Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3922990 Segurança da Informação
A análise estática identifica falhas e vulnerabilidades no código-fonte sem a necessidade de execução do programa, agindo como uma camada preventiva de segurança. No que tange a essa técnica de inspeção, assinale a alternativa correta.
Alternativas
Q3922982 Segurança da Informação

O Top Ten da OWASP serve como guia para desenvolvedores e profissionais de segurança focarem nos riscos que causam maior impacto às aplicações web. Analise as afirmativas a seguir:



I. A vulnerabilidade de Injeção ocorre quando entradas de dados não validadas são processadas por interpretadores, permitindo a execução de consultas ou comandos maliciosos.


II. Falhas no controle de acesso permitem que usuários acessem recursos fora de suas permissões, devendo ser corrigidas pela aplicação rigorosa do princípio do menor privilégio.


III. Falhas de integridade de software referem-se à ausência de cifragem de dados em repouso e são mitigadas pela remoção de todos os logs de auditoria dos servidores de rede.



Está correto o que se afirma em: 

Alternativas
Q3922978 Segurança da Informação
A proteção de ativos digitais exige a implementação de controles técnicos e administrativos que garantam a integridade e a confidencialidade das informações. No que tange aos mecanismos de segurança e gestão de riscos, assinale a alternativa correta.
Alternativas
Q3916996 Segurança da Informação
Atualmente, a segurança dos ativos de uma empresa é uma das atividades que mais chamam a atenção e que preocupam os administradores de rede. Nesse contexto, um processo é utilizado com o objetivo de tornar o sistema preparado para enfrentar tentativas de ataque, incluindo as redes, softwareshardwares e firmwares, bem como infraestruturas de TI mais resistentes a ataques. É um termo que corresponde a uma técnica de blindagem de sistemas para mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas com foco na infraestrutura. Pode ser traduzido como endurecimento ou mesmo blindagem e se refere a ajustes fi nos efetuados no sistema, após uma instalação. Tem como finalidade a proteção do sistema contra ameaças desconhecidas. Esse processo corresponde a um termo conhecido como:
Alternativas
Q3906961 Segurança da Informação
        Certa empresa de tecnologia que presta serviços em nuvem identificou que a indisponibilidade de um de seus data centers por falha elétrica causaria paralisação de operações críticas por mais de 24 horas, o que comprometeria acordos de nível de serviço e resultaria em perdas financeiras significativas. Durante o processo de gestão de riscos de segurança da informação, conduzido conforme as principais normas internacionais, concluiu-se que o risco residual associado à indisponibilidade ainda é superior ao apetite de risco estabelecido pela organização.
Considerando as práticas recomendadas pelas principais normas internacionais, assinale a opção que apresenta ação adequada a ser adotada pela organização no cenário apresentado na situação hipotética precedente.
Alternativas
Q3906584 Segurança da Informação

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores. 


Em ambientes de nuvem pública, a configuração de controles de acesso baseada em princípio de privilégio mínimo no nível dos serviços gerenciados contribui para reduzir superfícies de ataque. 

Alternativas
Q3906583 Segurança da Informação

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue. 


Durante o tratamento de um incidente cibernético, a fase de contenção pode incluir o isolamento temporário de ativos afetados, para limitar o impacto do incidente. 

Alternativas
Q3906582 Segurança da Informação

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue. 


Em um cenário corporativo no qual o framework NIST CSF é utilizado para organização das funções de segurança, a implementação de inventário e controle de ativos prevista nos CIS controls pode apoiar diretamente a função Identify do framework, já que ambos exigem visibilidade consistente de recursos tecnológicos.  

Alternativas
Q3906578 Segurança da Informação

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente. 


A validação de segurança realizada no cliente é suficiente para eliminar os riscos de injeção em aplicações web baseadas em APIs REST, desde que o tráfego esteja protegido por TLS.  

Alternativas
Q3906557 Segurança da Informação

Julgue o próximo item, relativo a governança de dados e processamento em nuvem. 


A governança de dados está relacionada à prevenção de eventos de risco, incluindo a mitigação da reincidência de incidentes já ocorridos.  

Alternativas
Q3898058 Segurança da Informação
 No contexto de Segurança da Informação, qual alternativa faz referência uma das estratégias adotadas na gestão de riscos?
Alternativas
Q3889871 Segurança da Informação

Acerca de procedimentos de segurança e da gestão da segurança da informação, julgue o próximo item.


No âmbito da gestão da segurança da informação, a priorização de controles com base em riscos prescinde da definição prévia de objetivos estratégicos de segurança, uma vez que a análise de riscos orienta diretamente a tomada de decisão gerencial.

Alternativas
Q3886882 Segurança da Informação

Julgue o item a seguir, a respeito de governança de TI.


De acordo com o processo de gestão de riscos estabelecido pela norma ISO 31000, a etapa de tratamento de riscos envolve um ciclo iterativo de formulação e seleção de opções para modificar o risco, que pode incluir desde a remoção da fonte do risco até a aceitação do risco residual por meio de uma decisão fundamentada, sendo essencial que essas ações sejam compatíveis com o apetite ao risco da organização conforme preconizado também pelo framework COSO.

Alternativas
Q3886872 Segurança da Informação

Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.


Como consequência de exploração de falhas de SQL Injection em aplicações vulneráveis, tem-se situações que resultam em bypass de autenticação e execução remota de comandos.

Alternativas
Q3886871 Segurança da Informação

Julgue o item a seguir, relativo a SQL Injection e referência insegura a objetos.


A referência insegura a objetos (insecure direct object reference) ocorre quando uma aplicação expõe um identificador de objeto interno, mas valida se o usuário autenticado estiver autorizado a acessá-lo.

Alternativas
Q3885129 Segurança da Informação
Ao realizar uma análise de riscos, um analista identificou que a vulnerabilidade de Cross-Site Scripting em um portal de serviços tem uma probabilidade de ocorrência classificada como média e um impacto potencial classificado como Alto. A organização utiliza uma matriz de riscos 5X5 (Muito Baixa, Baixa, Média, Alta, Muito Alta). Para tratar este risco, foi implementado um WAF, que reduz a probabilidade de exploração de Média para Baixa.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é 
Alternativas
Q3885128 Segurança da Informação
A alta administração de um órgão público determinou que o risco de vazamento de dados de um novo sistema deve ser reduzido a um nível aceitável, mas que ainda assim permitirá a continuidade da operação. Após a avaliação, o risco residual foi considerado alto, exigindo a implementação de novos controles.
O tratamento de risco decidido pela alta administração do órgão é
Alternativas
Q3883236 Segurança da Informação
Deseja-se contratar um teste de penetração para avaliar a segurança de sistemas internos e externos. O contrato exige que o fornecedor siga boas práticas internacionais, como as descritas no PTES (Penetration Testing Execution Standard) e no OWASP Testing Guide, incluindo documentação completa do escopo, regras de engajamento e limites éticos.
Considerando as etapas típicas de um pentest profissional, assinale a afirmativa correta.
Alternativas
Ano: 2026 Banca: FGV Órgão: AL-GO Prova: FGV - 2026 - AL-GO - Policial Legislativo |
Q3881673 Segurança da Informação
Na segurança executiva e de autoridades, a proteção da pessoa não pode ser dissociada da proteção da informação. Dados relativos a rotinas, deslocamentos, agendas, hábitos e padrões comportamentais constituem ativos sensíveis que, quando expostos, ampliam significativamente a superfície de risco e favorecem a atuação de agentes hostis. A doutrina especializada reconhece que falhas informacionais e comportamentais precedem a maioria dos incidentes graves envolvendo autoridades protegidas.
À luz da doutrina da segurança executiva e de autoridades, assinale a alternativa que melhor expressa a concepção tecnicamente correta de segurança da informação aplicada à proteção de autoridades.
Alternativas
Ano: 2026 Banca: FGV Órgão: AL-GO Prova: FGV - 2026 - AL-GO - Policial Legislativo |
Q3881672 Segurança da Informação
No contexto da atividade de inteligência, a segurança da informação constitui um sistema integrado de medidas técnicas, procedimentais e comportamentais destinado à proteção de dados, informações e conhecimentos sensíveis. A doutrina nacional reconhece que o sigilo, embora instrumento legítimo e necessário, não é suficiente por si só para assegurar a integridade do processo decisório nem a preservação da segurança institucional, sendo indispensável a identificação contínua de ameaças, a mitigação de vulnerabilidades, especialmente as de natureza humana e a observância rigorosa da conduta ética e discreta do agente.

Assinale a alternativa que melhor expressa a concepção doutrinária mais completa e tecnicamente adequada. 
Alternativas
Respostas
41: D
42: D
43: C
44: A
45: B
46: C
47: C
48: C
49: E
50: C
51: D
52: E
53: C
54: C
55: E
56: D
57: E
58: D
59: D
60: C