Conforme as diretrizes das normas ISO (lnternational Organization for Standardization)/IEC (lnternational Electrotechnical Commission) 27005, é recomendado que as organizações definam o escopo e os limites da gestão de riscos de segurança da informação. Ao fazer isso, é essencial considerar diversos fatores para garantir uma abordagem abrangente. Entre as alternativas a seguir, qual NÃO é uma consideração recomendada ao definir o escopo e os limites de acordo com essas normas?

De acordo com as normas ISO (lnternational Organization for Standardization)/IEC (lnternational Electrotechnical Commission) 27002, existe uma prática essencial para a segurança da informação que impede a execução de programas não autorizados em um ambiente específico Trata-se de:

A auditoria de aquisições de bens e serviços de TI é um processo sistemático de verificação e análise das transações relacionadas à compra de recursos tecnológicos. Visa garantir conformidade com normas, políticas e regulamentos, além de avaliar a eficiência e a eficácia na gestão dessas aquisições. Ao examinar contratos, processos de licitação e controle interno, a auditoria busca assegurar a otimização dos investimentos e a integridade das operações de TI. Na abordagem da dispensa e inexigibilidade, a auditoria de aquisições de bens e serviços de TI avalia situações específicas. Qual é a principal diferença entre a dispensa e a inexigibilidade em auditoria de aquisições de bens e serviços de TI?

Em relação ao framework do NIST e aos controles do CIS, julgue os itens que se seguem.

No framework do NIST, a função proteção desenvolve e implementa as atividades adequadas para manter os planos de resiliência contra um evento de segurança cibernética.

Julgue os próximos itens, considerando a ITIL v4.

Não há prática na ITIL v4 diretamente afeta ao gerenciamento de segurança da informação, sendo a confidencialidade, a integridade e a disponibilidade tratadas como incidentes ou problemas quando concernentes à segurança de dados nos serviços.

RSA e ECC são os principais protocolos utilizados na criptografia simétrica.

A respeito de prevenção e combate a ataques a redes de computadores, julgue os itens subsecutivos.

Uma forma de se prevenir o ataque cibernético do tipo eavesdropping é utilizar criptografia de ponta a ponta tanto em redes de computadores quanto em sistemas de comunicação sem fio.

No que se refere à segurança da informação, julgue os itens subsecutivos.

No cross-site scripting refletido (não persistente), a carga útil do invasor deve fazer parte da solicitação enviada ao servidor da Web. Em seguida, é refletida de volta, de maneira que a resposta HTTP inclua a carga útil da solicitação HTTP. Os invasores usam técnicas de engenharia social para induzir a vítima a fazer uma solicitação ao servidor. A carga útil XSS refletida é, então, executada no navegador do usuário.

Acerca de ameaças e vulnerabilidades em aplicações, julgue os itens subsequentes.

Um ataque de XSS (cross-site scripting) não tem como alvo direto o próprio aplicativo, mas sim os usuários do aplicativo da Web.

Acerca de ameaças e vulnerabilidades em aplicações, julgue os itens subsequentes.

Em função de muitos sites e aplicativos da Web dependerem de bancos de dados SQL, um ataque SQL injection pode gerar sérias consequências, porque boa parte dos formulários da Web não consegue impedir a entrada de informações adicionais, o que propicia a exploração desse ponto fraco e o uso das caixas de entrada no formulário para envio de solicitações maliciosas ao banco de dados.