Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 752 questões

Q2416970 Segurança da Informação

Acerca da segurança da informação, julgue o seguinte item.


A negação de serviço pode ser classificada como ataque do tipo ativo e consiste em impedir ou inibir o uso normal ou o gerenciamento adequado dos recursos de comunicação de uma rede. Um ataque em que se suprimem mensagens direcionadas ao serviço de auditoria de segurança da rede é um exemplo de ataque de negação de serviço.

Alternativas
Q2416968 Segurança da Informação

Acerca da segurança da informação, julgue o seguinte item.


Uma rede de comunicação atende ao requisito de disponibilidade quando é capaz de garantir que os dados trafegados só sejam acessíveis pelas partes autorizadas, seja para impressão, exibição ou outras formas de divulgação, que incluem a simples revelação da existência de um objeto qualquer.

Alternativas
Q2416869 Segurança da Informação

Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.


O gerenciamento de riscos baseia-se em princípios, estrutura e processos, considerados os contextos externo e interno da organização, o comportamento humano e os fatores culturais.

Alternativas
Q2416868 Segurança da Informação

Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.


O processo de gestão de riscos envolve a aplicação sistemática de planejamento, execução, controle e encerramento dos riscos. 

Alternativas
Q2416867 Segurança da Informação

Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.


Como ação de tratamento de um risco, pode-se remover a fonte causadora do risco ou compartilhar o risco, por exemplo, por meio de contratos ou compra de seguro.

Alternativas
Q2416863 Segurança da Informação

Em relação ao gerenciamento de riscos, julgue o item seguinte.


Um evento que venha a causar impacto negativo na confidencialidade de uma informação pode ser considerado uma ameaça. 

Alternativas
Q2416862 Segurança da Informação

Em relação ao gerenciamento de riscos, julgue o item seguinte.


Para que se caracterize a existência de vulnerabilidade, é necessária a ocorrência de uma ameaça ativa que seja considerada risco para a segurança da informação.

Alternativas
Q2390596 Segurança da Informação
Conforme as Normas de Segurança NBR-ISO/IEC, formada pela ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), aprovadas e traduzidas pela ABNT (Associação Brasileira de Normas Técnicas) e transformada em uma Norma Brasileira (NBR), analise a sentença abaixo:


Na ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação, são apresentados os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI), bem como os requisitos para avaliação e tratamento de riscos de segurança da informação, sempre com foco nas necessidades da organização (1ª parte). Já na ABNT NBR ISO/IEC 27002:2013. Código de Prática para controle de segurança da informação, são estipuladas as melhores práticas para apoiar a implantação do SGSI, com diretrizes para práticas de gestão e normas de segurança da informação para as organizações (2ª parte). E posteriormente chegou a ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação, trazendo diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um SGSI (3ª parte).


Quais partes estão corretas?
Alternativas
Q2387589 Segurança da Informação
Com relação à gestão de riscos de segurança da informação, analise as afirmativas a seguir e assinale (V) para a afirmativa verdadeira e (F) para a falsa.

( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.
( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.
( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.

As afirmativas são, respectivamente,
Alternativas
Q2387561 Segurança da Informação
O projeto Web Security Testing Guide (WSTG), da Open Worldwide Application Security Project (OWASP), na versão 4.2, mostra que a aplicação de boas práticas de programação podem resultar em códigos seguros.
Considerando as melhores práticas de programação segura e revisão de código, assinale a afirmativa correta.
Alternativas
Q2383467 Segurança da Informação
Considere que determinada empresa tenha imposto a implementação de uma política na qual os usuários não pudessem agir fora das permissões pretendidas. Nesse caso, se essa política for violada, a vulnerabilidade associada a essa violação será denominada
Alternativas
Q2380796 Segurança da Informação
O risco de segurança da informação abrange os possíveis eventos ou circunstâncias que podem levar a perturbações dentro de uma organização, prejudicar a sua reputação ou resultar em perdas financeiras devido a falhas nos sistemas de informação.

Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:

I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.

Está correto o que se propõe em
Alternativas
Q2378387 Segurança da Informação

Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.


São exemplos de vulnerabilidade em segurança da informação nas empresas públicas brasileiras: falhas humanas; malware; ransomware e spyware. 

Alternativas
Q2378385 Segurança da Informação

Julgue o item a seguir, a respeito de gerência de riscos e sistema de gestão de continuidade de negócios (SGCN).


Na etapa de identificação de riscos, devem ser incluídos todos os riscos, com exceção dos das fontes que não estão sob seu controle, apontando-se as fontes de risco, áreas de impacto, as causas e possíveis consequências tangíveis ou intangíveis.

Alternativas
Q2365608 Segurança da Informação

Julgue o próximo item, a respeito da gestão de segurança da informação.


Para a identificação de ameaças à segurança da informação, recomenda-se a realização de avaliações de risco regularmente.

Alternativas
Q2359272 Segurança da Informação

Acerca da gestão de riscos, julgue o item a seguir. 


Define-se risco como a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização. 

Alternativas
Q2359271 Segurança da Informação

Acerca da gestão de riscos, julgue o item a seguir. 


Em segurança da informação, uma vulnerabilidade é entendida como uma fraqueza — de um ativo ou de controle de segurança — que pode ser explorada por uma ou mais ameaças. 

Alternativas
Q3707846 Segurança da Informação
OWASP desenvolveu uma série de recursos que descrevem as vulnerabilidades mais comuns que existem em vários sistemas, incluindo aplicativos da web, APIs, dispositivos móveis e muito mais. Assinale a alternativa que se refere à vulnerabilidade Top 10 Web Application Security Risks: 2021, caracterizada no texto abaixo:
Essa vulnerabilidades podem existir quando um aplicativo da Web não valida adequadamente uma URL fornecida por um usuário ao buscar um recurso remoto localizado nessa URL. Se for esse o caso, um invasor que explora a vulnerabilidade pode usar o aplicativo Web vulnerável para enviar uma solicitação criada pelo invasor para o URL indicado. Isso permite que o invasor ignore os controles de acesso, como um firewall, que bloquearia as conexões diretas do invasor com a URL de destino, mas está configurado para fornecer acesso ao aplicativo Web vulnerável.
Alternativas
Q3687253 Segurança da Informação

Na área de tecnologia, a gestão de riscos desempenha um papel fundamental na proteção de ativos e na tomada de decisões estratégicas.


Qual dos termos a seguir é usado para descrever a análise de riscos que leva em consideração a probabilidade de ocorrência, o impacto potencial e a capacidade de detecção de um risco?

Alternativas
Respostas
261: C
262: E
263: C
264: E
265: C
266: C
267: E
268: E
269: D
270: B
271: A
272: A
273: C
274: E
275: E
276: C
277: E
278: C
279: A
280: A