Com base na norma ABNT NBR ISO/IEC 27005, assinale a opção na qual é corretamente apresentada a atividade de gestão de segurança da informação em que, a partir de uma lista de riscos com níveis de valores designados, o nível dos riscos é comparado com os critérios de avaliação e de aceitação do risco.

Conforme a LGPD, é direito do titular de dados pessoais obter do controlador, a qualquer momento e mediante requisição, a correção de dados que

De acordo com o que dispõe a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), dados pessoais relativos a convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter político, bem como dados referentes à saúde ou à vida sexual da pessoa natural, são denominados

O protocolo TLS (transport layer security) é fundamental para a segurança das comunicações na camada de transporte. Durante o estabelecimento de uma conexão segura entre cliente e servidor, o protocolo TLS utiliza

I algoritmos assimétricos para a autenticação inicial das partes e troca segura de chaves.
II algoritmos simétricos para a cifragem do tráfego de dados após o estabelecimento da sessão.
III funções de hash para assegurar a integridade das mensagens trocadas durante a comunicação.

Assinale a opção correta.

Na criptografia de chave pública, as entidades utilizam pares de chaves matematicamente relacionados. Para que um remetente consiga enviar uma mensagem cifrada garantindo que apenas o destinatário pretendido possa realizar a leitura do conteúdo original, o remetente deve realizar a cifragem utilizando a chave

Um servidor web de uma instituição pública recebeu um fluxo massivo e coordenado de dados, proveniente de milhares de computadores infectados geograficamente distribuídos, o que resultou na indisponibilidade total do serviço.

A modalidade de ataque descrita na situação hipotética apresentada é denominada

Um analista de segurança da informação de certa organização identificou um ataque em que um indivíduo enviou mensagens eletrônicas em massa para colaboradores da organização. Tais mensagens direcionavam os colaboradores a um sítio eletrônico fraudulento que simulava o portal corporativo, com o intuito de capturar suas credenciais de acesso.

A técnica maliciosa descrita na situação hipotética precedente é classificada, quanto ao seu tipo, como

Considerando que, na infraestrutura de chaves públicas brasileira, o certificado digital funciona como uma identidade virtual, assinale a opção em que é apresentada a tecnologia que permite vincular uma chave pública a uma pessoa, assegurando que uma mensagem eletrônica provém de um remetente específico e que o seu conteúdo permanece íntegro desde a sua emissão.

Durante análise de uma aplicação web utilizada por certa secretaria estadual de meio ambiente para gerenciamento de autos de infração, a equipe de segurança identificou que campos de formulário não tinham validação adequada no servidor. Foi possível enviar dados contendo comandos de banco de dados por meio de um campo de pesquisa, o que resultou em alteração indevida de registros. Em outro teste, verificou-se que o aplicativo refletia, na resposta HTML, trechos de entrada do usuário sem filtragem, permitindo a inserção de scripts que eram executados no navegador de quem acessava a página. Esses dois achados foram registrados no processo de gestão de vulnerabilidades previsto no SGSI da organização, em conformidade com a NBR ISO/IEC 27001:2013.

Considerando ameaças e vulnerabilidades em aplicações web, assinale a opção correta a respeito da classificação das duas falhas descritas na situação hipotética apresentada.

Uma equipe de TI da SEMA/AM está desenvolvendo um novo sistema de licenciamento ambiental, que será acessado por servidores internos e por cidadãos. A arquitetura proposta prevê: (i) uso de autenticação de dois fatores (2FA) para os servidores internos, combinando-se senha e aplicativo gerador de códigos temporários (OTP); (ii) autenticação baseada em biometria facial em aplicativo móvel para cidadãos, associada a um PIN cadastrado; (iii) utilização de um provedor de identidade que emite JWT assinados, contendo informações de identidade (claims), que serão apresentados às APIs após o processo de autenticação. No desenvolvimento da solução, a equipe deve aplicar corretamente conceitos de autenticação multifator, classificação de fatores de autenticação (conhecimento, posse e inerência) e uso de tokens em protocolos modernos, bem como deve observar as boas práticas de controle de acesso em sistemas de gestão da segurança da informação.

A respeito da aplicação de métodos de autenticação e uso de tokens na arquitetura descrita na situação hipotética precedente, assinale a opção correta.