Em um método de criptografia, a chave de cifração pública é diferente da chave de decifração privada, e uma não pode ser facilmente gerada a partir da outra. Basicamente, no processo de encriptação, é utilizada uma chave “ALFA” sobre a mensagem em texto puro, que então irá gerar um texto cifrado. Após isso, no processo de decriptografia, usa-se outra chave “BETA” sobre o texto cifrado e tem-se como resposta de volta o texto claro. Esse método é denominado criptografia de chave

No que se refere à NBR ISO/IEC 27002:2013 e a confiabilidade, integridade e disponibilidade, julgue o item a seguir.

No contexto de política de segurança da informação no relacionamento com fornecedores, convém que sejam estabelecidos, quando necessário, acordos de contingência e recuperação para assegurar a disponibilidade da informação.

No que se refere à NBR ISO/IEC 27002:2013 e a confiabilidade, integridade e disponibilidade, julgue o item a seguir.

Políticas de segurança relacionadas a trabalho remoto devem reafirmar o direito das organizações de realizar acessos intempestivos para verificações de segurança em equipamentos de propriedade particular que se conectem a sua rede para a realização desse tipo de trabalho, sendo tais acessos permitidos independentemente de qualquer legislação vigente sobre privacidade.

A respeito de autenticação de dois fatores e OWASP Top 10, julgue o item a seguir.

Códigos de verificação de um sistema de autenticação de dois fatores podem ser enviados por email ou gerados por um aplicativo autenticador instalado no dispositivo móvel do usuário.

A respeito de autenticação de dois fatores e OWASP Top 10, julgue o item a seguir.

A inadequada configuração de segurança, um dos riscos da OWASP Top 10, pode ocorrer em qualquer nível de serviço de uma aplicação; em razão disso, o uso de scanners e testes automatizados é ineficaz na tarefa de detectar falhas de configuração.

De acordo com a Norma ABNT NBR ISO/IEC 27037, um documento identifica a cronologia de movimento e manuseio da evidência digital, recomendando-se que seja elaborado a partir do processo de coleta ou aquisição, com o objetivo de manter o registro para possibilitar a identificação, acesso e movimento a qualquer tempo. Entre as informações que devem constar desse documento estão:

• identificador único da evidência;

• quem acessou a evidência e o tempo e local em que ocorreu;

• quem checou a evidência interna e externamente nas instalações de preservação e quando ocorreu.

Esse documento é conhecido por

No que se refere a autenticação e riscos de segurança, julgue o item a seguir.

Os tokens de autenticação, que podem ser dispositivos físicos ou podem existir em software, geram códigos vinculados a determinado dispositivo, usuário ou conta, que podem ser usados uma vez como parte de um processo de autenticação em um intervalo de tempo.

No que se refere a autenticação e riscos de segurança, julgue o item a seguir.

Quanto aos riscos de segurança derivados da exposição de dados sensíveis contidos na lista OWASP Top 10, é recomendável que o tráfego de dados confidenciais seja criptografado e que o seu armazenamento interno seja feito sem criptografia, de modo a viabilizar as funções de auditoria dos sistemas.

Com relação à gerência de riscos, às disposições das NBR ISO/IEC 27001 e NBR ISO/IEC 27002 e às políticas de senhas, julgue o item a seguir.

Segundo a NBR ISO/IEC 27001, as informações documentadas como evidências dos programas de auditoria interna devem ser destruídas após a finalização dos programas, desde que os resultados tenham sido aceitos pelas partes de interesse e homologados pelo conselho gestor da organização.