Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
Julgue o item subsequente referente a conceitos de segurança da informação, segurança de redes sem fio e gestão de riscos em tecnologia da informação.
A primeira etapa da fase de análise de risco consiste na
identificação de riscos, realizada para que se possam
conhecer e determinar eventos que podem causar perdas,
assim como a forma como esses eventos podem ocorrer.
Julgue o item subsequente referente a conceitos de segurança da informação, segurança de redes sem fio e gestão de riscos em tecnologia da informação.
O NIST Cybersecurity Framework (versão 1.1) consiste em
três componentes principais: o núcleo do framework; os
perfis; e os níveis de implementação; estes últimos
descrevem o grau em que as práticas de gerenciamento de
riscos de cibersegurança de uma organização exibem as
características definidas no núcleo do framework.
( ) Vulnerabilidade refere-se a qualquer fraqueza em um sistema que possa ser explorada por uma ameaça para causar dano ou acesso não autorizado, independentemente da intenção da fonte de ameaça.
( ) Uma ameaça precisa ser ativa e intencional para que um risco seja considerado válido; fenômenos naturais ou falhas sistêmicas não são categorizados como ameaças na gerência de riscos.
( ) O risco é considerado irrelevante se a organização possuir um plano de resposta a incidentes, pois a existência do plano elimina a necessidade de avaliação ou mitigação de riscos futuros.
As afirmativas são, respectivamente,
A vulnerabilidade identificada permitia um ataque de:
Durante a identificação dos riscos, a equipe deve considerar o fator:
Com pertinência a gestão de segurança da informação, julgue o item subsecutivo.
Vulnerabilidades são falhas que permitem o surgimento de
deficiências na segurança geral do computador ou da rede, e
podem ser criadas devido a configurações incorretas no
computador ou na segurança.
Acerca da segurança da informação, julgue o seguinte item.
A negação de serviço pode ser classificada como ataque do
tipo ativo e consiste em impedir ou inibir o uso normal ou o
gerenciamento adequado dos recursos de comunicação de
uma rede. Um ataque em que se suprimem mensagens
direcionadas ao serviço de auditoria de segurança da rede é
um exemplo de ataque de negação de serviço.
Acerca da segurança da informação, julgue o seguinte item.
Uma rede de comunicação atende ao requisito de
disponibilidade quando é capaz de garantir que os dados
trafegados só sejam acessíveis pelas partes autorizadas, seja
para impressão, exibição ou outras formas de divulgação,
que incluem a simples revelação da existência de um objeto
qualquer.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O gerenciamento de riscos baseia-se em princípios, estrutura
e processos, considerados os contextos externo e interno da
organização, o comportamento humano e os fatores culturais.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
O processo de gestão de riscos envolve a aplicação
sistemática de planejamento, execução, controle e
encerramento dos riscos.
Considerando o que a norma ABNT NBR ISO 31000:2018 preconiza a respeito da gestão de riscos, julgue o item a seguir.
Como ação de tratamento de um risco, pode-se remover a
fonte causadora do risco ou compartilhar o risco, por
exemplo, por meio de contratos ou compra de seguro.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Um evento que venha a causar impacto negativo na
confidencialidade de uma informação pode ser considerado
uma ameaça.
Em relação ao gerenciamento de riscos, julgue o item seguinte.
Para que se caracterize a existência de vulnerabilidade, é
necessária a ocorrência de uma ameaça ativa que seja
considerada risco para a segurança da informação.
Na ABNT NBR ISO/IEC 27001:2013. Sistemas de gestão da segurança da informação, são apresentados os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI), bem como os requisitos para avaliação e tratamento de riscos de segurança da informação, sempre com foco nas necessidades da organização (1ª parte). Já na ABNT NBR ISO/IEC 27002:2013. Código de Prática para controle de segurança da informação, são estipuladas as melhores práticas para apoiar a implantação do SGSI, com diretrizes para práticas de gestão e normas de segurança da informação para as organizações (2ª parte). E posteriormente chegou a ABNT NBR ISO/IEC 27005:2019. Gestão de riscos de segurança da informação, trazendo diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um SGSI (3ª parte).
Quais partes estão corretas?
( ) A vida útil do gerenciamento de risco em segurança da informação é uma atividade ampla e organizacional.
( ) A análise de risco qualitativa envolve a avaliação subjetiva de ameaças.
( ) A seleção de controles de segurança, no processo de gerenciamento de riscos em segurança da informação, não é necessária.
As afirmativas são, respectivamente,
Considerando as melhores práticas de programação segura e revisão de código, assinale a afirmativa correta.