Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
Julgue o item que se segue.
A “Matriz de Risco” é uma ferramenta que classifica
riscos com base na probabilidade de ocorrência e nas
consequências, ajudando na priorização de medidas
preventivas.
Julgue o item que se segue.
A “Análise de Riscos” é uma medida secundária,
preventiva que visa a identificar, avaliar e priorizar os
riscos em situações gerais, permitindo a tomada de
decisões informadas sobre como gerenciá-los.
Julgue o item que se segue.
Um profissional pode divulgar informações negativas
sobre sua empresa ou colegas de trabalho em redes
sociais pessoais, desde que o perfil seja privado.
Julgue o item que se segue.
O princípio da “Hierarquia de Controles” afirma que a
primeira medida a ser considerada na gestão de riscos é
a implementação de controles administrativos, como
procedimentos e treinamentos.
BAARS, Hans et al. Fundamentos de segurança da informação. Editora Brasport, 2017, com adaptações.
No contexto da segurança da informação, assinale a alternativa correspondente ao termo definido no texto apresentado.
Denomina-se phishing a ação de o agente do ataque colocar-se entre a comunicação de dois usuários válidos, interceptar as mensagens enviadas, passando-se por uma das partes, e poder alterá-las ou bloqueá-las.
Blockchain é um livro-razão distribuído ponto a ponto, protegido por criptografia, apenas anexado, praticamente imutável, que pode ser atualizado apenas por consenso das partes ou com o acordo entre elas.
A criptografia que utiliza as duas chaves (pública e privada) é também conhecida como criptografia simétrica.
A criptografia de chave pública e privada é um método no qual são utilizadas duas chaves, uma para cifrar e outra para decifrar a mensagem.
A Instrução Normativa GSI n.º 5 estabelece que a transferência de sistemas estruturantes para um provedor de serviço de nuvem seja realizada nos modelos de implementação de nuvem pública, ou de nuvem híbrida, vinculada à infraestrutura local de cada órgão ou entidade.
A Instrução Normativa GSI n.º 6 proíbe expressamente aos servidores, empregados públicos, militares e prestadores de serviço a publicação de conteúdo ofensivo, de ódio, discriminatório ou difamatório em mídias sociais institucionais.
De acordo com a Instrução Normativa GSI n.º 2, a criação de uma equipe de prevenção, tratamento e resposta a incidentes cibernéticos é compulsória para todos os órgãos e entidades da administração pública federal que possuem a competência de administrar a infraestrutura de rede de sua organização.
Conforme a Instrução Normativa GSI n.º 3, o processo de gestão de continuidade de negócios em segurança da informação fornece à organização um relatório de identificação, análise e avaliação dos riscos de segurança da informação e um relatório de tratamento de riscos de segurança da informação.
De acordo com a Instrução Normativa GSI n.º 1, nos órgãos da administração pública federal, a elaboração da Política de Segurança da Informação será coordenada pelo gestor de segurança da informação do órgão, com a participação do comitê de segurança da informação interno.
No Plano de Gestão de Incidentes Cibernéticos para a administração pública federal, as atividades de verificar se há correlação com outros incidentes e de estabelecer a prioridade para o tratamento do incidente estão incluídas no processo de análise de um incidente cibernético.
Para um uso maximizado do framework ATT&CK, recomenda-se utilizar todas as técnicas na matriz ATT&CK, assim haverá uma priorização das técnicas que representam o maior risco.
A análise de riscos inclui a consideração das causas e fontes de risco, a probabilidade de ocorrer um evento específico, a probabilidade de que este evento provoque consequências e a gravidade dessas eventuais consequências.