Acerca de conceitos e princípios relacionados com confidencialidade e integridade, julgue o item que se segue.

O princípio da integridade visa garantir que os dados sejam precisos e confiáveis e que não tenham sido modificados incorretamente, seja de forma acidental ou maliciosa.

Acerca de conceitos e princípios relacionados com confidencialidade e integridade, julgue o item que se segue.

A confidencialidade visa manter a privacidade das informações pessoais e garantir que elas sejam visíveis e acessíveis apenas aos indivíduos autorizados.

Uma empresa de consultoria X foi contratada para verificar os riscos quanto à segurança da informação no Tribunal de Justiça do Amapá (TJAP). Para atender ao requisito licitatório, a consultoria fez uso da norma ABNT NBR ISO/IEC 27005:2011. Em seu relatório de segurança, a consultoria identificou riscos causados por fenômenos naturais, de forma que a melhor alternativa era mover fisicamente as instalações para um local onde tal risco não exista ou esteja sob controle.

A empresa de consultoria X se baseou no tópico de tratamento de riscos de:

O Tribunal de Justiça do Amapá (TJAP) identificou que não havia um documento de Política para Segurança da Informação e resolveu elaborá-lo. Para atender esse objetivo, fez uso da Norma 27002:2013, que orienta a organização a definir uma política de segurança que seja aprovada pela direção.

Para a elaboração do documento, a norma orienta que sejam contemplados requisitos oriundos da(s):

A empresa de consultoria de segurança Y emitiu um comunicado aos seus clientes sobre um golpe na Internet. O golpe consistia no seguinte:

- Os clientes recebem mensagens por e-mail com links maliciosos, abordando temas como aproveitar ofertas de um determinado produto;

- O link redireciona para uma página falsa, semelhante ao site da instituição dona do produto, e solicita dados (agência, conta, nº do cartão, celular e senhas) para efetuar a compra;

- O impostor liga para a vítima;

- Durante a ligação, o impostor solicita que o cliente execute uma atualização de segurança que será enviada;

- Após a atualização, o criminoso realiza transações em nome da vítima.

O golpe descrito pela empresa Y aos seus clientes é:

Fábio pertence ao departamento de segurança da empresa K e está verificando os controles existentes para a Gestão de Riscos de Segurança da Informação. Ele faz uso da norma ABNT NBR ISO/IEC 27005:2011 para efetuar sua verificação. Fábio está examinando o correto funcionamento dos controles existentes. Ele identificou alguns controles obsoletos, que foram descartados, e outros que foram substituídos por controles melhores ou mais modernos.

Nesse momento, Fábio está fazendo uso da tarefa dentro de identificação de riscos:

A empresa Z criou uma nova aplicação web, mas foi atacada após disponibilizá-la na Internet. A equipe de segurança da empresa Z identificou que a configuração do servidor de aplicações permitia que os detalhes das mensagens de erro fossem retornados aos usuários. Tal fato exibe informações confidenciais ou falhas subjacentes. Para a elaboração do relatório de ataque a ser entregue à empresa Z, a equipe de segurança usou o OWASP.

Ao verificar o OWASP, a equipe definiu o ataque como pertencente à categoria:

Gilberto trabalha no setor de segurança do Tribunal de Justiça do Amapá (TJAP) e está fazendo a modelagem de possíveis ameaças aos seus sistemas, aplicativos, redes e serviços. Após pesquisar alguns modelos, decidiu realizar a modelagem seguindo o STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). O modelo relaciona as ameaças do acrônimo STRIDE com as propriedades de segurança. Inicialmente, Gilberto trabalhará na propriedade de integridade.

Logo, dentro do acrônimo STRIDE, a ameaça a ser trabalhada por Gilberto será:

Ana trabalha na empresa Y em home office. Ao retornar do almoço, ela verificou uma mensagem pop-up com o logo de uma empresa de antivírus informando que sua máquina havia sido invadida e que para resolver o problema deveria clicar na verificação de malware solicitada na mensagem. Ana acabou clicando no local solicitado e a mensagem sumiu. Após alguns dias, Ana notou que seus dados pessoais haviam sido roubados e que compras foram feitas em seu nome.

Ana entrou em contato com a empresa Y, informando que tinha sofrido um ataque de:

Davi é o coordenador de TI da empresa X e está efetuando uma prova de conceito (POC) para a computação em nuvem de alguns serviços e informações. Durante esse processo, Davi identificou alguns riscos de segurança que são específicos aos ambientes de nuvem. Dentre eles, há as questões tecnológicas partilhadas, que consistem na entrega dos serviços de forma escalável através da partilha de infraestrutura. Muitas vezes, essa infraestrutura não foi projetada para oferecer o isolamento necessário para uma arquitetura multilocatária.

Algumas contramedidas que devem ser implementadas por Davi para evitar os riscos da partilha são: