A criptografia simétrica é específica para conexões de rede não monitoradas. Uma desvantagem dessa técnica de criptografia é o fato de que, por meio de um ataque de CBC (cypher block chaining), um atacante pode extrair dados legíveis de uma conexão de rede interceptada.

A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.

A norma em questão recomenda que sejam incluídas, na política de segurança da informação, declarações que esclareçam termos e condições de trabalho de recursos humanos, incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho.

Em avaliação de riscos, os riscos podem ser analisados de acordo com sua probabilidade de acontecimento e com os possíveis impactos que eles podem causar.

Com relação aos requisitos para o SGSI, de acordo com a ABNT NBR ISO/IEC 27001, julgue os itens de 61 a 65.


Para que a implementação e a operação do SGSI sejam feitas em conformidade com a norma em questão, as organizações devem definir como será medida a eficácia dos controles ou grupos de controles selecionados. Assim, será possível comparar ou reproduzir os resultados da implementação desses controles.

Acerca de ataques maliciosos a redes de computadores, julgue os itens seguintes.
De forma geral, os ataques a redes de computadores compõem-se das seguintes fases: planejamento, coleta de dados, aproximação, invasão e exploração.

Uma operação de backup cotidiana, que repete a gravação de dados em várias mídias LTO5 em uma biblioteca de backup, gera desperdícios. Para diminuir esse desperdício, o administrador poderá utilizar o recurso de deduplicação disponível no seu software de backup, pois as mídias LTO5 suportarão essa operação.

A opção por uso de fita magnética para backup dos dados de um serviço online, em detrimento de uso de discos rígidos, se torna cada vez mais atraente quanto mais importante forem as necessidades de preservação dos dados a longo prazo, isto é, para finalidades arquivísticas.

No IDS, erros do tipo falso positivo podem levar usuários a ignorar a saída dos dados porque tratam ações legítimas como tentativas de invasão.

Em uma organização, a identificação de vulnerabilidades é uma atividade importante, que deve ser realizada em conjunto com a avaliação de riscos.