Julgue o item subsequente com base na Lei n.º 14.133/2021, na Lei Geral de Proteção de Dados Pessoais (LGPD), no Decreto n.º 10.024/2019 e na Instrução Normativa SGD/ME n.º 94/2022.

Em geral, sustentabilidade e acessibilidade são temas a serem considerados, espontânea e opcionalmente, pelo fornecedor, todavia, em se tratando de segurança da informação, sua observância é obrigatória.

Julgue o próximo item, relativo a fundamentos de computação em nuvem, plataformas e serviços em nuvem e armazenamento de dados em computação em nuvem.

O AWS IAM (Identity and Access Management) restringe o controle de permissões a configurações gerais aplicadas de maneira uniforme a todos os usuários, sem oferecer mecanismos para detalhamento de acesso por recurso ou por entidade específica.

Acerca de modelos de controle de acesso e das arquiteturas de segurança RBAC (Role-Based Access Control) e Zero Trust, julgue o próximo item.

O modelo RBAC não é eficaz para a implementação do princípio do menor privilégio, pois suas funções tendem a conceder permissões amplas e não limitam o acesso somente ao necessário para tarefas específicas, o que compromete a segurança em ambientes de computação em nuvem.

Acerca de modelos de controle de acesso e das arquiteturas de segurança RBAC (Role-Based Access Control) e Zero Trust, julgue o próximo item.

Na arquitetura Zero Trust, usuários conectados por VPN corporativa são tratados como confiáveis por padrão, uma vez que, nesse modelo, a confiança é eliminada independentemente da origem da conexão, incluído o perímetro da rede interna, exigindo-se autenticação contínua e validação de acesso a cada recurso.

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores.

Em um sistema que utiliza assinatura digital para garantir integridade e autenticidade de documentos, é adequado que a proteção dos dados em trânsito seja apoiada por protocolos como o TLS, enquanto a proteção dos dados em repouso seja realizada por criptografia simétrica.

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores.

Em ambientes de nuvem pública, a configuração de controles de acesso baseada em princípio de privilégio mínimo no nível dos serviços gerenciados contribui para reduzir superfícies de ataque.

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue.

Durante o tratamento de um incidente cibernético, a fase de contenção pode incluir o isolamento temporário de ativos afetados, para limitar o impacto do incidente.

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue.

Em um cenário corporativo no qual o framework NIST CSF é utilizado para organização das funções de segurança, a implementação de inventário e controle de ativos prevista nos CIS controls pode apoiar diretamente a função Identify do framework, já que ambos exigem visibilidade consistente de recursos tecnológicos.

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue.

No MITRE ATT&CK, as técnicas associadas à fase de exfiltração são classificadas como táticas do domínio Enterprise que representam objetivos estratégicos e substituem a necessidade de técnicas específicas na matriz.

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente.

O uso de um SIEM devidamente configurado para correlação em tempo real elimina a necessidade de mecanismos de prevenção de um IPS, já que os eventos consolidados permitem bloquear as atividades maliciosas diretamente a partir da análise centralizada.