Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 568 questões

Q872181 Segurança da Informação

Julgue o item seguinte, relativo a mecanismo de segurança em um ambiente computacional.


A análise de riscos define os direitos e as responsabilidades de cada usuário em relação à segurança dos recursos computacionais que utiliza e às penalidades às quais cada um deles está sujeito.

Alternativas
Q870904 Segurança da Informação
Em divulgação recente, a Microsoft listou sete pilares da segurança da informação. Sobre isso, analise as afirmações abaixo:
I. A computação na nuvem possibilita operações seguras, e as configurações são feitas pelo provedor, havendo menos exposição aos riscos. II. Traçar um panorama dos riscos gera certeza na hora de avaliar possíveis otimizações do sistema. III. Uma infraestrutura segura considera um design geral da solução, sem deixar de prestar atenção à proteção dos dados.
Assinale a alternativa INCORRETA.
Alternativas
Q856825 Segurança da Informação

No tocante a segurança e controle em Sistemas de Informação, considere as afirmações que seguem:


1) A gestão do risco é o processo de identificação de um conjunto de medidas que permitam conferir à Empresa o nível de segurança pretendido pela sua Administração. As etapas do processo de gestão do risco são: Identificação dos riscos; Análise de risco; Identificação de controles; Seleção de controles.

2) A norma ISO/IEC 17799 é um standard internacional dedicado à segurança da informação, reconhecido pela sua abrangência e que contém diversas orientações, mais ou menos complexas, que visam contribuir para a definição e manutenção de um determinado nível de segurança das organizações, dos seus colaboradores, instalações e sistemas de informação.

3) O ISO/IEC 17799 está organizado em dez capítulos, que visam cobrir diferentes tópicos ou áreas da segurança: Política de Segurança; Segurança Organizacional; Controlo e Classificação de Bens; Segurança do Pessoal; Segurança Física e Ambiental; Gestão das Comunicações e das Operações; Controlo de Acessos; Desenvolvimento e Manutenção de Sistemas; Gestão da Continuidade do Negócio; e Conformidade.


Está(ão) correta(s):

Alternativas
Q855594 Segurança da Informação
Os princípios da segurança da informação são baseados em três pilares: disponibilidade, integridade e confidencialidade. Dentro de uma infraestrutura de TI, sete domínios são importantes, pois os pilares da segurança da informação desempenham papéis de extrema importância na organização. Cada um desses domínios possui papéis e tarefas, responsabilidades e responsabilização. Um deles é o domínio do usuário, pois define as pessoas que acessam um sistema de informação de uma organização. Assinale a alternativa que apresenta risco, ameaça ou vulnerabilidade pertencente ao domínio do usuário.
Alternativas
Q854142 Segurança da Informação
O método Mosler é muito utilizado para análise e avaliação de riscos organizacionais. Na fase de Análise de Riscos, o método realiza a análise com base em 6 critérios, cada qual usando uma escala de 1 a 5, que reflete a sua gravidade. O critério da
Alternativas
Q854140 Segurança da Informação

Considere, por hipótese, que em um Tribunal foram detectados os seguintes problemas praticados por funcionários no exercício de suas funções:


− uma nota fiscal foi contabilizada no sistema e, posteriormente, o mesmo emitiu uma nota de empenho para receber o valor correspondente no setor financeiro.

− um processo licitatório e de compras fictícias foi inserido pelo funcionário nos respectivos sistemas de compras e de almoxarifado.

− um documento falso foi inserido no sistema e, posteriormente, o mesmo o liberou para pagamento, em benefício próprio.

− uma nota fiscal foi inserida no sistema e o mesmo funcionário atestou a validade da nota fiscal comprobatória da despesa por ele realizada.


Os problemas detectados

Alternativas
Q854000 Segurança da Informação
Em um programa de Gestão de Riscos, o tratamento de riscos tem como objetivo determinar a resposta mais adequada para modificar a probabilidade ou o impacto de um risco. A opção
Alternativas
Q853996 Segurança da Informação

Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho − TST foram detectados os seguintes problemas:


− Fraudes devido a excesso de privilégios de funcionários.

− Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.

− Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.


A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis.


Para chegar ao resultado desejado, um Analista de Sistemas propôs que

Alternativas
Ano: 2017 Banca: FCC Órgão: DPE-RS Prova: FCC - 2017 - DPE-RS - Técnico - Informática |
Q841087 Segurança da Informação

Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de dispositivo como forma de mitigação dos riscos nesse ambiente.


O dispositivo mencionado é o

Alternativas
Q839368 Segurança da Informação

Considere os processos abaixo.


Processos do SGSI

− Planejar.

− Executar.

− Verificar.

− Agir.


Processos de GRSI

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

− Implementação do plano de tratamento do risco.

− Monitoramento contínuo e análise crítica de riscos.

− Manter e melhorar o processo de GRSI.


A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação – SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de GRSI denominado

Alternativas
Q837001 Segurança da Informação

Sobre gerenciamento de riscos, considere:


I. As organizações percebem os riscos somente quando eles estão relacionados a ameaças ao sucesso do projeto e nunca os veem como oportunidades para aumentar as chances de sucesso do projeto. É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes à premiação que pode ser obtida ao se assumir esses riscos.

II. As atitudes em relação aos riscos devem ser explicitadas sempre que possível. Uma abordagem consistente do risco que atenda aos requisitos da organização deve ser desenvolvida para cada projeto, e a comunicação do risco e o seu tratamento devem ser abertos e transparentes.

III. As respostas a riscos refletem o equilíbrio entre enfrentar riscos e evitar riscos considerados por uma organização. Para ser bem-sucedida, a organização deve estar comprometida com uma abordagem de gerenciamento de riscos pró-ativa e consistente durante todo o projeto.

IV. Os riscos que constituem oportunidades, como a aceleração do trabalho que pode ser obtida através da designação de pessoal adicional, podem ser enfrentados em benefício dos objetivos do projeto.


Está correto o que se afirma em

Alternativas
Q835369 Segurança da Informação
O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com o(a)
Alternativas
Q835198 Segurança da Informação
Quando os dados que o usuário dá de entrada são enviados como parte de um comando ou consulta ocorre uma vulnerabilidade de segurança denominada
Alternativas
Q834202 Segurança da Informação
O gerenciamento de riscos é umas das atribuições do gerente de projetos de desenvolvimento de software. Entre as atividades relacionadas a riscos, estão as de identificar riscos, analisar riscos, planejar riscos e monitorar riscos. Assinale a alternativa que indica corretamente o que significa analisar riscos.
Alternativas
Ano: 2014 Banca: FUNCAB Órgão: MDA Prova: FUNCAB - 2014 - MDA - Analista de Suporte |
Q830382 Segurança da Informação
No âmbito de gerenciamento de risco, o conceito de risco pode ser considerado a combinação de dois principais fatores ligados a um evento. Quais são esses fatores?
Alternativas
Q828853 Segurança da Informação

No contexto da gestão de riscos, todo evento que representa um risco deve ser identificado, analisado e estimado. Com esse objetivo, utiliza-se comumente a Matriz de Responsabilidades. Essa matriz indica

I a responsabilidade e deve, também, fornecer informações sobre a pena para o culpado pelo dano.

II os responsáveis, quem deve prestar contas, quem deve ser consultado e quem deve ser informado.

III quem deve prestar contas e o tempo médio esperado para retorno do serviço.

É verdadeiro somente o que se afirma em

Alternativas
Q825061 Segurança da Informação
Como é denominado o processo de avaliação de riscos de proteção que deve continuar durante toda a vida do sistema, a fim de identificar riscos emergentes e alterações que possam ser necessárias para lidar com esses riscos?
Alternativas
Ano: 2013 Banca: FCC Órgão: DPE-RS Prova: FCC - 2013 - DPE-RS - Analista - Informática |
Q807368 Segurança da Informação
A gestão de riscos compreende atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Considere I. As análises/avaliações de riscos devem ser realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer. II. O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da organização, em um sistema de informação específico, em componentes de um sistema específico ou em serviços onde isto seja praticável, realístico e útil. III. Antes de considerar o tratamento de um risco, a organização deve definir os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização. Está correto o que consta em
Alternativas
Q786852 Segurança da Informação
A Norma Brasileira ABNT NBR ISO/IEC 27005:2011 é responsável pela Tecnologia da Informação – Técnicas de Segurança – Gestão de riscos de Segurança da Informação, fornecendo diretrizes para o processo de gestão de riscos de segurança da informação, de acordo com os padrões do Sistema de Gestão de Segurança da Informação (SGSI). Os gestores, além do pessoal envolvido com a gestão de riscos de segurança da informação em uma organização, são as pessoas que têm maior interesse nesta norma, ou também entidades externas que dão suporte a essas atividades. Esta norma apresenta diversas atividades que possuem: Entrada; Ação; Diretrizes para implementação; e, Saída. “Trata-se da comunicação que é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os tomadores de decisão e as outras partes interessadas.” A afirmativa anterior trata-se de:
Alternativas
Q786851 Segurança da Informação
A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa estabelecer um número de princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta corretamente o respectivo processo:
Alternativas
Respostas
301: E
302: E
303: E
304: A
305: B
306: D
307: C
308: E
309: B
310: A
311: D
312: B
313: E
314: B
315: A
316: C
317: C
318: A
319: C
320: C