Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
A execução de ferramentas que exploram falhas de segurança de maneira automática pode interromper a aplicação ou serviço que esteja sob um teste de ataque, por isso, para evitar a parada de serviços em produção, recomenda-se utilizar janelas de teste como boa prática de segurança.
Julgue o item seguinte, relativo ao risco de segurança da informação.
O processo de gestão de riscos de segurança da informação
consiste na definição de contexto, processo de avaliação,
tratamento, aceitação, comunicação e consulta, monitoramento
e análise crítica de risco.
Julgue o item seguinte, relativo ao risco de segurança da informação.
Critérios de avaliação de risco, de impacto, de auditoria
e de aceitação do risco incluem-se entre os critérios básicos
para gestão de risco à informação.
Julgue o item seguinte, relativo ao risco de segurança da informação.
São critérios de impactos à segurança da informação o dano
à reputação, os níveis de classificação de ativo de informação
afetado e o não cumprimento de prazos.
A gestão de riscos faz parte das responsabilidades da administração e é parte integrante de todos os processos organizacionais, nos quais se incluem planejamento estratégico e todos os processos de gestão de projetos e de gestão de mudanças.
Para assegurar que a gestão de riscos seja eficaz, a organização deve analisar, criticamente e de forma periódica, se a política, o plano e a estrutura da gestão de riscos permanecem apropriados, dados os contextos externo e interno da organização.
Falhas na implementação do sistema de autenticação podem levar à vulnerabilidade conhecida como enumeração de usuários.
A declaração de uma variável em um programa pode causar vulnerabilidade, comprometendo a segurança do sistema de informação.
Os objetivos do controle de segurança da informação devem ser estabelecidos com base em gerenciamento de riscos.
A gestão de segurança da informação permite a identificação de riscos e a definição de controles para gerenciar ou eliminar os riscos que forem identificados.
O tratamento dos riscos de segurança da informação será efetivo se forem consideradas as várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério, tais como mitigar ou reduzir, reter ou aceitar, transferir ou compartilhar, além de ação de evitar o risco.
O estudo das ameaças à segurança da informação será mais efetivo se forem previamente identificados os ativos de informação mais relevantes para o ministério, que são os ativos ligados ao funcionamento do setor de tecnologia da informação (TI) do órgão.
Para o planejamento da gestão de riscos no ministério, é recomendável a adoção inicial de uma metodologia de riscos quantitativa, em detrimento de metodologia qualitativa, tendo em vista a pouca disponibilidade de registros históricos de incidentes.
O processo de gestão de riscos de segurança da informação pode ser aplicado em todos os segmentos da organização: departamento, serviço, sistema de informações e até controles já existentes.
A prática de contratação de seguro para equipamentos de alto custo de TIC, tais como servidores de alto desempenho e sistemas de armazenamento em escala, caracteriza transferência de risco.
A implementação de gestão de risco deverá resultar na identificação, no tratamento, no acompanhamento e na extinção total do risco.
A diferença básica entre análise de impacto no negócio (AIN) e avaliação de risco está no uso da probabilidade. Em ambos os casos, analisa-se o impacto; na avaliação de risco, mensura-se a probabilidade; na AIN, mensura-se o tempo máximo de parada dos processos críticos.