A utilização de múltiplo fator de autenticação (MFA), combinando uma senha e um código de autenticação enviado por SMS, garante blindagem contra ataques embasados em engenharia social, mesmo que o atacante tenha acesso a informações pessoais sensíveis da vítima.

Conforme a ABNT NBR ISO/IEC 27005, na avaliação de probabilidade de análise de riscos de segurança da informação, a fonte de incerteza de avaliação sistêmica é aquela que deriva do uso de ferramentas que inevitavelmente modelam eventos de forma simples.

Para efeitos de classificação, informações compartilhadas entre organizações devem manter seus estados e atributos de classificação inalterados, independentemente de seu contexto em cada organização, mesmo que seus esquemas de classificação sejam diferentes.

O propósito das políticas de segurança da informação organizacionais é assegurar adequação contínua, suficiência, efetividade da direção de gestão e suporte à segurança da informação de acordo com requisitos comerciais, legais, estatutários, regulamentares e contratuais.

A infraestrutura de chaves públicas (PKI – Public Key Infrastructure) é fundamental para garantir a segurança e a confiança nas transações digitais, autenticação de usuários e comunicação segura em ambientes eletrônicos. No ecossistema do Tribunal de Justiça do Estado de Rondônia (TJRO), esse recurso pode ser aplicado/utilizado em diferentes cenários, como comunicações seguras por e-mail, autenticação em sistemas, criptografia de comunicação Web e até mesmo nas assinaturas digitais e documentos legais. Sobre o recurso em questão, analise as afirmativas a seguir.

I. Em uma ICP convencional (hierárquica), a chave pública da AC raiz deve ser conhecida de todos, sendo considerada íntegra.

II. Todo certificado deve ser assinado por alguma entidade considerada confiável pelos usuários do sistema. Essas entidades são normalmente denominadas Autoridades Certificadoras (AC ou CA – Certification Authorities).

III. O campo Validity de um certificado X509 diz respeito ao período de tempo em que o certificado é considerado válido e não é permitida a sua revogação antes desse prazo.

Está correto o que se afirma apenas em

Durante o monitoramento dos sistemas do Tribunal de Justiça do Estado de Rondônia (TJRO), a equipe de segurança identificou várias ocorrências envolvendo diferentes tipos de malware. A seguir encontram-se situações reais que descrevem características e comportamentos observados em vírus, worms e outros tipos de pragas virtuais; analise-as.

I. Vírus: um tipo de malware que infecta arquivos legítimos, depende de interação humana para se replicar e pode ser projetado para corromper dados. Em redes corporativas, é comum que vírus se espalhem automaticamente por conexões ativas, sem necessidade de interação adicional.

II. Worm: um malware que se espalha automaticamente por redes, explorando vulnerabilidades de segurança, sem interação humana. Frequentemente, worms são projetados para aumentar o tráfego de rede e podem servir como ponto de entrada para trojans.

III. Ransomware: um malware que criptografa os arquivos de um sistema e exige pagamento para liberar o acesso. Ele também pode ser programado para monitorar a atividade do usuário e enviar dados confidenciais para um servidor controlado pelo atacante.

IV. Trojan: um software que aparenta ser legítimo, mas, ao ser executado, pode permitir controle remoto do sistema infectado. Não possui capacidade de replicação automática e geralmente é usado para instalar backdoors ou outros tipos de malware.

V. Spyware: um malware projetado para capturar informações sensíveis, como dados de navegação, senhas e informações financeiras. Ele opera de forma discreta e pode ser instalado como parte de outros malwares, como worms ou trojans.

Está correto o que se afirma em

O desenvolvimento de sistemas deve se atentar para as questões de segurança da informação. Com base nessa informação, julgue o item seguinte.

Phishing é uma das ameaças mais comuns à segurança da informação e visa enganar usuários para roubar dados sensíveis.

O desenvolvimento de sistemas deve se atentar para as questões de segurança da informação. Com base nessa informação, julgue o item seguinte.

Políticas de segurança devem ser rígidas e imutáveis, independentemente das mudanças tecnológicas.

O desenvolvimento de sistemas deve se atentar para as questões de segurança da informação. Com base nessa informação, julgue o item seguinte.

Políticas de segurança estabelecem diretrizes para proteger ativos de informação dentro de uma organização.