Existe um tipo de golpe na Internet que baseia-se na tentativa de coleta de dados de usuários desavisados, mesclando meios técnicos e de engenharia social. Tal prática consiste no envio de mensagens eletrônicas, simulando virem de instituições conhecidas como bancos ou lojas, atraindo a atenção do usuário oferecendo-lhes vantagens, dentre outros. Assinale a alternativa que apresenta o golpe em questão.

Cookies são arquivos gravados no computador do usuário quando do acesso a sítios eletrônicos na Internet, pelos quais são mantidas informações como preferências de navegação, carrinhos de compras de lojas online, etc.

Assinale a alternativa que não apresenta um dos riscos relacionados ao armazenamento de cookies.

Considere a assertiva.

Para a devida transmissão de conteúdos sigilosos via navegação web, é importante que sejam utilizadas conexões seguras. O protocolo faz uso de certificados digitais para garantir a identidade dos sites envolvidos na comunicação, além de prover criptografia, que possibilita preservar tanto a confidencialidade quanto à integridade das informações transmitidas. Por outro lado, o protocolo não impede que tais informações possam ser interceptadas e/ou modificadas e não oferece garantias de que a comunicação não esteja sendo realizada com um site malicioso.

Assinale a alternativa que completa as lacunas.

O sniffing é uma técnica utilizada por profissionais de segurança da informação para inspecionar dados trafegados em rede. Avalie as informações a seguir.

I- Descobrir, por método de tentativa e erro, credenciais de acesso a sítios eletrônicos, computadores ou serviços.

II- Detectar problemas, analisar desempenho e monitorar atividades maliciosas em estações na rede.

III- Explorar vulnerabilidades de linguagens de programação ou pacotes utilizados no desenvolvimento web.

IV- Capturar informações sensíveis que trafegam por conexões de rede inseguras.

Considerando o exposto, pode-se dizer que as possibilidades de utilização da referida técnica estão corretamente descritas em

Considerando o contexto de mecanismos de segurança da informação, relacione as colunas e, em seguida, assinale a alternativa que apresenta a sequência correta.

1 – Identificação

2 – Autenticação

3 – Autorização

4 – Integridade

5 – Não Repúdio

( ) Verifica se a entidade é realmente mesmo quem ela alega ser.

( ) Protege a informação contra alterações não autorizadas.

( ) Assegura que uma entidade não possa negar a autoria de ações já executadas.

( ) Permite que uma entidade diga quem é.

( ) Determina quais ações podem ser executadas pela entidade.

Os elementos de suporte descritos na norma IEC27001:2013 da Organização Internacional de Normalização (ISO) são:

A ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)

Com relação à Gestão de Risco, em conformidade com a norma ABNT NBR ISO/IEC 27005:2011, analise os itens a seguir.

I. O risco é o efeito da incerteza nos objetivos, sendo muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

II. O risco residual (ou "risco retido") se refere ao risco remanescente após o tratamento de eventos sucessivos.

III. O nível de risco se relaciona a magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades (likelihood)

Está correto o que se afirma em

A norma ABNT NBR ISO/IEC 27002:2013 estabelece um código de prática para controles de segurança. Ela fornece diretrizes para prática de gestão de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento dos controles levando em consideração os ambientes de risco da segurança da informação da organização.

Relacione os termos de segurança da informação a seguir, às suas respectivas definições.

1. Segurança da informação

2. Incidente de segurança de informação

3. Evento de segurança de informação

4. Risco

( ) Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

( ) Ocorrência que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação e que pode ser identificada em um sistema, serviço ou rede.

( ) Ocorrência(s) indesejada(s) ou inesperada(s) que tem grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

( ) Combinação da probabilidade de um evento e de suas consequências.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

Com relação à segurança no desenvolvimento de programação e revisão de código, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) O ciclo de vida de desenvolvimento de software (SDLC) pode ser aperfeiçoado pelo uso do framework de desenvolvimento de software seguro (Secure Software Development Framework, SSDF), do NIST Cybersecurity, podendo ser usado por organizações de qualquer setor ou comunidade, independentemente do tamanho ou da sofisticação da segurança cibernética, bem como podendo ser usado para qualquer tipo de desenvolvimento de software, independentemente da tecnologia, plataforma, linguagem de programação ou ambiente operacional.

( ) O uso do Secure Coding Practices Checklist , do Developer Guide e do Offensive Web Testing Framework (OWTF), da Open Web Application Security Project (OWASP), proporciona melhores práticas de programação segura e revisão de código.

( ) O uso do Web Security Testing Guide (WSTG) em conjunto com o Web Application Penetration Checklist , ambos da OWASP, proporcionam a identificação dos mais adequados controles de segurança que devem ser executados, de acordo com as informações do OWASP TOP 10 e WSTG.

As afirmativas são, respectivamente,

Na era digital, onde a informação é um dos ativos mais valiosos, a implementação de uma política de segurança da informação é crucial para proteger os dados sensíveis e garantir a confiança de clientes e parceiros. Quando se trata de desenvolver uma política de segurança da informação, é recomendável ter em mente alguns conceitos:

I. Toda informação deve ser mantida na sua condição original, tal como fornecida pelo seu proprietário, com o objetivo de protegê-la contra quaisquer alterações indevidas, sejam elas intencionais ou acidentais.

II. É fundamental registrar tanto o acesso quanto o uso da informação, permitindo a identificação dos usuários que acessaram e as ações realizadas com os dados.

III. Toda informação deve ser protegida conforme o seu nível de sigilo, com o objetivo de restringir o acesso e o uso apenas às pessoas autorizadas a recebê-la.

As afirmações acima referem-se aos seguintes conceitos, respectivamente.