Uma empresa deseja formalizar diretrizes que definam como seus colaboradores devem proteger informações confidenciais, utilizar recursos de TI e reagir a incidentes de segurança. Essas diretrizes devem ser documentadas, revisadas periodicamente e aplicáveis a todos os níveis da organização, de forma a reduzir riscos, garantir conformidade legal e proteger ativos de informação. Assinale a alternativa que contém o conceito que descreve corretamente esse conjunto de regras e diretrizes.

A Metodologia OWASP é amplamente utilizada para orientar organizações no desenvolvimento de aplicações seguras, oferecendo listas, frameworks, guias e práticas recomendadas para reduzir vulnerabilidades comuns. Com relação aos princípios e documentos oficiais mantidos pelo OWASP, assinale a alternativa correta sobre essa metodologia.

Um auditor de segurança está analisando uma aplicação web que monta consultas SQL diretamente a partir de parâmetros fornecidos pelo usuário, sem validação adequada. Durante o teste, ele insere diferentes cadeias de caracteres para avaliar se é possível manipular a cláusula WHERE da consulta. Considerando apenas técnicas e recursos diretamente associados ao SQL Injection, assinale a alternativa que representa um exemplo clássico de payload utilizado para explorar falhas desse tipo.

O OAuth 2.0 é um protocolo amplamente utilizado para delegação de autorização, permitindo que aplicações acessem recursos protegidos em nome de um usuário sem que este revele suas credenciais. Com relação aos conceitos fundamentais desse protocolo, assinale a alternativa que contém o papel do Authorization Code no fluxo de autorização.

Um usuário relata que seu computador começou a apresentar janelas pop-ups constantes, redirecionamentos para sites desconhecidos e instalação de barras de ferramentas sem autorização. Além disso, o sistema ficou mais lento e o navegador passou a exibir anúncios invasivos mesmo sem estar conectado a nenhum site suspeito. Esse comportamento contém características específicas do tipo de malware denominado

A empresa Delta está desenvolvendo uma aplicação de consultas remotas para atender a um hospital. Após uma reunião com a direção do hospital, surgiu a necessidade de avaliação dos riscos com relação à confidencialidade das informações dos prontuários dos pacientes para que não se tornem públicos.
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com:

Uma empresa multinacional está migrando seus sistemas críticos para o ambiente de nuvem. Nesse processo, a equipe de auditoria identificou que os contratos com os provedores do serviço de nuvem não especificavam claramente as responsabilidades sobre a segurança da informação.
Para que a multinacional fique em conformidade com a norma ABNT NBR ISO/IEC 27002:2013, o controle a ser aplicado para mitigar o risco é:

Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC 27001:2013 em um hospital, foi identificado que o armazenamento de prontuários na nuvem foi terceirizado, mas não foi realizada uma avaliação formal de riscos nem foram estabelecidas cláusulas contratuais sobre segurança da informação com o provedor. Além disso, nesse processo, os dados estavam sendo transmitidos sem a criptografia adequada.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:

Um gestor de segurança da informação estabeleceu o seguinte conjunto de OKR (Objectives and Key Results) para um projeto de segurança:

• O: fortalecer a imagem de segurança corporativa;
• KR1: aumentar a taxa de ataques identificados por comportamento anômalo;
• KR2: elevar o nível de conformidade com a ISO 27001 de 50% para 70%;
• KR3: substituir todos os equipamentos de segurança obsoletos.

Considerando o framework de gestão OKR, o(s) KR apropriado(s) é(são):

A analista Ana desenvolve a plataforma X, que deve ser capaz de receber notificações de sistemas externos quando houver mudança no status de determinados processos judiciais. Para adicionar essa funcionalidade, Ana desenvolveu um webhook, disponibilizando na plataforma um endpoint para receber as notificações. A fim de aprimorar a segurança das notificações recebidas, a analista implementou o mecanismo de validação que é altamente empregado na indústria de TI em APIs reversas, capaz de verificar tanto a integridade da notificação quando a autenticidade do remetente a cada requisição recebida, com baixo overhead.
No webhook de notificação da plataforma X, Ana implementou o mecanismo de validação: