Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
O principal objetivo do comando `nmap -sV` é
I. A necessidade de inicialização do Windows em modo de segurança aponta para uma falha de hardware.
II. A vulnerabilidade foi causada por uma atualização do conteúdo usado pelo sensor de segurança.
III. O incidente resultou na exclusão de todos os dados armazenados nas máquinas infectadas.
IV. A falha poderia ter sido evitada por meio de procedimentos robustos de teste de qualidade de software.
Assinale a alternativa que contenha APENAS as afirmações corretas.
• risco: atraso na execução de contratos estratégicos • probabilidade: 8 (em uma escala de 1 a 10) • impacto: 8 (em uma escala de 1 a 10) • eficácia dos controles: 40%
À luz dessas informações, analise as afirmativas a seguir.
I. O risco residual é de 48 pontos, aplicando-se a fórmula: risco residual = risco inerente × (1 - eficácia dos controles).
II. O estabelecimento do contexto da análise deve incluir fatores internos e externos, além das partes interessadas e suas expectativas.
III. A técnica bow tie pode ser utilizada para representar graficamente causas e consequências do risco, incluindo controles preventivos e mitigadores.
Está correto o que se afirma em:
I O tratamento de dados pessoais deve ter propósito legítimo, limitar-se ao mínimo necessário e observar a garantia da prestação de informações claras ao titular.
II A classificação dos ativos de informação de uma organização conforme seu nível de criticidade garante o controle adequado das informações.
III A gestão de riscos em segurança da informação deve considerar a identificação de ameaças, vulnerabilidades e impactos para a definição das medidas de proteção.
Assinale a opção correta.
I. O SAST (SonarQube) deve rodar durante as etapas de build no Azure DevOps, analisando o código-fonte para encontrar vulnerabilidades como injeção de SQL e falhas de autenticação, podendo bloquear a pipeline antes do deploy.
II. O DAST (OWASP ZAP) deve ser executado no ambiente de testes, realizando ataques simulados contra o aplicativo já em execução, detectando problemas como configurações inseguras de HTTP headers e falhas de autorização.
III. O DAST depende de acesso ao código-fonte para localizar vulnerabilidades em tempo de execução.
IV. A execução combinada de SAST e DAST no pipeline cobre vulnerabilidades tanto estáticas (no código) quanto dinâmicas (em runtime), fortalecendo a segurança em múltiplas camadas.
Quais estão corretas?
I. Kali Linux é uma distribuição Linux de código aberto baseada no Debian, que permite aos usuários realizar testes de penetração e auditorias de segurança.
PORQUE
II. Esta distribuição é voltada para os testadores e pode ser utilizada por iniciantes em função da sua interface amigável.
A respeito dessas asserções, assinale a alternativa correta.
Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.