Questões de Concurso
Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 752 questões
Julgue o seguinte item, referente a práticas de segurança de software contra ameaças cibernéticas e vulnerabilidades.
A análise estática de código é uma técnica por meio da qual podem ser identificadas vulnerabilidades de segurança em um programa sem a necessidade de executá-lo.
Essa medida de proteção é conhecida como
Em maio de 2017, o Serviço Nacional de Saúde (NHS) do Reino Unido foi severamente afetado pelo ransomware WannaCry. O ataque criptografou dados e exigiu resgates para liberar os sistemas, causando a interrupção de serviços em mais de um terço dos hospitais do NHS. Milhares de consultas e cirurgias foram canceladas, resultando em custos financeiros significativos.
Como integrante da equipe de analistas da área de saúde de uma Prefeitura Municipal, ao analisar o caso acima descrito, considerando a aplicação da ISO 22301 e visando a segurança dos dados do órgão, conclui-se que o impacto do ataque poderia ter sido minimizado ou até evitado se o órgão tivesse
Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.
A implementação de um processo de gestão de riscos de segurança da informação conforme as normas ISO 31000, 31010 e 27005 garante que todas as vulnerabilidades de um sistema sejam eliminadas.
No framework NIST, a categoria proteger envolve os aspectos de gestão de ativos e de avaliação de riscos.
I - Um plano de gestão de vulnerabilidades busca reduzir riscos e aumentar a segurança de seus ativos, buscando identificar, priorizar e mitigar vulnerabilidades em sistemas e redes.
Il - Um plano de gestão de vulnerabilidades bem elaborado elimina a necessidade de implantação de firewalls e anti-malwares.
III - A gestão de vulnerabilidades deve ser delegada exclusivamente ao time de segurança (dentro da equipe de TI), sem envolver outras áreas da empresa, pois estas podem trazer insegurança.
Qual(is) afirmativa(s) esta(ao) correta(s)?
I - O port scanning é uma técnica utilizada em testes de segurança e por atacantes para identificar portas abertas e vulnerabilidades em um sistema.
|l - Ao executar o port scan em um sistema e encontrando vulnerabilidade em algum servigo aberto é possível bloquear coexões na(s) porta(s) deste serviço.
lll — Através de ferramentas de port scan é possível realizar uma autenticação em múltiplos serviços de rede para verificar se as credenciais são validas.
Qual(is) afirmativa(s) esta(ao) correta(s)?
I. O Tribunal adquire um novo sistema digital para agilizar o acesso seguro aos processos judiciais, mas a falta de treinamento dos usuários compromete o alcance dos objetivos de aumento de produtividade, celeridade e eficiência.
II. A mudança de sistema de provedor de e-mails do Tribunal resulta na perda de acesso às informações trocadas, impactando diretamente o fluxo de trabalho e causando empecilho à prestação de contas às instâncias controladoras.
III. O Tribunal é notificado por um órgão regulador de que descumpriu normas de transparência pública exigidas por lei, devido é ausência de algumas informações obrigatórias em seu portal de transparência.
IV. Foi decidido que a elaboração de um plano de contingência poderia ser adiada e, quando ocorreu um evento que provocou a interrupção significativa no atendimento aos cidadãos, isso gerou insatisfação dos jurisdicionados, comprometendo os objetivos do Tribunal de bem atender aos cidadãos.
V. Em uma inspeção de auditoria, constatou-se que houve problemas internos que impediram que dados relevantes sobre os processos em andamento fossem reportados adequadamente, dificultando a tomada de decisões e o cumprimento das obrigações de accountability.
De acordo com a Política de Gestão de Riscos (Ato TRT-GP n° 118/2018), as situações I, II, III, IV e V correspondem, correta e respectivamente, aos tipos de riscos: