Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 752 questões

Q3922990 Segurança da Informação
A análise estática identifica falhas e vulnerabilidades no código-fonte sem a necessidade de execução do programa, agindo como uma camada preventiva de segurança. No que tange a essa técnica de inspeção, assinale a alternativa correta.
Alternativas
Q3922982 Segurança da Informação

O Top Ten da OWASP serve como guia para desenvolvedores e profissionais de segurança focarem nos riscos que causam maior impacto às aplicações web. Analise as afirmativas a seguir:



I. A vulnerabilidade de Injeção ocorre quando entradas de dados não validadas são processadas por interpretadores, permitindo a execução de consultas ou comandos maliciosos.


II. Falhas no controle de acesso permitem que usuários acessem recursos fora de suas permissões, devendo ser corrigidas pela aplicação rigorosa do princípio do menor privilégio.


III. Falhas de integridade de software referem-se à ausência de cifragem de dados em repouso e são mitigadas pela remoção de todos os logs de auditoria dos servidores de rede.



Está correto o que se afirma em: 

Alternativas
Q3922978 Segurança da Informação
A proteção de ativos digitais exige a implementação de controles técnicos e administrativos que garantam a integridade e a confidencialidade das informações. No que tange aos mecanismos de segurança e gestão de riscos, assinale a alternativa correta.
Alternativas
Q3916996 Segurança da Informação
Atualmente, a segurança dos ativos de uma empresa é uma das atividades que mais chamam a atenção e que preocupam os administradores de rede. Nesse contexto, um processo é utilizado com o objetivo de tornar o sistema preparado para enfrentar tentativas de ataque, incluindo as redes, softwareshardwares e firmwares, bem como infraestruturas de TI mais resistentes a ataques. É um termo que corresponde a uma técnica de blindagem de sistemas para mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas com foco na infraestrutura. Pode ser traduzido como endurecimento ou mesmo blindagem e se refere a ajustes fi nos efetuados no sistema, após uma instalação. Tem como finalidade a proteção do sistema contra ameaças desconhecidas. Esse processo corresponde a um termo conhecido como:
Alternativas
Q3906961 Segurança da Informação
        Certa empresa de tecnologia que presta serviços em nuvem identificou que a indisponibilidade de um de seus data centers por falha elétrica causaria paralisação de operações críticas por mais de 24 horas, o que comprometeria acordos de nível de serviço e resultaria em perdas financeiras significativas. Durante o processo de gestão de riscos de segurança da informação, conduzido conforme as principais normas internacionais, concluiu-se que o risco residual associado à indisponibilidade ainda é superior ao apetite de risco estabelecido pela organização.
Considerando as práticas recomendadas pelas principais normas internacionais, assinale a opção que apresenta ação adequada a ser adotada pela organização no cenário apresentado na situação hipotética precedente.
Alternativas
Q3898058 Segurança da Informação
 No contexto de Segurança da Informação, qual alternativa faz referência uma das estratégias adotadas na gestão de riscos?
Alternativas
Q3885129 Segurança da Informação
Ao realizar uma análise de riscos, um analista identificou que a vulnerabilidade de Cross-Site Scripting em um portal de serviços tem uma probabilidade de ocorrência classificada como média e um impacto potencial classificado como Alto. A organização utiliza uma matriz de riscos 5X5 (Muito Baixa, Baixa, Média, Alta, Muito Alta). Para tratar este risco, foi implementado um WAF, que reduz a probabilidade de exploração de Média para Baixa.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é 
Alternativas
Q3883236 Segurança da Informação
Deseja-se contratar um teste de penetração para avaliar a segurança de sistemas internos e externos. O contrato exige que o fornecedor siga boas práticas internacionais, como as descritas no PTES (Penetration Testing Execution Standard) e no OWASP Testing Guide, incluindo documentação completa do escopo, regras de engajamento e limites éticos.
Considerando as etapas típicas de um pentest profissional, assinale a afirmativa correta.
Alternativas
Ano: 2026 Banca: FGV Órgão: AL-GO Prova: FGV - 2026 - AL-GO - Policial Legislativo |
Q3881673 Segurança da Informação
Na segurança executiva e de autoridades, a proteção da pessoa não pode ser dissociada da proteção da informação. Dados relativos a rotinas, deslocamentos, agendas, hábitos e padrões comportamentais constituem ativos sensíveis que, quando expostos, ampliam significativamente a superfície de risco e favorecem a atuação de agentes hostis. A doutrina especializada reconhece que falhas informacionais e comportamentais precedem a maioria dos incidentes graves envolvendo autoridades protegidas.
À luz da doutrina da segurança executiva e de autoridades, assinale a alternativa que melhor expressa a concepção tecnicamente correta de segurança da informação aplicada à proteção de autoridades.
Alternativas
Ano: 2026 Banca: FGV Órgão: AL-GO Prova: FGV - 2026 - AL-GO - Policial Legislativo |
Q3881672 Segurança da Informação
No contexto da atividade de inteligência, a segurança da informação constitui um sistema integrado de medidas técnicas, procedimentais e comportamentais destinado à proteção de dados, informações e conhecimentos sensíveis. A doutrina nacional reconhece que o sigilo, embora instrumento legítimo e necessário, não é suficiente por si só para assegurar a integridade do processo decisório nem a preservação da segurança institucional, sendo indispensável a identificação contínua de ameaças, a mitigação de vulnerabilidades, especialmente as de natureza humana e a observância rigorosa da conduta ética e discreta do agente.

Assinale a alternativa que melhor expressa a concepção doutrinária mais completa e tecnicamente adequada. 
Alternativas
Q3881302 Segurança da Informação
Os principais riscos no desenvolvimento software são decorrentes de vulnerabilidades existentes na aplicação. Segundo OWASP Top Ten 2021 e OWASP Top Ten 2025, uma preocupante questão se refere ao risco de configuração Insegura, que decorre de 
Alternativas
Q3878373 Segurança da Informação
A empresa Delta está desenvolvendo uma aplicação de consultas remotas para atender a um hospital. Após uma reunião com a direção do hospital, surgiu a necessidade de avaliação dos riscos com relação à confidencialidade das informações dos prontuários dos pacientes para que não se tornem públicos.
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com: 
Alternativas
Q3878369 Segurança da Informação
Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC 27001:2013 em um hospital, foi identificado que o armazenamento de prontuários na nuvem foi terceirizado, mas não foi realizada uma avaliação formal de riscos nem foram estabelecidas cláusulas contratuais sobre segurança da informação com o provedor. Além disso, nesse processo, os dados estavam sendo transmitidos sem a criptografia adequada.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá: 
Alternativas
Q3878336 Segurança da Informação
No contexto da segurança da informação, é correto afirmar que a principal razão para o crescimento constante dos investimentos nessa área está relacionada
Alternativas
Q3876118 Segurança da Informação
Durante o processo de gestão de riscos, uma organização necessita identificar e avaliar eventos que possam comprometer a confidencialidade, integridade ou disponibilidade de seus ativos. Após essa avaliação, deve selecionar e implementar controles capazes de reduzir o risco a níveis aceitáveis, conforme o apetite ao risco definido pela alta direção. A etapa do processo de gestão de riscos corresponde à escolha e aplicação de medidas destinadas a reduzir o risco identificado é o (a) 
Alternativas
Q3876117 Segurança da Informação
Uma organização realiza a análise de riscos para seus ativos de informação. Durante o processo, identifica que um servidor crítico está desatualizado (possui falhas de software não corrigidas), que existe a possibilidade de ataque de ransomware e que, caso o ataque ocorra, a interrupção dos serviços pode gerar grandes perdas financeiras e reputacionais. Com relação a nesse cenário, assinale a alternativa que corresponde ao conceito de "vulnerabilidade". 
Alternativas
Q3874320 Segurança da Informação
A empresa Beta, que trabalha com soluções para o setor educacional, está migrando seus sistemas para a nuvem e adotando práticas DevSecOps para garantir segurança desde o desenvolvimento até a operação. Durante uma reunião de planejamento, o CTO (Chief Technology Officer) da empresa Beta propôs integrar ferramentas de segurança diretamente no pipeline de CI/CD.
Com base nas práticas DevSecOps, a ação alinhada com o modelo a ser implementada pela empresa Beta é: 
Alternativas
Q3874310 Segurança da Informação
Uma empresa de consultoria de segurança foi contratada pelo Tribunal de Justiça do Estado X (TJEX) para verificar como está o nível de segurança em sua rede local. Após algum tempo de trabalho, a consultoria identificou que o servidor de arquivos do Tribunal possuía os serviços de FTP e telnet ativos, mesmo sem uso.
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar:
Alternativas
Q3873337 Segurança da Informação
A Metodologia OWASP é amplamente utilizada para orientar organizações no desenvolvimento de aplicações seguras, oferecendo listas, frameworks, guias e práticas recomendadas para reduzir vulnerabilidades comuns. Com relação aos princípios e documentos oficiais mantidos pelo OWASP, assinale a alternativa correta sobre essa metodologia. 
Alternativas
Q3869596 Segurança da Informação
Uma empresa de consultoria de segurança foi contratada pelo Tribunal de Justiça do Estado X (TJEX) para verificar como está o nível de segurança em sua rede local. Após algum tempo de trabalho, a consultoria identificou que o servidor de arquivos do Tribunal possuía os serviços de FTP e telnet ativos, mesmo sem uso.
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar: 
Alternativas
Respostas
21: D
22: D
23: C
24: A
25: B
26: D
27: D
28: D
29: D
30: C
31: C
32: A
33: E
34: B
35: E
36: A
37: D
38: B
39: B
40: B