Na gestão de ativos de informação, o conceito de Asset Owner, conforme a ISO/IEC 27002, é fundamental para a governança.
A principal responsabilidade do Proprietário do Ativo é

Em um ambiente de Tecnologia da Informação, o princípio da Segregação de Funções (SoD - Separation of Duties) é rigorosamente aplicado. Um Analista de Sistemas é designado para desenvolver e testar novas funcionalidades em um sistema de missão crítica. Conforme a política de segurança, esse mesmo analista não possui permissão para realizar a implementação (deployment) do código final no ambiente de produção.
O seguinte risco ou ameaça de segurança e governança o princípio da Segregação de Funções é projetado primariamente para mitigar o problema nesse cenário específico:

Um sistema de controle de acesso lógico da Assembleia Legislativa de Rondônia utiliza um modelo onde os direitos de acesso de um usuário a um recurso são concedidos com base em sua função ou cargo dentro da organização. Este modelo simplifica a administração e garante que as permissões estejam alinhadas com as responsabilidades de cada função ou cargo.
Esse modelo de controle de acesso lógico é o

Ao realizar uma análise de riscos, um analista identificou que a vulnerabilidade de Cross-Site Scripting em um portal de serviços tem uma probabilidade de ocorrência classificada como média e um impacto potencial classificado como Alto. A organização utiliza uma matriz de riscos 5X5 (Muito Baixa, Baixa, Média, Alta, Muito Alta). Para tratar este risco, foi implementado um WAF, que reduz a probabilidade de exploração de Média para Baixa.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é

A alta administração de um órgão público determinou que o risco de vazamento de dados de um novo sistema deve ser reduzido a um nível aceitável, mas que ainda assim permitirá a continuidade da operação. Após a avaliação, o risco residual foi considerado alto, exigindo a implementação de novos controles.
O tratamento de risco decidido pela alta administração do órgão é

Um departamento da ALE-RO sofreu um incidente de segurança em que vários computadores apresentaram lentidão extrema e exibiram pop-ups com anúncios. A equipe de TI identificou a instalação de uma barra de ferramentas no navegador como ponto comum. O software antivírus não havia bloqueado a instalação.

Com base no comportamento descrito, assinale a opção que indica, respectivamente, o tipo de ameaça digital que provavelmente infectou os sistemas e o porquê de o antivírus não ter detectado inicialmente.

O departamento de TI da ALE-RO precisa transmitir um arquivo contendo dados sensíveis (relatórios orçamentários) para um auditor via e-mail. A política de segurança exige que o arquivo seja ilegível por terceiros, caso interceptado durante a transmissão ou se armazenado inadvertidamente na caixa de entrada do auditor.

Nesse caso, a medida de criptografia mais adequada para atender a essa exigência de segurança, garantindo que apenas o destinatário autorizado possa acessar o conteúdo, é

Um analista de segurança da ALE-RO precisa proteger um servidor web acessível pela internet. Esse servidor hospeda uma aplicação crítica que deve ser acessada por clientes externos (porta HTTPS 443) e por administradores internos (porta SSH 22). Ele configurou um firewall de estado (stateful firewall) na borda da rede.
Para maximizar a segurança, seguindo o princípio do menor privilégio, a configuração recomendada das regras de firewall para esse servidor deve

O setor de TI da ALE-RO precisa proteger dados sensíveis em repouso em seus servidores. Para isso, precisa de uma solução que permita criptografia transparente dos dados, em que os arquivos são criptografados automaticamente quando salvos no disco e descriptografados quando acessados por usuários autorizados.

Nesse caso, a solução mais adequada é

O setor de TI da Assembleia Legislativa do Estado de Rondônia (ALE-RO) precisa configurar um firewall para proteger seu servidor web.
O servidor hospeda um site na porta 80 (HTTP) e 443 (HTTPS), além de um serviço SSH na porta 22, para administração remota. Nesse caso, a configuração de regras mais segura é