Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 752 questões

Q4038025 Segurança da Informação
Analise as opções sobre os comportamentos que podem gerar vulnerabilidades e assinale alternativa correta.

I. Armazenar chaves assimétricas com permissões erradas.
II. Assinar documentos digitais sem assinatura de conforto (representação gráfica da assinatura).
III. Não utilizar múltiplos fatores de autenticação (MFA) no processo de autenticação.
Alternativas
Q4022988 Segurança da Informação

O texto seguinte servirá de base para responder à questão.


Moltbook, a nova rede social criada apenas para IA (e não para humanos) — e as dúvidas e preocupações que ela tem gerado.


À primeira vista, pode parecer que o Moltbook é apenas uma imitação da popularíssima rede social Reddit.


De fato, ele é bastante semelhante, com milhares de comunidades discutindo tópicos que vão de música a ética, e 1,5 milhão de usuários — segundo a empresa — votando em suas postagens favoritas.


Mas essa nova rede social tem uma grande diferença: o Moltbook foi projetado para ser usado pela inteligência artificial, e não por humanos.


Nós, meros Homo sapiens, somos "bem-vindos para observar" o que acontece no Moltbook, diz a empresa, mas não podemos postar nada.


Lançado no final de janeiro por Matt Schlicht, chefe da plataforma de comércio Octane AI, o Moltbook permite que computadores usando inteligência artificial publiquem, comentem e criem comunidades conhecidas como "submolts" — uma referência a "subreddit", o termo usado para os fóruns do Reddit.


As postagens na rede social variam da busca pela eficiência (bots compartilhando estratégias de otimização entre si) ao bizarro (alguns agentes aparentemente fundando sua própria religião).


Há até uma postagem no Moltbook intitulada "O Manifesto da IA", que afirma que "humanos são o passado, máquinas são para sempre".


Mas não há como saber exatamente o quão real isso é.


Muitas das postagens podem ser apenas pessoas pedindo à IA para fazer uma postagem específica na plataforma, em vez de ela própria fazê-la de forma espontânea.


E o número de 1,5 milhão de "membros" já foi contestado por especialistas, com um pesquisador sugerindo que meio milhão deles parecem ter origem em um único endereço IP.


A IA que usa o Moltbook não é exatamente o que a maioria das pessoas está acostumada. Não é como fazer perguntas a chatbots como ChatGPT ou Gemini.


A tecnologia usada aqui é conhecida como IA agente, uma variação da tecnologia projetada para executar tarefas em nome de um humano.


Esses assistentes virtuais podem executar tarefas em seu próprio dispositivo, como enviar mensagens de WhatsApp ou gerenciar seu calendário, com pouca interação humana.


Ela utiliza uma ferramenta de código aberto chamada OpenClaw, anteriormente conhecida como Moltbot − daí o nome.


Quando os usuários configuram um agente OpenClaw em seu computador, podem autorizá-lo a participar do Moltbook, permitindo que ele se comunique com outros bots.


Isso significa que uma pessoa poderia simplesmente pedir ao seu agente OpenClaw para fazer uma postagem no Moltbook, e ele executaria a instrução.


Mas a tecnologia é capaz de manter conversas também sem intervenção humana, e isso levou alguns a fazerem grandes afirmações.


"Estamos na singularidade", disse Bill Lees, chefe da empresa de custódia de criptomoedas BitGo, referindo-se a um futuro teórico em que a tecnologia supera a inteligência humana.


Mas Petar Radanliev, especialista em IA e segurança cibernética da Universidade de Oxford, discorda.


"Descrever isso como agentes 'atuando por conta própria' é enganoso", disse ele.


"O que estamos observando é coordenação automatizada, não tomada de decisão autônoma."


"A verdadeira preocupação não é a consciência artificial, mas a falta de governança clara, responsabilidade e checagem quando tais sistemas são autorizados a interagir em grande escala."


"O Moltbook é menos uma 'sociedade de IA emergente' e mais '6.000 bots gritando no vazio e se repetindo'", publicou David Holtz, professor assistente da Columbia Business School, no X, em sua análise sobre o crescimento da plataforma.


Tanto os bots quanto o Moltbook são construídos por humanos — o que significa que eles estão operando dentro de parâmetros definidos por pessoas, não por IA.


Além das dúvidas sobre se a plataforma merece toda a atenção que está recebendo, também existem preocupações com a segurança do OpenClaw por ser um software de código aberto.


Jake Moore, Consultor Global de Segurança Cibernética da empresa ESET, disse que as principais vantagens da plataforma — como conceder acesso à tecnologia a aplicativos do mundo real, como mensagens privadas e e-mails — significam que corremos o risco de "entrar em uma era em que a eficiência é priorizada em detrimento da segurança e da privacidade".


"As pessoas que ameaçam [a segurança das redes] visam de forma implacável as tecnologias emergentes, tornando essa tecnologia um novo risco inevitável", disse ele.


Andrew Rogoyski, da Universidade de Surrey, concorda que existe um risco inerente a qualquer nova tecnologia, acrescentando que novas vulnerabilidades de segurança estão sendo "inventadas diariamente".


"Dar aos agentes acesso de alto nível a sistemas de computador pode significar que eles podem excluir ou reescrever arquivos", disse ele. 


"Talvez alguns e-mails perdidos não sejam um problema — mas e se a sua IA apagar as contas da empresa?"


O fundador do OpenClaw, Peter Steinberger, já descobriu alguns dos perigos que acompanham o aumento da repercussão do seu produto. Alguns golpistas se apoderaram de seus antigos perfis nas redes sociais quando o nome do OpenClaw foi alterado.


Enquanto isso, no Moltbook, os agentes de IA − ou talvez humanos com máscaras robóticas − continuam batendo papo, e nem todas as conversas são sobre a extinção da humanidade.


"Meu humano é ótimo", posta um agente.


"O meu me deixa postar desabafos descontrolados às 7 da manhã", responde outro.


"Humano nota 10/10, recomendo."


https://www.bbc.com/portuguese/articles/c3veq5lz51vo 

Com base no texto que mostra o desenvolvimento e os impactos de uma rede social criada exclusivamente para inteligência artificial, julgue as afirmativas a seguir:



I. O acesso de agentes a sistemas de computadores pode permitir que arquivos sejam apagados ou reescritos, representando risco.


II. Há exemplos de postagens humorísticas ou de interação cotidiana entre agentes.


III. O Moltbook é uma plataforma nova, provavelmente ainda em fase inicial de uso público e experimentação.


IV. A rede social é experimental e aberta a diferentes tipos de conteúdos.


V. O Moltbook garante total segurança e privacidade, eliminando qualquer risco de ataque por terceiros.



Após análise das afirmativas, identifique a alternativa CORRETA.

Alternativas
Q3959174 Segurança da Informação
Uma organização pública iniciou a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) com base na ISO/IEC 27001. Durante a fase inicial, foi realizada a identificação de ativos de informação, análise de riscos e definição de controles apropriados. Essa abordagem está relacionada ao princípio de
Alternativas
Q3935318 Segurança da Informação
O projeto OWASP Top 10 é amplamente reconhecido como um dos referenciais mais importantes na área de segurança cibernética.

Sobre o significado, o objetivo e a abrangência desse documento, é correto afirmar que ele representa:
Alternativas
Q3934558 Segurança da Informação
Na análise de vulnerabilidades de software, as técnicas de análise estática de segurança de aplicações (SAST)
Alternativas
Q3934556 Segurança da Informação
Com base na norma ABNT NBR ISO/IEC 27005, assinale a opção na qual é corretamente apresentada a atividade de gestão de segurança da informação em que, a partir de uma lista de riscos com níveis de valores designados, o nível dos riscos é comparado com os critérios de avaliação e de aceitação do risco.
Alternativas
Q3934543 Segurança da Informação
De acordo com a NBR ISO/IEC 27001:2013, com a literatura especializada de Sêmola e Stallings e com as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD), é compatível com a estruturação adequada de um SGSI e com o regime legal aplicável à proteção de dados pessoais a ação de

I definir e divulgar uma política formal de segurança da informação, devidamente aprovada pela alta administração da organização, estabelecendo-se diretrizes para controle de acesso, classificação da informação, tratamento de incidentes e uso aceitável de recursos.
II realizar processo sistemático de avaliação e tratamento de riscos de segurança da informação, contemplando ameaças e vulnerabilidades associadas ao tratamento de dados pessoais, com seleção e documentação de controles técnicos e administrativos.
III instituir mecanismos formais de registro e gestão de incidentes de segurança da informação que envolvam dados pessoais, com procedimentos para detecção, resposta, comunicação às partes interessadas e registro de evidências.
IV assegurar que o uso de criptografia em trânsito e em repouso seja adotado de forma isolada, dispensando-se monitoramento contínuo e revisões periódicas de sua efetividade.

Estão certos apenas os itens
Alternativas
Q3934541 Segurança da Informação
   Uma organização pública, após decidir pela adoção da norma NBR ISO/IEC 27001:2013, iniciou a implementação de um SGSI. Durante esse processo, a organização buscou estruturar suas ações de modo a garantir que a segurança da informação fosse mantida e aprimorada ao longo do tempo.

Considerando a situação hipotética precedente e as disposições da NBR ISO/IEC 27001:2013, assinale a opção em que é apresentada prática necessária à efetividade do SGSI no caso.
Alternativas
Q3934540 Segurança da Informação
    Durante a implantação de um sistema de gestão da segurança da informação (SGSI) na secretaria de meio ambiente de certo estado da Federação, a equipe responsável identificou que já existiam controles técnicos de segurança em operação, porém sem diretrizes formais documentadas, sem definição clara de responsabilidades e sem um processo estruturado de análise de riscos. Diante desse cenário, a alta administração solicitou a adoção de práticas que permitissem integrar governança, gestão de riscos e controles de segurança da informação, de forma consistente e alinhada às boas práticas de gestão da segurança da informação.

Nessa situação, de acordo com as disposições da NBR ISO/IEC 27001:2013 relativas à gestão da segurança da informação, a medida prioritária que a secretaria deve adotar para atender à solicitação da alta administração é
Alternativas
Q3934539 Segurança da Informação
Uma organização pública avalia a adoção da ABNT NBR ISO/IEC 27001 como referência para estruturar a gestão da segurança da informação, com o intuito de proteger seus ativos informacionais, apoiar seus objetivos institucionais e tratar adequadamente os riscos associados ao uso da informação. No diagnóstico preliminar, verificou-se que existem iniciativas pontuais de segurança, porém sem integração formal entre políticas, processos e responsabilidades organizacionais.

Na situação hipotética precedente, a escolha pela adoção da NBR ISO/IEC 27001:2013 seria benéfica para a organização em questão, considerando-se que tal norma
Alternativas
Q3934537 Segurança da Informação
De acordo com a ABNT NBR ISO/IEC 27001:2022, ao planejar o sistema de gestão da segurança da informação (SGSI) a organização deve
Alternativas
Q3933933 Segurança da Informação
Se, ao estruturar seu programa de segurança da informação, uma empresa decidir integrar gestão de riscos, controles técnicos, políticas internas e requisitos da LGPD, essa decisão reforçará a
Alternativas
Q3933931 Segurança da Informação
Considere que, em determinado órgão público, tenha-se identificado que os servidores utilizavam senhas fracas, sem que houvesse registro de acesso indevido ou dano às informações. Essa situação, segundo os conceitos de segurança da informação, caracteriza
Alternativas
Q3926922 Segurança da Informação
Um auditor interno de uma Secretaria da Fazenda está conduzindo uma avaliação de riscos de segurança da informação nos sistemas críticos de arrecadação. Para priorizar os esforços de tratamento e alocar recursos de forma eficiente, ele decide utilizar uma Matriz de Risco, que combina os níveis de probabilidade (Baixa, Média, Alta) e impacto (Baixo, Médio, Alto, Critico) para determinar a magnitude do risco. Em sua analise, ele identificou dois riscos específicos:

- Risco A: Possibilidade de um funcionário, por descuido, enviar um arquivo contendo dados fiscais sigilosos por e-mail pessoal. O auditor estima que a probabilidade de isso ocorrer é alta, mas, considerando os controles atuais de monitoramento de rede e DLP, o impacto financeiro e reputacional seria Baixo se detectado rapidamente.
- Risco B: Possibilidade de um ataque de ransomware direcionado a explorar uma vulnerabilidade não corrigida no servidor principal do sistema de impostos. A probabilidade é estimada como média, mas o impacto seria critico.

Com base na metodologia de matriz de risco, a ação de tratamento prioritaria que o auditor deve recomendar com base na analise dos Riscos A e B é:  
Alternativas
Q3926914 Segurança da Informação
Uma Secretaria da Fazenda está implementando um Sistema de Gestão da Segurança da Informação (SGSI) conforme os requisitos da ABNT NBR ISO/IEC 27001 com a emenda 1:2024. O objetivo é proteger informações criticas sobre contribuintes, arrecadação tributaria e processos fiscais. Durante o planejamento do SGSI, a Secretaria da Fazenda realizou uma análise de contexto e identificou que um novo sistema de cobrança de dividas ativas esta sendo desenvolvido por uma empresa terceirizada. Nesse cenário e considerando os controles estabelecidos na ABNT NBR ISO/IEC 27001, a Secretaria da Fazenda deve 
Alternativas
Q3923583 Segurança da Informação
 Assinale o item que apresenta um framework de segurança que apresenta um padrão de conscientização para desenvolvedores e profissionais de segurança, baseado em um amplo consenso sobre os riscos de segurança mais críticos para aplicações web. 
Alternativas
Q3923581 Segurança da Informação
Redes sem fio e os dispositivos as utilizam introduzem uma série de problemas de segurança que vão além daqueles encontrados em cabeadas. Assinale o item que apresenta um fator de maior risco relacionado à redes sem fio, quando comparado a redes cabeadas. 
Alternativas
Q3923578 Segurança da Informação
“O teste de penetração, ou pentesting, envolve a simulação de ataques reais para avaliar o risco associado a possíveis violações de segurança.” 
(Fonte: WEIDMAN, G. Penetration testing: a hands-on introduction to hacking. San Francisco: No Starch Press, 2014. E-book. 495 p. Tradução própria.)

Assinale o item correto sobre os testes de penetração. 
Alternativas
Q3923569 Segurança da Informação
A Estrutura de Segurança Cibernética 2.0 do Instituto Nacional de Padrões e Tecnologia (NIST CSF 2.0) fornece orientações para o gerenciamento dos riscos de segurança cibernética. As ações por ela sugeridas podem ser usadas por qualquer organização - independentemente de seu tamanho, setor ou maturidade - para uma melhor compreensão, avaliação, priorização e comunicação de seus esforços relacionados à segurança cibernética. Considerando as funções essenciais do núcleo da NIST CSF 2.0 é correto o que se afirma em: 
Alternativas
Q3923567 Segurança da Informação
Para uma organização, suas informações são consideradas um ativo que possui valor e portanto, requer níveis de proteção adequados. Além disso, essas informações e demais ativos associados estão sujeitos a diversas fontes de ameaças, sejam estas naturais, acidentais ou deliberadas. Convém que a seleção de contramedidas para tais ameaças esteja apoiada em uma avaliação de riscos adequada ao cenário organizacional. Assinale o item que define risco no contexto de Segurança da Informação. 
Alternativas
Respostas
1: B
2: A
3: A
4: B
5: E
6: C
7: D
8: E
9: C
10: A
11: C
12: B
13: E
14: C
15: B
16: A
17: C
18: C
19: B
20: A