Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:
I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.
Está correto o que se propõe em
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
O impacto de um incidente de segurança da informação diz
respeito às consequências de determinado evento que
acomete a segurança dos ativos.
Julgue o próximo item, relativo a conceitos de ameaça, vulnerabilidade e impacto em sistemas de informação.
São exemplos de vulnerabilidade em segurança da
informação nas empresas públicas brasileiras: falhas
humanas; malware; ransomware e spyware.
Julgue o item a seguir, a respeito de gerência de riscos e sistema de gestão de continuidade de negócios (SGCN).
Na etapa de identificação de riscos, devem ser incluídos
todos os riscos, com exceção dos das fontes que não estão
sob seu controle, apontando-se as fontes de risco, áreas de
impacto, as causas e possíveis consequências tangíveis ou
intangíveis.
Julgue o próximo item, a respeito da gestão de segurança da informação.
Para a identificação de ameaças à segurança da informação,
recomenda-se a realização de avaliações de risco
regularmente.
Acerca da gestão de riscos, julgue o item a seguir.
Define-se risco como a causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou
organização.
Acerca da gestão de riscos, julgue o item a seguir.
Em segurança da informação, uma vulnerabilidade é
entendida como uma fraqueza — de um ativo ou de controle
de segurança — que pode ser explorada por uma ou mais
ameaças.
Essa vulnerabilidades podem existir quando um aplicativo da Web não valida adequadamente uma URL fornecida por um usuário ao buscar um recurso remoto localizado nessa URL. Se for esse o caso, um invasor que explora a vulnerabilidade pode usar o aplicativo Web vulnerável para enviar uma solicitação criada pelo invasor para o URL indicado. Isso permite que o invasor ignore os controles de acesso, como um firewall, que bloquearia as conexões diretas do invasor com a URL de destino, mas está configurado para fornecer acesso ao aplicativo Web vulnerável.
Na área de tecnologia, a gestão de riscos desempenha um papel fundamental na proteção de ativos e na tomada de decisões estratégicas.
Qual dos termos a seguir é usado para descrever a análise de riscos que leva em consideração a probabilidade de ocorrência, o impacto potencial e a capacidade de detecção de um risco?
Sobre a gestão de riscos, assinale a alternativa incorreta.
As sentenças abaixo são inspiradas no texto de Ramos (2006) sobre Segurança da Informação:
I. Evento que tem potencial em si próprio para comprometer os objetivos da organização e pode trazer danos diretos aos ativos, ou prejuízos decorrentes de situações inesperadas.
II. Ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existentes.
III. Medida indicativa de probabilidade de uma ocorrência que possa comprometer os objetivos da organização, combinada com os impactos que ela trará.
Fonte: (RAMOS, Anderson. Security Officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006.)
Tais sentenças descrevem, respectivamente, as definições de:
A Portaria no 162 do Conselho Nacional de Justiça contém o anexo IV, intitulado Manual de Referência – Proteção de Infraestruturas Críticas de TIC. Nesse anexo é estabelecida uma classificação para a organização, de acordo com seu porte, havendo três níveis, sendo que no Grupo
O ataque de injeção LDAP é restrito ao sistema Active Directory da Microsoft; o sistema OpenLDAP possui filtros nativos contra injeção de código malicioso.
Referências inseguras a objetos permitem aos atacantes ignorar a autorização e acessar recursos diretamente no sistema, por exemplo, o acesso a registros ou a arquivos de banco de dados, conforme a característica do sistema.
Um exemplo de técnica da tática de reconhecimento (reconnaissance) é a(o)
Julgue o item que se segue.
O "zero-day exploit" é uma vulnerabilidade de segurança
que é conhecida publicamente e para a qual não existe
um patch ou correção disponível.
Julgue o item que se segue.
O princípio da “Substituição” é uma estratégia de
prevenção de riscos que envolve a substituição de
substâncias, processos ou equipamentos perigosos por
alternativas mais seguras.