Em um ambiente corporativo no qual ativos digitais, como dados pessoais de clientes, códigos-fonte e transações financeiras, constituem o núcleo estratégico da organização, a ausência de políticas de segurança da informação devidamente formalizadas pode representar riscos severos. Considerando a tríade confidencialidade, integridade e disponibilidade, além dos aspectos adicionais como autenticação, não repúdio e auditoria, qual das alternativas representa a falha mais grave associada à inexistência de tais políticas?

A ausência de políticas de segurança deixa vulnerabilidades abertas, sobretudo no controle de acesso, comprometendo confidencialidade e disponibilidade, sendo a falha mais crítica para a continuidade do negócio.

A cifra de César é vulnerável a ataques de análise de frequência e brute force, demonstrando que a criptografia simples não atende às exigências atuais de confidencialidade.

Em auditorias de risco, a avaliação da probabilidade e impacto de incidentes de segurança resulta na definição de estratégias de resposta. Considerando o modelo de quadrantes de risco (alto impacto/alta probabilidade, etc.), qual seria a resposta mais adequada para um risco classificado como de alto impacto e alta probabilidade?

Riscos de alta probabilidade e impacto devem ser eliminados (evitar) ou transferidos (seguro, outsourcing), pois representam ameaças críticas à continuidade do negócio.

Imagine uma instituição financeira que armazena dados de milhões de clientes em data centers. Um ataque de ransomware bloqueia o acesso aos sistemas e exige pagamento em criptomoeda. Qual princípio da tríade da segurança da informação foi diretamente comprometido?

O ransomware impede o acesso legítimo a sistemas e dados, comprometendo a disponibilidade, sem necessariamente alterar ou vazar as informações.

A análise de riscos em segurança da informação envolve o diagnóstico de vulnerabilidades e a proposição de medidas preventivas. Quando se define probabilidade x impacto, qual equação sintetiza a métrica de risco segundo o documento?

O modelo de avaliação de risco utiliza a multiplicação de probabilidade pela gravidade do impacto, permitindo priorizar ações de mitigação

Um cracker utiliza engenharia social para convencer uma vítima a fornecer um código de autenticação de WhatsApp. Nesse caso, a ferramenta tecnológica explorada foi mínima, mas o ataque foi bem-sucedido. Isso demonstra que:

A engenharia social explora falhas humanas, não tecnológicas, evidenciando que a segurança depende de conscientização e treinamento.

A ausência de planos de continuidade de negócios em pequenas e médias empresas é considerada uma das dez maiores falhas de segurança. Qual a consequência mais provável dessa ausência diante de um desastre natural ou ataque cibernético severo?

Sem plano de continuidade, empresas ficam vulneráveis a longas interrupções, perdas financeiras e danos reputacionais.