Questões de Segurança da Informação

João trabalha numa organização que está em negociação para fechar contrato com uma empresa prestadora de serviço de vigilância eletrônica, a qual apresentou o certificado ISO 27001:2013 conquistado recentemente. Com base nessas informações, já é possível que João possa garantir a qualidade na gestão da segurança da informação no serviço que se pretende contratar?  

Um agente do TCE deseja implantar o controle “Trabalho Remoto” descrito na ABNT NBR ISO/IEC 27002:2013 e, para isso, verificou os pontos que deveriam ser considerados nas diretrizes dessa norma técnica. De acordo com a norma, o agente deve atentar para

Os executivos responsáveis por uma empresa decidiram, recentemente, migrar toda sua força de trabalho para o modelo de home-office. Para facilitar essa migração, os serviços de diretório de identidades e armazenamento de arquivos foram migrados para provedores de serviços externos (nuvem pública), em que os usuários têm acesso diretamente aos serviços, sem necessidade de estar na rede da empresa.
Nesse sentido, assinale a opção que indica a ação efetiva para prover visibilidade sobre o uso dos serviços externos; controle sobre os cumprimentos das políticas de segurança da informação; e proteção contra vazamento de identidades.

Um sistema criptográfico tipicamente depende de duas partes: seu algoritmo, que determina as operações que precisam ser feitas para proteger uma mensagem, e sua chave, que age como entropia para a proteção da mensagem. De forma geral, o algoritmo deverá ser capaz de, ao receber uma mensagem em texto legível, aciona a chave que gerará uma nova mensagem não compreensível para qualquer um que não possua a chave. Porém, durante os anos, criptoanalistas desenvolveram métodos para tentar descobrir as chaves secretas.
Nesse sentido, analise os métodos a seguir.
I. Ataque de texto cifrado (cyphertext-only): o criptoanalista tem uma grande biblioteca de mensagens cifradas, mas desconhece as originais e as chaves utilizadas. Seu objetivo é recuperar as mensagens normais (deduzir as chaves utilizadas).
II. Ataque de texto conhecido (known-plaintext): o criptoanalista possui uma grande biblioteca de mensagens criptografadas e também as mensagens originais equivalentes. Seu objetivo é deduzir as chaves utilizadas.
III. Ataque adaptativo do texto escolhido (adaptative-choosenplaintext): neste método o criptoanalista utiliza blocos de informações em texto puro para descobrir através da tentativa e erro entre todas as combinações possíveis as chaves de criptografia.
IV. Ataque do texto cifrado escolhido (choosen-cyphertext): o criptoanalista tem uma grande quantidade de mensagens e seus equivalentes criptografados e pode produzir uma mensagem criptografada específica para ser decifrada e obter o resultado produzido. É utilizado quando se tem uma "caixapreta" que faz descriptografia automática. Sua tarefa é deduzir chaves utilizadas.
Os métodos que estão corretamente descritos são:

Os executivos responsáveis por uma empresa decidiram, recentemente, migrar toda sua força de trabalho para o modelo de home-office. Para facilitar essa migração, os serviços de diretório de identidades e armazenamento de arquivos foram migrados para provedores de serviços externos (nuvem pública), onde os usuários têm acesso diretamente aos serviços sem necessidade de estar na rede da empresa.
Nesse sentido, assinale a opção que indica a ação efetiva para:
- Prover visibilidade sobre o uso dos serviços externos.
- Controle sobre os cumprimentos das políticas de segurança da informação.
- Proteção contra vazamento de identidades.