Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q2133667 Segurança da Informação

No que se refere a noções de segurança da informação, julgue o item a seguir.


A identificação de ameaças no contexto da gestão de riscos compreende todos os eventos de origem exclusivamente humana, acidentais ou intencionais, que podem comprometer informações e processos. 

Alternativas
Q2099287 Segurança da Informação
Com relação ao tratamento de vulnerabilidades e exposição constante das coisas e pessoas protegidas a riscos e ameaças, considere as seguintes circunstâncias e ações a elas relacionadas:
Circunstâncias:
I. Alta probabilidade de ocorrência e possibilidade de impacto negativo severo. II. Menor probabilidade de ocorrência, porém com efeito muito danoso, caso ocorra. III. Alta probabilidade de ocorrência, mas que causa pouco dano. IV. Baixa probabilidade de ocorrência e pequeno impacto, caso ocorra.
Ações:
a. Providências adotadas apenas em caso de ocorrência. b. Monitoramento sistemático e rotineiro. c. Adoção imediata de procedimentos. d. Planejadas e incorporadas a um plano de contingências.
Representa a correta correlação entre as circunstâncias e as ações:
Alternativas
Q2085487 Segurança da Informação
São todos princípios do componente de performance do framework de gerenciamento de riscos COSO 2017: 1. Revisar Risco e Performance 2. Formular Objetivos de negócio 3. Priorizar Riscos 4. Avaliar a Severidade do Risco Assinale a alternativa que indica todas as afirmativas corretas.
Alternativas
Q2085476 Segurança da Informação
O princípio Atrair, Desenvolver e Reter Indivíduos Capacitados/Capazes pertence a qual componente do framework de gestão de riscos COSO 2017?
Alternativas
Q2081609 Segurança da Informação
O processo de avaliação de riscos na ISO 31000 é composto por três etapas denominadas identificação; análise; e, avaliação de riscos. Sobre as etapas do processo de gestão de riscos da ISO 31000, marque V para as afirmativas verdadeiras e F para as falsas.
( ) A análise de riscos está preocupada em desenvolver uma compreensão de cada risco, suas consequências e probabilidade dessas consequências.
( ) A identificação de riscos requer a aplicação sistemática de técnicas e ferramentas para entender o que pode acontecer, como, quando e por quê.
( ) A avaliação de riscos envolve a comparação dos resultados da análise de riscos com os critérios de risco estabelecidos para determinar onde é necessário ação adicional.
A sequência está correta em
Alternativas
Q2053812 Segurança da Informação

Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item.


A análise de impacto do negócio (business impact analysis – BIA) objetiva identificar vulnerabilidades e fornecer material para o estabelecimento de estratégias de enfrentamento de riscos potenciais. 

Alternativas
Q2053811 Segurança da Informação

Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item.


No contexto da prevenção de incidentes relacionados a vulnerabilidades e ataques a sistemas computacionais, é na etapa de avaliação de riscos que são tomadas as decisões para gerenciamento do risco, mediante controles de prevenção e detecção. 

Alternativas
Q2053810 Segurança da Informação

Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item.


As decisões acerca da retenção do risco são tomadas com base na inclusão, na exclusão ou na alteração de controles, para se reduzir o risco, conforme a norma aplicável. 

Alternativas
Q2053809 Segurança da Informação

Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item.


A análise qualitativa de riscos utiliza a valoração financeira dos ativos, para gerar a escala de probabilidade de ocorrência de determinado risco. 

Alternativas
Q2031095 Segurança da Informação
Visando a melhorar a segurança de suas aplicações, os responsáveis pela empresa XPTO decidiram contratar uma empresa para fazer a análise do código fonte.
A consultoria utilizou uma ferramenta que fez a análise automática do código fonte e indicou o seguinte código como vulnerável:
<?php $db = new SQLite3('test.db'); $count = $db->querySingle('select count(*) from secrets where id = ' . $_GET['id']); echo "O resultado é: ".$count;
Baseado no resultado, assinale a opção que mostra corretamente: o nome da categoria a que pertence a ferramenta e a categoria da vulnerabilidade. 
Alternativas
Q2031091 Segurança da Informação

Considere o seguinte diagrama para responder às questões a seguir:


Vamos assumir que:

  •  O cenário representa a rede da empresa hipotética XPTO.
  •  Nem todos os dispositivos foram representados

Os dispositivos possuem as seguintes configurações:

  •  Servidor A: IP: 10.77.8.10/20 – Função: Servidor de

banco de dados SQL.

  •  Servidor B: IP: 10.77.8.11/20 – Função: Servidor de aplicações http / https. – As aplicações utilizam os bancos de dados no Servidor A.
  •  Firewall A: WAN IP: 73.12.78.44/24 IP: 10.77.0.1/20 –

Funções – NGFW, Servidor de VPN, DHCP, DNS.


Computador 1:

WAN IP: 200.255.10.22/24 VPN IP: 10.17.16.22/23.

Computador 2:

IP: 10.77.1.16/20

Dispositivo móvel 1: WAN IP: 65.12.8.33/24 VPN IP:

10.17.17.26/23.


As pessoas A, B e C são funcionários da empresa XPTO.


O Servidor B possui aplicações corporativas que atendem a funcionários e clientes e estão publicadas na internet.

Uma análise de riscos na empresa XPTO detectou que era prática comum credenciais continuarem ativas por um longo período após a saída dos funcionários. Uma opção que iria reduzir o risco deste evento ocorrer seria
Alternativas
Q4078632 Segurança da Informação
A Norma NBR ISO/IEC 27005:2019 trata da Gestão de Riscos de Segurança da Informação. Para elaborar um plano para a Gestão de Riscos de uma determinada organização, considerando tal normativa, os seguintes critérios para a avaliação de riscos devem ser definidos, EXCETO:
Alternativas
Q4078631 Segurança da Informação
Para o tratamento do risco, considerando a Norma ISO/IEC 27005:2019, a ação a ser implementada menciona que “convém que controles para modificar, reter, evitar ou compartilhar os riscos sejam selecionados e o plano de tratamento do risco seja definido”. Há quatro opções disponíveis para o tratamento do risco; assinale-as.
Alternativas
Q4078626 Segurança da Informação
A ISO 27001 é uma norma internacional de gestão de segurança da informação, que tem como princípio geral a adoção de um conjunto de requisitos, processos e controles, que visam gerir adequadamente os riscos de segurança da informação presentes nas organizações. Sobre as características da norma ISO 27001, assinale a afirmativa INCORRETA. 
Alternativas
Q4048021 Segurança da Informação
    Quando se trata de segurança da informação, a proteção se aplica tanto ao hardware (que são os equipamentos), quanto ao software (como aplicativos e dados). Nesse último caso, a segurança da informação está na preservação das informações do sistema contra qualquer ataque que possa causar perda, alteração ou compartilhamento de dados sem a devida autorização do responsável.
    A segurança da informação tem o objetivo principal de garantir não apenas a segurança lógica, mas também a segurança física, que é tão importante quanto. A segurança física é a base para a proteção de qualquer investimento feito por uma organização.
    O bem mais importante de uma organização não é o produto ou o serviço em si. São os conhecimentos de como se produz, quais são as competências e as habilidades exigidas para isso. Sem informação, a empresa, independentemente de seu ramo de atuação, não realiza seu negócio e não se mantém no mercado.
    A segurança da informação tem um valor inestimável para as empresas. O grau de risco à segurança da informação é resultado do conhecimento da instituição sobre as ameaças e quanto isto representa de vulnerabilidade. Ou seja, quanto menos se conhece sobre as ameaças, maior a sua vulnerabilidade.
    A segurança depende de vários fatores: o meio de transmissão, a forma de armazenamento e processamento, as medidas de segurança (tecnologias, políticas e procedimentos) e, principalmente, da conscientização de todos os envolvidos.
    É importante estar ciente de que não existe risco zero: os riscos sempre vão existir em qualquer meio. A segurança da informação não aumentará apenas com uso de tecnologias ou com a criação de leis. É fundamental compreender o problema e mudar a forma tanto de usar quanto de desenvolver a tecnologia.
(Disponível em: https://lms.ev.org.br. Adaptado.)

Considerando as disposições textuais e a aplicação da segurança da informação na Fundação Parque Tecnológico Itaipu-Brasil, assinale a afirmativa correta.
Alternativas
Q2408328 Segurança da Informação

Entre os serviços para testar e monitorar a segurança de todos os seus sistemas, três são descritos a seguir.


I. Testa as interfaces expostas em busca de vulnerabilidades, sendo o teste feito de fora para dentro, da mesma forma que um invasor faria. Neste caso, a interface já é o suficiente para que o especialista realize o teste. À medida em que o aplicativo vai mudando e se atualizando, é preciso atualizar as regras dessa ferramenta, o que obriga a necessidade em investimento e acompanhamento durante todo o ciclo de vida do desenvolvimento.

II. Tem como objetivo identificar as vulnerabilidades no código-fonte antes de ele ser colocado em produção. Para tanto, são usadas técnicas de análise de código estático para procurar problemas sem precisar executar o código. Com isso, é uma ferramenta que consegue encontrar problemas com antecedência, antes da implantação e, por estar agindo no código, pode dar informações detalhadas à equipe para que os ajustes sejam feitos.

As ferramentas descritas em I e II são conhecidas, respectivamente, pelas siglas:

Alternativas
Q2108880 Segurança da Informação
Segundo a Portaria do CNJ nº 131, de 5 de maio de 2021, um dos objetivos do Grupo Revisor de Código-Fonte é
Alternativas
Q2108879 Segurança da Informação
Segundo a Resolução CNJ número 396, de 7 de junho de 2021, cada Tribunal, com exceção do STF, deverá estabelecer em sua Política de Segurança da Informação ações para:
– realizar a Gestão dos Ativos de Informação e da Política de Controle de Acesso; – criar controles para o tratamento de informações com restrição de acesso; – promover treinamento contínuo e certificação internacional dos profissionais diretamente envolvidos na área de segurança cibernética; – estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos; – utilizar os recursos de soluções de criptografia, ampliando o uso de assinatura eletrônica, conforme legislações específicas; e
Alternativas
Q2082678 Segurança da Informação
O escaneamento de portas (port scanning) é uma técnica para detectar vulnerabilidades em computadores e servidores. Nela, o proprietário de um sistema pode utilizar uma ferramenta do tipo port scanner para fazer uma varredura de portas abertas em seus próprios servidores, potencialmente identificando portas abertas indevidamente, e assim prevenir uma situação de ataque antes que ela ocorra.
A respeito dessa técnica, assinale a alternativa correta. 
Alternativas
Q2026172 Segurança da Informação
Analise as afirmativas abaixo com relação ao Sistema de Gestão da Segurança da Informação (SGSI).
1. O objetivo do contínuo aperfeiçoamento de um SGSI é aumentar a probabilidade de alcançar os objetivos da organização com relação à preservação da confidencialidade, disponibilidade e integridade da informação.
2. O tratamento de um risco não deve criar novos riscos.
3. Um SGSI se aplica somente para empresas de grande porte devido à grande quantidade de controles demandados.

Assinale a alternativa que indica todas as afirmativas corretas.
Alternativas
Respostas
381: E
382: E
383: A
384: E
385: C
386: C
387: E
388: E
389: E
390: B
391: B
392: C
393: B
394: D
395: C
396: B
397: A
398: E
399: B
400: A