Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

No desenvolvimento de aplicações Web, uma medida de proteção simples para a vulnerabilidade Quebra de Autenticação e Gerenciamento de Sessão é:

Uma das vulnerabilidades em aplicações Web é caracterizada pela manipulação de referências a um objeto utilizado na implementação da aplicação para acessar outros objetos sem autorização. Esse tipo de vulnerabilidade é conhecido como:

Um Analista da área de TI, ao participar da elaboração de ações de Gestão de Riscos (GR), afirmou, corretamente, que

A suscetibilidade da informação sobre o objeto a uma distorção relevante, pressupondo que não haja controles, é a definição de:

O processo de análise de riscos, em conformidade com a estrutura de gestão de riscos, é precedida e sucedida, respectivamente,

Com o crescimento da internet nas organizações, surgiram alguns problemas sobre segurança da informação. As organizações começaram a investir pesadamente nos seus funcionários e prestadores de serviços para diminuir os riscos de perdas financeiras na área de TI. Baseado nessa situação, quais os três fatores críticos de sucesso e influenciadores dos critérios de proteção da segurança da informação?

A sequência correta é:

Sobre Controle de falhas em aplicações (OWASP - Open Web Application Security Project) é incorreto afirmar: 

Um completo programa de gestão de riscos de TI avalia os riscos relativos a diversas categorias, como as listadas abaixo:

I. Conjunto de riscos relativos às ameaças internas ou externas que podem resultar em acessos não autorizados a alguma informação. Incluem-se aqui os riscos relativos ao vazamento de dados, privacidade de dados e fraudes. Inclui-se também uma ampla gama de ameaças externas como ataque por vírus, ataques às aplicações, usuários e informações específicas, bem como ataque a sistemas que as pessoas confiam e utilizam frequentemente.

II. Trata-se do risco de uma informação apresentar-se inacessível devido a interrupções não planejadas em sistemas. As organizações têm a responsabilidade de manter seus sistemas de negócio operacionais. Como resultado, precisam reduzir os riscos de perda ou corrupção de dados e de indisponibilidade de aplicações. E, no caso de uma falha, os negócios devem ser recuperados em um prazo adequado.

III. É o risco de uma informação apresentar-se inacessível devido a limitações de escalabilidade ou gargalos relativos à comunicação de dados. Os negócios precisam garantir os requerimentos de volume e desempenho, mesmo durante momentos de pico. Aspectos relativos ao desempenho devem ser identificados proativamente, antes que os usuários finais ou aplicações sejam impactados. E, para minimizar os custos, as organizações precisam otimizar seus recursos e evitar gastos desnecessários em hardware.

IV. É o risco de violação de exigências regulatórias ou de falha no alcance de requerimentos de políticas internas. As empresas precisam apresentar conformidade a regulações dos mais diversos níveis (federais e estaduais), preservar informações e prover um eficiente sistema de busca e recuperação de conteúdo quando requerido.

A associação correta das categorias de risco com as definições I, II, III e IV está em: 

Considerando as assertivas a seguir sobre análise de risco de projetos, assinale a alternativa falsa:

Uma boa política de segurança da informação envolve diversas ações preventivas. Vulnerabilidade e ameaças sempre estarão lado a lado, pois caso haja uma vulnerabilidade em um sistema, certamente existirá a possibilidade de uma ameaça. Uma infraestrutura de TI pode ser subdivida em sete domínios, que estará sujeita a alguma vulnerabilidade. Duas vulnerabilidades muito comuns e usadas para atividade criminosa são: acesso de usuário não autorizado e falhas em software instalado. O domínio de infraestrutura de TI que essas vulnerabilidades estão relacionadas é:

No processo de Gestão de Riscos é importante que a identificação de riscos esteja relacionada continuamente com objetivos, porque os riscos são identificados e priorizados com relação a estes objetivos. Considere a seguinte declaração de riscos:


Objetivo: O Departamento de TI é responsável por implementar o serviço de segurança de acesso por identificação biométrica em 30 dias. Este serviço depende dos equipamentos de leitura biométrica a serem adquiridos pelo Departamento de Compras. 

 I. Departamento de Compras pode não entregar a tempo os equipamentos de leitura biométrica necessários para a entrega do serviço de segurança no acesso.

II. Incertezas relacionadas à aprovação, o Departamento de Compras pode não ter os recursos financeiros liberados a tempo para a aquisição dos equipamentos.

III. Atraso na entrega do serviço de segurança no prazo de 30 dias, que pode inviabilizar a instalação do equipamento com acesso restrito, que foi adquirido anteriormente, e será entregue pelo fabricante.


Na declaração de riscos, I, II e III correspondem, correta e respectivamente, a informações relativas a 

Sobre os conceitos de segurança da informação, analise as afirmativas a seguir:

I. Uma ameaça tem o poder de comprometer ativos vulneráveis.
II. Risco é a combinação das consequências de um incidente de segurança com a sua probabilidade de ocorrência.
III. Vulnerabilidades técnicas são mais críticas do que vulnerabilidades criadas por comportamento humano.

Está correto somente o que se afirma em:

Os resultados da etapa de análise e avaliação de riscos permitem criar perfis de riscos dos programas, projetos e processos da organização, os quais NÃO

Segundo as normas ISO vigentes, as alternativas a seguir apresentam elementos ou atividades necessárias para a Gestão da Segurança da Informação em uma organização, à exceção de uma. Assinale-a.