Questões de Concurso Comentadas para mpo

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

Pela definição adotada no NIST RMF, um controle de privacidade é uma salvaguarda ou contramedida prescrita exclusivamente para gerenciar riscos de um sistema de informação, com a finalidade de proteger sua confidencialidade e suas informações.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

De acordo com o NIST RMF, o processo de estabelecimento de limites de autorização deve considerar a missão e os requisitos de negócios da organização, seus requisitos de segurança e privacidade e os custos para a organização.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

A NBR ISO/IEC 27001 recomenda que, quando os objetivos de segurança da informação não forem mensuráveis, leve-se em conta apenas os resultados da avaliação e do tratamento de riscos.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Nos controles CIS, uma organização do grupo de implementação IG2 necessariamente incorpora ativos que contêm informações ou funções confidenciais sujeitas à supervisão regulatória e de conformidade. 

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Segundo a NBR ISO/IEC 27002, e por proteção ao princípio da disponibilidade na segurança da informação, é vedada a retirada de direitos de acesso de qualquer funcionário aos ativos de informação relacionados a determinada atividade, antes que essa atividade se encerre ou seja alterada.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Conforme a NBR ISO/IEC 27002, no gerenciamento de direitos de acesso privilegiados, convém que exista um processo de autorização e que os direitos de acesso privilegiados sejam concedidos após a finalização desse processo de autorização.

Em relação a técnicas de desenvolvimento seguro voltadas para o SSDLC (secure software development cycle), julgue o item a seguir.

Nem todas as fases do processo de desenvolvimento de software são afetadas pela implementação de um SSDLC.

Em relação a técnicas de desenvolvimento seguro voltadas para o SSDLC (secure software development cycle), julgue o item a seguir.

SSDLC requer a avaliação de riscos como uma etapa do ciclo.

A respeito das características de blue teams e red teams, julgue o item subsequente.

Red team é a equipe de segurança cibernética que tem por missão principal a implantação de ativos de defesa e o monitoramento constante do ambiente.

Em referência às principais características de testes de segurança em pipelines de automação de códigos e infraestrutura, julgue o item seguinte.

A lógica difusa é uma das técnicas utilizadas em testes dinâmicos (DAST) para tentar detectar falhas de segurança em binários.

Em referência às principais características de testes de segurança em pipelines de automação de códigos e infraestrutura, julgue o item seguinte.

Testes estáticos (SAST) têm a função de tentar encontrar falhas de segurança no código de uma aplicação após o sistema entrar em produção.

A respeito dos principais tipos de pentest e de suas características, julgue o próximo item.

No pentest do tipo caixa preta, o pentester utiliza técnicas de ataques variadas contra o ambiente ou a aplicação, a fim de obter algum tipo de acesso que possa comprometer o sistema. 

No que se refere a ferramentas e técnicas de segurança de sistemas web, julgue o item subsecutivo. 

WAF (web application firewall) é uma ferramenta capaz de abrir os pacotes na camada de transporte da pilha TCP/IP.

No que se refere a ferramentas e técnicas de segurança de sistemas web, julgue o item subsecutivo. 

Um ataque de inundamento de conexões (syn flood) tem por princípio que a aplicação web responda aos pedidos de conexão, cujos estados são mantidos na camada de aplicação.

Considerando o uso do protocolo OAuth 2.0 para melhores práticas de mecanismos de autenticação, julgue o item a seguir.

É uma recomendação adicional de segurança como melhor prática que os servidores nos quais os retornos de chamada estão hospedados exponham redirecionadores abertos, principalmente quando a aplicação estiver exposta na Internet.  

Considerando o uso do protocolo OAuth 2.0 para melhores práticas de mecanismos de autenticação, julgue o item a seguir.

É recomendado aos clientes que implementam OAuth 2.0 usar o tipo de resposta do código de autorização em vez dos tipos de resposta que causam a emissão do token de acesso no terminal de autorização.

Acerca de firewalls, julgue o item que se segue.

Nos tipos de ataques de rede em que seja necessário entender o contexto da conexão, deve-se empregar um firewall sem estado, que tem a capacidade para tanto. 

Com relação ao framework de segurança cibernética NIST em sua versão 2.0, julgue o item seguinte.

As funções principais do framework em questão são governar, identificar, proteger, detectar, responder e recuperar.

Considerando as características de algoritmos de criptografia simétricos e assimétricos, julgue o item a seguir.

O método ECB (electronic codebook) oculta padrões de dados em textos idênticos, sendo recomendado para uso em protocolos criptográficos considerados seguros. 

Considerando as características de algoritmos de criptografia simétricos e assimétricos, julgue o item a seguir.

Em criptografia assimétrica, o tamanho da chave é irrelevante para a segurança do sistema que a utiliza.