Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
Radiação, furto e fenômeno sísmico são, respectivamente, exemplos de vulnerabilidades dos tipos acidente, intencional e natural, e podem constar no gerenciamento e no tratamento de risco.
O CLASP (Comprehensive, Lightweight Application Security Process) fornece uma taxonomia de vulnerabilidades que podem ocorrer no código-fonte e que podem ser verificadas com o uso de ferramentas automatizadas para análise estática de código.
Impacto é uma mudança adversa no nível obtido dos objetivos de negócios, e vulnerabilidade é uma falha que, quando explorada por um atacante, resulta na violação da segurança.
Na avaliação de riscos, abordam-se os riscos externos e os internos, avaliando-os por meio de métodos qualitativos e quantitativos, ao passo que, no estabelecimento do contexto do risco, a definição deve se ater apenas ao contexto interno.
Para uma efetiva gestão de riscos, deve-se alinhar a gestão de TI ao sistema de gestão de riscos da organização.
A tomada de ações corretivas em tempo hábil depende da notificação de fragilidades e ocorrências de eventos de segurança da informação.
Caso ocorra um evento de segurança de informação, recomenda-se que o agente observador tome uma ação pessoal para mitigar o risco e, em seguida, comunique o fato ao ponto de contato.
Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco não tratado constitui uma falha de segurança.
De acordo com critérios predefinidos, a importância do risco é determinada na fase de análise do risco.
A aplicação de controles apropriados é suficiente para se diminuir o risco identificado.
Os riscos devem ser avaliados antes, durante e após implantações e revisões de políticas de segurança da informação.
Os riscos devem ser identificados, quantificados e priorizados, com base nos critérios definidos pela área de tecnologia da informação (TI) da organização.