Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 568 questões
A execução de ferramentas que exploram falhas de segurança de maneira automática pode interromper a aplicação ou serviço que esteja sob um teste de ataque, por isso, para evitar a parada de serviços em produção, recomenda-se utilizar janelas de teste como boa prática de segurança.
A análise de riscos define os direitos e as responsabilidades de cada usuário em relação à segurança dos recursos computacionais que utiliza e às penalidades às quais cada um deles está sujeito.
Distintas classes de risco podem exigir a aplicação de diferentes critérios de risco.
Os riscos devem ser identificados, quantificados e priorizados, com base nos critérios definidos pela área de tecnologia da informação (TI) da organização.
A identificação de ameaças visa produzir a lista das vulnerabilidades que são potencialmente exploráveis.
Controles preventivos alertam sobre a ocorrência de violações.
Mecanismos de controle de acesso, identificação e autenticação são exemplos de controles técnicos.
Os processos de preparação e manutenção de resposta devem ser definidos segundo uma política de gestão de continuidade de negócios.
A análise de vulnerabilidades é fundamental para um processo de análise de risco, pois permite identificar os elementos dos sistemas de informação e os ativos de informação que estão potencialmente ameaçados. Entretanto, nem toda vulnerabilidade encontrada estará diretamente relacionada com riscos identificados, haja vista que os riscos se configuram a partir da intenção potencial de se explorar uma vulnerabilidade.
Texto 4A04-III
Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas, promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo de identificação, mensuração e tratamento do risco, com intuito de atender a população de forma ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de negócio, tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações (TIC) o plano de recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks, geradores, equipamentos de refrigeração e sistema de supressão de incêndio de alta disponibilidade. Estima-se em torno 15 dias a recuperação do ambiente a partir do zero, o que significa reconfigurar todos os servidores e posteriormente recuperar os becapes. A restauração dos serviços críticos para um ambiente secundário, no qual já estejam configurados os servidores, mas necessitam de sincronização dos dados, leva em torno de dois dias. O tempo total de recuperação de negócio dos serviços críticos de TIC do tribunal não pode exceder três dias. Outro ponto de interesse é o cenário de restrição econômica do país, refletido no tribunal.
O departamento de TI da Security10 está envolvido no desenvolvimento de uma aplicação Web, mas está com receio de lançá-la em produção sem antes efetuar alguns testes de segurança. Como João acabou de ser admitido para a vaga em segurança, coube a ele realizar essa tarefa. Seu chefe de equipe sabe que, para a realização deste tipo de teste, é comum a utilização de plataformas que incluem recursos como proxy, scanner de vulnerabilidades e rastreamento de mensagens e conteúdo e, portanto, disponibilizou o seu próprio computador para que João realize os testes.
A ferramenta adequada para a realização dos testes requisitados é
Conheça nossos planos