguinte, obtém-se a prevenção de danos, sejam eles de pequeno ou grande impacto ao negócio.
Até a próxima e bons estudos!
Gabarito:
107-C 108-Anulada 109-C 110-C
PCF-3 