Questões de Segurança da Informação para Concurso

A respeito do OWASP Top 10 e SAMM, bem como de continuidade de negócios e recuperação de desastres de segurança da informação, julgue o item a seguir.

Em seu mais alto nível, o modelo OWASP SAMM define cinco funções de negócios: governança, design, implementação, verificação e operações. 

A respeito do OWASP Top 10 e SAMM, bem como de continuidade de negócios e recuperação de desastres de segurança da informação, julgue o item a seguir.

No contexto da implementação da continuidade de negócios de segurança da informação, de acordo com a NBR ISO/IEC 27002:2013, importa que uma organização disponha de planos documentados e procedimentos de recuperação e resposta desenvolvidos e aprovados, que detalhem como a organização irá gerenciar um evento de interrupção e como manterá a sua segurança da informação em um nível predeterminado, com base nos objetivos de continuidade da segurança da informação aprovados pela direção.

A respeito do OWASP Top 10 e SAMM, bem como de continuidade de negócios e recuperação de desastres de segurança da informação, julgue o item a seguir.

De acordo com o OWASP Top 10, para prevenir falhas de registro e monitoramento de segurança, uma das medidas recomendadas aos desenvolvedores é garantir que todas as falhas de login, controle de acesso e validação de entrada no lado do servidor possam ser registradas com contexto de usuário suficiente para a identificação de contas suspeitas ou maliciosas, bem como que possam ser mantidas por tempo suficiente para permitir análise forense posterior.

A respeito do OWASP Top 10 e SAMM, bem como de continuidade de negócios e recuperação de desastres de segurança da informação, julgue o item a seguir.

De acordo com a NBR ISO/IEC 27002:2013, convém que a verificação dos controles da continuidade da segurança da informação seja realizada fora do âmbito dos testes de mudanças, e, quando possível, é recomendável integrar a verificação dos controles da continuidade da segurança da informação com os testes de recuperação de desastre ou da continuidade de negócios da organização.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

Segundo a NBR ISO/IEC 27005:2019, a comunicação do risco é uma atividade protocolar que objetiva registrar especificamente o posicionamento dos gestores sobre a existência de determinados riscos e o nível de aceitação desses riscos definido pela alta direção, para conhecimento das demais instâncias internas da organização.