A transparência dos custos, do valor e dos riscos é identificada como uma das mais importantes metas para a governança de TI. No CobiT, embora outras áreas contribuam, a transparência é primariamente atingida pela área de foco na governança de TI denominada:

“As práticas existentes são formalizadas por meio de procedimentos padronizados, documentados e comunicados através de treinamento, porém, desvios não são detectados apesar do cumprimento dos processos ser mandatório.” Esta situação caracteriza, segundo o CobiT, que os processos de TI se encontram no nível de maturidade

Segundo Weill e Broadbent (1998) e Weill e Aral (2006), os investimentos de TI podem ser apresentados como portfólio de TI com quatro dimensões: estratégica, informacional, transacional e infraestrutura. Fornecer informações para o gerenciamento e controle da empresa, através do suporte ao controle gerencial, à tomada de decisão, ao planejamento, à comunicação e à contabilidade, são objetivos típicos da dimensão

No COBIT (versão 4.1), questões gerenciais, tais como,

As equipes de trabalho são capazes de utilizar os sis- temas de TI com segurança e produtividade?

É possível associar diretamente o desempenho de TI às metas de negócio estabelecidas anteriormente?

estão vinculadas, respectivamente, às abordagens dos processos

No ITIL v.3,

No estágio de Melhoria Contínua de Serviço (CSI) do ITIL, para uma efetiva implementação da melhoria, são definidos os processos fundamentais:

Em relação à assinatura digital, é INCORRETO afirmar:

No contexto das ameaças e vulnerabilidades de rede, considere:

I. Cross-site Scripting (XSS) é uma vulnerabilidade em sites web que permite que um indivíduo malicioso execute código Javascript no site alvo no contexto do usuário e, dessa forma, poder roubar credenciais de acesso ou até executar comandos em nome do administrador.

II. Phishing é uma fraude virtual que chega por e-mail com a tentativa de convencer o usuário de que ele precisa preencher um formulário com seus dados ou clicar em um determinado link para baixar um arquivo, que na verdade é um vírus, e o site, se acessado, roubará todos os dados digitados.

III. IP Spoof permite ataques como o envenenamento de cache do DNS. Na maioria das vezes, ele é realizado via UDP, já que o protocolo TCP usa a proteção handshake.

IV. No ataque SYN flooding, o atacante inicia muitas conexões TCP em um curto período de tempo, atacando o three-way handshake e passa a enviar SYNs e não responder aos SYN-ACK, deixando em aberto os estabelecimentos de conexão até ocupar todos os buffers de conexão no servidor.

Está correto o que consta em

No contexto do histórico do modelo que abrange as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, é INCORRETO afirmar:

Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:

I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.

II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.

IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em