Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 839 questões

Q3538631 Segurança da Informação
Durante a definição do Sistema de Gestão da Segurança da Informação (SGSI), uma organização avalia o cenário externo, riscos e determina que cada unidade de negócio deve identificar seus próprios requisitos legais, normativos e contratuais. Nesse cenário, a prática coerente com o estabelecimento de contexto da gestão de riscos, segundo a norma ABNT NBR ISO/IEC 27005:2023, é
Alternativas
Q3531954 Segurança da Informação
A fim de identificar vulnerabilidades e entender o algoritmo criptográfico, foi realizada a análise de um firmware embarcado proprietário, compilado para uma arquitetura customizada RISC com instruções não padrão (ISA extension), que implementa rotinas criptográficas e anti-depuração avançadas, incluindo anti-tampering e control flow flattening, além de otimizações de compilador de tempo de ligação.
A partir da situação hipotética precedente, julgue os itens que se seguem. 
O control flow flattening implementado no firmware pode ser eficientemente revertido por meio de técnicas de análise estática de descompiladores que utilizam algoritmos de reconhecimento de padrões baseados em grafos de fluxo de controle, restaurando o fluxo de execução original sem a necessidade de taint analysis ou execução simbólica.  
Alternativas
Q3521469 Segurança da Informação

A segurança da informação é um campo dinâmico que exige uma abordagem contínua para identificar, avaliar e mitigar riscos. Ferramentas e metodologias como scanners de vulnerabilidades, testes de penetração e análise de riscos são empregadas para compreender a postura de segurança de uma organização e priorizar ações de defesa. A eficácia dessas abordagens depende da correta compreensão de suas capacidades e limitações. Acerca do assunto, marque V para as afirmativas verdadeiras e F para as falsas:



(__) Scanners de vulnerabilidades são ferramentas automatizadas projetadas para identificar e relatar falhas de segurança conhecidas em sistemas e aplicações através da comparação de configurações e versões com bases de dados de vulnerabilidades, sem, contudo, validar ativamente a explorabilidade ou o impacto real em um cenário de ataque. 


(__) A metodologia de testes de penetração conhecida como "caixa preta" (black-box) é a mais adequada para simular um ataque com conhecimento prévio significativo da infraestrutura interna, permitindo ao pentester agir como um adversário com informações privilegiadas e testar as defesas internas em profundidade.


(__) Uma análise de riscos de segurança da informação prioriza as vulnerabilidades a serem remediadas exclusivamente com base na sua severidade técnica intrínseca, conforme classificada por ferramentas de varredura, desconsiderando fatores como a probabilidade de exploração e o impacto financeiro ou reputacional para o negócio.


(__) A etapa de análise de riscos, que sucede a identificação de vulnerabilidades, é crucial para classificar e priorizar as falhas de segurança com base na probabilidade de ocorrer uma exploração bem-sucedida e no potencial impacto que essa exploração teria sobre os ativos da organização.



Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:

Alternativas
Q3520414 Segurança da Informação
Durante a análise de segurança de uma rede corporativa, a equipe identificou possíveis falhas nos controles, que poderiam ser exploradas por ameaças externas. Com base nas boas práticas de gestão de segurança da informação, qual é a definição do conceito de "risco"?
Alternativas
Q3520413 Segurança da Informação
Durante uma auditoria interna, uma empresa identificou que, mesmo após implementar diversos controles de segurança, como autenticação forte, criptografia de dados e segmentação de redes, ainda existia um potencial de exposição a determinadas ameaças. A equipe técnica classificou esse risco como aceitável diante dos custos de mitigação e do impacto estimado. Como é denominado esse tipo de risco, que permanece no ambiente organizacional mesmo após a aplicação de controles e é considerado tolerável pela gestão?
Alternativas
Q3508308 Segurança da Informação

A definição de requisitos de segurança no início do ciclo de vida do software, como preconiza o SDL (Security Development Lifecycle), reduz o custo e o impacto das vulnerabilidades. Analise as afirmações a seguir:



I. A modelagem de ameaças no SDL ocorre antes da codificação e ajuda a identificar vetores de ataque.


II. SDL recomenda que as práticas de segurança sejam implementadas somente após a codificação.


III. O SDL substitui totalmente a necessidade de testes de penetração.



É correto o que se afirma em:

Alternativas
Q3506468 Segurança da Informação
Um órgão de fiscalização estadual está implementando um programa de gestão de riscos em segurança da informação utilizando a análise SWOT com foco em riscos. Durante a primeira reunião, o comitê executivo identificou que o órgão possui uma equipe de TI altamente qualificada, mas que a política de backup ainda é manual e mal documentada. Além disso, observa-se o aumento do número de ataques de phishing direcionados a órgãos públicos. Na análise SWOT com foco em riscos, considerando os elementos apresentados, a equipe de TI é classificada como uma
Alternativas
Q3472263 Segurança da Informação
Na gestão de vulnerabilidades técnicas, a realização de testes de invasão planejados, documentados e repetíveis bem como a utilização de ferramentas de varredura inserem-se no processo de  
Alternativas
Q3472261 Segurança da Informação
Assinale a opção em que é apresentado item a ser necessariamente considerado na definição de critérios básicos de impacto desenvolvidos em função do montante dos danos ou custos à organização causados por um evento relacionado à gestão de riscos de segurança da informação.  
Alternativas
Q3436939 Segurança da Informação
No DevSecOps, diversas ferramentas são utilizadas para a segurança do software durante todo o ciclo de desenvolvimento. Uma das práticas dessa abordagem consiste na  
Alternativas
Q3436938 Segurança da Informação
DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a  
Alternativas
Q3409321 Segurança da Informação
Em relação a ataques de malwares e a frameworks de segurança da informação, julgue o item subsequente.
O MITRE ATT&CK é um modelo que busca categorizar o comportamento do atacante, com base em apenas dois componentes principais: táticas e procedimentos.
Alternativas
Q3407637 Segurança da Informação
Acerca da gestão de riscos de TIC, julgue o seguinte item. 
A gestão de riscos de TIC deve focar exclusivamente a mitigação de ameaças externas, como ataques cibernéticos e falhas de segurança, sem necessidade de considerar riscos internos, como erros operacionais, falhas de infraestrutura ou problemas de conformidade regulatória.
Alternativas
Q3362157 Segurança da Informação
Segundo o documento OWASP Top 10 vulnerabilities de 2021, o design inseguro é uma categoria ampla que representa diferentes fraquezas que são expressas como "design de controle ausente ou ineficaz". O documento destaca que há uma diferença entre design inseguro e implementação insegura e distingue entre falhas de design e defeitos de implementação, pois eles têm diferentes causas e remediações. Um design seguro pode ter defeitos de implementação que levam a vulnerabilidades que podem ser exploradas. Um design inseguro não pode ser corrigido por uma implementação segura, pois, por definição, os controles de segurança necessários nunca foram criados para se defender contra ataques específicos. Avalie se as formas de prevenção contra o design inseguro expressas no OWASP, incluem:

I. Estabelecer e usar um ciclo de vida de desenvolvimento seguro com profissionais de AppSec para ajudar a avaliar e projetar controles relacionados à segurança e privacidade e estabelecer e utilizar uma biblioteca de padrões de projeto seguros.

II. Escrever testes unitários e de integração para validar se todos os fluxos críticos são resistentes ao modelo de ameaça e compilar casos de uso e casos de uso incorreto para cada camada do aplicativo.

III. Unificar os controles de segurança em histórias de usuários e restringir verificações de plausibilidade em cada camada do seu aplicativo (do frontend ao backend) ao time de design e limitar o consumo de recursos computacionais por usuário ou serviço.


Está correto o que se afirma em
Alternativas
Q3350279 Segurança da Informação
A respeito de análises do tipo SAST (Static Application Security Testing) em desenvolvimento de software, é correto afirmar que
Alternativas
Q3345520 Segurança da Informação
Em um computador, a execução remota de código (RCE) geralmente é permitida devido  
Alternativas
Q3339711 Segurança da Informação
Mário trabalha em uma empresa que está elaborando seu plano de gerenciamento de riscos. Com o objetivo de estabelecer o valor de cada ativo na organização, ela precisa inicialmente identificar seus riscos em um nível de detalhamento adequado. Baseando-se na norma ABNT NBR ISO/IEC 27005:2019, sabe-se que os ativos são divididos em primários e de suporte.
Para facilitar o processo de identificação, Mário iniciou seu documento de ativos primários pelo:
Alternativas
Q3339694 Segurança da Informação
Karen é funcionária pública do Ministério Público da União (MPU) e foi designada para determinar e implementar controles de acordo com a Norma ABNT NBR ISO/IEC 27002:2022 para tratamento de riscos de segurança da informação em um sistema de gestão de segurança da informação (SGSI) do MPU, baseado na ABNT NBR ISO/IEC 27001. Entretanto, para iniciar esse processo, Karen precisará determinar, junto com a organização, os requisitos de segurança necessários para atender a demanda do MPU.
Para identificar esses requisitos, as principais fontes de requisitos, segundo a Norma ABNT NBR ISO/IEC 27002:2022, observadas por Karen, são:
Alternativas
Q3339686 Segurança da Informação
O diretor de TIC Bruno está implementando o Framework de Privacidade e Segurança da Informação no MPU de acordo com o Guia da Secretaria de Governo Digital. A metodologia para implementação desse framework é composta pela atuação de um Sistema de Controle Interno (SCI) que é dividido em linhas de defesa. A primeira linha de defesa é responsável por identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização.
Para atuar na primeira linha de defesa do SCI, Bruno deve coordenar ações para a definição:
Alternativas
Q3291044 Segurança da Informação
Ao ser questionado sobre a segurança em plataformas low-code, uma Técnica de um Tribunal Regional do Trabalho respondeu, corretamente que
Alternativas
Respostas
121: D
122: E
123: C
124: A
125: B
126: E
127: D
128: E
129: C
130: C
131: E
132: E
133: E
134: B
135: E
136: A
137: D
138: A
139: A
140: B