Questões de Concurso

Com relação à gestão de riscos de segurança da informação, analise as afirmativas a seguir e assinale (V) para a afirmativa verdadeira e (F) para a falsa.

( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.
( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.
( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.

As afirmativas são, respectivamente,

O projeto Web Security Testing Guide (WSTG), da Open Worldwide Application Security Project (OWASP), na versão 4.2, mostra que a aplicação de boas práticas de programação podem resultar em códigos seguros.
Considerando as melhores práticas de programação segura e revisão de código, assinale a afirmativa correta.

Considere que determinada empresa tenha imposto a implementação de uma política na qual os usuários não pudessem agir fora das permissões pretendidas. Nesse caso, se essa política for violada, a vulnerabilidade associada a essa violação será denominada

O risco de segurança da informação abrange os possíveis eventos ou circunstâncias que podem levar a perturbações dentro de uma organização, prejudicar a sua reputação ou resultar em perdas financeiras devido a falhas nos sistemas de informação.

Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:

I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.

Está correto o que se propõe em

O API Security Top 10 da Open Worldwide Application Security Project (OWASP) foi projetado para ajudar os desenvolvedores a entender e lidar com os riscos de segurança mais comuns associados às APIs.

Relacione os vetores de ataque da OWASP com a explicação do cenário de ameaças de API relacionado a vulnerabilidade menciona na lista de 2023:

1. Broken Authentication
2. Broken Function Level Authorization
3. Improper Inventory Management
4. Server Side Request Forgery
( ) Invasores podem obter acesso aos recursos e/ou funções administrativas de outros usuários ao explorarem políticas complexas de controle de acesso com diferentes hierarquias, grupos e papéis, bem como sistemas com pouco clara separação entre funções administrativas e regulares.
( ) Falha explorada quando uma API está buscando um recurso remoto sem validar o URI fornecido pelo usuário, resultando em uma falsificação de solicitação permitindo que um invasor force a aplicação a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall ou VPN.
( ) Implementações incorretas podem comprometem a capacidade de um sistema de identificar o cliente/usuário, permitindo que os invasores comprometam os tokens de autenticação ou explorem falhas de implementação para assumir as identidades de outros usuários temporária ou permanentemente.
( ) Acessos não autorizados podem ser prevenidos ao focar a segurança na importância de rastrear e gerenciar as superfícies de ataque da organização, em especial realizando o manejo adequado de hosts e manutenção do versionamento atualizado de API implantadas.

Assinale a opção que indica a relação correta, na ordem apresentada.