Questões de Concurso
Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação
Foram encontradas 839 questões
I. A necessidade de inicialização do Windows em modo de segurança aponta para uma falha de hardware.
II. A vulnerabilidade foi causada por uma atualização do conteúdo usado pelo sensor de segurança.
III. O incidente resultou na exclusão de todos os dados armazenados nas máquinas infectadas.
IV. A falha poderia ter sido evitada por meio de procedimentos robustos de teste de qualidade de software.
Assinale a alternativa que contenha APENAS as afirmações corretas.
• risco: atraso na execução de contratos estratégicos • probabilidade: 8 (em uma escala de 1 a 10) • impacto: 8 (em uma escala de 1 a 10) • eficácia dos controles: 40%
À luz dessas informações, analise as afirmativas a seguir.
I. O risco residual é de 48 pontos, aplicando-se a fórmula: risco residual = risco inerente × (1 - eficácia dos controles).
II. O estabelecimento do contexto da análise deve incluir fatores internos e externos, além das partes interessadas e suas expectativas.
III. A técnica bow tie pode ser utilizada para representar graficamente causas e consequências do risco, incluindo controles preventivos e mitigadores.
Está correto o que se afirma em:
I O tratamento de dados pessoais deve ter propósito legítimo, limitar-se ao mínimo necessário e observar a garantia da prestação de informações claras ao titular.
II A classificação dos ativos de informação de uma organização conforme seu nível de criticidade garante o controle adequado das informações.
III A gestão de riscos em segurança da informação deve considerar a identificação de ameaças, vulnerabilidades e impactos para a definição das medidas de proteção.
Assinale a opção correta.
Quanto ao gerenciamento de ativos de TI, à gestão de incidentes e à especificação de equipamentos de TI, julgue o item a seguir.
Para reduzir custos, recomenda‑se sempre especificar a menor quantidade possível de memória RAM, pois o desempenho do sistema pode ser otimizado posteriormente apenas com atualizações de software.
I. O SAST (SonarQube) deve rodar durante as etapas de build no Azure DevOps, analisando o código-fonte para encontrar vulnerabilidades como injeção de SQL e falhas de autenticação, podendo bloquear a pipeline antes do deploy.
II. O DAST (OWASP ZAP) deve ser executado no ambiente de testes, realizando ataques simulados contra o aplicativo já em execução, detectando problemas como configurações inseguras de HTTP headers e falhas de autorização.
III. O DAST depende de acesso ao código-fonte para localizar vulnerabilidades em tempo de execução.
IV. A execução combinada de SAST e DAST no pipeline cobre vulnerabilidades tanto estáticas (no código) quanto dinâmicas (em runtime), fortalecendo a segurança em múltiplas camadas.
Quais estão corretas?
I. Kali Linux é uma distribuição Linux de código aberto baseada no Debian, que permite aos usuários realizar testes de penetração e auditorias de segurança.
PORQUE
II. Esta distribuição é voltada para os testadores e pode ser utilizada por iniciantes em função da sua interface amigável.
A respeito dessas asserções, assinale a alternativa correta.
Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.
Julgue o item subsequente a respeito de segurança da informação.
A medição e a avaliação do risco são variáveis externas e, por isso, são inviáveis.
I. Corrigir as descobertas do teste de invasão.
II. Validar as Medidas de Segurança.
III. Realizar testes de invasão internos periódicos.
Para essas medidas (I, II e III) a função de segurança a ser aplicada, respectivamente, é: