Um servidor da Assembleia foi comprometido após um funcionário do setor administrativo clicar em um link malicioso contido em um e-mail. O e-mail simulava ser da equipe de TI da Assembleia, solicitando a atualização urgente de credenciais em uma página que imitava o portal de login interno.
O ataque que se utiliza de engenharia social, se passando por uma entidade confiável para induzir vítimas a fornecerem dados sensíveis, é conhecido como

Com o objetivo de assegurar a autenticidade, a integridade e o não repúdio de documentos digitais oficiais produzidos pelo setor jurídico da Assembleia, torna-se necessária a adoção de um mecanismo de assinatura digital fundamentado na Infraestrutura de Chaves Públicas (ICP).
Nesse contexto, assinale o conceito de criptografia essencial para a geração de uma assinatura digital, baseado no uso de um par de chaves matematicamente relacionadas, no qual a chave privada, de conhecimento exclusivo do signatário, é utilizada para proteger o resumo criptográfico (hash) da informação.

Durante um procedimento de monitoramento de segurança da informação, um analista constata a disseminação acelerada de um código malicioso na rede interna da Assembleia. Esse código explora falhas de segurança em sistemas operacionais e serviços de rede desatualizados, propagando-se de forma autônoma, sem depender de ações do usuário, como o clique em links ou a abertura de anexos.
Considerando essas características, assinale a alternativa que indica o tipo de malware capaz de se autorreplicar e se espalhar automaticamente por meio da própria infraestrutura de rede, consumindo recursos dos sistemas afetados.

Na gestão de ativos de informação, o conceito de Asset Owner, conforme a ISO/IEC 27002, é fundamental para a governança.
A principal responsabilidade do Proprietário do Ativo é

Em um ambiente de Tecnologia da Informação, o princípio da Segregação de Funções (SoD - Separation of Duties) é rigorosamente aplicado. Um Analista de Sistemas é designado para desenvolver e testar novas funcionalidades em um sistema de missão crítica. Conforme a política de segurança, esse mesmo analista não possui permissão para realizar a implementação (deployment) do código final no ambiente de produção.
O seguinte risco ou ameaça de segurança e governança o princípio da Segregação de Funções é projetado primariamente para mitigar o problema nesse cenário específico:

Um sistema de controle de acesso lógico da Assembleia Legislativa de Rondônia utiliza um modelo onde os direitos de acesso de um usuário a um recurso são concedidos com base em sua função ou cargo dentro da organização. Este modelo simplifica a administração e garante que as permissões estejam alinhadas com as responsabilidades de cada função ou cargo.
Esse modelo de controle de acesso lógico é o

Ao realizar uma análise de riscos, um analista identificou que a vulnerabilidade de Cross-Site Scripting em um portal de serviços tem uma probabilidade de ocorrência classificada como média e um impacto potencial classificado como Alto. A organização utiliza uma matriz de riscos 5X5 (Muito Baixa, Baixa, Média, Alta, Muito Alta). Para tratar este risco, foi implementado um WAF, que reduz a probabilidade de exploração de Média para Baixa.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é

A alta administração de um órgão público determinou que o risco de vazamento de dados de um novo sistema deve ser reduzido a um nível aceitável, mas que ainda assim permitirá a continuidade da operação. Após a avaliação, o risco residual foi considerado alto, exigindo a implementação de novos controles.
O tratamento de risco decidido pela alta administração do órgão é

Um departamento da ALE-RO sofreu um incidente de segurança em que vários computadores apresentaram lentidão extrema e exibiram pop-ups com anúncios. A equipe de TI identificou a instalação de uma barra de ferramentas no navegador como ponto comum. O software antivírus não havia bloqueado a instalação.

Com base no comportamento descrito, assinale a opção que indica, respectivamente, o tipo de ameaça digital que provavelmente infectou os sistemas e o porquê de o antivírus não ter detectado inicialmente.

O departamento de TI da ALE-RO precisa transmitir um arquivo contendo dados sensíveis (relatórios orçamentários) para um auditor via e-mail. A política de segurança exige que o arquivo seja ilegível por terceiros, caso interceptado durante a transmissão ou se armazenado inadvertidamente na caixa de entrada do auditor.

Nesse caso, a medida de criptografia mais adequada para atender a essa exigência de segurança, garantindo que apenas o destinatário autorizado possa acessar o conteúdo, é