Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3970791 Segurança da Informação

Acerca de ameaças e vulnerabilidades em aplicações, da segurança em aplicativos web, da metodologia OWASP e de prevenção e combate a ataques a redes de computadores, julgue o item a seguir.


Em uma aplicação web em produção, a exibição de mensagens detalhadas de erro do servidor e a exposição de arquivos de configuração em diretórios acessíveis constituem falha de configuração de segurança, ainda que o código da aplicação não apresente vulnerabilidades lógicas.

Alternativas
Q3959174 Segurança da Informação
Uma organização pública iniciou a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) com base na ISO/IEC 27001. Durante a fase inicial, foi realizada a identificação de ativos de informação, análise de riscos e definição de controles apropriados. Essa abordagem está relacionada ao princípio de
Alternativas
Q3935318 Segurança da Informação
O projeto OWASP Top 10 é amplamente reconhecido como um dos referenciais mais importantes na área de segurança cibernética.

Sobre o significado, o objetivo e a abrangência desse documento, é correto afirmar que ele representa:
Alternativas
Q3934558 Segurança da Informação
Na análise de vulnerabilidades de software, as técnicas de análise estática de segurança de aplicações (SAST)
Alternativas
Q3934556 Segurança da Informação
Com base na norma ABNT NBR ISO/IEC 27005, assinale a opção na qual é corretamente apresentada a atividade de gestão de segurança da informação em que, a partir de uma lista de riscos com níveis de valores designados, o nível dos riscos é comparado com os critérios de avaliação e de aceitação do risco.
Alternativas
Q3934543 Segurança da Informação
De acordo com a NBR ISO/IEC 27001:2013, com a literatura especializada de Sêmola e Stallings e com as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD), é compatível com a estruturação adequada de um SGSI e com o regime legal aplicável à proteção de dados pessoais a ação de

I definir e divulgar uma política formal de segurança da informação, devidamente aprovada pela alta administração da organização, estabelecendo-se diretrizes para controle de acesso, classificação da informação, tratamento de incidentes e uso aceitável de recursos.
II realizar processo sistemático de avaliação e tratamento de riscos de segurança da informação, contemplando ameaças e vulnerabilidades associadas ao tratamento de dados pessoais, com seleção e documentação de controles técnicos e administrativos.
III instituir mecanismos formais de registro e gestão de incidentes de segurança da informação que envolvam dados pessoais, com procedimentos para detecção, resposta, comunicação às partes interessadas e registro de evidências.
IV assegurar que o uso de criptografia em trânsito e em repouso seja adotado de forma isolada, dispensando-se monitoramento contínuo e revisões periódicas de sua efetividade.

Estão certos apenas os itens
Alternativas
Q3934541 Segurança da Informação
   Uma organização pública, após decidir pela adoção da norma NBR ISO/IEC 27001:2013, iniciou a implementação de um SGSI. Durante esse processo, a organização buscou estruturar suas ações de modo a garantir que a segurança da informação fosse mantida e aprimorada ao longo do tempo.

Considerando a situação hipotética precedente e as disposições da NBR ISO/IEC 27001:2013, assinale a opção em que é apresentada prática necessária à efetividade do SGSI no caso.
Alternativas
Q3934540 Segurança da Informação
    Durante a implantação de um sistema de gestão da segurança da informação (SGSI) na secretaria de meio ambiente de certo estado da Federação, a equipe responsável identificou que já existiam controles técnicos de segurança em operação, porém sem diretrizes formais documentadas, sem definição clara de responsabilidades e sem um processo estruturado de análise de riscos. Diante desse cenário, a alta administração solicitou a adoção de práticas que permitissem integrar governança, gestão de riscos e controles de segurança da informação, de forma consistente e alinhada às boas práticas de gestão da segurança da informação.

Nessa situação, de acordo com as disposições da NBR ISO/IEC 27001:2013 relativas à gestão da segurança da informação, a medida prioritária que a secretaria deve adotar para atender à solicitação da alta administração é
Alternativas
Q3934539 Segurança da Informação
Uma organização pública avalia a adoção da ABNT NBR ISO/IEC 27001 como referência para estruturar a gestão da segurança da informação, com o intuito de proteger seus ativos informacionais, apoiar seus objetivos institucionais e tratar adequadamente os riscos associados ao uso da informação. No diagnóstico preliminar, verificou-se que existem iniciativas pontuais de segurança, porém sem integração formal entre políticas, processos e responsabilidades organizacionais.

Na situação hipotética precedente, a escolha pela adoção da NBR ISO/IEC 27001:2013 seria benéfica para a organização em questão, considerando-se que tal norma
Alternativas
Q3934537 Segurança da Informação
De acordo com a ABNT NBR ISO/IEC 27001:2022, ao planejar o sistema de gestão da segurança da informação (SGSI) a organização deve
Alternativas
Q3933933 Segurança da Informação
Se, ao estruturar seu programa de segurança da informação, uma empresa decidir integrar gestão de riscos, controles técnicos, políticas internas e requisitos da LGPD, essa decisão reforçará a
Alternativas
Q3933931 Segurança da Informação
Considere que, em determinado órgão público, tenha-se identificado que os servidores utilizavam senhas fracas, sem que houvesse registro de acesso indevido ou dano às informações. Essa situação, segundo os conceitos de segurança da informação, caracteriza
Alternativas
Q3926922 Segurança da Informação
Um auditor interno de uma Secretaria da Fazenda está conduzindo uma avaliação de riscos de segurança da informação nos sistemas críticos de arrecadação. Para priorizar os esforços de tratamento e alocar recursos de forma eficiente, ele decide utilizar uma Matriz de Risco, que combina os níveis de probabilidade (Baixa, Média, Alta) e impacto (Baixo, Médio, Alto, Critico) para determinar a magnitude do risco. Em sua analise, ele identificou dois riscos específicos:

- Risco A: Possibilidade de um funcionário, por descuido, enviar um arquivo contendo dados fiscais sigilosos por e-mail pessoal. O auditor estima que a probabilidade de isso ocorrer é alta, mas, considerando os controles atuais de monitoramento de rede e DLP, o impacto financeiro e reputacional seria Baixo se detectado rapidamente.
- Risco B: Possibilidade de um ataque de ransomware direcionado a explorar uma vulnerabilidade não corrigida no servidor principal do sistema de impostos. A probabilidade é estimada como média, mas o impacto seria critico.

Com base na metodologia de matriz de risco, a ação de tratamento prioritaria que o auditor deve recomendar com base na analise dos Riscos A e B é:  
Alternativas
Q3926914 Segurança da Informação
Uma Secretaria da Fazenda está implementando um Sistema de Gestão da Segurança da Informação (SGSI) conforme os requisitos da ABNT NBR ISO/IEC 27001 com a emenda 1:2024. O objetivo é proteger informações criticas sobre contribuintes, arrecadação tributaria e processos fiscais. Durante o planejamento do SGSI, a Secretaria da Fazenda realizou uma análise de contexto e identificou que um novo sistema de cobrança de dividas ativas esta sendo desenvolvido por uma empresa terceirizada. Nesse cenário e considerando os controles estabelecidos na ABNT NBR ISO/IEC 27001, a Secretaria da Fazenda deve 
Alternativas
Q3923584 Segurança da Informação
Um analista deseja identificar serviços em execução em um servidor de um cliente. Assinale o item que apresenta um comando capaz de realizar uma varredura no servidor, mantendo uma assinatura discreta para firewalls ou outras ferramentas de IDS/IPS. 
Alternativas
Q3923583 Segurança da Informação
 Assinale o item que apresenta um framework de segurança que apresenta um padrão de conscientização para desenvolvedores e profissionais de segurança, baseado em um amplo consenso sobre os riscos de segurança mais críticos para aplicações web. 
Alternativas
Q3923581 Segurança da Informação
Redes sem fio e os dispositivos as utilizam introduzem uma série de problemas de segurança que vão além daqueles encontrados em cabeadas. Assinale o item que apresenta um fator de maior risco relacionado à redes sem fio, quando comparado a redes cabeadas. 
Alternativas
Q3923578 Segurança da Informação
“O teste de penetração, ou pentesting, envolve a simulação de ataques reais para avaliar o risco associado a possíveis violações de segurança.” 
(Fonte: WEIDMAN, G. Penetration testing: a hands-on introduction to hacking. San Francisco: No Starch Press, 2014. E-book. 495 p. Tradução própria.)

Assinale o item correto sobre os testes de penetração. 
Alternativas
Q3923569 Segurança da Informação
A Estrutura de Segurança Cibernética 2.0 do Instituto Nacional de Padrões e Tecnologia (NIST CSF 2.0) fornece orientações para o gerenciamento dos riscos de segurança cibernética. As ações por ela sugeridas podem ser usadas por qualquer organização - independentemente de seu tamanho, setor ou maturidade - para uma melhor compreensão, avaliação, priorização e comunicação de seus esforços relacionados à segurança cibernética. Considerando as funções essenciais do núcleo da NIST CSF 2.0 é correto o que se afirma em: 
Alternativas
Q3923567 Segurança da Informação
Para uma organização, suas informações são consideradas um ativo que possui valor e portanto, requer níveis de proteção adequados. Além disso, essas informações e demais ativos associados estão sujeitos a diversas fontes de ameaças, sejam estas naturais, acidentais ou deliberadas. Convém que a seleção de contramedidas para tais ameaças esteja apoiada em uma avaliação de riscos adequada ao cenário organizacional. Assinale o item que define risco no contexto de Segurança da Informação. 
Alternativas
Respostas
21: C
22: A
23: B
24: E
25: C
26: D
27: E
28: C
29: A
30: C
31: B
32: E
33: C
34: B
35: C
36: A
37: C
38: C
39: B
40: A