Segundo a norma NBR ISO/IEC 27005:2011, deve-se assegurar que, após o tratamento dos riscos, os riscos residuais sejam explicitamente aceitos pelos gestores da organização.

Essa ação, segundo a referida norma, dentro do processo de gestão de riscos de segurança da informação, ocorre na atividade de:

A norma NBR ISO/IEC 27005:2011 apresenta quatro opções possíveis para o tratamento de riscos. Quando os riscos identificados são considerados demasiadamente elevados e quando os custos da implementação de outras opções de tratamento do risco excederem os benefícios, a opção indicada, segundo a referida norma, para o tratamento do risco é a:

Dentro da norma NBR ISO/IEC 27002:2013, a implementação da segurança da informação é feita por meio de:

Em relação à norma NBR ISO/IEC 27002:2013, analise as seguintes proposições.

1) Ela especifica procedimentos seguros de entrada no sistema (log-on), com o objetivo de prevenir o acesso não autorizado aos sistemas e aplicações.

2) Ela pacifica o entendimento de que, para soluções de criptografia, deve-se optar pela criptografia de chave pública em detrimento da criptografia simétrica convencional.

3) Ela especifica diretrizes para o desenvolvimento seguro de software dentro da organização.

4) Considerando os riscos de segurança envolvidos, a referida norma não recomenda a terceirização do desenvolvimento de sistemas. Caso a organização faça essa terceirização, ela entrará em não conformidade com a referida norma.

Estão corretas, apenas:

Sobre a norma NBR ISO/IEC 27001:2013, é correto afirmar que:

Uma das questões abordadas pela norma NBR ISO/IEC 27001:2013 é a conscientização das pessoas que trabalham sob o controle da organização.

No contexto da referida norma, analise as seguintes afirmações.

1) Segundo a norma NBR ISO/IEC 27001:2013, as pessoas que trabalham na organização não precisam saber da política de segurança da mesma. Contudo, ensinamentos básicos sobre Segurança da Informação podem ser periodicamente repassados através de diversos meios.

2) A norma NBR ISO/IEC 27001:2013 não prevê a ciência das pessoas que realizam trabalho sob o controle da organização das suas contribuições para a eficácia do sistema de gestão de segurança da informação.

3) Segundo a norma NBR ISO/IEC 27001:2013, as pessoas que realizam trabalho sob o controle da organização precisam estar cientes das implicações da não conformidade com os requisitos do sistema de gestão da segurança da informação.

4) Dada a importância da conscientização, a norma NBR ISO/IEC 27001:2013 especifica que os benefícios da melhoria do desempenho da segurança da informação sejam conhecidos por todas as pessoas que trabalham sob o controle da organização.

Estão corretas, apenas:

Um dos avanços recentes da criptografia de chave pública é o uso da chamada criptografia de curva elíptica. Um exemplo de algoritmo baseado nesse avanço é o:

Um dos protocolos usados para a segurança de redes sem fio é o WPA2. Um dos avanços do WPA2 em relação a sua versão anterior WPA foi ter sido revisado para incluir o algoritmo de criptografia:

Suponha que um emissor E deseja assinar digitalmente uma mensagem para um destinatário D.

Considerando que essa assinatura digital seja gerada usando a criptografia assimétrica, qual chave o destinatário D precisará usar para verificar a autenticidade da assinatura digital do emissor E?

Um dos algoritmos de criptografia simétrica mais utilizado atualmente é o Twofish.

Qual o maior tamanho de chave possível usado nesse algoritmo?