Consoante o protocolo de prevenção de incidentes cibernéticos do Poder Judiciário aprovado pela Portaria CNJ n.º 162/2021, todos os órgãos do Poder Judiciário, à exceção do STF, devem instituir, formalmente, equipe de tratamento e resposta a incidentes de segurança cibernética (ETIR), incumbida da detecção, triagem, análise e resposta a incidentes de segurança cibernética.

CSRF (cross-site request forgery) é um ataque que permite ações maliciosas em nome de um usuário autenticado, e basta a utilização de certificados SSL para mitigá-lo, pois eles garantem a criptografia das comunicações entre o usuário e o servidor.

O protocolo RADIUS pode ser utilizado em conjunto com o SSO (single sign-on) e keycloak para fornecer autenticação segura, enquanto os protocolos SAML, OAuth2 (RFC 6749) e OpenID Connect são utilizados para facilitar a integração e a interoperabilidade entre diferentes serviços de autenticação e autorização.

A adoção do controle de acesso baseado em papéis (RBAC) elimina a necessidade da autenticação baseada em múltiplos fatores (MFA), uma vez que os papéis e as permissões são suficientes para garantir a segurança do acesso às informações.

Wireshark é uma ferramenta de monitoramento de tráfego de rede que permite capturar e analisar pacotes em tempo real, sendo capaz de descriptografar automaticamente todo o tráfego criptografado, sem a necessidade das chaves de decriptação.

SAST (static application security testing), DAST (dynamic application security testing) e SCA (software composition analysis) são técnicas de análise do comportamento dinâmico das aplicações em tempo de execução, com a finalidade de garantir que todos os componentes do software sejam seguros e livres de vulnerabilidades.

A implementação de controles de segurança cibernética, como os recomendados pelo CIS Control v8 e pelo NIST SP 800-53 rev. 5, deve sempre considerar a integração de princípios de privacidade, conforme orientado no CIS Control v8 — Guia Complementar de Privacidade, para garantir uma abordagem holística na proteção de dados e privacidade das informações.

A implementação de um processo de gestão de riscos de segurança da informação conforme as normas ISO 31000, 31010 e 27005 garante que todas as vulnerabilidades de um sistema sejam eliminadas.

Os princípios da transparência e da finalidade, expressos tanto na LGPD quanto no Marco Civil da Internet, visam assegurar que o tratamento de dados pessoais de usuários seja feito de forma clara, específica e adequada ao propósito declarado.

Analise as afirmativas sobre conceitos de criptografia:

I - A criptografia simétrica utiliza uma única chave para criptografar e descriptografar.

II - A criptografia simétrica ainda hoje é suada em sistemas web.

III - A criptografia simétrica é, em geral, mais rápida e consume menos recursos computacionais que a assimétrica.

Qual(is) afirmativa(s) está(ão) correta(s)?