Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de vulnerabilidade.
Em relação aos conceitos, processos e metodologias utilizadas na gestão de risco, é correto afirmar que, para o cálculo de risco de
FCC•
No contexto da segurança, pode ser definida como a fraqueza ou deficiência que pode ser explorada. Trata-se de:
Em relação às vulnerabilidades de protocolos/aplicações de acesso remotos é correto afirmar que
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
Em um mundo digital, exploits zero-day são amplamente encontrados, sendo desnecessário conhecimento técnico elaborado para os hackers descobrirem novas brechas, porque a maioria dos usuários não atualiza seus equipamentos com frequência.
STJ•
Com respeito a vulnerabilidades e ataques a sistemas
computacionais, julgue os itens que se seguem.
A técnica denominada SQL injection tem por objetivo o acesso a bancos de dados por meio de aplicações web. Ataques embasados nessa técnica podem ser evitados por checagem de dados de entrada no backend e frontend da aplicação.
Julgue o próximo item, a respeito de gerência de riscos.
Risco é o efeito da incerteza nos objetivos, sendo normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.
FCC•
Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir:
- um Auditor Tributário não estava usando crachá;
- o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;
- um curto-circuito ocorreu no estabilizador naquela tarde;
- fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;
- a chave da sala de servidores havia sumido;
- faltou energia na sala da cobertura do prédio ontem;
- o alarme de detecção de intrusos estava quebrado.
Essa lista
Julgue o próximo item, a respeito de gerência de riscos.
Para gerenciar riscos, devem-se considerar os contextos externo e interno da organização, salvo o comportamento humano.
MPU•
Acerca da norma NBR ISO/IEC 27002:2005, julgue os próximos
itens.
itens.
Estimar a probabilidade de uma ameaça se concretizar dentro do ambiente computacional e identificar os impactos que um evento de segurança pode acarretar são atividades resultantes da análise/avaliação de riscos.
Uma pesquisa realizada pelos organizadores da Conferência Infosecurity Europe 2003 com trabalhadores de escritórios, que distribuía um brinde (de baixo valor) aos entrevistados, revelou que 75% deles se dispunham a revelar suas senhas em resposta a uma pergunta direta ("Qual é a sua senha?"), e outros 15% responderam a perguntas indiretas que levariam à determinação da senha. Esse experimento evidencia a grande vulnerabilidade dos ambientes computacionais a ataques de
MPU•
A respeito de segurança da informação, julgue os itens seguintes.
Define-se vulnerabilidade em um ambiente computacional como a causa potencial de ocorrer um incidente indesejado, a qual pode resultar, ou não, em prejuízos para uma organização e seus ativos.
Os procedimentos para a recuperação de operações, na escala de tempo estipulada, após a ocorrência de falhas de processos críticos do negócio, devem constar do(a)
Julgue o seguinte item, a respeito de testes de invasão (pentest) em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.
O guia de testes do OWASP enumera verificações para cerca de setenta vulnerabilidades, agrupadas em classes, como a de gerenciamento de sessões, que trata de erros na implementação das regras de negócio.
O guia de testes do OWASP enumera verificações para cerca de setenta vulnerabilidades, agrupadas em classes, como a de gerenciamento de sessões, que trata de erros na implementação das regras de negócio.
O efeito da incerteza sobre os objetivos consiste em
técnica de Defesa em Profundidade utiliza camadas de segurança mantidas por vários componentes que se complementam para formar um quadro de segurança completo. Um dos principais componentes é o firewall com estado que, diferente do filtro de pacote estático, é capaz de bloquear pacotes SYN/ACK gerados por pacotes SYN forjados por estações localizadas na rede externa. Que tipo de ataque é formado por pacotes SYN/ACK?
Acerca de ataques do dia zero (zero day attacks), julgue o item que se seguem.
As melhores práticas estabelecem que, para combater a disseminação de zero days, as organizações podem publicar um processo de vulnerabilidades, mantendo relatórios de segurança e triagem dos problemas reportados internamente.
Uma empresa recebeu um relatório de segurança de uma consultoria, em que são apontados alguns exemplos de ameaças, tais como
A respeito de planejamento, identificação e análise de riscos, julgue
os itens subsecutivos.
Riscos residuais referem-se aos riscos para os quais ainda não foram estabelecidos controles dentro do tratamento de riscos.
A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.