Questões de Segurança da Informação - Vírus e malwares

implementar um programa de auditoria enxuto, incluindo apenas os métodos e as responsabilidades.

definir os mesmos critérios e escopo para todas as auditorias.

considerar os resultados de auditorias anteriores.

selecionar auditores que possam ser influenciados no processo de auditoria.

descartar as informações resultantes da auditoria após elas terem sido analisadas e medidas terem sido tomadas.

a priorizar o atendimento das demandas dos altos níveis de gestão em caso de incidente.

à classificação dos riscos de segurança da informação.

à revisão do plano de continuidade de negócios.

ao manuseio de evidências forenses.

a aumentar o rigor no controle de acesso físico a informações sensíveis.

não podem ser diferenciados de acordo com o tempo de existência previsto do risco, pois os riscos não estão associados a
atividades temporárias ou de curto prazo.

devem incluir apenas um limite, representando um nível desejável de risco, porém precauções devem ser tomadas por
gestores de TI para que não sejam aceitos riscos acima desse nível.

devem ser expressos como a razão entre o efeito estimado e a probabilidade da ocorrência do risco.

diferentes podem ser aplicados a classes de risco diferentes, por exemplo, riscos que podem resultar em não
conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto podem ser aceitos se
isto for especificado como um requisito contratual.

não podem incluir requisitos para um tratamento adicional futuro, já que tentativas de ações futuras para reduzir o risco a
um nível aceitável podem falhar.

nos planos de contingência e de recuperação de desastres.

somente nos serviços de rede providos internamente.

somente em serviços de rede providos por terceirizados.

em todos os acordos de serviços de rede.

em todas as políticas da organização.

a função hash.

o certificado digital.

a criptografia de chave simétrica.

o token criptográfico.

a criptografia de chave pública.