Questões de Segurança da Informação - Vírus e malwares

A segregação de regras de controle de acessos no órgão é
fundamentada na ideia de que o atendimento a pedidos de
acesso, a autorização dos acessos propriamente ditos e a
administração dos acessos são realizados por uma mesma
pessoa no órgão.

A abordagem e o desenho dos controles de acesso físico e
lógico no órgão deve ser feita de forma independente.

A autenticação baseada em três fatores é válida unicamente
para sistemas de controle de acesso lógico, e não para sistemas
de controle de acesso físico.

Em aderência aos controles previstos pela norma
ISO/IEC 27001, faz-se necessário utilizar a autenticação
baseada em dois fatores, tanto no acesso de origem externa à
rede quanto no acesso de qualquer usuário ao sistema
operacional, desde que esses ativos estejam incluídos em um
escopo de implantação de um sistema de gestão da segurança
da informação.

Para que os controles de acessos físico e lógico sejam
implementados de forma consistente em diferentes sistemas e
redes do órgão, é recomendada a prévia classificação, quanto
à segurança necessária, dos ativos de informação a eles
relacionados.

deve produzir ou obter a lista de processos de negócios aos
quais estarão vinculados os demais ativos de informação a
serem identificados na atividade de identificação de riscos.

deve particionar entre os quatro membros a responsabilidade
pelo desempenho dos seguintes papéis, entre outros:
identificação e análise das partes interessadas, estabelecimento
de ligações com as funções de gerência de riscos de alto nível,
especificação dos critérios para a avaliação dos riscos,
estimativa de impactos e aceitação do risco para a organização.

deve aplicar uma metodologia de análise quantitativa de riscos,
excluindo a aplicação de uma metodologia qualitativa.

deve implantar o sistema de gestão de segurança da
informação, antes de desenvolver o plano de gestão de riscos.

deve particionar entre seus quatro membros a responsabilidade
da execução simultânea das seguintes atividades: definição do
escopo, identificação dos riscos, tratamento dos riscos e
comunicação do risco.

atualizar o programa antivírus apenas quando uma
ameaça for detectada.

executar o aplicativo apenas quando o computador
for iniciado.

não examinar arquivos do tipo executável.

não verificar unidades de armazenamento removíveis.

verificar arquivos anexados a e-mails.

O 3DES é um padrão que apresenta 1.024 bits.

O AES é um padrão de chave assimétrica de 256 bits.

Em criptossistemas de chaves públicas, apenas o emissor
responsável pela geração da chave privada tem acesso à chave
pública do receptor.

A criptografia simétrica garante a integridade das informações
que se quer proteger, não sendo possível utilizá-la para
confidencialidade nem para autenticação.

Um algoritmo assimétrico conta com duas chaves, e qualquer
uma delas pode ser usada, alternadamente, tanto para
criptografar quanto para decriptografar.

IMAP e WPA.

POP3 e WPA2.

SNMP e WEP.

WEP e WPA.

WPA2 e HTTP.