Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 568 questões

Q2492441 Segurança da Informação
O Tribunal de Justiça do Mato Grosso de Sul (TJMS) identificou a necessidade de compreender os ataques cibernéticos sofridos. Com o objetivo de observar o comportamento de invasores, decidiu implementar um honeypot, de forma a permitir análises detalhadas das motivações, das ferramentas utilizadas e das vulnerabilidades exploradas pelos atacantes.

A opção por implementar um honeypot de alta interatividade se deve ao fato de este possuir:
Alternativas
Q2492440 Segurança da Informação
Uma fábrica de software está abrindo uma filial. A fim de identificar antecipadamente possíveis vulnerabilidades na arquitetura de suas aplicações, e seguindo orientações da matriz, ela está implementando o modelo de ameaças STRIDE. Para verificar a correta implementação, a matriz encaminhou um projeto para execução na filial. Esta identificou que a aplicação encaminhada fazia alterações em dados persistentes no banco de dados.

Na abordagem STRIDE, a filial está trabalhando na categoria:
Alternativas
Q2492432 Segurança da Informação
A Equipe de Gestão de Riscos (EGR) de uma organização está realizando a análise de riscos a fim de determinar o nível dos riscos identificados para definir seu tratamento. A EGR adotou a técnica de análise baseada em consequências e probabilidades que utiliza escalas qualitativas com valores atribuídos.
A técnica utilizada é a:
Alternativas
Q2492431 Segurança da Informação
Durante o processo de identificação de riscos, a organização deve identificar os riscos associados à perda de confidencialidade, integridade e disponibilidade de suas informações.

Uma organização adotou, em seu processo, a abordagem para identificação de riscos com base em eventos.

Essa abordagem consiste em: 
Alternativas
Q2491555 Segurança da Informação

Acerca de gestão de vulnerabilidades, julgue o item subsequente.


Um programa de gestão de vulnerabilidades eficaz inclui, entre outros componentes, o gerenciamento de patch, que consolida as informações e os eventos de segurança de uma organização em tempo real.

Alternativas
Q2491554 Segurança da Informação

Acerca de gestão de vulnerabilidades, julgue o item subsequente.


Na atividade de identificação das vulnerabilidades, cujo objetivo é criar uma lista com as vulnerabilidades associadas aos ativos, às ameaças e aos controles, utilizam-se como entradas as listas de ameaças conhecidas, de ativos e de controles existentes e todas as saídas das atividades anteriores. 

Alternativas
Q2491365 Segurança da Informação

A respeito do desenvolvimento seguro de aplicações, frameworks OWASP e testes dinâmicos de aplicações, julgue o item a seguir.  


No desenvolvimento seguro de aplicações, o emprego de frameworks e bibliotecas que realizem validações contra a injeção de código malicioso nas aplicações dispensa a adoção de simuladores e de testes automatizados e manuais, conferindo ao processo maior produtividade.

Alternativas
Q2491364 Segurança da Informação

A respeito do desenvolvimento seguro de aplicações, frameworks OWASP e testes dinâmicos de aplicações, julgue o item a seguir.  


O OWASP SAMM, documento de conscientização padrão para desenvolvedores voltado à segurança de aplicações web, descreve os riscos de segurança mais críticos e aponta as principais medidas a serem adotadas pelos desenvolvedores para mitigar esses riscos.

Alternativas
Q2491060 Segurança da Informação
Uma empresa está sofrendo ataques na sua rede, nos quais o hacker utiliza um código malicioso para entrar na rede por uma porta de acesso TCP/IP, que não está documentada e que geralmente seria utilizada por um administrador para alguma manutenção. Esse tipo de malware também é conhecido como:
Alternativas
Q2491049 Segurança da Informação
Uma agência de governo, implantando a norma complementar n.º 14/IN01/DSIC/GSIPR, que trata de informação em ambiente de computação em nuvem, está definindo a função que terá como responsabilidade a implantação da gestão de risco de segurança das informações tratadas, em ambiente de computação em nuvem. Essa função é a de:
Alternativas
Q2490875 Segurança da Informação
A área de segurança do TJMS utilizou uma ferramenta automatizada para procurar vulnerabilidades nos ativos de rede do Tribunal. A ferramenta gerou um relatório que foi entregue para a área de infraestrutura e redes. Esta, após analisar o teor do relatório, agradeceu a atitude proativa da área de segurança, mas decidiu não adotar nenhuma ação, no momento, por estar atuando em outras atividades prioritárias.

A decisão da área de infraestrutura e redes estaria correta se as vulnerabilidades registradas:
Alternativas
Q2480593 Segurança da Informação

Uma empresa de tecnologia que está revisando sua política de segurança para garantir a proteção eficaz de todos os sistemas operacionais usados em sua infraestrutura de TI.

Existem várias medidas de proteção que podem ser adotadas para resguardar os sistemas operacionais contra ataques de malware, exploração de vulnerabilidades, negação de serviço, e outras ameaças similares.

São consideradas medidas de proteção os itens:


I. Patches de segurança,


II. Capacitação dos funcionários no tema,


III. Antivírus,


IV. Controle de acesso


Está correto o que se afirma em

Alternativas
Q2480590 Segurança da Informação

Gerir riscos constitui uma etapa vital no contexto da segurança da informação, implicando na identificação, avaliação e mitigação dos potenciais riscos que possam impactar a confidencialidade, integridade e disponibilidade dos dados e sistemas organizacionais.


Com relação à gerência de risco, assinale (V) para a afirmativa verdadeira e (F) para falsa.


( ) Processos, atividades do negócio e informações são ativos primários de uma organização.


( ) As ameaças podem ter origem humana ou ambiental


( ) Salvaguardas referem-se a medidas de proteção prescritas com o intuito de cumprir os requisitos de segurança, tais como confidencialidade, integridade e disponibilidade, previamente estabelecidos para um sistema de informação.


( ) Reduzir riscos de segurança é um processo iterativo que envolve identificar os riscos, implementar controles para mitigá-los e reavaliar constantemente diante das mudanças.


As afirmativas são, respectivamente,

Alternativas
Q2467563 Segurança da Informação
A norma internacional ISO/IEC 27005 é parte da série de normas da ISO/IEC 27000, da área de gestão de segurança da informação, que fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI). O processo de gestão de riscos é definido por oito atividades, sendo o objetivo de um deles atribuir valor ao impacto que um risco pode ter e a probabilidade de sua ocorrência, de forma qualitativa ou quantitativa, através da combinação entre a probabilidade de um cenário de incidente e suas consequências.
Do ponto de vista dos riscos, essa atividade é denominada:
Alternativas
Q2467045 Segurança da Informação

Julgue o item subsequente referente a conceitos de segurança da informação, segurança de redes sem fio e gestão de riscos em tecnologia da informação.


A primeira etapa da fase de análise de risco consiste na identificação de riscos, realizada para que se possam conhecer e determinar eventos que podem causar perdas, assim como a forma como esses eventos podem ocorrer. 

Alternativas
Q2467040 Segurança da Informação

Julgue o item subsequente referente a conceitos de segurança da informação, segurança de redes sem fio e gestão de riscos em tecnologia da informação.


O NIST Cybersecurity Framework (versão 1.1) consiste em três componentes principais: o núcleo do framework; os perfis; e os níveis de implementação; estes últimos descrevem o grau em que as práticas de gerenciamento de riscos de cibersegurança de uma organização exibem as características definidas no núcleo do framework.

Alternativas
Q2458879 Segurança da Informação
No contexto da gerência de riscos, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) Vulnerabilidade refere-se a qualquer fraqueza em um sistema que possa ser explorada por uma ameaça para causar dano ou acesso não autorizado, independentemente da intenção da fonte de ameaça.
( ) Uma ameaça precisa ser ativa e intencional para que um risco seja considerado válido; fenômenos naturais ou falhas sistêmicas não são categorizados como ameaças na gerência de riscos.
( ) O risco é considerado irrelevante se a organização possuir um plano de resposta a incidentes, pois a existência do plano elimina a necessidade de avaliação ou mitigação de riscos futuros.

As afirmativas são, respectivamente,
Alternativas
Q2457978 Segurança da Informação
A vulnerabilidade de segurança da informação está relacionada a qualquer fator capaz de facilitar a atuação de cibercriminosos, ou qualquer outro tipo de ameaça externa, no que diz respeito a invasões, roubos de dados ou acessos não autorizados a recursos. HeartBleed é um problema de segurança de rede relacionado a uma vulnerabilidade relativa a uma falha que ocorre:
Alternativas
Q2456366 Segurança da Informação
A equipe de Segurança da Informação (SI) de um órgão público realizou varreduras de vulnerabilidades em seus ativos a fim de reduzir a exposição dos sistemas aos riscos. Durante a varredura, a equipe de SI identificou que um dos sistemas tinha uma vulnerabilidade que permitia a inserção de scripts maliciosos na aplicação, alterando o conteúdo dinâmico que o usuário recebia em seu navegador, redirecionando-o para um site falso. 

A vulnerabilidade identificada permitia um ataque de: 
Alternativas
Q2456362 Segurança da Informação
O diretor do órgão público X instaurou o processo de auditoria interna visando verificar a conformidade de seus processos e atividades com os requisitos legais e regulatórios definidos para os órgãos públicos, bem como com sua própria política interna de segurança da informação. A equipe de auditoria foi formalmente estabelecida para dar legalidade a essa tarefa. Durante a auditoria, a equipe identificou algumas vulnerabilidades nos processos e controles de segurança, atividade constante da etapa de: 
Alternativas
Respostas
61: D
62: C
63: D
64: C
65: E
66: C
67: E
68: E
69: B
70: D
71: D
72: C
73: B
74: B
75: C
76: C
77: A
78: D
79: D
80: E