Questões de Análise de Vulnerabilidade e Gestão de Riscos (Segurança da Informação)

Limpar Busca

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos


Ministério da Fazenda (MF) - Auditor Federal de Finanças e Controle - Área de Tecnologia da Informação (Operação e Infraestrutura) - manhã - FGV (2024)

Segundo a norma complementar nº 04/IN01/DSIC/GSIPR, convém que o processo de Gestão de Riscos de Segurança da Informação e Comunicações

  • A compreenda medidas que vão além da proteção dos ativos de informação, tais como processo disciplinar e desenvolvimento terceirizado.
  • B esteja alinhado ao planejamento estratégico da organização e, também, com o processo maior de gestão de riscos corporativos, se esse existir.
  • C busque identificar as necessidades da sociedade em relação aos requisitos de privacidade de dados, bem como criar uma política pública de comunicação eficaz.
  • D considere, prioritariamente, os processos e a estrutura do órgão ou entidade da administração pública federal em detrimento dos objetivos estratégicos e dos requisitos legais.
  • E seja esporádico e aplicado quando a entidade pública precisar de subsídios para dar suporte à implementação de medidas de proteção dos perímetros de segurança física.

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos


Ministério da Fazenda (MF) - Auditor Federal de Finanças e Controle - Área de Tecnologia da Informação (Operação e Infraestrutura) - manhã - FGV (2024)

A norma complementar nº 04/IN01/DSIC/GSIPR descreve uma abordagem sistemática do processo de gestão de riscos de segurança da informação e comunicações, com o objetivo de manter os riscos em níveis aceitáveis.
De acordo com essa sistemática, a etapa Aceitação do Risco consiste em

  • A identificar os riscos considerando as ameaças e as vulnerabilidades associadas aos ativos de informação para, em seguida, serem avaliados e priorizados.
  • B determinar as formas de tratamento dos riscos, considerando as opções de reduzir, evitar, transferir ou reter o risco observando a relação custo/benefício.
  • C executar as ações de segurança da informação incluídas no plano de tratamento dos riscos aprovado observando as restrições organizacionais, técnicas e estruturais.
  • D detectar possíveis falhas nos resultados, monitorar os riscos, as ações de proteção e verificar a eficácia do processo de gestão de riscos.
  • E verificar os resultados do processo de gestão de riscos executado, considerando o plano de tratamento dos riscos e submetendo-os a nova avaliação se necessário.

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos


Ministério da Fazenda (MF) - Auditor Federal de Finanças e Controle - Área de Tecnologia da Informação (Operação e Infraestrutura) - manhã - FGV (2024)

O gerenciamento de incidentes de segurança em redes de computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) dos órgãos e entidades da administração pública federal é disciplinado pela norma complementar 08/IN01/DSIC/GSIPR.
De acordo com essa norma, além do serviço de tratamento de incidentes, a ETIR poderá oferecer à sua comunidade o serviço de

  • A tratamento de vulnerabilidades em hardware ou software.
  • B automação e otimização de processos de negócio.
  • C outsourcing de profissionais e equipamentos de TI.
  • D desenvolvimento de software de qualquer natureza.
  • E administração de sistemas e de banco de dados.

Segurança da Informação Ataques e ameaças | Análise de Vulnerabilidade e Gestão de Riscos


Conselho Nacional de Justiça - Técnico - Tecnologia da Informação - CESPE/CEBRASPE (2024)

Julgue o próximo item, relativos a segurança da informação e gestão da segurança da informação.


A camada de inteligência estratégica de ameaças abrange informações sobre as metodologias dos atacantes, ferramentas e tecnologias envolvidas.

  • Certo
  • Errado

Segurança da Informação Análise de Vulnerabilidade e Gestão de Riscos


Conselho Nacional de Justiça - Analista de Sistemas - CESPE/CEBRASPE (2024)

Julgue o item seguinte, a respeito das melhores práticas para problemas com componentes vulneráveis ou desatualizados, conforme preconiza o OWASP. 

Como exemplo de melhor prática, o OWASP recomenda que os responsáveis por segurança de uma aplicação monitorem continuamente fontes como CVE (common vulnerability and exposures) e NVD (national vulnerability database) em busca de vulnerabilidades nos componentes usados na aplicação.

  • Certo
  • Errado