Questões de Concurso Comentadas por alunos sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 546 questões
Resolva questões gratuitamente!
Junte-se a mais de 4 milhões de concurseiros!
Considere a tabela abaixo.
A tabela apresenta um tipo de matriz de risco que é utilizada como parte de um método de análise de risco para cálculo do Grau de Criticidade-GC. Para calcular o GC devem-se multiplicar os 3 valores dos fatores incidentes ao risco sendo analisado, de acordo com a tabela. De acordo com a resposta do GC, obtém-se um indicador de tratamento de risco:
− GC maior ou igual a 200: correção imediata, risco tem que ser reduzido.
− GC menor que 200 e maior que 85: correção urgente, requer atenção.
− GC menor que 85: risco deve ser monitorado.
Um Analista de Sistemas precisa calcular o GC do risco de ocorrer dano físico no servidor principal do TST por falhas no fornecimento de energia elétrica e no nobreak. A consequência, caso o risco ocorra, implica em prejuízos da ordem de milhões de reais. O TST está exposto a este risco cerca de uma vez ao mês, mas é remota a probabilidade que aconteça de fato.
Com base na situação apresentada, conclui-se que o risco
Considere, por hipótese, que no ambiente do Tribunal Superior do Trabalho − TST foram detectados os seguintes problemas:
− Fraudes devido a excesso de privilégios de funcionários.
− Violações ou tentativas de violação de dados sensíveis por funcionários com diferentes perfis de acesso.
− Funcionários com elevado número de transações em sistemas, acima de 5 mil por mês.
A equipe de analistas do TST, frente a estes problemas, ponderou que algo deveria ser feito para que houvesse o mapeamento e redução de riscos em acessos elevados, com diminuição de conflitos de privilégios e implementação de políticas de prevenção de fraudes e proteção de informações sensíveis.
Para chegar ao resultado desejado, um Analista de Sistemas propôs que
No que se refere à segurança de aplicações Web, relacione a coluna da esquerda, que apresenta os nomes das vulnerabilidades mais encontradas nessas aplicações, com a coluna da direita, que apresenta as descrições dessas vulnerabilidades.
1. Cross Site Scripting (XSS)
2. Falha de Injeção de Código
3. Execução Maliciosa de Arquivo
4. Cross Site Request Forgery (CSRF)
( ) Ocorre quando o navegador no qual a vítima está autenticada
é forçado a enviar uma requisição para uma aplicação Web
vulnerável, que realiza a ação desejada em nome da vítima.
Exemplo em HTML:
<img src=”http://www.exemplo.com.br/logout.php”>
( ) Acontece quando os dados que o usuário fornece de entrada são enviados como parte de um comando ou consulta.
Exemplo em PHP e SQL:
$sql = “SELECT * FROM t1 WHERE id = ‘”
. $_REQUEST[‘entrada-do-usuario’] . ”’”;
( ) Ocorre em quaisquer aplicações que recebam dados originados do usuário e os enviem ao navegador sem primeiramente validar ou codificar aquele conteúdo.
Exemplo em PHP:
echo $_REQUEST[ ‘entrada-do-usuario’];
( ) Ocorre em aplicações que utilizam, diretamente ou por concatenação, entradas potencialmente hostis tanto em funções de arquivo quanto em stream.
Exemplo em PHP:
include $_REQUEST[‘entrada-do-usuario’];
Marque a alternativa que relaciona CORRETAMENTE as descrições da coluna da direita com os nomes da
coluna da esquerda:
Ao participar de um seminário de segurança cibernética, um Técnico ficou ciente que a indústria de segurança está trabalhando na popularização dos filtros de tráfego para aplicações em nuvem, incluindo serviços de segurança para aplicações web no modelo SaaS, com uma oferta cada vez mais variada e de custo acessível. Estes dispositivos são posicionados em situações estratégicas das redes locais e da nuvem, sendo capazes de detectar pequenas ou grandes anomalias, em relação ao padrão de tráfego, e disparar mecanismos de alerta, proteção ou destravamento de ataques. Um especialista em segurança afirmou que grandes empresas exploradoras da nuvem, como Amazon, Cisco, IBM e provedores de infraestrutura de nuvens públicas ou híbridas de todos os portes estão ajudando a disseminar a adoção deste tipo de dispositivo como forma de mitigação dos riscos nesse ambiente.
O dispositivo mencionado é o
Considere os processos abaixo.
Processos do SGSI
− Planejar.
− Executar.
− Verificar.
− Agir.
Processos de GRSI
− Definição do contexto.
− Avaliação de riscos.
− Definição do plano de tratamento do risco.
− Aceitação do risco.
− Implementação do plano de tratamento do risco.
− Monitoramento contínuo e análise crítica de riscos.
− Manter e melhorar o processo de GRSI.
A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação
– SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de
GRSI denominado