Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
Considerando que, em determinada empresa de telefonia, a política de segurança contempla um conjunto de regras e diretrizes com o intuito de proteger as informações e os ativos da empresa, definindo normas/técnicas e melhores práticas para assegurar a autenticidade, legalidade, integridade, disponibilidade e confidencialidade da informação, é correto afirmar que, nessa situação, para assegurar confiabilidade, todas as informações da telefonia: custos, gastos de áreas, contestações, auditoria, rateio de custos, uso fora do horário e principais ofensores devem estar protegidas de acordo com o grau de sigilo necessário, com limitações de acesso estabelecidas por meio de perfis de acesso.
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
No Brasil, a certificação digital contempla quatro conjuntos de certificados, cada um com sua função: assinatura digital (A1, A2, A3 e A4), sigilo (S1, S2, S3 e S4), tempo (T) e mobilidade (Bird ID). No conjunto de certificados de assinatura digital, os modelos A4 e A3 são muito semelhantes, mas este se distingue daquele por ser específico para uso em nuvem e por ser armazenado em um hardware criptográfico chamado HSM.
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
Continuidade de negócio de uma organização é a capacidade estratégica e tática dessa organização de responder a incidentes e interrupções de negócios, maximizando seus impactos e recuperando a perda de ativos, de forma a manter suas operações em um nível aceitável, previamente definido
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
Tendo em vista que organizações de telecomunicações enfrentam influências e fatores externos e internos que tornam incerto o alcance de seus objetivos, e que a estrutura e o processo de gestão de riscos devem ser personalizados e proporcionais aos contextos externo e interno dessas organizações, bem como aos seus objetivos, é correto afirmar que, em uma organização de telecomunicação, um modelo de gestão de riscos deverá ser adotado quando houver necessidade de implementar controles não previstos nos projetos. Nesse sentido, deve-se considerar que, para ocorrer, o risco tem de ser conhecido ou já haver sido tratado mediante a adoção de controles internos simples ou complexos.
Com relação aos sistemas de detecção de intrusão – intrusion detection system (IDS) e de prevenção a intrusão – intrusion prevention system (IPS), julgue o item a seguir.
Capaz de analisar qual a parcela de risco de uma intrusão e bloqueá-la antes que ela ocorra, um IPS permite criar regras com o objetivo de monitorar aumentos anormais de tráfego de rede; além dessa funcionalidade, ele ainda pode alertar o responsável pela segurança, caso ocorram tais anomalias.
Com relação aos sistemas de detecção de intrusão – intrusion detection system (IDS) e de prevenção a intrusão – intrusion prevention system (IPS), julgue o item a seguir.
Em uma organização, será considerado como um sistema de prevenção de intrusão baseado em hospedeiro um aplicativo que, instalado em uma das máquinas da infraestrutura de rede, capture pacotes nessa rede, compare esses pacotes com uma base de assinaturas (padrões de ataques específicos), gere eventos que possam ser ações ou alertas e envie esses eventos para o próprio administrador
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
As funções básicas de um protocolo de prevenção a acidentes cibernéticos limitam-se a identificar, detectar, responder e recuperar. Nesse rol, a função “detectar” corresponde a desenvolver e implementar atividades adequadas à descoberta oportuna de eventos ou à detecção de incidentes de segurança cibernética.