Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são

I garantir a adequação técnica necessária ao tratamento adequado dos riscos;

II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma sistemática; e

III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar a reduzi-los e controlá-los.

No texto precedente, os itens I, II e III apresentam as funções, respectivamente, dos níveis

Em relação ao COBIT 2019, julgue os itens a seguir.

I A versão do COBIT lançada em 2019 possui um conjunto de objetivos de controle para auxiliar a auditoria financeira a lidar mais bem com ambientes relacionados à tecnologia da informação.

II Na publicação COBIT 2019 Framework — Introdução e Metodologia, são detalhados os princípios-chave da governança e é explicada a estrutura geral do framework do COBIT, incluído seu modelo essencial.

III A versão de 2019 do COBIT teve como inovação as áreas de foco, que possibilitam definir áreas e temas na empresa para os quais os esforços da governança devem ser direcionados, como a segurança cibernética e a privacidade de dados.

Assinale a opção correta.

Assinale a opção que apresenta o modelo de serviços na nuvem em que o cliente, para usufruto do serviço, deve instalar e configurar, por conta própria, os recursos necessários, como compiladores, banco de dados e o próprio sistema operacional.

Existem três categorias distintas de computação em nuvem: públicas, privadas e híbridas. A primeira categoria é caracterizada por

DoS é um tipo de ataque em que o serviço oferecido por um sistema ou uma rede é negado, reduzindo-se a funcionalidade ou impedindo-se o acesso aos recursos, mesmo para os legítimos usuários. Considerando as várias técnicas para a realização de ataques DoS, assinale a opção correta.

Em uma pequena organização XPTO que não implementa a segregação de funções, um funcionário desempenha a função de operador de computador e programador de aplicativos.

Nessa situação hipotética, o auditor de sistemas da informação deve recomendar

Na auditoria de processo, o auditor deve proceder ao registro das evidências, à avaliação dos controles das forças e fraquezas e à elaboração de relatórios que informem o gerenciamento desses insumos. Para isso, o gerenciamento da auditoria deve garantir recursos e ferramentas adequadas para a execução da auditoria. Um processo típico para gerenciar e administrar projetos a serem auditados inclui a fase de

A avaliação do risco em uma organização deve contemplar a identificação, quantificação e priorização do risco em relação ao critério de aceitação do risco. Os riscos que não puderem ser aceitos pela organização deverão ser tratados. Nesse sentido, uma opção adequada de resposta ao risco é

No contexto framework da governança da segurança da informação, o estado desejado é aquele que pode ser obtido por meio de um conjunto de ferramentas que permitem o alcance de condições relevantes dentro desse cenário, como, por exemplo, processos, frameworks, serviços etc. Entre as várias abordagens em segurança da informação que proveem o alcance do estado desejado, encontra-se o

Um invasor pode ser uma pessoa que, mesmo sem conhecimento técnico, busca roubar informações, geralmente seguindo um processo. Nos ataques de engenharia social, o invasor segue, sucessivamente, as etapas de