Questões de Concurso Sobre segurança da informação
Foram encontradas 14.730 questões
( ) O objetivo de ataques do tipo DoS não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isso ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas.
( ) Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos, chamados de sniffers.
( ) Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate para restabelecer o acesso ao usuário.
( ) Phishing é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário pela utilização combinada de meios técnicos e engenharia social.
Assinale a alternativa que contém, de cima para baixo, a sequência CORRETA.
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da informação, julgue o item.
O ciclo de vida da gestão da continuidade, apresentado
pela NBR 15999-1:2007, é composto por quatro
elementos, sendo que, no elemento Entendendo a
Organização, deve-se elaborar e implementar um plano
detalhado de continuidade, conforme a análise e a
identificação dos riscos.
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da informação, julgue o item.
A NBR 15999-1:2007 sugere que se estabeleça uma
gestão da continuidade dos negócios, em que a alta
direção seja responsável pelos processos de gestão e
governança, mantendo as estratégias e os planos de
recuperação, de forma a garantir a continuidade do
negócio.
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da informação, julgue o item.
Uma característica geral da NBR ISO/IEC 27005:2011 é
que todas as fases e atividades da gestão de riscos são
organizadas na forma de processos.
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da informação, julgue o item.
Segundo a NBR ISO/IEC 27005:2011, a fase de
comunicação do risco compreende o registro formal da
decisão de aceite dos riscos pela organização.
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da informação, julgue o item.
Na NBR ISO/IEC 27005:2011, a definição do contexto
representa a fase de preparação para a implementação
da gestão de riscos, que envolve principalmente a
definição de cinco aspectos: critérios; escopo;
necessidade; requisitos; e organização, todos eles
tratados pelo Sistema de Gestão de Segurança da
Informação.
Quanto à gestão de incidentes de segurança da informação e aos aspectos da segurança da informação na gestão da continuidade do negócio, julgue o item.
A gestão de incidentes de segurança da informação tem
um único objetivo: gerenciar as notificações de
fragilidades e eventos de segurança da informação.
Quanto à gestão de incidentes de segurança da informação e aos aspectos da segurança da informação na gestão da continuidade do negócio, julgue o item.
Não é necessário que haja um procedimento de
notificação formal para relatar eventos de segurança da
informação, pois a burocracia dificulta uma reação eficaz
ao evento (incidente).
Quanto à gestão de incidentes de segurança da informação e aos aspectos da segurança da informação na gestão da continuidade do negócio, julgue o item.
A gestão de segurança da informação deve garantir a
continuidade das atividades após a ocorrência de uma
interrupção inesperada da operação ou dos processos
do negócio.
Quanto à gestão de incidentes de segurança da informação e aos aspectos da segurança da informação na gestão da continuidade do negócio, julgue o item.
Redundância e replicação são algumas estratégias à
disposição da contingência operacional.
A gestão de incidentes de segurança da informação e melhorias recomenda que responsabilidade e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
No nível superior da organização, deve existir uma política de segurança da informação generalizada, conforme especificado na ISO/IEC 27001:2013.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
A Norma ISO/IEC 27002:2013 é considerada como uma
norma restritiva, pois ela está focada apenas na
segurança das informações digitais, ou seja, das
informações armazenadas em computadores. As demais
formas de informação, como, por exemplo,
documentação e conhecimento, não são abordadas por
ela.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
Para a segurança de ambiente, devem ser
implementados os controles físicos, ou seja, os controles
implementados por meio de equipamentos ou
dispositivos que interagem fisicamente apenas com
pessoas, e não com objetos, como, por exemplo,
sistemas de alarme.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
De acordo com as políticas de controle de acesso, na
área dos sistemas e do controle de acesso das
aplicações, o acesso às informações deve ser restrito.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
Para controlar o acesso aos ativos de informação, é
conveniente que os requisitos comerciais de controle de
acesso da organização sejam claramente documentados
em uma política e nos procedimentos de controle de
acesso.
No que diz respeito à segurança em redes wireless, ao protocolo Syslog e ao Microsoft Event Viewer, julgue o item seguinte.
O Event Viewer é uma ferramenta destinada à auditoria de
dados em ambiente Windows e que proporciona ao
administrador do sistema visualizar todos os logs de eventos;
a maior desvantagem dessa ferramenta é que ela não permite
a integração com o Agendador de Tarefas do Windows.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting
(XSS) é que ele é realizado somente de um modo: por meio
do envio de códigos JavaScript pelos formulários de cadastro
de uma aplicação web com a finalidade de manipular as
informações no navegador do usuário.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
Caso uma aplicação permita que comandos SQL sejam
digitados nos inputs de seus formulários e concatenados
diretamente nos comandos SQL da própria aplicação, sem
que seja realizada uma validação ou tratamento antecedente,
certamente essa aplicação estará vulnerável ao ataque
conhecido como SQL Injection.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
Classificação de Risco para o Top 10 é uma metodologia baseada
na OWASP Risk Rating Methodology e consiste em estimar,
para cada categoria do Top 10, o risco peculiar que cada falha
introduz em uma aplicação web típica e, posteriormente, ordenar
o Top 10 de acordo com as falhas que tipicamente introduzem o
risco mais significativo para uma aplicação.