Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 838 questões
I. Processos e procedimentos. II. Configuração do sistema de informação. III. Hardware, software ou equipamentos de comunicação. IV. Dependência de entidades externas.
Está CORRETO o que se afirma:
Considerando os números de portas padrões da Internet, assinale a alternativa que descreve um potencial risco de segurança. Suponha que existem serviços em execução associados a cada uma das portas que aparecem na tabela apresentada.
I.Testes de segurança em aplicações web devem ser realizados apenas após a implementação completa do sistema, pois os testes em estágios iniciais não trazem benefícios para a detecção de vulnerabilidades.
II.O uso de mecanismos de autenticação multifatorial é uma medida que aumenta a segurança, pois exige mais de um método de verificação para conceder acesso a usuários.
III.A execução de testes de invasão (penetration testing) simula ataques reais, identificando vulnerabilidades que podem ser exploradas por invasores em produção.
IV.Controles de segurança como sanitização de entrada (input sanitization) e validação de dados de entrada são práticas que evitam ataques de injeção, como SQL Injection e Cross-Site Scripting (XSS).
V.A verificação de segurança automatizada por ferramentas de escaneamento é suficiente para garantir que uma aplicação web esteja totalmente protegida contra vulnerabilidades de segurança.
Estão corretas as afirmativas:
HAZOP é um exame estruturado e sistemático de uma operação planejada e tem, entre outros, o objetivo de identificar e avaliar problemas que possam representar riscos para o equipamento.
A técnica Delphi é utilizada para realizar o tratamento de riscos após a mensuração da probabilidade e após as consequências dos riscos terem sido obtidas, sendo aplicada no nível operacional.
No que diz respeito a frameworks de segurança da informação e segurança cibernética, julgue o item subsequente.
O framework de segurança da informação e segurança cibernética MITRE ATT&CK oferece as seguintes aplicações práticas: melhoramento do entendimento das ameaças, testes de penetração, priorização de ameaças e riscos, melhoria dos controles de segurança, caça a ameaças e resposta a incidentes, avaliação de soluções de segurança, pesquisa e desenvolvimento.
No que diz respeito ao monitoramento e à otimização de processos de suporte, bem como à implantação de atualizações e de patches, julgue o item a seguir.
Todas as atualizações de software (patches de segurança) devem ser aplicadas imediatamente em ambiente de produção após seu lançamento, pois representa uma atualização oficial do fornecedor.
Acerca do planejamento e da execução de projetos de infraestrutura de TI, da implementação de diretrizes de segurança de redes e da auditoria de segurança de redes, julgue o item a seguir.
Realizar auditorias de segurança regularmente para identificar vulnerabilidades é uma ação considerada fundamental na implementação de diretrizes de segurança de redes.
Esse fator é
Estruturado de forma a fornecer um guia adaptável para o gerenciamento de riscos, as funções do componente principal do framework, excluindo a camada de implementação e os perfis, são