Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 568 questões
Durante a identificação dos riscos, a equipe deve considerar o fator:
Com pertinência a gestão de segurança da informação, julgue o item subsecutivo.
Vulnerabilidades são falhas que permitem o surgimento de
deficiências na segurança geral do computador ou da rede, e
podem ser criadas devido a configurações incorretas no
computador ou na segurança.
Acerca da segurança da informação, julgue o seguinte item.
Uma rede de comunicação atende ao requisito de
disponibilidade quando é capaz de garantir que os dados
trafegados só sejam acessíveis pelas partes autorizadas, seja
para impressão, exibição ou outras formas de divulgação,
que incluem a simples revelação da existência de um objeto
qualquer.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O gerenciamento de riscos baseia-se em princípios, estrutura
e processos, considerados os contextos externo e interno da
organização, o comportamento humano e os fatores culturais.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O processo de gestão de riscos envolve a aplicação
sistemática de planejamento, execução, controle e
encerramento dos riscos.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
Como ação de tratamento de um risco, pode-se remover a
fonte causadora do risco ou compartilhar o risco, por
exemplo, por meio de contratos ou compra de seguro.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Um evento que venha a causar impacto negativo na
confidencialidade de uma informação pode ser considerado
uma ameaça.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Para que se caracterize a existência de vulnerabilidade, é
necessária a ocorrência de uma ameaça ativa que seja
considerada risco para a segurança da informação.
Entre os serviços para testar e monitorar a segurança de todos os seus sistemas, três são descritos a seguir.
I. Testa as interfaces expostas em busca de vulnerabilidades, sendo o teste feito de fora para dentro, da mesma forma que um invasor faria. Neste caso, a interface já é o suficiente para que o especialista realize o teste. À medida em que o aplicativo vai mudando e se atualizando, é preciso atualizar as regras dessa ferramenta, o que obriga a necessidade em investimento e acompanhamento durante todo o ciclo de vida do desenvolvimento.
II. Tem como objetivo identificar as vulnerabilidades no código-fonte antes de ele ser colocado em produção. Para tanto, são usadas técnicas de análise de código estático para procurar problemas sem precisar executar o código. Com isso, é uma ferramenta que consegue encontrar problemas com antecedência, antes da implantação e, por estar agindo no código, pode dar informações detalhadas à equipe para que os ajustes sejam feitos.
As ferramentas descritas em I e II são conhecidas, respectivamente, pelas siglas:
Na ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação, são apresentados os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI), bem como os requisitos para avaliação e tratamento de riscos de segurança da informação, sempre com foco nas necessidades da organização (1ª parte). Já na ABNT NBR ISO/IEC 27002:2013. Código de Prática para controle de segurança da informação, são estipuladas as melhores práticas para apoiar a implantação do SGSI, com diretrizes para práticas de gestão e normas de segurança da informação para as organizações (2ª parte). E posteriormente chegou a ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação, trazendo diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um SGSI (3ª parte).
Quais partes estão corretas?
( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.
( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.
( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.
As afirmativas são, respectivamente,
Considerando as melhores práticas de programação segura e revisão de código, assinale a afirmativa correta.
Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:
I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.
Está correto o que se propõe em
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
O impacto de um incidente de segurança da informação diz
respeito às consequências de determinado evento que
acomete a segurança dos ativos.
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
São exemplos de vulnerabilidade em segurança da
informação nas empresas públicas brasileiras: falhas
humanas; malware; ransomware e spyware.
Julgue o item a seguir, a respeito de gerência de riscos e sistema de gestão de continuidade de negócios (SGCN).
Na etapa de identificação de riscos, devem ser incluídos
todos os riscos, com exceção dos das fontes que não estão
sob seu controle, apontando-se as fontes de risco, áreas de
impacto, as causas e possíveis consequências tangíveis ou
intangíveis.
Julgue o próximo item, a respeito da gestão de segurança da informação.
Para a identificação de ameaças à segurança da informação,
recomenda-se a realização de avaliações de risco
regularmente.
Acerca da gestão de riscos, julgue o item a seguir.
Define-se risco como a causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou
organização.
Conheça nossos planos