Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3661872 Segurança da Informação
TEXTO 5


“Uma falha na atualização de conteúdo relacionada ao sensor de segurança CrowdStrike Falcon, que serve para detectar possíveis invasões de hackers, foi a causa do ataque cibernético desta sexta-feira (19), que deixou milhares de empresas e pessoas em todo o mundo sem acesso a sistemas operacionais, especialmente o Windows, da Microsoft.” 


Edição de Sabrina Craide. Agência Brasil. Disponível em: <https://agenciabrasil.ebc.com.br/geral/noticia/2024-07/entenda-falhano-sistema-da-crowdstrike-que-causou-apagao-cibernetico>. Acesso em 15/09/254.


TEXTO 6

“A CrowdStrike identificou e solucionou uma falha em alguns computadores Windows causada pelo Falcon Sensor, resultando em erros de tela azul. [...] Medidas de mitigação para casos de travamentos ou indisponibilidade de sistemas operacionais Windows incluem:
Inicializar o Windows no modo de segurança ou no ambiente de recuperação;
Acessar o diretório C:\Windows\System32\drivers\CrowdStrike;
Identificar e excluir o arquivo que corresponde ao padrão "C-00000291*.sys";
Reinicializar o sistema.” 

Centro Integrado de Segurança Cibernética. Disponível em: <https://www.gov.br/cisc/pt-br/alerta>. Acesso em: 15 set. 2024.

Sobre a falha de segurança do CrowdStrike Falcon, analise as afirmações a seguir:

I. A necessidade de inicialização do Windows em modo de segurança aponta para uma falha de hardware.
II. A vulnerabilidade foi causada por uma atualização do conteúdo usado pelo sensor de segurança.
III. O incidente resultou na exclusão de todos os dados armazenados nas máquinas infectadas.
IV. A falha poderia ter sido evitada por meio de procedimentos robustos de teste de qualidade de software.

Assinale a alternativa que contenha APENAS as afirmações corretas. 
Alternativas
Q3643159 Segurança da Informação
Uma organização pública está estruturando sua gestão de riscos e, ao analisar o processo de contratações públicas, identificou o seguinte evento:
• risco: atraso na execução de contratos estratégicos • probabilidade: 8 (em uma escala de 1 a 10) • impacto: 8 (em uma escala de 1 a 10) • eficácia dos controles: 40%
À luz dessas informações, analise as afirmativas a seguir.
I. O risco residual é de 48 pontos, aplicando-se a fórmula: risco residual = risco inerente × (1 - eficácia dos controles).
II. O estabelecimento do contexto da análise deve incluir fatores internos e externos, além das partes interessadas e suas expectativas.
III. A técnica bow tie pode ser utilizada para representar graficamente causas e consequências do risco, incluindo controles preventivos e mitigadores.

Está correto o que se afirma em:
Alternativas
Q3641773 Segurança da Informação
Considerando que uma abordagem integrada de segurança da informação contempla a proteção de dados pessoais e dos ativos de informação da organização, julgue os itens a seguir, observando, no que couber, as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) e da ABNT NBR ISO/IEC 27002:2022.

I O tratamento de dados pessoais deve ter propósito legítimo, limitar-se ao mínimo necessário e observar a garantia da prestação de informações claras ao titular.
II A classificação dos ativos de informação de uma organização conforme seu nível de criticidade garante o controle adequado das informações.
III A gestão de riscos em segurança da informação deve considerar a identificação de ameaças, vulnerabilidades e impactos para a definição das medidas de proteção.

Assinale a opção correta.  
Alternativas
Q3638315 Segurança da Informação

Quanto ao gerenciamento de ativos de TI, à gestão de incidentes e à especificação de equipamentos de TI, julgue o item a seguir.


Para reduzir custos, recomenda‑se sempre especificar a menor quantidade possível de memória RAM, pois o desempenho do sistema pode ser otimizado posteriormente apenas com atualizações de software.

Alternativas
Q3636957 Segurança da Informação
Uma empresa está modernizando seu processo de desenvolvimento adotando o Azure DevOps e aplicando as diretrizes do Secure Development Lifecycle (SDL). O pipeline de CI/CD foi configurado para incluir SAST usando o SonarQube e DAST com o OWASP ZAP. O objetivo é reduzir falhas de segurança desde a codificação até a execução em ambientes de teste. Em relação ao contexto apresentado, analise as assertivas a seguir:

I. O SAST (SonarQube) deve rodar durante as etapas de build no Azure DevOps, analisando o código-fonte para encontrar vulnerabilidades como injeção de SQL e falhas de autenticação, podendo bloquear a pipeline antes do deploy.
II. O DAST (OWASP ZAP) deve ser executado no ambiente de testes, realizando ataques simulados contra o aplicativo já em execução, detectando problemas como configurações inseguras de HTTP headers e falhas de autorização.
III. O DAST depende de acesso ao código-fonte para localizar vulnerabilidades em tempo de execução.
IV. A execução combinada de SAST e DAST no pipeline cobre vulnerabilidades tanto estáticas (no código) quanto dinâmicas (em runtime), fortalecendo a segurança em múltiplas camadas.

Quais estão corretas?
Alternativas
Q3636953 Segurança da Informação
O OWASP Top 10 é um documento padrão de conscientização para desenvolvedores e segurança de aplicações web. Ele representa um amplo consenso sobre os riscos de segurança mais críticos para aplicações web. São riscos relacionados no documento, EXCETO:
Alternativas
Q3636947 Segurança da Informação
O __________ é realizado por profissionais de segurança cibernética qualificados na arte do hacking ________, o qual faz uso de técnicas e ferramentas de hacking para corrigir __________ de segurança em vez de causar __________. Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.
Alternativas
Q3636945 Segurança da Informação
São situações que motivam a implementação do método de Gestão de Risco e Conformidade, EXCETO:
Alternativas
Q3636940 Segurança da Informação
Sobre Kali Linux, analise as seguintes asserções e a relação proposta entre elas:

I. Kali Linux é uma distribuição Linux de código aberto baseada no Debian, que permite aos usuários realizar testes de penetração e auditorias de segurança.

PORQUE
II. Esta distribuição é voltada para os testadores e pode ser utilizada por iniciantes em função da sua interface amigável.

A respeito dessas asserções, assinale a alternativa correta.
Alternativas
Q3636933 Segurança da Informação
Para proteger sistemas e servidores contra ataques cibernéticos, os administradores devem adotar práticas que permitam ________ vulnerabilidades existentes, realizar um mapeamento das possíveis ameaças, mitigar ou minimizar riscos e executar ações ________. O objetivo central é fortalecer a infraestrutura para resistir a tentativas de invasão. Esse conjunto de práticas é conhecido como ________________.

Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.
Alternativas
Ano: 2025 Banca: Ibest Órgão: CRM-DF Prova: Ibest - 2025 - CRM-DF - Técnico em T.I. |
Q3629410 Segurança da Informação
Com relação à gestão de riscos, assinale a alternativa correta. 
Alternativas
Ano: 2025 Banca: Ibest Órgão: CRM-DF Prova: Ibest - 2025 - CRM-DF - Técnico em T.I. |
Q3629408 Segurança da Informação
Assinale a alternativa correta sobre ameaças no contexto da gestão de riscos em segurança da informação. 
Alternativas
Q3595734 Segurança da Informação
Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.
Alternativas
Q3582823 Segurança da Informação

Julgue o item subsequente a respeito de segurança da informação. 


A medição e a avaliação do risco são variáveis externas e, por isso, são inviáveis. 

Alternativas
Q3552624 Segurança da Informação
A metodologia OWASP é amplamente adotada por profissionais de segurança da informação e desenvolvedores de software como referência para proteção de aplicações web. Com base em seus princípios, objetivos e contribuições para a segurança, assinale a alternativa que descreve corretamente o propósito da OWASP.
Alternativas
Q3552233 Segurança da Informação
Durante o processo de análise de riscos, a etapa de avaliação do impacto é essencial para entender as possíveis consequências de um incidente de segurança sobre os ativos da organização. Esse impacto pode ser medido em diferentes dimensões, como financeira, legal, operacional e reputacional. Assinale a alternativa que apresenta o conceito de impacto no contexto da gestão de riscos em segurança da informação. 
Alternativas
Q3552232 Segurança da Informação
Durante a elaboração do plano de segurança da informação de uma organização pública, a equipe de TI realizou uma análise de riscos para identificar ameaças potenciais aos ativos de informação e definir as medidas de proteção adequadas. Nesse contexto, a gerência de riscos exige o conhecimento de ameaças, vulnerabilidades e impactos. Com base nas práticas recomendadas pelas normas de segurança da informação, assinale a alternativa que apresenta corretamente um aspecto essencial da gerência de riscos em TI. 
Alternativas
Q3541209 Segurança da Informação
A ISO/IEC 27002 é uma norma internacional desenvolvida pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), a qual estabelece diretrizes e boas práticas para a implementação de controles de segurança da informação. Essa norma define medidas para proteger dados, sistemas e infraestruturas contra ameaças, garantindo a confidencialidade, a integridade e a disponibilidade das informações. Dentro desse contexto, assinale a alternativa que corresponde ao termo utilizado para descrever uma correção temporária aplicada a um software, geralmente disponibilizada pelo fabricante, para corrigir vulnerabilidades ou falhas identificadas.
Alternativas
Q3538822 Segurança da Informação
Um analista consultou a OWASP Top 10 (Riscos de Segurança em Aplicações Web) de 2021 para, se necessário, corrigir as vulnerabilidades apontadas no ambiente de um Tribunal. Referente ao número 1 da lista, uma das vulnerabilidades comuns é a  
Alternativas
Q3538821 Segurança da Informação
Uma analista de um tribunal está criando um documento interno com as diretrizes para implantar os controles de acordo com o Controle 18 do CIS Controls v8 sobre Teste de Invasão. Considerando as medidas de seguranca abaixo:
I. Corrigir as descobertas do teste de invasão.
II. Validar as Medidas de Segurança.
III. Realizar testes de invasão internos periódicos.
Para essas medidas (I, II e III) a função de segurança a ser aplicada, respectivamente, é: 
Alternativas
Respostas
101: E
102: D
103: C
104: E
105: D
106: D
107: E
108: B
109: C
110: B
111: D
112: C
113: D
114: E
115: B
116: E
117: A
118: E
119: A
120: C