Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com:
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:
Com base nas práticas DevSecOps, a ação alinhada com o modelo a ser implementada pela empresa Beta é:
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar:
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar:
1[__________] é a presença de todo evento potencial que causa um impacto indesejável na organização. Já
2[__________] é um recurso, processo, produto ou infraestrutura que uma organização determinou que deve ser protegido, pois sua perda pode afetar a confidencialidade, a integridade ou a disponibilidade. Quando um mecanismo da segurança pode ser contornado por uma ameaça, ocorre uma 3[__________], que, ao ser combinada com um ataque, pode resultar em uma invasão. 4[__________] corresponde à possibilidade de que uma ameaça específica explore uma vulnerabilidade específica e cause dano a um ativo. Por fim, 5[__________] representa a falta ou a fraqueza de uma proteção, permitindo que uma ameaça mínima se transforme em uma grande ameaça.
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 45. (adaptado).
A alternativa que contém a ordem CORRETA das palavras que preenchem as lacunas do texto, da esquerda para a direita e de cima para baixo, é:
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 62.
Em relação à abordagem metodológica Facilitated Risk Analysis Process(FRAAP) para a análise e a avaliação de riscos, avalie as asserções a seguir e a relação proposta entre elas.
I. O FRAAP se caracteriza como um processo estruturado de análise e de avaliação de riscos e que é implementado em três etapas, quais sejam: (1) Pré-FRAAP; (2) Sessão FRAAP; e (3) Pós-FRAAP.
PORQUE
II. A etapa (1) Pré-FRAAP, é o momento em que os membros do FRAAP analisam e avaliam os riscos e identificam os controles para sua mitigação, a partir de requisitos e de atributos definidos.
A respeito dessas asserções, assinale a opção CORRETA.
TEXTO I
O Departamento de Segurança da Informação e Comunicações, do Governo Federal do Brasil, estabelece o processo de GRSIC (Gestão de Riscos de Segurança da Informação e Comunicações) nos órgãos ou entidades da Administração Pública Federa. Assim sendo, o processo GRSIC baseia-se no ciclo PDCA (PlanDo-Check-Act / PlanejarFazer-Verificar-Agir), uma sequência de passos utilizada para controlar qualquer processo definido. O uso dos ciclos pode ser assim relatado: 1 – planejar envolve definir como será feito (quem, o que, quando, onde, como) e as metas e os métodos para atingir o objetivo; 2 – fazer significa tomar a iniciativa, educar, treinar, implementar e executar o planejado conforme as metas e os métodos definidos; 3 – checar consiste em verificar os resultados que estão sendo obtidos e de forma contínua, para garantir a execução dos trabalhos programados; 4 – agir determina fazer as correções necessárias através de ações corretivas ou melhorias.
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 69-70. (adaptado).
TEXTO II
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 69-70. (adaptado).
Considerando as informações apresentadas no texto bem como as etapas que integram processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC), marque a alternativa em que os números estão CORRETAMENTE relacionados às respectivas etapas desse processo, numeradas de 1 a 6, conforme apresentado na imagem (Texto II).
Nesse contexto, assinale a alternativa que apresenta a medida MAIS adequada e tecnicamente consistente com políticas de segurança e gestão de riscos:
Para reduzir vulnerabilidades exploráveis remotamente em dispositivos móveis corporativos, o administrador deve adotar práticas de segurança adequadas.
Assinale a opção que contribui diretamente para mitigar esses riscos.
Preencha as lacunas abaixo conceituando os itens de l a V e ao final marque a alternativa CORRETA.
I. Controle
II. Consequência
III. Incidente de segurança da informação
IV. Vulnerabilidade
V. Fonte de risco
() Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco.
() Resultado de um evento que afeta os objetivos.
() Um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da informação.
() Fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa.
() medida que mantém e/ou modifica o risco.
I. uma definição dos critérios de risco (incluindo os critérios de aceitação de riscos e os critérios para a realização de avaliações de risco de segurança da informação).
II. fundamentação da consistência, validade e comparabilidade dos resultados.
III. uma descrição do método de identificação de riscos (incluindo a identificação de proprietários de risco).
IV. uma descrição do método de análise dos riscos à segurança da informação (incluindo a avaliação de potenciais consequências, probabilidade realista e nível de risco resultante).
V. uma descrição do método para comparar os resultados com os critérios de risco e a priorização de riscos para o tratamento de riscos.
Sobre as afirmativas acima, marque a alternativa CORRETA.
I.Consiste em alterar a probabilidade de ocorrência de um evento ou alterar a gravidade da consequência. O risco fica mais difícil de ocorrer ou menos impactante.
II.Consiste em reconhecer o risco e não tomar nenhuma ação. É uma estratégia muito adotada quando o custo para atuar sobre o risco ultrapassa a consequência que ele traria.
III.Consiste em dividir responsabilidades com outras partes, interna ou externamente. O exemplo clássico é contratar um seguro.
As três respostas ao risco descritas em I, em II e em III são conhecidas, respectivamente, como: