A equipe de analista de sistemas Alfa aplica o DevSecOps ativamente em seu processo de desenvolvimento de software.
Todos os membros da equipe Alfa são incentivados a se preocuparem com a segurança do software de forma proativa desde o início do processo de desenvolvimento, aplicando diretamente a prática DevSecOps:
Um órgão que lida com muitos documentos sigilosos sinalizou para sua equipe de Tecnologia da Informação (TI) sua preocupação quanto a uma invasão cibernética e roubo desses documentos. Para incrementar a segurança da rede desse órgão, a equipe de TI instalou um equipamento capaz de verificar as conexões TCP em andamento antes de permitir a passagem de um determinado pacote.
O equipamento instalado pela equipe de TI utiliza recursos de:
A respeito da criptografia, da NBR ISO/IEC n.º 27002:2013 e da ABNT NBR ISO/IEC n.º 27017:2016, julgue o item a seguir
Em um projeto de desenvolvimento de software, as questões de segurança da informação são consideradas e analisadas criticamente em estágios iniciais para identificar quais controles são necessários.
Conforme a NBR ISO/IEC n.º 27002:2013, estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização é objetivo
Considere que determinada instituição tenha publicado, para os seus funcionários, a seguinte diretriz de implementação: manter provas e evidências da propriedade de licenças, discos-mestres, manuais etc.
Com base na NBR ISO/IEC n.º 27002:2013, na situação descrita anteriormente, a instituição utiliza o controle de
A respeito das políticas de segurança da informação nas organizações, julgue os itens a seguir.
Estão certos apenas os itens
Uma instituição financeira tem obrigações legais de segurança da informação determinadas pelo Banco Central do Brasil. Nesse caso, com base na conformidade com requisitos legais e contratuais da NBR ISO/IEC n.º 27002:2013, a diretriz de implementação corresponde a
Acerca dos conceitos de organização e de gerenciamento de arquivos, dos procedimentos e dos aplicativos para segurança da informação, julgue os itens subsequentes.
Treinamento e conscientização dos empregados a respeito de segurança da informação são mecanismos preventivos de segurança que podem ser instituídos nas organizações, uma vez que as pessoas são consideradas o elo mais fraco da cadeia de segurança.
Determinada empresa, ao realizar um programa de aceleração, selecionou fintechs que já trabalham na análise de fraudes em sistemas de cartão de crédito. Uma das premissas adotadas para a seleção foi a de que a fintech tivesse experiência em redes multilayer perceptrons.
Nesse contexto, perceptron é
Julgue o item seguinte, a respeito de Maven, desenvolvimento web, servidor web, servidor de aplicação e criptografia.
Na troca de mensagens entre duas empresas parceiras, a autenticidade e o sigilo das informações trocadas podem ser garantidos com o uso de criptografia simétrica.
Em relação a sistemas ICS/SCADA, julgue os itens a seguir.
O emprego de protocolos é um fator positivo em relação à segurança de sistemas SCADA, já que, embora proprietários, eles são de conhecimento público e, portanto, amplamente avaliados quanto à segurança.
Julgue o item que se segue, acerca de data mining e data warehouse.
No desenvolvimento de software, devem ser previstas validações ou codificações nas entradas realizadas pelo usuário de modo a evitar ataques cross-site scripting (XSS), que ocorrem quando um invasor usa um aplicativo web para enviar códigos mal-intencionados, geralmente na forma de um script do lado do navegador.
Acerca do desenvolvimento seguro de software, julgue os itens seguintes.
Mesmo em sistemas com componentes e bibliotecas mantidos atualizados, porém não versionados, pode ocorrer falhas do tipo utilização de componentes vulneráveis conhecidos, em que o atacante identifica um componente vulnerável de tais bibliotecas, personaliza o exploit por meio de varredura ou análise manual, conforme necessário, e executa o ataque.
A respeito de inteligência de ameaças em fontes abertas (OSINT), julgue os itens a seguir.
Informações obtidas por meio de OSINT são menos confiáveis e menos precisas que aquelas obtidas usando-se disciplinas de inteligência tradicionais.
O requisito II é uma descrição do teste de penetração do tipo white-box, que é normalmente considerado uma simulação de ataque por fonte interna e(ou) usuário privilegiado.