Acerca de gestão de segurança da informação, julgue o item a seguir, considerando a NBR ISO/IEC 27001:2013 e a NBR ISO/IEC 27002:2013.

Uma política de uso aceitável dos ativos de informação, subsidiária à política de segurança da informação, estabelece requisitos e regras de segurança da informação para acesso a esses ativos, bem como a responsabilização decorrente de seu uso.

Acerca de gestão de segurança da informação, julgue o item a seguir, considerando a NBR ISO/IEC 27001:2013 e a NBR ISO/IEC 27002:2013.

Uma política de desenvolvimento seguro de sistemas deve considerar a capacidade de evitar, encontrar e corrigir vulnerabilidades como uma atribuição da gerência de segurança da informação, com a colaboração técnica dos desenvolvedores apenas eventualmente.

Com relação ao desenvolvimento de software seguro e à arquitetura de aplicativos, julgue o item a seguir.

Systems Security Engineering – Capability Maturity Model (SSE-CMM) é um modelo de processo que pode ser usado para melhorar e avaliar a capacidade de engenharia de segurança de uma organização.

Com relação à aquisição, desenvolvimento e manutenção de sistemas, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

Com relação ao planejamento para alcançar os objetivos de segurança da informação, segundo a norma ABNT NBR ISO/IEC 27001:2013, a organização deve determinar

Considere, hipoteticamente, que um técnico em Gestão Procuratorial foi solicitado a fornecer informações sobre backup e restore. Ele afirmou, corretamente, que

Um Técnico, conhecedor de Auditoria de Sistemas, aplicou os seguintes testes:

I. Mapeou e construiu os passos a serem executados em outra ferramenta a fim de chegar ao mesmo resultado do sistema.

II. Submeteu parâmetros de teste com dados reais, sem impactar na rotina normal de processamento do sistema.

III. Testou os dados para verificar os controles empregados no sistema através de validação nestes dados.

Ele aplicou, correta e respectivamente, os testes

Um usuário recebeu um pop-up solicitando atualização de seu app bancário. Ele clicou no link, fez o download em seu dispositivo móvel de um aplicativo supostamente legítimo em uma loja de aplicativos. O malware permaneceu inativo, aguardando que o usuário abrisse seu aplicativo bancário. Quando o usuário o abriu, o malware colocou o aplicativo legítimo em segundo plano. O aplicativo legítimo não sabia que foi colocado em segundo plano e continuou funcionando normalmente, aceitando as entradas do usuário. Simultaneamente, o malware criou uma janela que imitava a aparência do aplicativo afetado. Desta forma, o usuário achou que ainda estava interagindo com o aplicativo legítimo do seu banco e o malware foi coletando os seus dados bancários.

No caso narrado, o usuário foi vítima de um ataque

Considere os seguintes tipos de ataque:

I. Estes métodos tornaram-se populares como um vetor automático de infecção, podendo até serem comprados ou alugados em mercados ilegais. São usados primariamente para distribuir malware padronizado, explorando sistemas vulneráveis para acionar um download drive-by. Em termos simples, eles tentam detectar uma vulnerabilidade em um aplicativo relacionado a um navegador e depois explorá-la para baixar e executar um payload malicioso.

II. Este software usa um computador, de forma não autorizada, para minerar criptomoedas. Os possíveis vetores de infecção incluem scripts de mineração injetados de websites e entrega como parte de um estágio posterior em ciberataques. Com frequência têm como alvo servidores de alta potência em ambiente corporativo para maximizar suas atividades de mineração. Esta atividade maliciosa tende a aumentar ou diminuir, dependendo do preço das criptomoedas.

III. É um malware entregue por e-mail e usa um formato de campanha. As campanhas variam desde usar alvos abrangentes e indiscriminados até alvos altamente específicos e sofisticados, com foco em pessoas importantes. Usar temas oportunos como a Covid-19 como assunto para uma campanha com alto volume de alvos aumenta a probabilidade de uma infecção bem-sucedida.

(Disponível em: https://www.blackberry.com)

Os ataques I, II e III são, correta e respectivamente, denominados

O sargento Oliveira utiliza criptografia assimétrica com chave privada para codificar uma informação. Feito isso, ele envia as informações ao destinatário. Qual tipo de chave deve ser usada para decodificar essa informação?