Na gestão de vulnerabilidades técnicas, a realização de testes de invasão planejados, documentados e repetíveis bem como a utilização de ferramentas de varredura inserem-se no processo de
A Equipe de Gestão de Riscos (EGR) de uma organização está realizando a análise de riscos a fim de determinar o nível dos riscos identificados para definir seu tratamento. A EGR adotou a técnica de análise baseada em consequências e probabilidades que utiliza escalas qualitativas com valores atribuídos.
A técnica utilizada é a:
Durante o processo de identificação de riscos, a organização deve identificar os riscos associados à perda de confidencialidade, integridade e disponibilidade de suas informações. Uma organização adotou, em seu processo, a abordagem para identificação de riscos com base em eventos.
Essa abordagem consiste em
O Tribunal de Justiça do Mato Grosso de Sul (TJMS) identificou a necessidade de compreender os ataques cibernéticos sofridos. Com o objetivo de observar o comportamento de invasores, decidiu implementar um honeypot, de forma a permitir análises detalhadas das motivações, das ferramentas utilizadas e das vulnerabilidades exploradas pelos atacantes.
A opção por implementar um honeypot de alta interatividade se deve ao fato de este possuir:
A área de segurança do TJMS utilizou uma ferramenta automatizada para procurar vulnerabilidades nos ativos de rede do Tribunal. A ferramenta gerou um relatório que foi entregue para a área de infraestrutura e redes. Esta, após analisar o teor do relatório, agradeceu a atitude proativa da área de segurança, mas decidiu não adotar nenhuma ação, no momento, por estaratuando em outras atividades prioritárias.
A decisão da área de infraestrutura e redes estaria correta se as vulnerabilidades registradas:
Uma fábrica de software está abrindo uma filial. A fim de identificar antecipadamente possíveis vulnerabilidades na arquitetura de suas aplicações, e seguindo orientações da matriz, ela está implementando o modelo de ameaças STRIDE. Para verificar a correta implementação, a matriz encaminhou um projeto para execução na filial. Esta identificou que a aplicação encaminhada fazia alterações em dados persistentes no banco de dados.
Na abordagem STRIDE, a filial está trabalhando na categoria:
Rita e sua equipe estão trabalhando com gestão de riscos e constataram que, segundo Sommerville (2021), o processo de gerenciamento de riscos pode ser definido em quatro etapas: identificação de riscos, análise de riscos, planejamento de riscos e monitoração de riscos. A lista priorizada de riscos e os planos de contingência são elaborados, respectivamente, nas etapas de:
No contexto de um sistema de gestão da segurança da informação (SGSI), a disponibilização de documentos e evidências que permitam a verificação e a rastreabilidade de medidas corretivas e preventivas em segurança da informação estão incluídas nas ações vinculadas a
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
Considerando que, em determinada empresa de telefonia, a política de segurança contempla um conjunto de regras e diretrizes com o intuito de proteger as informações e os ativos da empresa, definindo normas/técnicas e melhores práticas para assegurar a autenticidade, legalidade, integridade, disponibilidade e confidencialidade da informação, é correto afirmar que, nessa situação, para assegurar confiabilidade, todas as informações da telefonia: custos, gastos de áreas, contestações, auditoria, rateio de custos, uso fora do horário e principais ofensores devem estar protegidas de acordo com o grau de sigilo necessário, com limitações de acesso estabelecidas por meio de perfis de acesso.
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte
Tendo em vista que organizações de telecomunicações enfrentam influências e fatores externos e internos que tornam incerto o alcance de seus objetivos, e que a estrutura e o processo de gestão de riscos devem ser personalizados e proporcionais aos contextos externo e interno dessas organizações, bem como aos seus objetivos, é correto afirmar que, em uma organização de telecomunicação, um modelo de gestão de riscos deverá ser adotado quando houver necessidade de implementar controles não previstos nos projetos. Nesse sentido, deve-se considerar que, para ocorrer, o risco tem de ser conhecido ou já haver sido tratado mediante a adoção de controles internos simples ou complexos.
PedidosSemEstresse é uma aplicação Web destinada a digitalizar o processo de pedidos de serviços de um órgão da administração pública. A interface de PedidosSemEstresse utilizada pelos usuários faz chamadas a uma API RESTful e não utiliza facilidades de login único (single sign-on – SSO). Recentemente, o usuário interno João utilizou suas próprias credenciais com privilégios somente de execução de métodos GET para explorar vulnerabilidades e teve acesso direto a API RESTful. Assim, João fez chamadas a métodos POST com sucesso.
Com base no OWASP Top Ten, a vulnerabilidade explorada por João é da categoria:
Na gestão de incidentes de segurança da informação, um dos mecanismos de resposta a incidentes computacionais é
No que se refere a trabalho remoto, rotinas de segurança da informação e recuperação de arquivos, aplicativos para segurança e conformidade, julgue o item subsecutivo.
A verificação da conformidade técnica envolve testes de invasão e avaliações de vulnerabilidades, o que dispensa a avaliação de risco.
Esclarecer quais ameaças são relevantes para os processos operacionais e identificar os riscos associados são os principais objetivos da realização de
Vulnerabilidade é o (a)
