Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3881302 Segurança da Informação
Os principais riscos no desenvolvimento software são decorrentes de vulnerabilidades existentes na aplicação. Segundo OWASP Top Ten 2021 e OWASP Top Ten 2025, uma preocupante questão se refere ao risco de configuração Insegura, que decorre de 
Alternativas
Q3878373 Segurança da Informação
A empresa Delta está desenvolvendo uma aplicação de consultas remotas para atender a um hospital. Após uma reunião com a direção do hospital, surgiu a necessidade de avaliação dos riscos com relação à confidencialidade das informações dos prontuários dos pacientes para que não se tornem públicos.
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com: 
Alternativas
Q3878369 Segurança da Informação
Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC 27001:2013 em um hospital, foi identificado que o armazenamento de prontuários na nuvem foi terceirizado, mas não foi realizada uma avaliação formal de riscos nem foram estabelecidas cláusulas contratuais sobre segurança da informação com o provedor. Além disso, nesse processo, os dados estavam sendo transmitidos sem a criptografia adequada.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá: 
Alternativas
Q3878336 Segurança da Informação
No contexto da segurança da informação, é correto afirmar que a principal razão para o crescimento constante dos investimentos nessa área está relacionada
Alternativas
Q3876118 Segurança da Informação
Durante o processo de gestão de riscos, uma organização necessita identificar e avaliar eventos que possam comprometer a confidencialidade, integridade ou disponibilidade de seus ativos. Após essa avaliação, deve selecionar e implementar controles capazes de reduzir o risco a níveis aceitáveis, conforme o apetite ao risco definido pela alta direção. A etapa do processo de gestão de riscos corresponde à escolha e aplicação de medidas destinadas a reduzir o risco identificado é o (a) 
Alternativas
Q3876117 Segurança da Informação
Uma organização realiza a análise de riscos para seus ativos de informação. Durante o processo, identifica que um servidor crítico está desatualizado (possui falhas de software não corrigidas), que existe a possibilidade de ataque de ransomware e que, caso o ataque ocorra, a interrupção dos serviços pode gerar grandes perdas financeiras e reputacionais. Com relação a nesse cenário, assinale a alternativa que corresponde ao conceito de "vulnerabilidade". 
Alternativas
Q3874320 Segurança da Informação
A empresa Beta, que trabalha com soluções para o setor educacional, está migrando seus sistemas para a nuvem e adotando práticas DevSecOps para garantir segurança desde o desenvolvimento até a operação. Durante uma reunião de planejamento, o CTO (Chief Technology Officer) da empresa Beta propôs integrar ferramentas de segurança diretamente no pipeline de CI/CD.
Com base nas práticas DevSecOps, a ação alinhada com o modelo a ser implementada pela empresa Beta é: 
Alternativas
Q3874310 Segurança da Informação
Uma empresa de consultoria de segurança foi contratada pelo Tribunal de Justiça do Estado X (TJEX) para verificar como está o nível de segurança em sua rede local. Após algum tempo de trabalho, a consultoria identificou que o servidor de arquivos do Tribunal possuía os serviços de FTP e telnet ativos, mesmo sem uso.
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar:
Alternativas
Q3873337 Segurança da Informação
A Metodologia OWASP é amplamente utilizada para orientar organizações no desenvolvimento de aplicações seguras, oferecendo listas, frameworks, guias e práticas recomendadas para reduzir vulnerabilidades comuns. Com relação aos princípios e documentos oficiais mantidos pelo OWASP, assinale a alternativa correta sobre essa metodologia. 
Alternativas
Q3869596 Segurança da Informação
Uma empresa de consultoria de segurança foi contratada pelo Tribunal de Justiça do Estado X (TJEX) para verificar como está o nível de segurança em sua rede local. Após algum tempo de trabalho, a consultoria identificou que o servidor de arquivos do Tribunal possuía os serviços de FTP e telnet ativos, mesmo sem uso.
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar: 
Alternativas
Q3866950 Segurança da Informação
Leia o fragmento de texto a seguir e complete as lacunas.
1[__________] é a presença de todo evento potencial que causa um impacto indesejável na organização. Já
2[__________] é um recurso, processo, produto ou infraestrutura que uma organização determinou que deve ser protegido, pois sua perda pode afetar a confidencialidade, a integridade ou a disponibilidade. Quando um mecanismo da segurança pode ser contornado por uma ameaça, ocorre uma 3[__________], que, ao ser combinada com um ataque, pode resultar em uma invasão. 4[__________] corresponde à possibilidade de que uma ameaça específica explore uma vulnerabilidade específica e cause dano a um ativo. Por fim, 5[__________] representa a falta ou a fraqueza de uma proteção, permitindo que uma ameaça mínima se transforme em uma grande ameaça.
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 45. (adaptado).

A alternativa que contém a ordem CORRETA das palavras que preenchem as lacunas do texto, da esquerda para a direita e de cima para baixo, é:
Alternativas
Q3866949 Segurança da Informação
Leia o fragmento do texto a seguir. Segundo Peltier (2010), o FRAAP é um processo de análise e avaliação de riscos qualitativos que tem sido utilizado mundialmente durante os últimos quinze anos. É uma metodologia eficiente e disciplinada para garantir que os riscos sejam identificados, examinados e documentados. As conclusões dos participantes do FRAAP sobre a existência de ameaças, o nível de risco e controles necessários são documentadas por meio de seus instrumentos de coleta que serviram para elaborar o plano de ação a ser executado pela organização.
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 62.

Em relação à abordagem metodológica Facilitated Risk Analysis Process(FRAAP) para a análise e a avaliação de riscos, avalie as asserções a seguir e a relação proposta entre elas.
I. O FRAAP se caracteriza como um processo estruturado de análise e de avaliação de riscos e que é implementado em três etapas, quais sejam: (1) Pré-FRAAP; (2) Sessão FRAAP; e (3) Pós-FRAAP.
PORQUE
II. A etapa (1) Pré-FRAAP, é o momento em que os membros do FRAAP analisam e avaliam os riscos e identificam os controles para sua mitigação, a partir de requisitos e de atributos definidos.

A respeito dessas asserções, assinale a opção CORRETA.
Alternativas
Q3866941 Segurança da Informação
Leia os fragmentos de textos a seguir.
TEXTO I
O Departamento de Segurança da Informação e Comunicações, do Governo Federal do Brasil, estabelece o processo de GRSIC (Gestão de Riscos de Segurança da Informação e Comunicações) nos órgãos ou entidades da Administração Pública Federa. Assim sendo, o processo GRSIC baseia-se no ciclo PDCA (PlanDo-Check-Act / PlanejarFazer-Verificar-Agir), uma sequência de passos utilizada para controlar qualquer processo definido. O uso dos ciclos pode ser assim relatado: 1 – planejar envolve definir como será feito (quem, o que, quando, onde, como) e as metas e os métodos para atingir o objetivo; 2 – fazer significa tomar a iniciativa, educar, treinar, implementar e executar o planejado conforme as metas e os métodos definidos; 3 – checar consiste em verificar os resultados que estão sendo obtidos e de forma contínua, para garantir a execução dos trabalhos programados; 4 – agir determina fazer as correções necessárias através de ações corretivas ou melhorias.
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 69-70. (adaptado).
TEXTO II
q_36 t i.png (404×494)
Fonte: MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da informação: uma versão sistêmica para a implantação em organizações. João Pessoa: Editora da UFPB, 2019. p. 69-70. (adaptado). 

Considerando as informações apresentadas no texto bem como as etapas que integram processo de Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC), marque a alternativa em que os números estão CORRETAMENTE relacionados às respectivas etapas desse processo, numeradas de 1 a 6, conforme apresentado na imagem (Texto II).
Alternativas
Q3865553 Segurança da Informação
A Câmara Municipal de Porto Velho mantém documentos de natureza distinta: informações públicas (como pautas e atas já publicadas), documentos internos (minutas em elaboração) e dados pessoais sensíveis (folha, dados cadastrais, informações funcionais). Em uma auditoria interna, verificou-se que alguns documentos com dados pessoais estavam sendo compartilhados por e-mail e aplicativos de mensagens sem qualquer controle, e que usuários utilizavam contas genéricas com senha conhecida por várias pessoas para “facilitar o trabalho”. A área de TI propôs mudanças alinhadas a uma política de segurança da informação, com foco na redução de riscos e melhoria do controle de acesso.
Nesse contexto, assinale a alternativa que apresenta a medida MAIS adequada e tecnicamente consistente com políticas de segurança e gestão de riscos: 
Alternativas
Ano: 2026 Banca: FGV Órgão: AMAZUL Prova: FGV - 2026 - AMAZUL - Técnico de Informática |
Q3851631 Segurança da Informação

Para reduzir vulnerabilidades exploráveis remotamente em dispositivos móveis corporativos, o administrador deve adotar práticas de segurança adequadas.


Assinale a opção que contribui diretamente para mitigar esses riscos. 

Alternativas
Q3847141 Segurança da Informação
No contexto da Segurança da Informação, as vulnerabilidades são classificadas em diferentes categorias. Diante disso, assinale a alternativa CORRETA que apresenta um exemplo clássico de vulnerabilidade tecnológica.
Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903043 Segurança da Informação

Preencha as lacunas abaixo conceituando os itens de l a V e ao final marque a alternativa CORRETA.


I. Controle

II. Consequência

III. Incidente de segurança da informação

IV. Vulnerabilidade

V. Fonte de risco


() Elemento que, individualmente ou combinado, tem o potencial para dar origem ao risco.


() Resultado de um evento que afeta os objetivos.


() Um único ou uma série de eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações do negócio e ameaçar a segurança da informação.


() Fraqueza de um ativo ou controle que pode ser explorada e então pode ocorrer um evento com uma consequência negativa.


() medida que mantém e/ou modifica o risco.

Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903041 Segurança da Informação
Convém que informações documentadas sobre o processo de avaliação de riscos de segurança da informação contenham:

I. uma definição dos critérios de risco (incluindo os critérios de aceitação de riscos e os critérios para a realização de avaliações de risco de segurança da informação).
II. fundamentação da consistência, validade e comparabilidade dos resultados. 
III. uma descrição do método de identificação de riscos (incluindo a identificação de proprietários de risco).
IV. uma descrição do método de análise dos riscos à segurança da informação (incluindo a avaliação de potenciais consequências, probabilidade realista e nível de risco resultante).
V. uma descrição do método para comparar os resultados com os critérios de risco e a priorização de riscos para o tratamento de riscos.

Sobre as afirmativas acima, marque a alternativa CORRETA
Alternativas
Ano: 2025 Banca: TJ-PI Órgão: TJ-PI Prova: TJ-PI - 2025 - TJ-PI - Residente Tecnológico |
Q3903039 Segurança da Informação
Os critérios de avaliação de riscos de segurança da informação normalmente incluem: consequências, probabilidade e nível de risco. Dentre os critérios abaixo marque o que não é de consequência.
Alternativas
Q3842935 Segurança da Informação
A Gestão de Riscos Cibernéticos tem um novo referencial técnico em português - a norma internacional e brasileira NBR ISO/IEC 27005 , baseada no Processo de Gestão de Riscos estabelecido na ISO 31000. A NBR ISO/IEC 27005 visa traçar ações para lidar com os riscos de Segurança da Informação, além de realizar atividades de gerenciamento na área, especificamente avaliação e tratamento de riscos, podendo ser aplicada a todas as organizações, independente de tipo, tamanho ou setor. As ações para tratamento de risco, são denominadas respostas ao risco, havendo quatro possibilidades, das quais três são caracterizadas a seguir.
I.Consiste em alterar a probabilidade de ocorrência de um evento ou alterar a gravidade da consequência. O risco fica mais difícil de ocorrer ou menos impactante.
II.Consiste em reconhecer o risco e não tomar nenhuma ação. É uma estratégia muito adotada quando o custo para atuar sobre o risco ultrapassa a consequência que ele traria.
III.Consiste em dividir responsabilidades com outras partes, interna ou externamente. O exemplo clássico é contratar um seguro.
As três respostas ao risco descritas em I, em II e em III são conhecidas, respectivamente, como: 
Alternativas
Respostas
61: C
62: A
63: E
64: B
65: E
66: A
67: D
68: B
69: B
70: B
71: B
72: C
73: E
74: A
75: C
76: A
77: B
78: D
79: E
80: A