Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.346 questões
Em uma aplicação financeira, um banco está implementando a autenticação multifatorial dos usuários junto com um sistema de Controle de Acesso Baseado em Papéis (RBAC, sigla em inglês) para gerenciar as permissões desses mesmos usuários.
Considerando-se esse contexto, quando implementado, o
RBAC
Um Sistema de Gestão da Segurança da Informação (SGSI) deve ser integrado aos processos da organização e à estrutura de administração global para que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles. A organização deve melhorar continuamente a pertinência, a adequação e a eficácia do SGSI. A norma ABNT NBR ISO/IEC 27001:2022 define vários itens que fazem parte da melhoria do SGSI.
Dentre esses itens, encontra-se a(o)
A norma ABNT NBR ISO/IEC 27002:2022 organiza os controles de segurança em diferentes categorias (ou temas), e cada controle está associado a cinco atributos com valores de atributo correspondentes. Dentre esses atributos, o de domínios de segurança é usado para visualizar controles na perspectiva de quatro domínios de segurança da informação.
Os valores desse atributo consistem em:
A implementação dos controles de segurança da informação é realizada com os mecanismos de segurança. Pode-se usar um método ou processo para assegurar a integridade de uma unidade de dados ou de um fluxo de unidade de dados, produzindo um código de verificação de integridade representado por um bloco de bits de tamanho fixo.
Esse bloco é conhecido como
Conforme descrito no documento CIS Microsoft Windows Server 2019 Standalone Benchmark v1.0.0, os usuários devem ser educados sobre a seleção e a manutenção adequadas de senhas pessoais, especialmente com relação ao comprimento. Os tipos de ataques de senha incluem ataques de dicionário (que tentam usar palavras e frases comuns) e ataques de força bruta (que tentam todas as combinações possíveis de caracteres). Além disso, os invasores, às vezes, tentam obter o banco de dados de contas para que possam usar ferramentas para descobrir as contas e as senhas.
Segundo esse benchmark, a recomendação para o tamanho das senhas no ambiente corporativo é de quantos caracteres?
Esse Grupo de Implementação de Controle CIS é o
(1) criação de arquivos especiais de dispositivos de bloco ou de fluxo;
(2) criação de arquivos com permissão de setuid;
(3) execução de arquivos binários.
Respectivamente, essas opções de montagem são
O Transport Layer Security (TLS) é um padrão de comunicação segura que criptografa e autentica a comunicação entre aplicativos e servidores para assegurar proteção de dados. As duas versões mais comuns ainda em uso hoje são o TLS 1.2 e o mais recente protocolo TLS 1.3. Existem várias diferenças importantes entre essas versões que melhoram a segurança, o desempenho e a privacidade.
Dentre as principais diferenças, verifica-se que o TLS 1.3 suporta
Os Controles CIS (Center for Internet Security) refletem o consenso de uma comunidade internacional de indivíduos e instituições voluntários sobre importantes controles de segurança. O Controle CIS de defesas de malware visa impedir ou controlar a instalação, disseminação e execução de aplicações, códigos ou scripts maliciosos em ativos corporativos.
Uma das medidas de segurança definidas para a implantação desse controle é
O padrão IEEE 802.1X fornece um controle de acesso à rede de comunicação de dados, através de um mecanismo de autenticação que envolve três partes: o suplicante, o autenticador e o servidor de autenticação. Durante o processo de autenticação, a entidade que deseja acessar a rede (suplicante) interage diretamente com a entidade que fornece o acesso à rede (autenticador). O autenticador interage diretamente com a entidade que decide se o suplicante pode ou não acessar a rede (servidor de autenticação).
O protocolo de comunicação utilizado pelo suplicante para interagir com o autenticador durante o processo de autenticação é o
A fim de garantir a segurança da informação, é preciso adotar um conjunto de medidas de proteção para tornar sistemas de informação e sistemas de comunicação resistentes a ataques. Dentre essas medidas de proteção, existe uma que visa fornecer evidências que podem ser armazenadas e, posteriormente, apresentadas a terceiros, para resolver disputas que surgem se e quando uma comunicação é negada por uma das entidades envolvidas.
Essa medida de proteção é conhecida como
O OWASP Top 10 apresenta as categorias de riscos de segurança mais críticos de aplicações Web, verificadas durante um certo período de avaliação e serve como um guia para profissionais de segurança e desenvolvedores de sistemas. Num dos cenários de ataque apresentados na publicação de 2021, um invasor monitora uma aplicação Web que não usa nem força o uso do TLS (Transport Layer Security), o que possibilita que um invasor monitore o tráfego de rede (por exemplo, em uma rede sem fio insegura), intercepte solicitações e roube o cookie de sessão do usuário.
Esse cenário de ataque é apontado na categoria de risco de segurança
A estratégia de defesa em profundidade implica a implantação de camadas de segurança independentes. Essa estratégia é amplamente adotada na segurança do perímetro da rede de comunicação de dados, por meio da implantação de componentes de segurança. Um desses componentes opera no nível de aplicação como um intermediário na comunicação entre as aplicações das estações internas e os servidores externos, para proteger a privacidade e aplicar políticas corporativas de restrição de acesso a sítios externos.
Esse componente de segurança é o
A engenharia social é uma técnica de manipulação que visa persuadir pessoas a cometerem erros ou burlar políticas de segurança, de forma que o adversário tenha êxito em ações maliciosas que não seriam viáveis sem a participação da vítima. Dentre os métodos mais comuns de engenharia social, existe um que tem como objetivo seguir um membro autorizado da equipe em uma área de acesso restrito e se aproveitar da cortesia social para fazer com que a pessoa segure a porta para o atacante ou para convencer a pessoa de que o atacante também está autorizado a ficar na área de acesso restrito.
Esse método de engenharia social é conhecido como
O código malicioso é aquele programa de computador que tem o potencial de danificar sua vítima, mas nem sempre age dessa forma. Alguns códigos maliciosos optam por furtar dados pessoais, enquanto outros usam recursos de computação da vítima em benefício próprio, sem o conhecimento ou a autorização da vítima. Dentre esses códigos maliciosos, existe uma certa categoria que visa utilizar código Javascript malicioso para furtar dados de cartão de crédito e outras informações preenchidas em páginas de pagamento de web sites de e-Commerce.
Essa categoria de códigos maliciosos é conhecida como
O ataque é um ato intencional no qual um adversário procura evadir serviços de segurança e violar a política de segurança de um sistema. Os ataques passivos são muito difíceis de detectar, pois não envolvem alteração dos dados trafegados na rede. Por outro lado, os ataques ativos envolvem alguma modificação do fluxo de dados ou a criação de um fluxo falso.
Dentre os exemplos de ataques, há o ataque de disfarce, cujo objetivo é o de
De acordo com a ABNT NBR ISO 22301:2020, um Sistema de Gestão de Continuidade de Negócios (SGCN) reforça a importância de entender as necessidades da organização e a imprescindibilidade de estabelecimento de uma política e de objetivos para a continuidade dos negócios.
Conforme essa norma, um dos benefícios para a organização, da perspectiva de processos internos, é que um SGCN
A ABNT NBR ISO/IEC 27035-1:2023 destina-se a complementar outras normas e documentos que fornecem orientação sobre a investigação e preparação para investigar incidentes de segurança da informação. Conforme definido nessa norma, o processo de gestão de incidentes de segurança da informação consiste em cinco fases distintas. Há uma fase na qual pode ocorrer a necessidade de invocar medidas do plano de continuidade de negócios ou do plano de recuperação de desastre para os incidentes que excedam determinados limites organizacionais para as equipes de resposta a incidentes.
Essa fase é a de