Acerca de ataques de malware, julgue os próximos itens.

Ataques do tipo APT (advanced persistent threats) usam uma abordagem ampla e são projetados sem um alvo específico, sendo iniciados para causar danos à rede da organização-alvo, com o objetivo de se obter entrada e saída rápidas.

Julgue os itens seguintes, relativos a ameaças, ataques e protocolos de segurança de email.

O spear phishing tem como alvo um grupo específico ou tipo de indivíduo, como os administradores de sistema de uma empresa; já o whaling é um tipo de phishing ainda mais direcionado e geralmente tem como alvo um CEO ou CFO de um setor ou negócio específico.

Julgue os itens seguintes, relativos a ameaças, ataques e protocolos de segurança de email.

O método de autenticação SPF (sender policy framework) permite que os proprietários de domínios assinem emails automaticamente a partir de seu domínio; nessa assinatura digital, é utilizada criptografia de chave pública para verificar matematicamente que o email veio do domínio correto.

Acerca do uso do framework de autenticação OAuth 2.0, julgue o item subsequente.

O OAuth 2.0 utiliza refresh tokens para obter novos tokens de acesso, sem pedir ao usuário para fazer login novamente, e serve de base para o OpenID Connect, que adiciona uma camada de autenticação sobre o protocolo de autorização.

A gestão de incidentes é considerada um componente crítico da estratégia de gerenciamento de riscos das organizações porque, com tal gestão, é possível reduzir o tempo de inatividade e minimizar os impactos negativos causados por acidentes cibernéticos.

A GCN, ao contrário da gestão de incidentes de segurança da informação, tem a finalidade de estabelecer procedimentos para identificar, gerenciar, registrar, analisar e comunicar eventos relativos às operações e aos impactos negativos causados às operações da organização.

Julgue os itens seguintes, relativos à gestão de riscos e políticas de segurança da informação.

Na segurança da informação, a autenticidade é conceituada como a propriedade pela qual se assegura que a informação não foi modificada ou destruída de maneira não autorizada ou acidental.

Julgue os itens seguintes, relativos à gestão de riscos e políticas de segurança da informação.

As políticas de segurança da informação dentro de uma organização podem ser apoiadas por políticas específicas por tema, as quais devem, por sua vez, ser alinhadas e complementares à política de segurança da informação da organização.

Os controles e objetivos de controle a serem implementados para mitigar os riscos devem ser adotados em alinhamento aos termos da subseção avaliação de riscos de segurança da informação.

Os controles são classificados em controle de pessoas, controle físico e controle tecnológico e, quando não enquadrados em nenhum desses, devem ser categorizados como organizacionais.