Acerca do gerenciamento de resposta a incidente e testes de penetração, julgue o item a seguir.

No teste de penetração de caixa branca não são fornecidas informações prévias à equipe de testadores sobre a infraestrutura de segurança da organização; por isso, vulnerabilidades eventualmente existentes e não descobertas no tempo alocado para o teste poderão permanecer ativas no ambiente.

Julgue o item subsecutivo, a respeito de softwares maliciosos e ataques.

Entre as contramedidas técnicas relacionadas à prevenção contra ataques DDoS, estão a restrição de tráfego ICMP e UDP desnecessário em roteadores de perímetro e a desabilitação de serviços e subsistemas não utilizados em computadores e servidores.

Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte.

No Brasil, a certificação digital contempla quatro conjuntos de certificados, cada um com sua função: assinatura digital (A1, A2, A3 e A4), sigilo (S1, S2, S3 e S4), tempo (T) e mobilidade (Bird ID). No conjunto de certificados de assinatura digital, os modelos A4 e A3 são muito semelhantes, mas este se distingue daquele por ser específico para uso em nuvem e por ser armazenado em um hardware criptográfico chamado HSM.

No que tange a gestão de riscos e continuidade do negócio, julgue o próximo item.

Segundo a NBR n.º 27005:2019, a abordagem da gestão de riscos de segurança da informação define que se deve adotar um método de fazer a gestão da segurança para todos os processos existentes para facilitar o treinamento dos colaboradores.

Com relação a segurança em recursos humanos, julgue o seguinte item.

Na NBR n.º 27001:2013, está previsto que as responsabilidades pela segurança da informação permaneçam válidas após um encerramento ou mudança da contratação, devendo ser definidas, comunicadas aos funcionários ou partes externas e cumpridas.

Adotar políticas e procedimentos de becape off-line, restauração e testagem são boas práticas capazes de minimizar significativamente os efeitos de um ataque de

À luz da NBR n.º ISO/IEC 27001:2013, os objetivos de segurança da informação de uma organização devem ser

Acerca de becape, classificação de informações e gestão de riscos, julgue o item a seguir, considerando as normas ISO 27002 e ISO 31000.

De acordo com a ISO 31000, é relevante que os planos de tratamento de riscos incluam as justificativas para a seleção das opções de tratamento e as medidas de desempenho.

Julgue o próximo item, a respeito de IAST e de gerenciamento de resposta a incidentes.

De acordo com o guia NIST SP 800-61, a autoridade para confiscar equipamentos e monitorar atividades suspeitas em resposta a incidentes é restrita às agências de aplicação da lei; a definição dessa autoridade não cabe no escopo das políticas de resposta a incidentes das organizações.

Acerca de VPN e firewall, e considerando as normas ISO 31000, ISO 22301 e ISO 27002, julgue o item que se segue.

De acordo com a ISO 27002, é diretriz que os métodos de gerenciamento de projetos empregados estabeleçam a segurança da informação como parte integrante de todas as fases metodológicas dos projetos.