Questões de Concurso
Sobre controles de segurança em segurança da informação
Foram encontradas 500 questões
De acordo com o CIS Controls, julgue o próximo item.
O gerenciamento passivo de ativos como dispositivos móveis é recomendado pelo CIS Controls e inserido na segunda área de controles, denominada inventário e controle de ativos da organização.
De acordo com o CIS Controls, julgue o próximo item.
Conforme o CIS Controls, os controles de ativos criptográficos integram a seção denominada configuração segura de ativos e softwares corporativos.
Em relação às técnicas de controle de acesso, julgue o item subsecutivo.
O controle de acesso baseado em função (RBAC) atribui direitos de acesso ao usuário com base na função que ele executa dentro da organização.
Em relação às técnicas de controle de acesso, julgue o item subsecutivo.
Listas de controle de acesso (ACLs) é um tipo de controle de acesso lógico, no qual as permissões anexadas a um objeto devem ser verificadas para permitir ou negar o controle ao objeto.
Neste sentido, correlacione os grupos de controle existentes no anexo A desta norma, e apresentados abaixo, com seus respectivos pontos de controle.
1. Controle de Pessoal
2. Controles Físicos
3. Controles Tecnológicos
( ) Filtros de navegação web – O acesso a sites (web pages) externos devem ser controladas para reduzir a exposição a possíveis conteúdos maliciosos.
( ) Segurança do cabeamento – Cabos de energia, dados etc. devem ser protegidos contra interceptações, interferência ou danos.
( ) Trabalho remoto - Medidas de segurança devem ser implementadas quando o pessoal estiver trabalhando remotamente para proteger informações acessadas, processadas ou armazenadas fora das instalações da organização.
Assinale a opção que indica a relação correta na ordem apresentada
No que se refere a segurança de aplicativos web, prevenção e combate a ataques a redes de computadores e sistemas criptográficos, julgue o item seguinte.
Na execução de uma aplicação web, a possibilidade de um usuário não autenticado agir como um usuário autenticado ou de um usuário comum autenticado agir como um administrador representa falha de segurança de elevação de privilégios relacionada ao controle de acesso da aplicação.
Com base nas fases mencionadas do tratamento de incidentes, assinale a opção que corresponde, corretamente, à etapa de contenção.
Assinale a opção que apresenta o objetivo desse procedimento.
É obrigatória a aplicação de controles que implementem uma permissão para acessar as informações dentro do sistema, de modo que os dados fiquem anonimizados para entes externos; uma vez aplicados tais controles, não se deve autorizar o controle do fluxo de informações entre sistemas conectados, para que não se transmute a anonimização dos dados.
O teste de penetração é um controle que visa avaliar a resiliência dos ativos empresariais por meio da identificação e exploração de pontos fracos (inclusive no que se refere a pessoas e processos) e da simulação dos objetivos e ações de um invasor.
“Segurança da informação é um termo abrangente que envolve os esforços de uma organização para proteger as informações. Inclui segurança física de ativos de TI, segurança de endpoints, criptografia de dados, segurança de rede e outras”.
Disponível em:
https://www.ibm.com/br-pt/topics/informationsecurity#:~:text=Seguran%C3%A7a%20da%20informa%C 3%A7%C3%A3o%20(InfoSec)%20%C3%A9,confidenciais %20e%20mantenham%20sua%20integridade.
Analise as assertivas a seguir sobre diversos conceitos que envolvem o cenário da segurança da informação e a seguir aponte a alternativa CORRETA.
I - A segurança de TI também se preocupa com a proteção de ativos físicos e digitais de TI e data centers, mas não abrange proteção para armazenamento de arquivos em papel e outras mídias. Concentra-se nos ativos tecnológicos e não nas informações em si.
II - A segurança cibernética concentra-se na proteção dos sistemas de informações digitais. O objetivo é ajudar a proteger os dados e ativos digitais contra ameaças cibernéticas. Embora seja um empreendimento enorme, a segurança cibernética tem escopo restrito, pois não se preocupa em proteger dados analógicos ou em papel.
III - Segurança de dados é a prática de proteger informações digitais contra acesso não autorizado, corrompimento ou roubo durante todo o ciclo de vida. Inclui a segurança física de dispositivos de hardware e armazenamento, além de controles administrativos e de acesso. Também abrange a segurança lógica de aplicativos de software e políticas e procedimentos organizacionais.
No que diz respeito a frameworks de segurança da informação e segurança cibernética, julgue o item subsequente.
O framework de segurança da informação e segurança cibernética MITRE ATT&CK oferece as seguintes aplicações práticas: melhoramento do entendimento das ameaças, testes de penetração, priorização de ameaças e riscos, melhoria dos controles de segurança, caça a ameaças e resposta a incidentes, avaliação de soluções de segurança, pesquisa e desenvolvimento.