O uso de honeypots facilita a análise de tendências de ataques a redes de computadores.

O uso de antivírus é uma prática efetiva de prevenção de ataques por botnets.

Apenas os eventos adversos à segurança que tenham sido confirmados podem ser enquadrados como incidentes de segurança de rede.

A mudança de políticas de segurança não influencia a identificação da ocorrência de incidentes em redes de computadores.

O monitoramento de eventos em uma rede de computadores depende do estabelecimento prévio de um processo de triagem de incidentes.

As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.

O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.

As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.

A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.

Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.

Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.

Os riscos residuais são conhecidos antes da comunicação do risco.

Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.

A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.

Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.

No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.

A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.

Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.

Proteger informações como senhas, logins e números de cartões de crédito na internet.

Instalar vírus de computador nas estações que abrem páginas de internet não confiáveis.

Automatizar o preenchimento de senhas, logins e números de cartões de crédito na internet.

Realizar cópia de informações como senhas, logins e números de cartões de crédito na internet.

Eliminar vírus de computador de forma eficiente, mas com risco para informações como senhas, logins e números de cartões de crédito.

evita que alguém descubra a senha observando a sua digitação no teclado.

impede que a senha seja utilizada em dispositivos móveis, como celulares.

faz com que a senha seja mais difícil de ser digitada.

faz com que o usuário esqueça a senha mais rapidamente, obrigando-o a trocá-la com maior frequência.

faz com que a senha seja menos susceptível a ataques de dicionário e de força bruta.