Desenvolver o Business Case é o processo que fornece uma avaliação dos custos e benefícios associados a uma iniciativa proposta. São consideradas entradas para o Business Case:

O propósito da análise de decisão é apoiar a tomada de decisão em situações complexas, difíceis e incertas. Nesse contexto, assinale a alternativa que NÃO corresponde a análise de decisão:

Durante a fase de análise de um processo é importante que a equipe de análise dose o foco desprendido para documentar cada elemento do processo, para que a atividade não se torne longa o suficiente a ponto da equipe não conseguir apresentar uma proposta de melhoria ou solução para um problema. Este risco de análise de processo é conhecido como:

Uma organização resolveu adotar uma abordagem invasiva e disruptiva provocando uma mudança radical em seus processos de negócio. Neste caso podemos dizer que se trata de:

Segundo o NIST, procedimentos para limpeza da unidade de armazenamento, removendo ou isolando os artefatos utilizados pelos atacantes, bem como, mitigação das vulnerabilidades exploradas, são ações que fazem parte do processo de resposta a incidentes na fase de:

A equipe de prevenção, tratamento e resposta a incidentes cibernéticos (ETIR) da UFRJ adotou como estratégia de contenção de um incidente de segurança da informação, aquela em que o invasor é atraído para um ambiente monitorado, possibilitando que se faça a observação do seu comportamento, a identificação do padrão de ataque e a criação de contramedidas, conhecida como:

Segundo a ISO 27002, é apropriado para uma organização estabelecer requisitos de segurança da informação nos seus sistemas de gestão da continuidade do negócio. Analise as assertivas a seguir: I - Na ausência de um planejamento formal de continuidade de negócio, a gestão da segurança da informação assume convenientemente que os requisitos de segurança da informação se manterão nas situações adversas, análogos as condições normais. II - Convém determinar os requisitos de segurança da informação aplicáveis as situações adversas com base na análise de impacto do negócio alusiva a segurança da informação. III - A implementação de redundância aos recursos de processamento da informação garante conformidade, mas pode acarretar riscos a disponibilidade e integridade dos sistemas de informação. Estão corretas as assertivas:

Segundo o NIST, uma organização deve se valer de um conjunto de planos coordenados para se preparar adequadamente para eventuais interrupções. Dentro desse contexto, é correto afirmar que o plano de recuperação de desastres (Disaster Recovery Plan - DRP) e o plano de continuidade de negócio (Business Continuity Plan - BCP) são, respectivamente:

Em um sistema de gestão da segurança da informação, o objetivo do princípio da conformidade é garantir:

Dentre as assertivas, selecione as que garantem a proteção do direito da propriedade intelectual dentro de uma organização. I - adquirir software somente de fontes reconhecidas e de boa reputação, além de manter evidências quanto a licenças e manuais e controlar o número de licenças de uso II - reprodução de uma cópia do software adquirido a título de backup. III - definir uma política de uso legal de software e de informação, estabelecendo ações disciplinares aplicáveis para o caso de descumprimento.

Conforme a Secretaria de Governo Digital (SGD), os princípios de “Privacy by Design” devem ser refletidos no design e na implementação de aplicativos da Web. O princípio que prevê incorporar todos os objetivos legítimos da organização e, ao mesmo tempo, garantir o cumprimento de suas obrigações, é conhecido como:

São boas práticas de segurança no desenvolvimento de aplicações recomendadas pela OWASP (Open Web Application Security Project), EXCETO:

Você está precisando configurar um servidor Linux para uma empresa e precisa implementar um controle de acesso baseado em funções (RBAC) para garantir que os usuários tenham permissões adequadas de acordo com suas responsabilidades. Assinale a opção que descreve corretamente o RBAC em sistemas Linux.

Um sistema de gerenciamento de banco de dados está sendo desenvolvido e você precisa garantir a segurança contra ataques de injeção de SQL. Considerando as boas práticas de segurança, assinale a opção correta quanto às medidas adequadas para prevenir esse tipo de ataque.

Analise as afirmativas abaixo em relação ao ataque de session hijacking: I - É um ataque que ocorre quando um invasor obtém acesso não autorizado a informações confidenciais, como senhas e dados de pagamento, por meio da interceptação do tráfego de rede. II - Usar cookies seguros e com flag HttpOnly ligado é uma forma de tentar evitar que esse ataque seja bem sucedido. III - A previsibilidade de identificadores de sessão é uma vulnerabilidade que permite esse tipo de ataque. Em relação aos itens acima, pode-se afirmar que:

Assinale a opção que descreve um problema que pode ser resolvido por meio da implementação de uma abordagem de governança de TI, mas não por meio de gestão de TI.

Você é o responsável pela segurança de uma rede sem fio em uma empresa que utiliza a tecnologia 802.11 b/n/g. Recentemente, surgiram relatos de que funcionários estão se conectando a APs não autorizados, comprometendo a segurança da rede e dos dados corporativos. Assinale a alternativa que descreve uma abordagem adequada para lidar com esse problema.

Sobre H.323 e RTP (Real-time Transport Protocol), analise as afirmativas abaixo: I - H.323 prevê de mecanismo nativo de autenticação para terminais e gateways, mas não prevê criptografia. II - H.323 e RTP são protocolos que garantem de forma nativa a integridade e confidencialidade dos dados transmitidos III - RTP oferece recursos nativos de criptografia e autenticação para proteger as comunicações em tempo real. Em relação aos itens acima, pode-se afirmar que:

Elementos de interconexão de redes, como switches, estão sujeitos a ataques de segurança. Assinale a opção que descreve um ataque de segurança que costuma ser usado contra switches.

Uma organização possui filiais em diferentes regiões geográficas e precisa estabelecer conexões seguras entre as redes de cada filial. Como solução, a organização decide implementar uma VPN site-to-site, usando a camada de rede TCP/IP, para estabelecer conexões seguras entre essas filiais. Assinale a opção de VPN que é mais adequada para atender os requisitos do problema.

Durante uma avaliação de segurança em um aplicativo web, você identificou a possibilidade de um ataque de Cross-Site Request Forgery (CSRF). Analise a alternativa que tem uma opção correta em relação a esse ataque.

Assinale a opção que descreve corretamente o ataque denominado DDoS.

Para aumentar a segurança do protocolo NTP (Network Time Protocol), foi proposta uma extensão de segurança denominada NTS (Network Time Security). Assinale a opção correta sobre essa extensão do protocolo NTP.

Em relação a prática de revisão de código, analise as afirmativas abaixo: I. DAST é uma abordagem de teste de segurança para avaliar a segurança de um software em tempo de execução. II. SAST é útil para identificar vulnerabilidades estáticas no código-fonte de um aplicativo, como problemas de codificação, uso inadequado de APIs, vazamento de informações sensíveis e acesso não autorizado. III. Tanto o DAST quanto o SAST desempenham papéis complementares na análise de segurança de um aplicativo, sendo recomendável utilizar ambos os métodos para obter uma cobertura abrangente e identificar uma ampla gama de vulnerabilidades. Em relação aos itens acima, pode-se afirmar que:

Uma organização identificou desafios no gerenciamento da segurança de identidade e acesso aos seus sistemas de TI. Como parte da solução, a organização decide implementar práticas recomendadas do COBIT 5 para lidar com esse problema. O processo do COBIT 5 está diretamente relacionado ao gerenciamento de segurança de identidade e acesso: