Prova do Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024) - Questões Comentadas

Limpar Busca

Segurança da Informação ICP-Brasil


Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024)

A Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual de cidadãos e de empresas.

Sobre a hierarquia da ICP-Brasil, é correto afirmar que:

  • A a Autoridade Certificadora do Tempo (ACT) tem a responsabilidade geral pelo fornecimento do Carimbo do Tempo, que é o conjunto de atributos fornecidos pela parte confiável do tempo que, associado a uma assinatura digital, confere prova da sua existência em determinado período de tempo;
  • B o Prestador de Serviço de Suporte (PSS) é responsável pela interface entre o usuário e a Autoridade Certificadora (AC), tendo por objetivo o recebimento, a validação e o encaminhamento de solicitações de emissão ou revogação de certificados digitais;
  • C uma Autoridade Certificadora (AC) é uma entidade pública, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais;
  • D a Autoridade de Registro (AR) verifica se as ACs estão atuando em conformidade com as diretrizes e normas técnicas estabelecidas pelo Comitê Gestor da ICP-Brasil;
  • E os Prestadores de Serviço Biométrico (PSBios) gerenciam bancos de dados biométricos e emitem certificados digitais.

Segurança da Informação Norma ISO 27001


Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024)

A norma ISO/IEC 27001 é um padrão internacional que define requisitos a que um Sistema de Gestão de Segurança da Informação (SGSI) deve atender. Ela se divide em duas partes: o texto da norma em si, que descreve os requisitos de forma abrangente, e o Anexo A, mais detalhado e objetivo, que tem por função:

  • A estabelecer a política de certificação digital;
  • B especificar os papéis e responsabilidades da alta administração;
  • C delinear o processo de avaliação de riscos;
  • D fornecer orientação sobre a implementação de controles de segurança da informação;
  • E definir o escopo do Sistema de Gestão de Segurança da Informação.

Segurança da Informação Controles de segurança


Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024)

As recomendações de segurança CIS Critical Security Controls, estruturadas em camadas, envolvem à implementação de um conjunto de controles de segurança. Em sua versão 8, são compostas por 18 níveis ou controles macro.

Sobre esses controles, aquele que está definido corretamente de acordo com a especificação é o:

  • A controle CIS 5: Gerenciamento de Controle de Acesso - visa a estabelecer e manter a configuração segura de ativos corporativos (dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não computacionais/IoT; e servidores) e software (sistemas operacionais e aplicativos);
  • B controle CIS 7: Gerenciamento de Controle de Acesso - usa processos e ferramentas para atribuir e gerenciar a autorização de credenciais para contas de usuário, incluindo contas de administrador, bem como contas de serviço, para ativos e software corporativos;
  • C controle CIS 1: Gerenciamento Contínuo de Vulnerabilidades - coleta, alerta, revisão e retenção de logs de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque;
  • D controle CIS 11: Teste de Penetração - indica processos e ferramentas para estabelecer e manter monitoramento de rede abrangente e defesa contra ameaças de segurança em toda a infraestrutura de rede e base de usuários da empresa;
  • E controle CIS 3: Proteção de dados - desenvolve processos e controles técnicos para identificar, classificar, manipular, reter e descartar dados com segurança

Segurança da Informação Criptografia


Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024)

João foi incumbido de implementar criptografia em seus sistemas de informação para aprimorar o nível de segurança na troca de informações sigilosas entre os analistas da CVM. Entre outras decisões, deve definir se e quando empregar os modelos de criptografia simétrica e assimétrica.

Para isso, é necessário levar em consideração que:

  • A a criptografia assimétrica utiliza um par de chaves, em que a chave pública é usada para decriptação de mensagens encriptadas pela chave privada correspondente;
  • B na criptografia assimétrica, a chave pública pode ser utilizada tanto para autenticação de uma mensagem encriptada pela chave privada correspondente, como para encriptação de mensagens, as quais só podem ser decriptadas pela chave privada correspondente;
  • C para autenticação de mensagens na criptografia assimétrica, gera-se um hash da mensagem, que é encriptado com a chave pública, gerando uma assinatura digital;
  • D a criptografia assimétrica veio substituir os algoritmos de criptografia simétrica, principalmente em grandes volumes de dados, em virtude de o esforço computacional envolvido na criptografia assimétrica ser normalmente muito menor;
  • E a criptografia assimétrica e a simétrica coexistem, sendo a simétrica normalmente utilizada para compartilhar as chaves utilizadas na criptografia assimétrica.

Segurança da Informação Controles de segurança


Comissão de Valores Mobiliários (CVM) - Analista CVM - Perfil 9 - TI / Infraestrutura e Segurança - Tarde - FGV (2024)

A equipe de Tecnologia da Informação (TI) de um órgão realizou o processo de hardening nos ativos da organização para minimizar a possibilidade de acessos não autorizados, garantir a disponibilidade do serviço e assegurar a integridade dos dados, mantendo os sistemas estáveis e fidedignos.

Uma boa prática de hardening, baseada em IPV4, adotada pela equipe de TI é:

  • A utilizar usuário comum para todos os administradores do ativo para reduzir a quantidade de usuários no sistema, visando a reduzir o acesso indevido e manter a confidencialidade;
  • B manter o registro dos usuários sem suas respectivas permissões para preservar a confidencialidade;
  • C manter a porta padrão do serviço, garantindo o seu acesso, a fim de preservar a integridade e disponibilidade do ativo;
  • D desabilitar os protocolos de descoberta de vizinhança para impedir a inundação da rede com mensagens desnecessárias, mantendo a disponibilidade;
  • E ativar serviços não utilizados para usá-los como honey pot no ambiente de produção, garantindo a disponibilidade do serviço principal.