Para uma organização adotar um sistema de gestão de segurança da informação (SGSI), algumas etapas e ações são necessárias; a organização tem a responsabilidade de determinar

Considerando-se a usabilidade em uma aplicação que requeira autenticação de dois fatores (MFA), a exigência de MFA pode ser minimizada e, ainda assim, haver um equilíbrio razoável entre segurança e usabilidade da aplicação na situação de uso que consiste na

Para o estabelecimento dos controles de acesso a um sistema de informação desenvolvido numa organização, o administrador de segurança sugeriu que, para cada objeto ou recurso do sistema, fossem atribuídas autorizações de acesso bem definidas a indivíduos, funções ou grupos.

Nessa situação hipotética, a técnica de controle de acesso lógico indicada pelo administrador denomina-se

No desenvolvimento de uma aplicação web, passaram despercebidos alguns fluxos de dados incorretos que têm potencial para gerar um comportamento inadequado e que podem ser explorados como uma falha na segurança no sistema. Esses fluxos de dados estão relacionados a scripts que cruzam diferentes sítios (XSS ou cross-site scripting), onde um hacker, como resposta a uma requisição do cliente ao servidor, pode gerar uma página com mensagem contendo script malicioso.

A técnica mais específica para detectar a vulnerabilidade descrita na situação hipotética apresentada é o

Acerca do gerenciamento de resposta a incidente e testes de penetração, julgue o item a seguir.

Segundo o NIST SP 800-61, é recomendável evitar, sempre que possível e por questões de compartimentação da informação, a integração temporária de especialistas externos à equipe de resposta a incidentes.

Julgue o item subsecutivo, a respeito de softwares maliciosos e ataques.

Vírus polimórficos escondem as modificações maliciosas que realizaram em arquivos ou setores de boot, interceptando as funções de leitura do sistema para apresentar resultados forjados em lugar dos dados reais afetados.

Julgue o item subsecutivo, relativos a gerenciamento de riscos de TI.

A avaliação de riscos envolve a comparação dos resultados da análise de riscos frente aos critérios de riscos estabelecidos para determinar onde é necessária ação adicional.

Julgue o item subsecutivo, relativos a gerenciamento de riscos de TI.

O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação.

Acerca do plano de segurança da informação e do plano de continuidade de negócio de TI, julgue o item a seguir.

Um plano de segurança da informação inclui tarefas de segurança da informação específicas que deverão ser verificadas por meio de planos ou programas de auditoria.

Acerca do plano de segurança da informação e do plano de continuidade de negócio de TI, julgue o item a seguir.

No contexto do plano de continuidade de negócio de TI, a estratégia de continuidade de negócio define a criticidade dos processos de negócio, suas prioridades de recuperação, interdependências e os requisitos de segurança da informação e comunicações para que os objetivos de recuperação sejam atendidos nos prazos estabelecidos.