Os elementos de suporte descritos na norma IEC27001:2013 da Organização Internacional de Normalização (ISO) são:

A ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)

Com relação à Gestão de Risco, em conformidade com a norma ABNT NBR ISO/IEC 27005:2011, analise os itens a seguir.

I. O risco é o efeito da incerteza nos objetivos, sendo muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

II. O risco residual (ou "risco retido") se refere ao risco remanescente após o tratamento de eventos sucessivos.

III. O nível de risco se relaciona a magnitude de um risco, expressa em termos da combinação das consequências e de suas probabilidades (likelihood)

Está correto o que se afirma em

A norma ABNT NBR ISO/IEC 27002:2013 estabelece um código de prática para controles de segurança. Ela fornece diretrizes para prática de gestão de segurança da informação para as organizações, incluindo a seleção, implementação e o gerenciamento dos controles levando em consideração os ambientes de risco da segurança da informação da organização.

Relacione os termos de segurança da informação a seguir, às suas respectivas definições.

1. Segurança da informação

2. Incidente de segurança de informação

3. Evento de segurança de informação

4. Risco

( ) Preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

( ) Ocorrência que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação e que pode ser identificada em um sistema, serviço ou rede.

( ) Ocorrência(s) indesejada(s) ou inesperada(s) que tem grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

( ) Combinação da probabilidade de um evento e de suas consequências.

Assinale a opção que indica a relação correta, segundo a ordem apresentada.

Com relação à segurança no desenvolvimento de programação e revisão de código, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) O ciclo de vida de desenvolvimento de software (SDLC) pode ser aperfeiçoado pelo uso do framework de desenvolvimento de software seguro (Secure Software Development Framework, SSDF), do NIST Cybersecurity, podendo ser usado por organizações de qualquer setor ou comunidade, independentemente do tamanho ou da sofisticação da segurança cibernética, bem como podendo ser usado para qualquer tipo de desenvolvimento de software, independentemente da tecnologia, plataforma, linguagem de programação ou ambiente operacional.

( ) O uso do Secure Coding Practices Checklist , do Developer Guide e do Offensive Web Testing Framework (OWTF), da Open Web Application Security Project (OWASP), proporciona melhores práticas de programação segura e revisão de código.

( ) O uso do Web Security Testing Guide (WSTG) em conjunto com o Web Application Penetration Checklist , ambos da OWASP, proporcionam a identificação dos mais adequados controles de segurança que devem ser executados, de acordo com as informações do OWASP TOP 10 e WSTG.

As afirmativas são, respectivamente,

Na era digital, onde a informação é um dos ativos mais valiosos, a implementação de uma política de segurança da informação é crucial para proteger os dados sensíveis e garantir a confiança de clientes e parceiros. Quando se trata de desenvolver uma política de segurança da informação, é recomendável ter em mente alguns conceitos:

I. Toda informação deve ser mantida na sua condição original, tal como fornecida pelo seu proprietário, com o objetivo de protegê-la contra quaisquer alterações indevidas, sejam elas intencionais ou acidentais.

II. É fundamental registrar tanto o acesso quanto o uso da informação, permitindo a identificação dos usuários que acessaram e as ações realizadas com os dados.

III. Toda informação deve ser protegida conforme o seu nível de sigilo, com o objetivo de restringir o acesso e o uso apenas às pessoas autorizadas a recebê-la.

As afirmações acima referem-se aos seguintes conceitos, respectivamente.

Dada a importância crucial dos planos de contingência para sustentar a resiliência operacional de uma organização, torna-se imperativo uma análise detalhada desse assunto.

Nesse sentido, assinale a afirmativa correta.

Uma empresa de tecnologia que está revisando sua política de segurança para garantir a proteção eficaz de todos os sistemas operacionais usados em sua infraestrutura de TI.

Existem várias medidas de proteção que podem ser adotadas para resguardar os sistemas operacionais contra ataques de malware, exploração de vulnerabilidades, negação de serviço, e outras ameaças similares.

São consideradas medidas de proteção os itens:

I. Patches de segurança,

II. Capacitação dos funcionários no tema,

III. Antivírus,

IV. Controle de acesso

Está correto o que se afirma em

Gerir riscos constitui uma etapa vital no contexto da segurança da informação, implicando na identificação, avaliação e mitigação dos potenciais riscos que possam impactar a confidencialidade, integridade e disponibilidade dos dados e sistemas organizacionais.

Com relação à gerência de risco, assinale (V) para a afirmativa verdadeira e (F) para falsa.

( ) Processos, atividades do negócio e informações são ativos primários de uma organização.

( ) As ameaças podem ter origem humana ou ambiental

( ) Salvaguardas referem-se a medidas de proteção prescritas com o intuito de cumprir os requisitos de segurança, tais como confidencialidade, integridade e disponibilidade, previamente estabelecidos para um sistema de informação.

( ) Reduzir riscos de segurança é um processo iterativo que envolve identificar os riscos, implementar controles para mitigá-los e reavaliar constantemente diante das mudanças.

As afirmativas são, respectivamente,

A equipe de desenvolvimento de sistemas da PRODABEL S/A estava avaliando a possibilidade de dois sistemas internos, distintos, realizar a troca de informações entre si; porém, de forma segura e confiável. Após realizar a reunião de planejamento da sprint atual, a equipe chegou em um consenso que a implantação do padrão JWT (Json Web Token) para essa finalidade atenderia à demanda e resolveria o problema de uma forma rápida, prática e eficiente. Sobre o padrão a ser aplicado no projeto, analise as afirmativas a seguir.

I. É uma técnica RFC-7529 que é padrão com a função de autenticação entre duas partes, por meio de um token assinado.

II. A assinatura do token é composta pela codificação do header e do payload somada a uma chave secreta, gerada pelo algoritmo especificado no cabeçalho.

III. As claims podem ser registradas e definidas pelo padrão JWT com nomes e significados predefinidos como nbf que é a data de início de validade do token.

Está correto o que se afirma em

Durante o processo de construção de uma nova aplicação tecnológica, um ponto extremamente importante é a abordagem dos mecanismos de segurança que serão implementados; essa ação é fundamental para garantir operações fundamentais do novo recurso implementado, além de garantir a segurança dos dados que são persistidos e armazenados pela aplicação. Considerando a variedade de soluções tecnológicas produzidas pela PRODABEL S/A, analise as afirmativas a seguir sobre mecanismos de segurança.

I. O Twofish é um algoritmo de criptografia simétrica, com tamanho de bloco de 128 bits, que possui proteção contra ataques de força bruta.

II. A assinatura digital deve ser realizada por meio de certificado digital no padrão ICP-Brasil, sendo válida quando atende às características de integridade, autenticidade, irretratabilidade e validade jurídica.

III. A ICP-Brasil foi criada pela Medida Provisória 2.200-2, em 2003, com a função de validar apenas as informações e a identidade de pessoas jurídicas, fornecendo maior segurança e transparência nas transações comerciais.

Está correto o que se afirma em