Questões de concursos

A versão 2022 manteve os 114 controles organizados em 14 domínios, com alterações apenas na linguagem dos controles.

A norma ISO/IEC 27002:2022 não inclui controles relacionados à proteção de dados pessoais, pois esse tema é tratado exclusivamente por legislações nacionais.

Um dos atributos de classificação introduzidos na versão 2022 é a “localização geográfica do risco”, utilizado para segmentar controles por continente.

Os controles da ISO/IEC 27002:2022 são organizados em quatro temas: organizacional, pessoas, físico e tecnológico.

A ISO/IEC 27002:2022 propõe a eliminação da categorização dos controles, recomendando que todas as organizações criem suas próprias taxonomias.

O OAuth 2.0 é um protocolo de autenticação e criptografia ponta a ponta baseado em certificados X.509.

A principal função do OAuth 2.0 é validar a identidade do usuário em sistemas federados, substituindo protocolos como OpenID Connect.

No fluxo de credenciais do cliente, o usuário final fornece diretamente sua senha para o aplicativo cliente, que a envia ao servidor de autorização.

O OAuth 2.0 permite que aplicações de terceiros acessem recursos em nome do usuário, utilizando um token de acesso obtido com o consentimento deste.

O token de acesso emitido pelo servidor de autorização deve conter a senha do usuário codificada em Base64 para garantir a autenticação.

O ataque XSS é possível apenas quando há upload de arquivos executáveis no servidor e ocorre na fase de autenticação do usuário.

A principal característica do XSS é explorar falhas de configuração em firewalls, burlando regras de rede e NAT.

Uma das formas mais eficazes de prevenir XSS é aplicar criptografia simétrica aos dados trafegados entre cliente e servidor.

O XSS é mitigado automaticamente por navegadores modernos, portanto não é necessário tratamento no código da aplicação.

O XSS é um tipo de ataque no qual scripts maliciosos são injetados em páginas da web, podendo ser armazenado, refletido ou baseado em DOM.

O DNS Spoofing pode ser mitigado por meio do uso de DNSSEC, que adiciona assinaturas criptográficas para validar a autenticidade das respostas DNS.

O DNS Spoofing só pode ocorrer se o invasor tiver acesso físico ao roteador do usuário ou da empresa, o que limita bastante sua ocorrência.

O DNS Spoofing é um ataque de negação de serviço (DoS) que visa tornar os servidores DNS inoperantes temporariamente.

A autenticação por dois fatores (2FA) é suficiente para evitar completamente os impactos de ataques DNS Spoofing.

O DNS Spoofing ocorre quando o atacante explora uma vulnerabilidade em switches de camada 3 para manipular o roteamento do tráfego DNS.

Um plano de contingência é exclusivamente voltado para eventos relacionados à segurança da informação, não sendo aplicável a falhas operacionais ou desastres naturais.

A função dos planos de contingência é apenas identificar as ameaças, não envolvendo ações práticas de resposta ou recuperação.

O plano de contingência deve ser ativado apenas após a conclusão completa da investigação de um incidente, para evitar ações precipitadas.

O plano de contingência só se aplica a ambientes físicos e não contempla ambientes em nuvem ou soluções virtualizadas.

Planos de contingência devem ser baseados em análise de impacto nos negócios (BIA ), priorizando processos críticos e prevendo procedimentos alternativos e recursos de backup.