Julgue o item a seguir, a respeito de testes de invasão em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.
Uma falha de XSS (cross-site script) permite que um atacante insira código malicioso em páginas web, de forma a redirecionar, por exemplo, uma resposta a um local controlado pelo atacante.

Julgue o item a seguir, a respeito de testes de invasão em aplicações web, banco de dados, sistemas operacionais e dispositivos de redes.
Um ataque do tipo path transversal — o qual permite o acesso a arquivos ou diretórios que, em tese, deveriam ser inacessíveis — é eficiente somente em aplicações ASP e JSP.

Julgue o item subsequente, a respeito de SIEM (security information and event management), uma tecnologia composta por software e sistemas que, entre outras funções, auxiliam no processo de segurança da informação de uma organização.
Considerando um fluxo normal, um SIEM é capaz de coletar dados de fontes heterogêneas, extrair informação importante desses dados, agregar valor de interpretação e correlação e apresentar esses dados na forma de relatórios ou informações estatísticas.

Julgue o item subsequente, a respeito de SIEM (security information and event management), uma tecnologia composta por software e sistemas que, entre outras funções, auxiliam no processo de segurança da informação de uma organização.
Um SIEM é capaz de coletar logs de diversos dispositivos e fazer a correlação entre eles; entretanto, um SIEM só trabalha com padrão Syslog, que é o padrão internacional de geração de eventos de log.

A norma NBR 15999 especifica os requisitos de um plano para manter a operação em funcionamento em caso de alguma ocorrência grave no ambiente de negócio. A esse respeito, julgue o item a seguir.
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de continuidade de negócios.

Julgue o item subsequente com base no Decreto n.º 3.505/2000, que instituiu a Política de Segurança da Informação nos órgãos e nas entidades da administração pública federal.
A tarefa de realizar auditoria nos órgãos e nas entidades da administração pública federal envolvidos com a política de segurança da informação é atribuição exclusiva do Tribunal de Contas da União (TCU)

Julgue o item subsequente com base no Decreto n.º 3.505/2000, que instituiu a Política de Segurança da Informação nos órgãos e nas entidades da administração pública federal.
A Secretaria Executiva do Conselho de Defesa Nacional, assessorada pelo Comitê Gestor da Segurança da Informação, deve elaborar programas destinados à segurança da informação, de forma a garantir articulação entre os órgãos e as entidades da administração pública federal.

Julgue o próximo item, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério.
Para a segurança na comunicação entre a sede do ministério e suas diversas representações dispersas pelas unidades da federação, é recomendável a adoção de redes virtuais privadas baseadas no IPSEC com modo de transporte. Dessa forma, na eventualidade de captura de tráfego entre o ministério e uma de suas representações por meio de um sniffer, não será possível a identificação dos endereços IP de origem e de destino das conexões TCP estabelecidas nas extremidades da rede, enquanto são garantidas ainda a autenticidade e sigilo dos dados trafegados.

Julgue o próximo item, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério.
A fim de proteger a segurança da informação do ministério, bem como auxiliar no cumprimento de sua missão de desenvolvedor de políticas públicas em sua área de atuação, o ministério deve se abster de desenvolver sua presença digital nas mídias sociais, bloqueando os acessos dos usuários de níveis operacionais e administrativos intermediários a essas mídias sociais, visando à redução da ocorrência de ataques de engenharia social, de phishing, scams e spams.

Julgue o próximo item, considerando que os capítulos sobre segurança em redes de computadores e sobre resposta a incidentes computacionais em redes contenham uma série de diretrizes organizacionais, técnicas e computacionais para o ministério.
Considere que, para a defesa de perímetros na rede do ministério, tenha sido proposta uma solução com o uso dos seguintes dispositivos: firewall de aplicação web (WAF); sistemas de prevenção de intrusão (IPS) em rede; e firewall de filtragem de pacotes stateful. Nesse caso, seria recomendável a colocação do firewall de filtragem na camada mais externa; do WAF na camada mais interna; e de IPS na camada intermediária.