Questões de Concurso Comentadas sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 752 questões

Q3865553 Segurança da Informação
A Câmara Municipal de Porto Velho mantém documentos de natureza distinta: informações públicas (como pautas e atas já publicadas), documentos internos (minutas em elaboração) e dados pessoais sensíveis (folha, dados cadastrais, informações funcionais). Em uma auditoria interna, verificou-se que alguns documentos com dados pessoais estavam sendo compartilhados por e-mail e aplicativos de mensagens sem qualquer controle, e que usuários utilizavam contas genéricas com senha conhecida por várias pessoas para “facilitar o trabalho”. A área de TI propôs mudanças alinhadas a uma política de segurança da informação, com foco na redução de riscos e melhoria do controle de acesso.
Nesse contexto, assinale a alternativa que apresenta a medida MAIS adequada e tecnicamente consistente com políticas de segurança e gestão de riscos: 
Alternativas
Ano: 2026 Banca: FGV Órgão: AMAZUL Prova: FGV - 2026 - AMAZUL - Técnico de Informática |
Q3851631 Segurança da Informação

Para reduzir vulnerabilidades exploráveis remotamente em dispositivos móveis corporativos, o administrador deve adotar práticas de segurança adequadas.


Assinale a opção que contribui diretamente para mitigar esses riscos. 

Alternativas
Q3847141 Segurança da Informação
No contexto da Segurança da Informação, as vulnerabilidades são classificadas em diferentes categorias. Diante disso, assinale a alternativa CORRETA que apresenta um exemplo clássico de vulnerabilidade tecnológica.
Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903043 Segurança da Informação

Preencha as lacunas abaixo conceituando os itens de l a V e ao final marque a alternativa CORRETA.


I. Controle

II. Consequência

III. Incidente de segurança da informação

IV. Vulnerabilidade

V. Fonte de risco


() Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco.


() Resultado de um evento que afeta os objetivos.


() Um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da informação.


() Fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa.


() medida que mantém e/ou modifica o risco.

Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903041 Segurança da Informação
Convém que informações documentadas sobre o processo de avaliação de riscos de segurança da informação contenham:

I. uma definição dos critérios de risco (incluindo os critérios de aceitação de riscos e os critérios para a realização de avaliações de risco de segurança da informação).
II. fundamentação da consistência, validade e comparabilidade dos resultados. 
III. uma descrição do método de identificação de riscos (incluindo a identificação de proprietários de risco).
IV. uma descrição do método de análise dos riscos à segurança da informação (incluindo a avaliação de potenciais consequências, probabilidade realista e nível de risco resultante).
V. uma descrição do método para comparar os resultados com os critérios de risco e a priorização de riscos para o tratamento de riscos.

Sobre as afirmativas acima, marque a alternativa CORRETA
Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903039 Segurança da Informação
Os critérios de avaliação de riscos de segurança da informação normalmente incluem: consequências, probabilidade e nível de risco. Dentre os critérios abaixo marque o que não é de consequência.
Alternativas
Q3821226 Segurança da Informação
No contexto da Gestão de Riscos em Segurança da Informação, o processo de Tratamento de Risco envolve a seleção e implementação de medidas para modificar o risco. Assinale a alternativa que apresenta uma estratégia de Aceitação do Risco. 
Alternativas
Q3802507 Segurança da Informação
Uma organização pública está revisando sua Política de Segurança da Informação (PSI) e precisa alinhar boas práticas de governança a controles técnicos e administrativos. Após auditoria, foram levantados os seguintes pontos:
I - Implementação de criptografia assimétrica para autenticação e de criptografia simétrica para sigilo das comunicações, visando ao desempenho e à segurança equilibrados.
II - Identificação, análise e priorização de riscos com base em impacto e probabilidade, adotando controles preventivos, detectivos e corretivos como medidas de tratamento.
III - Estabelecimento de uma PSI clara, contemplando responsabilidades, classificação da informação e mecanismos de monitoramento de conformidade.
IV - Controle de acesso físico a datacenters com barreiras, monitoramento por câmeras e sistemas de contingência contra incêndio e falhas elétricas.
V - Definição de procedimentos de gerenciamento de operações, como cópias de segurança, redundância de sistemas críticos e planos de continuidade.
VI - Utilização de canais formais e seguros de comunicação para incidentes, prevenindo falhas de reporte e garantindo fluxo de informação adequado.
Com base em boas práticas de segurança, assinale a alternativa que apresenta os pontos observados na auditoria que devem ser adotados:
Alternativas
Q3802503 Segurança da Informação
Uma empresa de médio porte sofreu um ataque de ransomware que criptografou parte de seus servidores de arquivos e expôs falhas na gestão de segurança. A auditoria apontou:
● Ausência de backups testados e atualizados.
● Falta de segmentação da rede e uso de senhas fracas.
● Política de Segurança da Informação não revisada nos últimos 5 anos.
● Comunicação confusa entre setores durante a resposta ao incidente, sem canal oficial para reporte.
● Acesso físico irrestrito à sala dos servidores.
Considerando as boas práticas de segurança da informação, qual seria a medida mais abrangente e prioritária a ser adotada após o incidente, visando a reduzir riscos futuros e alinhar a empresa às normas internacionais?
Alternativas
Q3785039 Segurança da Informação
Em um programa de gestão de riscos, o risco de indisponibilidade do datacenter por falha de energia foi tratado com a implementação de um gerador redundante.
Com base nessa situação hipotética, assinale a opção que apresenta, segundo a ISO/IEC 27001, a ação de tratamento de risco adotada.
Alternativas
Q3781138 Segurança da Informação
Em um ambiente que adota a cultura DevSecOps, a segurança é integrada em todas as fases do Secure SDLC.
Um engenheiro de segurança está automatizando ferramentas para identificar vulnerabilidades. Ele usa uma ferramenta que analisa o código-fonte ou binário sem executá-lo, focando em erros de programação segura e falhas de design, e outra que interage com a aplicação em execução (ambiente de staging ou teste) para encontrar vulnerabilidades como XSS ou SQL Injection.
Assinale a opção que apresenta o termo que define, respectivamente, a análise de segurança que opera sem executar o código-fonte ou binário (focando em padrões inseguros) e a análise de segurança que opera interagindo com a aplicação em tempo de execução.
Alternativas
Q3781102 Segurança da Informação
Considerando técnicas de testes de segurança em aplicações, analise as afirmativas a seguir.

I. SAST (Static Application Security Testing) pode identificar vulnerabilidades de lógica de negócio e falhas de autorização baseadas em contexto de execução, sendo mais efetivo que DAST para detectar quebras de controle de acesso horizontal (IDOR - Insecure Direct Object Reference).

II. IAST (Interactive Application Security Testing) utiliza instrumentação de código para correlacionar entrada de dados com fluxo de execução em runtime, reduzindo falsos positivos em comparação com SAST puro, mas introduzindo overhead de performance que pode inviabilizar uso em ambientes de produção.

III. Fuzzing (Fuzz Testing) é técnica eficaz para identificar vulnerabilidades de corrupção de memória (buffer overflow, use-after-free) em aplicações compiladas, mas tem limitação em detectar falhas de lógica de negócio que requerem sequências específicas de operações válidas.

IV. DAST (Dynamic Application Security Testing) consegue identificar todas as rotas e endpoints de uma API REST automaticamente por meio de spidering, sem necessidade de documentação OpenAPI/Swagger, sendo mais abrangente em cobertura de código que SAST.


Está correto o que se afirma em
Alternativas
Q3781098 Segurança da Informação
Uma equipe de segurança realizou uma varredura em infraestrutura crítica de comércio eletrônico e identificou as seguintes vulnerabilidades:

X: PHP 8.1.0 - CVE-2024-4577 (Argument Injection leading to RCE) | CVSS 9.8 (Crítica) | Exploit público (PoC no GitHub) | Servidor web exposto à Internet processando pagamentos | Patch disponível (atualização para 8.3.8);

Y: nginx 1.18.0 - CVE-2023-44487 (HTTP/2 Rapid Reset - DDoS) | CVSS 7.5 (Alta) | Exploit público, ataques em massa documentados | Servidor usa HTTP/2 para CDN e APIs | Mitigação via rate limiting disponível, patch requer atualização para 1.25.3;

W: Curl 7.68.0 - CVE-2023-38545 (SOCKS5 heap buffer overflow) | CVSS 9.8 (Crítica) | RCE potencial | Scripts internos de integração usam curl para comunicação com parceiros via proxy SOCKS5 | Servidor não exposto diretamente à Internet | Atualização para 8.4.0 disponível;

Z: OpenSSH 8.2p1 - CVE-2024-6387 (regreSSHion - Signal Handler Race Condition) | CVSS 8.1 (Alta) | RCE com exploit complexo (requer 6-8 horas) | SSH exposto apenas para equipe DevOps (10 IPs whitelisted, MFA habilitado) | Patch disponível (9.8p1).


Considerando as boas práticas de gestão de vulnerabilidades e a análise de risco contextual, assinale a opção que apresenta a priorização correta para remediação.
Alternativas
Q3777887 Segurança da Informação
Em servidores críticos, as atualizações de segurança não podem ser aplicadas automaticamente.
Assinale qual dos procedimentos abaixo segue as melhores práticas de gestão de patches.
Alternativas
Q3777879 Segurança da Informação
Um notebook corporativo contendo dados pessoais criptografados foi furtado. O gestor de segurança avalia que o risco de vazamento é mínimo.
Essa avaliação é justificada porque
Alternativas
Q3757616 Segurança da Informação
Um arquiteto de sistemas deseja garantir que os containers Docker da aplicação tenham a menor superfície de ataque possível, reduzindo riscos de exploração por vulnerabilidades conhecidas.
A alternativa que representa uma prática avançada e recomendada para esse objetivo é 
Alternativas
Q3753100 Segurança da Informação
Considere a seguinte situação hipotética:
Durante uma análise de segurança, um técnico encontra uma vulnerabilidade em um sistema Web. De acordo com a base de dados para classificação Common Vulnerability Scoring System (CVSS), tal vulnerabilidade apresenta pontuação 9.8.
Com base nas boas práticas em Segurança da Informação, a prioridade CORRETA para tratar essa vulnerabilidade é: 
Alternativas
Q3749889 Segurança da Informação
Um Técnico em TI precisa avaliar os riscos de segurança em uma rede corporativa e identificar possíveis vulnerabilidades. Durante a análise, ele observa que vários computadores utilizam senhas fracas e repetidas, facilitando a ação de invasores que tentam adivinhar senhas por meio de ataques automatizados.
Assinale a alternativa que representa CORRETAMENTE o tipo de ataque que explora esse tipo de vulnerabilidade:
Alternativas
Q3724370 Segurança da Informação
Analise as sentenças sobre segurança da informação.
I. A aplicação de patches corrige vulnerabilidades conhecidas no sistema.
II. Os patches sempre adicionam novas funcionalidades ao sistema.
III. A falta de atualização pode deixar sistemas expostos a ataques.
IV. Apenas sistemas Linux necessitam de patches de segurança.
É correto o que afirma apenas em: 
Alternativas
Q3704428 Segurança da Informação
O Guia do Framework de Privacidade e Segurança da Informação da Secretaria de Governo Digital (2024) define o desenvolvimento de um plano para avaliar e rastrear continuamente as vulnerabilidades em todos os ativos dentro da infraestrutura da organização, com o intuito de remediar e minimizar a janela de oportunidades para atacantes. Com base nesse Guia, os profissionais de segurança devem ter informações sobre as seguintes ameaças, EXCETO:
Alternativas
Respostas
41: A
42: C
43: A
44: B
45: D
46: E
47: D
48: C
49: B
50: A
51: C
52: C
53: B
54: C
55: B
56: A
57: D
58: C
59: C
60: E