Questões de Concurso Para analista de planejamento e orçamento

A respeito do OWASP Top 10 e SAMM, bem como de continuidade de negócios e recuperação de desastres de segurança da informação, julgue o item a seguir.

De acordo com a NBR ISO/IEC 27002:2013, convém que a verificação dos controles da continuidade da segurança da informação seja realizada fora do âmbito dos testes de mudanças, e, quando possível, é recomendável integrar a verificação dos controles da continuidade da segurança da informação com os testes de recuperação de desastre ou da continuidade de negócios da organização.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

Segundo a NBR ISO/IEC 27005:2019, a comunicação do risco é uma atividade protocolar que objetiva registrar especificamente o posicionamento dos gestores sobre a existência de determinados riscos e o nível de aceitação desses riscos definido pela alta direção, para conhecimento das demais instâncias internas da organização.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

De acordo com a NBR ISO/IEC 27005:2019, no contexto da análise de riscos, depois de identificados os cenários de incidentes, é necessário avaliar a probabilidade de cada cenário e do impacto correspondente, usando-se técnicas de análise qualitativas ou quantitativas e levando-se em consideração a frequência da ocorrência das ameaças e a facilidade com que as vulnerabilidades podem ser exploradas.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

Pela definição adotada no NIST RMF, um controle de privacidade é uma salvaguarda ou contramedida prescrita exclusivamente para gerenciar riscos de um sistema de informação, com a finalidade de proteger sua confidencialidade e suas informações.

Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.

De acordo com o NIST RMF, o processo de estabelecimento de limites de autorização deve considerar a missão e os requisitos de negócios da organização, seus requisitos de segurança e privacidade e os custos para a organização.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

A NBR ISO/IEC 27001 recomenda que, quando os objetivos de segurança da informação não forem mensuráveis, leve-se em conta apenas os resultados da avaliação e do tratamento de riscos.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Nos controles CIS, uma organização do grupo de implementação IG2 necessariamente incorpora ativos que contêm informações ou funções confidenciais sujeitas à supervisão regulatória e de conformidade. 

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Descrição, probabilidade, impacto e fator de risco são os elementos que compõem a estrutura dos controles CIS. 

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Segundo a NBR ISO/IEC 27002, e por proteção ao princípio da disponibilidade na segurança da informação, é vedada a retirada de direitos de acesso de qualquer funcionário aos ativos de informação relacionados a determinada atividade, antes que essa atividade se encerre ou seja alterada.

Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir. 

Conforme a NBR ISO/IEC 27002, no gerenciamento de direitos de acesso privilegiados, convém que exista um processo de autorização e que os direitos de acesso privilegiados sejam concedidos após a finalização desse processo de autorização.

Em relação a técnicas de desenvolvimento seguro voltadas para o SSDLC (secure software development cycle), julgue o item a seguir.

Nem todas as fases do processo de desenvolvimento de software são afetadas pela implementação de um SSDLC.

Em relação a técnicas de desenvolvimento seguro voltadas para o SSDLC (secure software development cycle), julgue o item a seguir.

SSDLC requer a avaliação de riscos como uma etapa do ciclo.

A respeito das características de blue teams e red teams, julgue o item subsequente.

Red team é a equipe de segurança cibernética que tem por missão principal a implantação de ativos de defesa e o monitoramento constante do ambiente.

A respeito das características de blue teams e red teams, julgue o item subsequente.

É recomendável que, em exercícios de ataques cibernéticos, haja, entre os membros do blue team, pelo menos um especialista em forense computacional.

Em referência às principais características de testes de segurança em pipelines de automação de códigos e infraestrutura, julgue o item seguinte.

A lógica difusa é uma das técnicas utilizadas em testes dinâmicos (DAST) para tentar detectar falhas de segurança em binários.

Em referência às principais características de testes de segurança em pipelines de automação de códigos e infraestrutura, julgue o item seguinte.

Testes estáticos (SAST) têm a função de tentar encontrar falhas de segurança no código de uma aplicação após o sistema entrar em produção.

A respeito dos principais tipos de pentest e de suas características, julgue o próximo item.

No pentest do tipo caixa branca, o pentester tem conhecimento e alguns detalhes do ambiente e(ou) da aplicação a serem testados.

A respeito dos principais tipos de pentest e de suas características, julgue o próximo item.

No pentest do tipo caixa preta, o pentester utiliza técnicas de ataques variadas contra o ambiente ou a aplicação, a fim de obter algum tipo de acesso que possa comprometer o sistema. 

No que se refere a ferramentas e técnicas de segurança de sistemas web, julgue o item subsecutivo. 

WAF (web application firewall) é uma ferramenta capaz de abrir os pacotes na camada de transporte da pilha TCP/IP.

No que se refere a ferramentas e técnicas de segurança de sistemas web, julgue o item subsecutivo. 

Um ataque de inundamento de conexões (syn flood) tem por princípio que a aplicação web responda aos pedidos de conexão, cujos estados são mantidos na camada de aplicação.