Acerca de becape, classificação de informações e gestão de riscos, julgue o item a seguir, considerando as normas ISO 27002 e ISO 31000.

Na política de desenvolvimento seguro, de acordo com a ISO 27002, é relevante que sejam consideradas a segurança no ambiente de desenvolvimento e a capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidade.

Acerca de becape, classificação de informações e gestão de riscos, julgue o item a seguir, considerando as normas ISO 27002 e ISO 31000.

A ISO 27002 recomenda evitar a encriptação de cópias de segurança (becape), em benefício da celeridade em eventuais processos de recuperação, especialmente quando o sistema de becape for um componente chave nos planos de continuidade de negócio.

Julgue o próximo item, a respeito de IAST e de gerenciamento de resposta a incidentes.

Um agente IAST realiza análises de segurança das aplicações em tempo real, com acesso às informações de fluxo de dados e de configuração, às bibliotecas e aos frameworks.

No que se refere à gestão de identidade e acesso, DLP e gestão de vulnerabilidades, julgue o item a seguir.

Do ponto de vista da administração de segurança, o modelo de controle de acesso discricionário é indicado para organizações com alta rotatividade de colaboradores.

Quanto à segurança em nuvem e à segurança em IoT, julgue o item subsecutivo.

A falta de padrões para autenticação e criptografia, combinada à capacidade dos sensores e dispositivos IoT de detectar, coletar e transmitir dados pela Internet representam riscos à privacidade dos indivíduos.

A respeito de políticas de segurança da informação, julgue o item seguinte, considerando as normas ISO 31000 e ISO 27002.

Segundo a ISO 27002, as políticas de segurança da informação devem garantir a estabilidade organizacional, impedindo mudanças no ambiente de gestão e de tecnologia, por meio da análise crítica, e definindo por seus termos as circunstâncias do negócio.

Acerca do gerenciamento de resposta a incidente e testes de penetração, julgue o item a seguir.

No teste de penetração de caixa branca não são fornecidas informações prévias à equipe de testadores sobre a infraestrutura de segurança da organização; por isso, vulnerabilidades eventualmente existentes e não descobertas no tempo alocado para o teste poderão permanecer ativas no ambiente.

Julgue o item subsecutivo, a respeito de softwares maliciosos e ataques.

Entre as contramedidas técnicas relacionadas à prevenção contra ataques DDoS, estão a restrição de tráfego ICMP e UDP desnecessário em roteadores de perímetro e a desabilitação de serviços e subsistemas não utilizados em computadores e servidores.

Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte.

No Brasil, a certificação digital contempla quatro conjuntos de certificados, cada um com sua função: assinatura digital (A1, A2, A3 e A4), sigilo (S1, S2, S3 e S4), tempo (T) e mobilidade (Bird ID). No conjunto de certificados de assinatura digital, os modelos A4 e A3 são muito semelhantes, mas este se distingue daquele por ser específico para uso em nuvem e por ser armazenado em um hardware criptográfico chamado HSM.

No que tange a gestão de riscos e continuidade do negócio, julgue o próximo item.

Segundo a NBR n.º 27005:2019, a abordagem da gestão de riscos de segurança da informação define que se deve adotar um método de fazer a gestão da segurança para todos os processos existentes para facilitar o treinamento dos colaboradores.