A área de segurança do TJMS utilizou uma ferramenta automatizada para procurar vulnerabilidades nos ativos de rede do Tribunal. A ferramenta gerou um relatório que foi entregue para a área de infraestrutura e redes. Esta, após analisar o teor do relatório, agradeceu a atitude proativa da área de segurança, mas decidiu não adotar nenhuma ação, no momento, por estaratuando em outras atividades prioritárias.
A decisão da área de infraestrutura e redes estaria correta se as vulnerabilidades registradas:
Uma fábrica de software está abrindo uma filial. A fim de identificar antecipadamente possíveis vulnerabilidades na arquitetura de suas aplicações, e seguindo orientações da matriz, ela está implementando o modelo de ameaças STRIDE. Para verificar a correta implementação, a matriz encaminhou um projeto para execução na filial. Esta identificou que a aplicação encaminhada fazia alterações em dados persistentes no banco de dados.
Na abordagem STRIDE, a filial está trabalhando na categoria:
Aline estava atualizando os dados de funcionários de sua empresa quando surgiu uma tela pop up no seu notebook informando que seu dispositivo estava infectado. A tela dizia que Aline deveria clicar em um botão logo abaixo para instalar um antivírus que faria a limpeza do malware.
Aline clicou no botão e acabou por ser infectada por um
Durante uma auditoria na empresa XXX Ltda, foi verificado que o plano de gestão de risco não tinha sido atualizado.
Nessa auditoria foi possível observar que não existia código de conduta a ser seguido pelos funcionarios.
O código de conduta deve ser implementado no nível de gestão:
A Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ) tem o objetivo de aprimorar o nível de maturidade em segurança cibernética nos órgãos do Poder Judiciário. Conforme estabelecido na ENSEC-PJ, é um objetivo da Rede de Cooperação do Judiciário na área de segurança cibernética:
Sistemas de informação novos e atualizados requerem verificação e testes completos durante o processo de desenvolvimento, incluindo a preparação de uma programação de atividades detalhada, com testes de entrada e saída esperadas sob determinadas condições.
Considerando a proteção de dados em teste, a ABNT NBR ISO/IEC 27002:2013 estabelece que:
O administrador de segurança do Tribunal de Justiça do Mato Grosso do Sul está implementando algumas regras no sistema de prevenção de intrusão (IPS) da rede local. Ele definiu um controle de acesso que determina quais usuários e dispositivos podem acessar um determinado host. Assim, se um usuário não autorizado tentar se conectar ao host, o IPS irá interrompê-lo. O administrador de segurança está configurando um IPS baseado em
Em um projeto de grande importância para o TJMS, durante o processo de planejar as respostas aos riscos, foi identificada uma ameaça, risco negativo, de alta prioridade. O gerente do projeto decidiu por tratar a ameaça estabelecendo uma reserva de contingência, incluindo valores para tempo, dinheiro ou recursos para cuidar do risco, caso ocorra.
A estratégia empregada pelo gerente para lidar com a ameaça é do tipo:
Ana foi contratada pela empresa K para identificar pontos de vulnerabilidades na rede local. Ela identificou uma brecha de segurança que visava a comprometer os dados transmitidos a um dispositivo conectado a um switch de rede com o objetivo de estourar a tabela de endereços MAC para os dispositivos e seus segmentos de rede correspondentes.
O possível ataque que usaria a brecha de segurança identificada por Ana é o:
Considerando a crescente sofisticação dos ataques cibernéticos, é fundamental entender e proteger as aplicações web contra ameaças como “Clickjacking”. Portanto, explique o conceito de Clickjacking e as medidas preventivas que podem ser implementadas para mitigar esse tipo de ataque em uma aplicação web.
Na infraestrutura de assinatura digital, a Autoridade Certificadora (AC) desempenha um papel fundamental.
Considerando esse contexto, qual das afirmações descreve corretamente o papel da AC?
A Resolução CMN no 4.893, de 26 de fevereiro de 2021, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil. Essa Resolução determina que a política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser, no mínimo, documentados e revisados
Assinale a opção que corresponde a um tipo de malware que bloqueia o acesso da vítima aos seus dados pessoais e exige pagamento de resgate para liberá-los.
Com base na norma ISO/IEC 27001:2022, julgue os itens a seguir.
I As organizações devem estabelecer e manter critérios de risco de segurança da informação que incluam critérios de
aceitação de risco.
II As organizações, qualquer que seja seu tamanho, devem utilizar um processo de avaliação de risco.
III O processo de identificar os proprietários de um risco deve ser separado do processo de avaliação de risco, com a
finalidade de simplificar o entendimento do risco.
Assinale a opção correta.
Com base na NBR ISO/IEC 27001:2013, julgue os itens que se seguem.
Na classificação de informações, devem ser considerados fatores como o valor da informação e os requisitos legais de classificação, entre outros.
