Questões de Concurso Comentadas sobre controles de segurança em segurança da informação

Foram encontradas 614 questões

Q3933941 Segurança da Informação
De acordo com a NBR ISO/IEC 27002:2022, os prazos de tratamento e resolução de incidentes devem ser estabelecidos pela organização conforme níveis de prioridade definidos no plano de gestão de incidentes, com base
Alternativas
Q3933940 Segurança da Informação
No âmbito da gestão de incidentes de segurança da informação, o conhecimento adquirido pela organização com incidentes de segurança da informação, segundo a norma NBR ISO/IEC 27001:2022, deve ser usado para
Alternativas
Q3933932 Segurança da Informação
    Determinada organização tem documentação completa de políticas de segurança, alinhadas às normas ISO e à LGPD, mas não realiza treinamento, monitoramento contínuo nem testes de controles.
Essa situação hipotética, segundo a abordagem de Sêmola, evidencia
Alternativas
Q3933925 Segurança da Informação
    Em uma rede corporativa, a equipe de TI implementou antivírus nas estações de trabalho, filtros de email no gateway corporativo e mecanismos de inspeção de tráfego na rede interna, com o objetivo de reduzir o impacto de códigos maliciosos.
A estratégia adotada pela equipe de TI na situação hipotética precedente está fundamentada no conceito de
Alternativas
Q3926919 Segurança da Informação
Uma Secretaria da Fazenda de um grande estado esta reformulando sua estratégia de segurança cibernética após uma série de incidentes. Investigações revelaram que as violações exploraram falhas únicas em controles internos: um ataque de phishing “bypassou’” o filtro de e-mails, um ransomware explorou uma vulnerabilidade não corrigida em um servidor e um acesso interno indevido foi possível devido a permissões excessivas. Em face desses incidentes, a equipe de segurança propôs a adoção do principio de Defesa em Profundidade definida por 
Alternativas
Q3926912 Segurança da Informação
Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é
Alternativas
Q3926911 Segurança da Informação
Uma Secretaria da Fazenda estadual opera um ambiente hibrido para processamento de declarações fiscais, com diversas APIs internas acessando bases com dados sensíveis. A auditoria apontou ausência de padronização de criptografia, falta de documentação dos fluxos de dados e baixa visibilidade sobre onde e como os dados fiscais trafegam. O comité decidiu priorizar ações alinhadas ao Controle 3 - Data Protection da CIS v8.1. Nesse cenário, a ação mais aderente a essa prioridade é
Alternativas
Q3926908 Segurança da Informação
Um órgão tributário está executando workloads de análise antifraude em um cluster Kubernetes e alguns pods falham intermitentemente na inicialização porque dependem de credenciais de acesso a sistemas internos. A equipe deseja disponibilizar esses valores sensíveis seguindo boas praticas, sem embuti-los na imagem de contêiner. Nessa situação, o mecanismo do Kubernetes que deve ser utilizado é
Alternativas
Q3924214 Segurança da Informação
Qual princípio da cibersegurança é seguido pelo Controle de Acesso Baseado em Papeis (RBAC) para minimizar riscos e violação de dados? 
Alternativas
Q3923588 Segurança da Informação
Uma resposta eficiente a incidentes depende de um bom trabalho relacionado à inteligência sobre ameaças. Além disso, o conhecimento sobre uma estrutura que permite descrever as etapas de um ataque auxilia na determinação de contramedidas às ações adversárias. Uma dessas ferramentas, a Cyber Kill Chain ®, desenvolvida pela empresa Lockheed Martin, define e descreve as seguintes fases: reconhecimento, armamento, entrega, exploração, instalação, comando-e-controle e ações sobre objetivos.

Assinale o item que correlaciona um controle que atua diretamente nas fases indicadas.
Alternativas
Q3923564 Segurança da Informação
É importante que um Sistema de Gestão da Segurança da Informação (SGSI) componha, de maneira integrada, os processos da organização e a estrutura de administração global, tal que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles. Qual dos itens a seguir apresenta um framework capaz de orientar um Analista na seleção e implementação de controles de segurança? 
Alternativas
Q3916689 Segurança da Informação
Em ambientes corporativos, a gestão de identidades e acessos sugere o uso de grupos de segurança para facilitar a administração de permissões e garantir a conformidade.

Em um serviço de diretório (como o Active Directory), a forma correta de conceder privilégios a um novo colaborador é:
Alternativas
Q3912630 Segurança da Informação
Em um órgão público responsável pela gestão tributária, foi identificado um incidente de segurança envolvendo acesso indevido a dados cadastrais de contribuintes. Diante disso, a administração determinou que as práticas de Segurança da informação fossem revistas, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Considerando os princípios da LGPD e as boas práticas de Segurança da informação, assinale CORRETAMENTE: 
Alternativas
Q3901673 Segurança da Informação
Determinada prefeitura implantou um sistema de gestão de notas. Durante auditoria, foi identificado que os usuários compartilhavam senhas em planilhas públicas. Com base na ISO/IEC 27002, assinale a afirmativa correta.
Alternativas
Q3888396 Segurança da Informação
Uma equipe técnica precisa ativar assistentes de IA na suite de escritório para apoiar textos, planilhas e apresentações. O procedimento deve considerar uma série de ações e cuidados nesta integração. O plano operacional que atende a esse objetivo deve 
Alternativas
Q3887536 Segurança da Informação
O setor de TI da ALE-RO precisa proteger dados sensíveis em repouso em seus servidores. Para isso, precisa de uma solução que permita criptografia transparente dos dados, em que os arquivos são criptografados automaticamente quando salvos no disco e descriptografados quando acessados por usuários autorizados.

Nesse caso, a solução mais adequada é
Alternativas
Q3885132 Segurança da Informação
Em um ambiente de Tecnologia da Informação, o princípio da Segregação de Funções (SoD - Separation of Duties) é rigorosamente aplicado. Um Analista de Sistemas é designado para desenvolver e testar novas funcionalidades em um sistema de missão crítica. Conforme a política de segurança, esse mesmo analista não possui permissão para realizar a implementação (deployment) do código final no ambiente de produção.
O seguinte risco ou ameaça de segurança e governança o princípio da Segregação de Funções é projetado primariamente para mitigar o problema nesse cenário específico:
Alternativas
Q3883239 Segurança da Informação
A equipe de TI de um órgão público está atualizando a sua arquitetura de TI para adequá-la à LGPD, especialmente quanto aos requisitos técnicos de segurança previstos nos artigos 46 a 49 da lei. A equipe identificou que determinados sistemas internos processam dados sensíveis de cidadãos, incluindo biometria facial e informações de saúde.
Para atender às exigências legais, foram implementadas as seguintes medidas técnicas:
1. Criptografia dos bancos de dados e dos backups; 2. Pseudonimização dos relatórios de análise; 3. Registro detalhado de logs de acesso; 4. Controle de acesso baseado em perfis e MFA; e 5. Segmentação de rede e monitoração contínua.

Considerando os dispositivos técnicos da LGPD e boas práticas de engenharia de segurança, é correto afirmar que
Alternativas
Q3881301 Segurança da Informação
A organização internacional OWASP (Open Web Application Security Project) é focada em segurança de aplicações para web. Dentre os OWASP Top 10 Riscos de Segurança de Aplicações Web apresentados no ranking provisório de 2025, destacam-se: A01:2025 - Broken Access Control; A02:2025 - Security Misconfiguration; A03:2025 - Software Supply Chain Failures; e, A04:2025 - Cryptographic Failures. Destaca-se que a versão vigente é o OWASP Top Ten 2021, na qual verificamos dentre as primeiras posições os riscos de A01 Broken Access Control e A05 Security Misconfiguration.
Como demonstrado, o Broken Access Control figura com um importante risco de segurança de aplicações para web e significa que deve ser estabelecida uma política de 
Alternativas
Q3878372 Segurança da Informação
Uma empresa multinacional está migrando seus sistemas críticos para o ambiente de nuvem. Nesse processo, a equipe de auditoria identificou que os contratos com os provedores do serviço de nuvem não especificavam claramente as responsabilidades sobre a segurança da informação.
Para que a multinacional fique em conformidade com a norma ABNT NBR ISO/IEC 27002:2013, o controle a ser aplicado para mitigar o risco é: 
Alternativas
Respostas
21: C
22: A
23: C
24: B
25: D
26: B
27: C
28: C
29: B
30: B
31: B
32: D
33: C
34: B
35: B
36: B
37: C
38: E
39: B
40: E