Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 568 questões
Julgue o item seguinte, relativo a mecanismo de segurança em um ambiente computacional.
A análise de riscos define os direitos e as responsabilidades de
cada usuário em relação à segurança dos recursos
computacionais que utiliza e às penalidades às quais cada um
deles está sujeito.
I. A computação na nuvem possibilita operações seguras, e as configurações são feitas pelo provedor, havendo menos exposição aos riscos. II. Traçar um panorama dos riscos gera certeza na hora de avaliar possíveis otimizações do sistema. III. Uma infraestrutura segura considera um design geral da solução, sem deixar de prestar atenção à proteção dos dados.
Assinale a alternativa INCORRETA.
No tocante a segurança e controle em Sistemas de Informação, considere as afirmações que seguem:
1) A gestão do risco é o processo de identificação de um conjunto de medidas que permitam conferir à Empresa o nível de segurança pretendido pela sua Administração. As etapas do processo de gestão do risco são: Identificação dos riscos; Análise de risco; Identificação de controles; Seleção de controles.
2) A norma ISO/IEC 17799 é um standard internacional dedicado à segurança da informação, reconhecido pela sua abrangência e que contém diversas orientações, mais ou menos complexas, que visam contribuir para a definição e manutenção de um determinado nível de segurança das organizações, dos seus colaboradores, instalações e sistemas de informação.
3) O ISO/IEC 17799 está organizado em dez capítulos, que visam cobrir diferentes tópicos ou áreas da segurança: Política de Segurança; Segurança Organizacional; Controlo e Classificação de Bens; Segurança do Pessoal; Segurança Física e Ambiental; Gestão das Comunicações e das Operações; Controlo de Acessos; Desenvolvimento e Manutenção de Sistemas; Gestão da Continuidade do Negócio; e Conformidade.
Está(ão) correta(s):
Considere, por hipótese, que em um Tribunal foram detectados os seguintes problemas praticados por funcionários no exercício de suas funções:
− uma nota fiscal foi contabilizada no sistema e, posteriormente, o mesmo emitiu uma nota de empenho para receber o valor correspondente no setor financeiro.
− um processo licitatório e de compras fictícias foi inserido pelo funcionário nos respectivos sistemas de compras e de almoxarifado.
− um documento falso foi inserido no sistema e, posteriormente, o mesmo o liberou para pagamento, em benefício próprio.
− uma nota fiscal foi inserida no sistema e o mesmo funcionário atestou a validade da nota fiscal comprobatória da despesa por ele realizada.
Os problemas detectados
Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho − TST foram detectados os seguintes problemas:
− Fraudes devido a excesso de privilégios de funcionários.
− Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.
− Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.
A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis.
Para chegar ao resultado desejado, um Analista de Sistemas propôs que
Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de dispositivo como forma de mitigação dos riscos nesse ambiente.
O dispositivo mencionado é o
Considere os processos abaixo.
Processos do SGSI
− Planejar.
− Executar.
− Verificar.
− Agir.
Processos de GRSI
− Definição do contexto.
− Avaliação de riscos.
− Definição do plano de tratamento do risco.
− Aceitação do risco.
− Implementação do plano de tratamento do risco.
− Monitoramento contínuo e análise crítica de riscos.
− Manter e melhorar o processo de GRSI.
A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação
– SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de
GRSI denominado
Sobre gerenciamento de riscos, considere:
I. As organizações percebem os riscos somente quando eles estão relacionados a ameaças ao sucesso do projeto e nunca os veem como oportunidades para aumentar as chances de sucesso do projeto. É possível aceitar os riscos que constituem ameaças ao projeto se eles forem equivalentes à premiação que pode ser obtida ao se assumir esses riscos.
II. As atitudes em relação aos riscos devem ser explicitadas sempre que possível. Uma abordagem consistente do risco que atenda aos requisitos da organização deve ser desenvolvida para cada projeto, e a comunicação do risco e o seu tratamento devem ser abertos e transparentes.
III. As respostas a riscos refletem o equilíbrio entre enfrentar riscos e evitar riscos considerados por uma organização. Para ser bem-sucedida, a organização deve estar comprometida com uma abordagem de gerenciamento de riscos pró-ativa e consistente durante todo o projeto.
IV. Os riscos que constituem oportunidades, como a aceleração do trabalho que pode ser obtida através da designação de pessoal adicional, podem ser enfrentados em benefício dos objetivos do projeto.
Está correto o que se afirma em
No contexto da gestão de riscos, todo evento que representa um risco deve ser identificado, analisado e estimado. Com esse objetivo, utiliza-se comumente a Matriz de Responsabilidades. Essa matriz indica
I a responsabilidade e deve, também, fornecer informações sobre a pena para o culpado pelo dano.
II os responsáveis, quem deve prestar contas, quem deve ser consultado e quem deve ser informado.
III quem deve prestar contas e o tempo médio esperado para retorno do serviço.
É verdadeiro somente o que se afirma em