O órgão XYZ está passando por um processo de transformação digital e adaptou vários processos que passaram a adotar assinatura digital em documentos nato digitais, eliminando tarefas de coleta física de assinaturas e posterior digitalização para armazenagem.

Sobre o processo de assinatura digital, é correto afirmar que:

Walace está fazendo uma verificação de segurança da empresa X, onde trabalha na busca de alguma falha no controle de acesso das aplicações. Ele está seguindo o modelo OWASP, que indica algumas ferramentas que auxiliam nessa tarefa. Walace identificou adulteração do JSON Web Token (JWT) de controle de acesso para elevação de privilégios na aplicação.

Com isso, Walace teve a necessidade de implementar rapidamente a ação de prevenção:

Com o crescente número de ataques cibernéticos, o Tribunal Regional Federal da 1ª Região (TRF1) resolveu criar um departamento de cybersegurança. Esse departamento conterá inicialmente os times A e B. A diferença entre eles é que o time A é responsável por ataques e o time B, pela defesa. João, Denise e Sônia foram contratados para o departamento. João realizará coleta de dados, análises dos dados, sistemas, redes e servidores que devem ser protegidos, além de produzirem avaliações de riscos. Denise fará prevenção, identificação, contenção e mitigação de qualquer tentativa de acesso indevido. Sônia buscará vulnerabilidades conhecidas e testará novas combinações de ataques e de engenharia social para obter acesso aos sistemas.

De acordo com o que cada um executará, João, Denise e Sônia serão alocados, respectivamente, nos times:

A analista Cristina, responsável pelo departamento de TI do TRF1, trabalha para garantir que todos os sistemas operacionais suportem eficientemente as operações diárias. Durante um projeto de migração de dados para a nuvem, um dos servidores principais enfrentou um risco significativo de falha devido a problemas de conectividade. Cristina, preocupada com o impacto potencial nas operações da instituição, precisou tomar medidas rápidas para mitigar esse risco.

De acordo com a ITIL 4, o papel do prestador de serviços em relação aos riscos impostos ao consumidor é:

A ABNT NBR ISO/IEC 27002:2022 orienta que seja estabelecida uma política sobre cópias de segurança (backup) com o propósito de permitir a recuperação em caso de perda de dados ou sistemas. No que se refere às boas práticas sobre a realização do backup, a política de backup deve considerar:

Durante o processo de tratamento de riscos de segurança da informação, na lista de riscos priorizados, identificou-se a possibilidade de entrada de dados de fonte não confiável nos computadores conectados à rede computacional do TRF1. A partir da lista de ameaças identificadas, decidiu-se que a utilização de dispositivos móveis seria bloqueada nos computadores do TRF1.

Segundo a norma ABNT NBR ISO/IEC 27005:2023, a opção de tratamento desse risco foi:

A estratégia nacional de segurança da informação e cibernética do Poder Judiciário (ENSEC-PJ) estabelece que cada tribunal, com exceção do STF, deverá estabelecer, em sua política de segurança da informação, ações para:

A Norma ABNT NBR ISO/IEC 27002:2022 orienta que as informações sejam classificadas de acordo com as necessidades de segurança da informação da organização.

De acordo com essa norma, na classificação da informação devem-se considerar os requisitos de:

A Norma ABNT NBR ISO/IEC 27001:2022 recomenda que as organizações estabeleçam e apliquem um processo de tratamento de riscos de segurança da informação para:

A organização da ICP-Brasil é constituída por várias entidades com atribuições específicas no processo de geração de certificados digitais. Periodicamente é emitida uma Lista de Certificados Revogados (LCR), os quais não podem ser utilizados para assinatura pelos responsáveis enquanto permanecerem na LCR.

A entidade responsável por emitir e assinar digitalmente a LCR é o(a):