Julgue o seguinte item, pertinente a conceitos e princípios relacionados com autenticação e autorização.

O processo pelo qual uma entidade determina se outra entidade tem permissão para usar um recurso é denominado autenticação.

Julgue o seguinte item, pertinente a conceitos e princípios relacionados com autenticação e autorização.

O processo de comprovar a identidade do usuário aos componentes de segurança do sistema para se conceder acesso com base em quem ele é ou em algo que ele possua é denominado autorização.

Acerca de conceitos e princípios relacionados com confidencialidade e integridade, julgue o item que se segue.

O princípio da integridade visa garantir que os dados sejam precisos e confiáveis e que não tenham sido modificados incorretamente, seja de forma acidental ou maliciosa.

Acerca de conceitos e princípios relacionados com confidencialidade e integridade, julgue o item que se segue.

A confidencialidade visa manter a privacidade das informações pessoais e garantir que elas sejam visíveis e acessíveis apenas aos indivíduos autorizados.

Uma empresa de consultoria X foi contratada para verificar os riscos quanto à segurança da informação no Tribunal de Justiça do Amapá (TJAP). Para atender ao requisito licitatório, a consultoria fez uso da norma ABNT NBR ISO/IEC 27005:2011. Em seu relatório de segurança, a consultoria identificou riscos causados por fenômenos naturais, de forma que a melhor alternativa era mover fisicamente as instalações para um local onde tal risco não exista ou esteja sob controle.

A empresa de consultoria X se baseou no tópico de tratamento de riscos de:

O Tribunal de Justiça do Amapá (TJAP) identificou que não havia um documento de Política para Segurança da Informação e resolveu elaborá-lo. Para atender esse objetivo, fez uso da Norma 27002:2013, que orienta a organização a definir uma política de segurança que seja aprovada pela direção.

Para a elaboração do documento, a norma orienta que sejam contemplados requisitos oriundos da(s):

A empresa de consultoria de segurança Y emitiu um comunicado aos seus clientes sobre um golpe na Internet. O golpe consistia no seguinte:

- Os clientes recebem mensagens por e-mail com links maliciosos, abordando temas como aproveitar ofertas de um determinado produto;

- O link redireciona para uma página falsa, semelhante ao site da instituição dona do produto, e solicita dados (agência, conta, nº do cartão, celular e senhas) para efetuar a compra;

- O impostor liga para a vítima;

- Durante a ligação, o impostor solicita que o cliente execute uma atualização de segurança que será enviada;

- Após a atualização, o criminoso realiza transações em nome da vítima.

O golpe descrito pela empresa Y aos seus clientes é:

Fábio pertence ao departamento de segurança da empresa K e está verificando os controles existentes para a Gestão de Riscos de Segurança da Informação. Ele faz uso da norma ABNT NBR ISO/IEC 27005:2011 para efetuar sua verificação. Fábio está examinando o correto funcionamento dos controles existentes. Ele identificou alguns controles obsoletos, que foram descartados, e outros que foram substituídos por controles melhores ou mais modernos.

Nesse momento, Fábio está fazendo uso da tarefa dentro de identificação de riscos:

A empresa Z criou uma nova aplicação web, mas foi atacada após disponibilizá-la na Internet. A equipe de segurança da empresa Z identificou que a configuração do servidor de aplicações permitia que os detalhes das mensagens de erro fossem retornados aos usuários. Tal fato exibe informações confidenciais ou falhas subjacentes. Para a elaboração do relatório de ataque a ser entregue à empresa Z, a equipe de segurança usou o OWASP.

Ao verificar o OWASP, a equipe definiu o ataque como pertencente à categoria:

Gilberto trabalha no setor de segurança do Tribunal de Justiça do Amapá (TJAP) e está fazendo a modelagem de possíveis ameaças aos seus sistemas, aplicativos, redes e serviços. Após pesquisar alguns modelos, decidiu realizar a modelagem seguindo o STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege). O modelo relaciona as ameaças do acrônimo STRIDE com as propriedades de segurança. Inicialmente, Gilberto trabalhará na propriedade de integridade.

Logo, dentro do acrônimo STRIDE, a ameaça a ser trabalhada por Gilberto será: