Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU.
Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são:

De acordo com a ABNT NBR ISO/IEC 27002:2022, a respeito do uso aceitável de informações e outros ativos associados, NÃO convém que uma política específica por tema declare:

Uma empresa de TI, aplicando a norma ISO 27002, focada em controles de segurança da informação, está, no momento, utilizando a diretriz de segurança das operações e das comunicações. Isso significa que ela está trabalhando com:

Segundo a Norma ISO/IEC 27002:2013, são controles relacionados à gestão de ativos, EXCETO: 

Uma empresa de desenvolvimento de software está aplicando a norma ISO/EIC 27002 para controle de segurança da informação. Na empresa, percebeu-se a necessidade de classificar as informações de acordo com suas necessidades de segurança, de modo a estabelecer critérios claros de confidencialidade. A classificação de informações, segundo a norma, possui um controle do tipo: 

Sobre a ISO 27001:2013, que aborda a mitigação dos riscos à segurança, analise as  seguintes asserções e a relação proposta entre elas:

I. Antes de considerar o tratamento de um risco, a organização deve definir um critério para avaliar se os riscos podem ou não ser aceitos. Uma decisão de tratamento do risco deve ser tomada para cada um que for identificado após a sua avaliação.

PORQUE

II. Os controles de risco podem ser selecionados a partir da norma ISO 27002, ou de outros conjuntos de controle que a empresa use, ou novos controles podem ser projetados para atender às necessidades específicas da organização.

A respeito dessas asserções, assinale a alternativa correta.

Considerando os controles organizacionais na NBR ISO/IEC 27002:2022, considere como verdadeira (V) ou falsa (F) cada uma das afirmativas a seguir:

I. O controle de restrição de acesso à informação tem o propósito de prevenir acesso não autorizado a informações e outros ativos associados;
II. O controle de segregação de funções tem o propósito de reduzir os riscos de fraude e erro;
III. O controle de autenticação segura tem o propósito de garantir que um usuário ou uma entidade se autentique com segurança. 

Analise as afirmativas abaixo em relação ao uso de emails institucionais de acordo com normas técnicas.

I. Adotar senhas robustas, atualizando-as em intervalos regulares e aplicando regras de complexidade.
II. Habilitar o reenvio automático de mensagens institucionais para contas externas, expondo conteúdo e endereço fora do domínio corporativo.
III. Configurar sistemas de segurança, incluindo filtros AntiSpam e bloqueio de anexos maliciosos, reduzindo riscos de invasões.
IV. Preferir as plataformas institucionais de e-mail para manipular e armazenar dados sensíveis, assegurando rastreabilidade e maior proteção.
V. Configurar grupos de permissão amplos nos serviços de armazenamento em nuvem, assegurando o compartilhamento de arquivos se... Ver mais

A proteção do conhecimento é resultado da somatória entre a compreensão sobre o modo de atuação e as técnicas que atores utilizam para ter acesso indevido a dados restritos e a melhores práticas internacionalmente reconhecidas de segurança e de gestão da informação.
A doutrina dominante indica que a proteção do conhecimento objetiva viabilizar e assegurar, a cada conhecimento, informação e dado sensível, as seguintes características: 

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022. 

A metodologia OWASP (open web application security project) propõe um modelo de escopo de segurança restrito às etapas finais do desenvolvimento de software, focando principalmente na detecção e na mitigação de vulnerabilidades em produtos já prontos.