Padilha é um analista que precisa implementar o controle organizacional denominado “Contato com grupos de interesse específico” presente na norma ISO/IEC 27002:2022. Através desse controle a organização deve estabelecer e manter contato com grupos de interesse específico ou outros fóruns especializados em segurança e associações profissionais.

Considerando a ISO/IEC 27002:2022, o atributo do domínio de segurança deste controle a ser implementado pelo analista se denomina

Fábio e Carlos são analistas de infraestrutura, eles precisam aprimorar a gestão da segurança da informação na ALEGO e decidiram adotar o Cybersecurity Framework (CSF), versão 2.0, do NIST (National Institute of Standards and Technology). O framework está estruturado em torno de funções para gerenciar riscos de segurança cibernética.

As funções elencadas no CSF são denominadas por

Segundo o relatório OWASP Top10:2021, os ataques do tipo injeção (A03:2021 - Injection), ocupam a terceira posição na lista. Analise as alternativas a seguir.

I. Para evitar injeções, é necessário manter os dados separados dos comandos e das consultas. A opção preferencial é usar APIs seguras, que evitam o uso do interpretador de comandos por completo, fornecendo uma interface parametrizada ou migração para ferramentas de mapeamento objeto-relacional (ORMs).
II. Recomenda-se a validação positiva de entrada no servidor. Isso por si só não é uma defesa completa, pois muitos aplicativos exigem caracteres especiais, como áreas de texto ou APIs para aplicativos móveis.
III. Para quaisquer consultas SQL estáticas ou dinâmica não se recomenda a utilização de caracteres de escape junto o interpretador de comandos devido às questões de compatibilidade entre sistemas heterogêneos recomenda-se apenas os caracteres literais.

Está correto o que se afirma em

Com relação a importância da segurança na nuvem em organizações públicas e privadas. Analise as alternativas a seguir.

I. A mitigação de ameaças cibernéticas é importante pois os ambientes de nuvem são alvos frequentes de ataques cibernéticos, incluindo ataques do phishing, ransomware e DDoS. As soluções eficazes de segurança em nuvem protegem contra essas ameaças, garantindo a continuidade dos negócios.
II. Na computação em nuvem o modelo de responsabilidade é compartilhado, a segurança é uma responsabilidade compartilhada entre o provedor de serviços e os clientes. As ferramentas e práticas de segurança permitem que as organizações participem dessa parceria.
III. As violações de dados ou falhas de segurança podem prejudicar a reputação de uma organização e corroer a confiança dos cidadãos. Medidas robustas de segurança na nuvem ajudam a manter a confiança e a fidelidade dos cidadãos.

Está correto o que se afirma em

A engenharia social é um método usado para enganar, manipular ou explorar a confiança das pessoas. A engenharia social pode impactar os profissionais da ALEGO por meio de ataques a dispositivos móveis ou de mesa. No entanto, eles também podem sofrer ameaças pessoalmente. Esses ataques podem se sobrepor e se acumular uns aos outros para criar golpes.
Correlacione os métodos engenharia social que usam os golpistas às respectivas descrições.

1. Phishing.
2. Baiting.
3. Tailgating.
4. Scareware.

( ) Esse tipo de golpe abusa da curiosidade natural dos usuários para o convencer a se expor a um agressor. Tipicamente, o potencial de receber algo gratuito ou exclusivo é usado para manipular e explorar o usuário. O golpe normalmente consiste em infectar o dispositivo do usuário com malwares. Os métodos populares podem incluir desde Pen drives deixados em espaços públicos até anexos de e-mail incluindo detalhes sobre uma oferta gratuita ou software gratuito fraudulento.
( ) é o ato de seguir um membro autorizado da equipe em uma área de acesso restrito. Os agressores podem se aproveitar da cortesia social para fazer com que se segure a porta para conceder acesso físico ou convencimento de que eles também estão autorizados a estar na área.
( ) É uma forma de malware usada para assustar e fazer o usuário agir. Esse recurso enganador utiliza advertências alarmantes que relatam infecções falsas por malware ou afirmam que uma de suas contas foi comprometida. Esse ataque induz o usuário a comprar softwares fraudulentos de cibersegurança ou divulgar detalhes privados como suas credenciais de conta.
( ) Os golpistas desse tipo de ataque fingem ser uma instituição ou um indivíduo confiável na tentativa de persuadi-lo a expor dados pessoais e outros bens valiosos. Esse tipo de ataque pode ser generalizado dirigido a muitos usuários ou utilizar informações personalizadas para direcionar usuários específicos.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

A norma NBR/ISSO que define requisitos para criar, implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação e também é direcionada para avaliação e tratamento de riscos adaptados às necessidades das organizações, garantindo proteção de dados e conformidade com objetivos estratégicos é conhecido por.

O adware é um software indesejado capaz de exibir anúncios e coletar informações sobre o comportamento dos usuários. Ao exibir anúncios online, o adware gera receita para seus criadores. No entanto, diferentemente do marketing digital legítimo, o adware costuma ser instalado sem o consentimento explícito ou o pleno conhecimento do usuário.
Com relação às formas evitar esse tipo de programas se instalem nos computadores, analise as alternativas a seguir.

I. Manter o sistema operacional atualizado e ter cuidado onde se clica.
II. Sempre ler todos os termos e acordos de caixa de seleção e ler avaliações e resenhas de programas antes de instalar.
III. Baixar apenas programas recomendados por colegas respeitáveis mesmo de sites não confiáveis sem HTTPS.

Está correto o que se afirma em

Criptografia é utilizada para proteger dados sensíveis. Com relação às criptografias baseadas em chaves, analise as alternativas a seguir.

I. A criptografia de chave simétrica, quando comparada com a de chaves assimétricas, é a mais indicada para garantir a confidencialidade de grandes volumes de dados e seu processamento é mais rápido. No entanto, quando usada para o compartilhamento de informações, se torna complexa e pouco escalável, devido a necessidade de um canal de comunicação seguro e da dificuldade de gerenciamento de grandes quantidades de chaves.
II. A criptografia de chaves assimétricas, apesar de possuir um processamento mais lento que a de chave simétrica, resolve os problemas de gerenciamento de chaves. Todavia, ela não dispensa a necessidade de um canal de comunicação seguro para o compartilhamento das chaves.
III. Exemplos de métodos criptográficos que usam chave simétrica são o AES, Blowfish, 3DES, IDEA e ECC. Já os métodos criptográficos que usam chaves assimétricas são o RC4, RSA, DSA e Diffie-Hellman.

Está correto o que se afirma em

Jonas é um assistente de suporte de TI da ALEGO. Ele sabe que o phishing é uma forma de crime e que os cibercriminosos têm utilizam e-mails, mensagens SMS e mensagens diretas nas redes sociais ou em videojogos para cometer ilícitos. Jonas também sabe que as melhores defesas contra cibercrimes são a conscientização e a capacidade dos usuários saberem o que procurar. Com relação às maneiras que Jonas tem para reconhecer um email de phishing, avalie se as afirmativas a seguir são verdadeiras (V) ou falsas (F).

( ) Chamada urgente para ação ou ameaças – Ele deve desconfiar de e-mails e mensagens que afirmam que ele tem de clicar, ligar ou abrir um anexo imediatamente. Muitas vezes, afirmam que tem de agir agora para reclamar uma recompensa ou evitar uma penalidade. Criar uma falsa sensação de urgência é um truque comum de ataques de phishing e esquemas fraudulentos.
( ) Domínios de e-mail não correspondentes – Ele deve verificar se o e-mail é proveniente de uma empresa de renome, como a Microsoft ou do seu banco, mas se o e-mail estiver a ser enviado a partir de outro domínio de e-mail, como gmail.com, ou microsoftsupport.ru é provavelmente parte de um esquema fraudulento.
( ) Ligações suspeitas ou anexos inesperados – Se ele suspeitar que uma mensagem de e-mail ou mensagem eletrônica é fraudulenta, ele não deverá atender quaisquer ligações ou abrir o email e seus anexos.

As afirmativas são, respectivamente,

Existem vários tipos de softwares maliciosos que podem ameaçar a rede local e os dispositivos da ALEGO. O software malicioso que é capaz de coletar informações dos computadores e dos seus usuários e as enviá-las para outras partes com propósitos escusos. No entanto, em princípio, ele não tenta danificar nem o computador ou nem os demais programas ali configurados, mas sim violar a privacidade. Esse tipo de software malicioso é conhecido como