Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
Acerca da segurança da informação, julgue o seguinte item.
A negação de serviço pode ser classificada como ataque do
tipo ativo e consiste em impedir ou inibir o uso normal ou o
gerenciamento adequado dos recursos de comunicação de
uma rede. Um ataque em que se suprimem mensagens
direcionadas ao serviço de auditoria de segurança da rede é
um exemplo de ataque de negação de serviço.
Acerca da segurança da informação, julgue o seguinte item.
Uma rede de comunicação atende ao requisito de
disponibilidade quando é capaz de garantir que os dados
trafegados só sejam acessíveis pelas partes autorizadas, seja
para impressão, exibição ou outras formas de divulgação,
que incluem a simples revelação da existência de um objeto
qualquer.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O gerenciamento de riscos baseia-se em princípios, estrutura
e processos, considerados os contextos externo e interno da
organização, o comportamento humano e os fatores culturais.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O processo de gestão de riscos envolve a aplicação
sistemática de planejamento, execução, controle e
encerramento dos riscos.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
Como ação de tratamento de um risco, pode-se remover a
fonte causadora do risco ou compartilhar o risco, por
exemplo, por meio de contratos ou compra de seguro.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Um evento que venha a causar impacto negativo na
confidencialidade de uma informação pode ser considerado
uma ameaça.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Para que se caracterize a existência de vulnerabilidade, é
necessária a ocorrência de uma ameaça ativa que seja
considerada risco para a segurança da informação.
Na ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação, são apresentados os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI), bem como os requisitos para avaliação e tratamento de riscos de segurança da informação, sempre com foco nas necessidades da organização (1ª parte). Já na ABNT NBR ISO/IEC 27002:2013. Código de Prática para controle de segurança da informação, são estipuladas as melhores práticas para apoiar a implantação do SGSI, com diretrizes para práticas de gestão e normas de segurança da informação para as organizações (2ª parte). E posteriormente chegou a ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação, trazendo diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um SGSI (3ª parte).
Quais partes estão corretas?
( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.
( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.
( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.
As afirmativas são, respectivamente,
Considerando as melhores práticas de programação segura e revisão de código, assinale a afirmativa correta.
Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:
I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.
Está correto o que se propõe em
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
O impacto de um incidente de segurança da informação diz
respeito às consequências de determinado evento que
acomete a segurança dos ativos.
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
São exemplos de vulnerabilidade em segurança da
informação nas empresas públicas brasileiras: falhas
humanas; malware; ransomware e spyware.
Julgue o item a seguir, a respeito de gerência de riscos e sistema de gestão de continuidade de negócios (SGCN).
Na etapa de identificação de riscos, devem ser incluídos
todos os riscos, com exceção dos das fontes que não estão
sob seu controle, apontando-se as fontes de risco, áreas de
impacto, as causas e possíveis consequências tangíveis ou
intangíveis.
Julgue o próximo item, a respeito da gestão de segurança da informação.
Para a identificação de ameaças à segurança da informação,
recomenda-se a realização de avaliações de risco
regularmente.
Acerca da gestão de riscos, julgue o item a seguir.
Define-se risco como a causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou
organização.
Acerca da gestão de riscos, julgue o item a seguir.
Em segurança da informação, uma vulnerabilidade é
entendida como uma fraqueza — de um ativo ou de controle
de segurança — que pode ser explorada por uma ou mais
ameaças.
Essa vulnerabilidades podem existir quando um aplicativo da Web não valida adequadamente uma URL fornecida por um usuário ao buscar um recurso remoto localizado nessa URL. Se for esse o caso, um invasor que explora a vulnerabilidade pode usar o aplicativo Web vulnerável para enviar uma solicitação criada pelo invasor para o URL indicado. Isso permite que o invasor ignore os controles de acesso, como um firewall, que bloquearia as conexões diretas do invasor com a URL de destino, mas está configurado para fornecer acesso ao aplicativo Web vulnerável.
Na área de tecnologia, a gestão de riscos desempenha um papel fundamental na proteção de ativos e na tomada de decisões estratégicas.
Qual dos termos a seguir é usado para descrever a análise de riscos que leva em consideração a probabilidade de ocorrência, o impacto potencial e a capacidade de detecção de um risco?