Questões de Concurso Comentadas sobre controles de segurança em segurança da informação

Foram encontradas 614 questões

Q3876116 Segurança da Informação
Uma empresa de tecnologia implementa políticas de segurança para gerenciar o acesso aos seus sistemas críticos. Ela deseja garantir que: usuários só possam acessar os recursos necessários para suas funções (princípio do menor privilégio); a atribuição de permissões seja centralizada e baseada em funções organizacionais; e alguns recursos altamente sensíveis só possam ser acessados por usuários com níveis de segurança específicos. A abordagem de controle de acesso que atende corretamente a essas necessidades é o  
Alternativas
Q3874321 Segurança da Informação
A empresa Data_Trust_Cloud, especializada em serviços de armazenamento em nuvem, identificou que, em virtude de algum erro na atribuição de permissões, alguns colaboradores estavam acessando dados confidenciais fora do escopo de suas funções. Uma auditoria foi contratada para avaliar o problema e trouxe como possibilidade algumas formas de controle de acesso.
O CTO decidiu, então, pelo RBAC (controle baseado em função), uma vez que esse tipo de acesso permite: 
Alternativas
Q3874319 Segurança da Informação
Uma corretora de valores, especializada em serviços financeiros digitais, buscou a implementação do modelo Zero Trust após sofrer um ataque de ransomware que explorou credenciais de um colaborador remoto.
Com o objetivo de evitar novos ataques nesse sentido e se adequar aos princípios do modelo, a ação alinhada com o processo a ser executado pela corretora é: 
Alternativas
Q3874314 Segurança da Informação
A Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro tem como objetivo geral garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações e dos recursos de tecnologia da informação, visando à proteção do patrimônio informacional e à continuidade dos serviços prestados.
Para cumprir os preceitos da PSI, a Secretaria Geral de Tecnologia da Informação e Comunicações (SGTEC) implementou uma estratégia de segurança que compreende a utilização de defesa em profundidade.
A defesa em profundidade se caracteriza por:
Alternativas
Q3866605 Segurança da Informação
A adoção de boas práticas busca preservar os princípios da confidencialidade, integridade e disponibilidade dos dados, conhecidos como tríade CIA. Considerando esses princípios e práticas usuais de proteção da informação, analise as afirmativas a seguir.
I.A confidencialidade está relacionada à limitação de acesso à informação apenas a usuários, sistemas ou processos autorizados, podendo ser apoiada por mecanismos como controle de acesso e criptografia.
II.A integridade refere-se à manutenção da exatidão e da consistência das informações ao longo do tempo, sendo favorecida por técnicas como controles de alteração, registros de auditoria e uso de funções hash.
III.A disponibilidade envolve garantir que dados e serviços estejam acessíveis quando necessários, podendo ser impactada por falhas de hardware, ataques ou ausência de mecanismos de redundância.
IV.A aplicação isolada de soluções tecnológicas é suficiente para assegurar a tríade CIA, independentemente de políticas, processos organizacionais ou conscientização dos usuários.
V.Boas práticas de segurança da informação incluem a combinação de medidas técnicas, administrativas e físicas, buscando reduzir riscos sem eliminar completamente a possibilidade de incidentes.
Assinale a alternativa correta: 
Alternativas
Q3866603 Segurança da Informação
O Guia do Framework de Privacidade e Segurança da Informação, publicado pela Secretaria de Governo Digital, apresenta um conjunto de controles e orientações destinado a apoiar órgãos públicos na avaliação de sua maturidade em privacidade e segurança. Considerando as finalidades do Framework, qual das alternativas descreve corretamente uma de suas funções essenciais? 
Alternativas
Q3849717 Segurança da Informação
Considerando o gerenciamento de informações sensíveis, o agente administrativo deve adotar medidas preventivas contra acessos indevidos, como: 
Alternativas
Q3814238 Segurança da Informação
Sobre segurança da informação, são consideradas boas práticas para manter um computador seguro:

I. Manter instalados somente os aplicativos que realmente são utilizados.
II. Usar contas diferentes para cada usuário que utiliza um mesmo computador.
III. Manter data e hora corretos.

Quais estão corretas?
Alternativas
Q3991693 Segurança da Informação
Um analista responsável pela gestão da segurança de dados dentro do Ministério Público, utilizando-se do Guia do Framework de Privacidade e Segurança da Informação da Secretaria de Governo Digital, está implantando alguns controles de Privacidade, dentre os quais está a implementação de ações para não coletar e tratar de forma inadequada ou excessiva os dados pessoais de titulares e tratar a mínima quantidade de dados necessários para atingir a finalidade legal desejada, sendo este controle classificado pelo Framework como 
Alternativas
Q3991656 Segurança da Informação
De acordo com os principais conceitos de utilização do DevSecOps, são considerados benefícios de sua aplicabilidade, EXCETO 
Alternativas
Q3986730 Segurança da Informação
A ISO/IEC 27002 fornece diretrizes e boas práticas para a implementação de controles de segurança da informação em organizações, abrangendo diversos aspectos, desde a gestão de ativos até a proteção de redes e sistemas. Entre os conceitos abordados, existem ferramentas que permitem monitorar o tráfego de rede, coletando informações de comunicação entre dispositivos, sem interferir no funcionamento normal da rede. De acordo com a ISO/IEC 27002, qual é o conceito que corresponde a essas ferramentas?
Alternativas
Q3842964 Segurança da Informação
No que tange à prevenção de riscos na segurança da informação, os controles têm por objetivo neutralizar eventos potencialmente negativos que venham a ocorrer numa organização. Nesse sentido, existem três tipos de controles de segurança para um sistema de informação, descritos a seguir.
I.Foca a gestão do risco e a gestão da segurança do sistema de informação.
II.É primariamente implementado e executado por pessoas, em oposição a sistemas.
III.É primariamente executado e implementado pelo sistema de informação, através de mecanismos contidos nos componentes de hardware, software ou firmware presentes no sistema.
Esses controles de segurança são conhecidos, respectivamente, como: 
Alternativas
Q3841877 Segurança da Informação
Atualmente, a proteção de dados tem crescido em importância, particularmente por conta da LGPD, sendo que todas as empresas precisam priorizar a segurança de informações confidenciais para evitar multas, processos e outros tipos de prejuízos. Nesse contexto, uma sigla está relacionada a uma solução que utiliza técnicas como criptografia, análise de conteúdo e controle de acessos, visando a prevenção da perda de dados, evitando vazamentos de informações confidenciais, mantendo a atuação de uma empresa em conformidade com a LGPD e outras regulamentações. Outra sigla representa uma solução que realiza o controle de segurança entre o usuário final e os serviços em nuvem, executando o monitoramento de tráfego e as atividades dos usuários, além de identificar aplicativos não autorizados, protegendo informações sensíveis contra compartilhamentos sem o consentimento do dono da informação.
Os dois conceitos com as siglas que definem essas soluções, são conhecidos, respectivamente, como:
Alternativas
Q3841863 Segurança da Informação
A Segurança em Nuvem é definida como um conjunto de políticas, tecnologias e procedimentos que visam proteger os dados, aplicativos e infraestrutura em ambientes de nuvem. Entre as técnicas adotadas, uma está relacionada aos privilégios de acessibilidade oferecidos às contas de usuário, com destaque para o gerenciamento de autenticação e autorização de contas de usuário. Nesse contexto, os controles de acesso são essenciais para impedir que usuários, legítimos ou maliciosos, acessem e comprometam dados e sistemas confidenciais, sendo que faz parte do escopo dessa técnica o gerenciamento de senhas.
Essa técnica é conhecida como: 
Alternativas
Q3841460 Segurança da Informação
De acordo com a norma ABNT NBR ISO/IEC 27002:2022, que estabelece diretrizes para a implementação de controles de segurança da informação, as funções básicas que compõem a estrutura da segurança cibernética nas organizações são: 
Alternativas
Q3824201 Segurança da Informação
Em Segurança da Informação, o Princípio do Menor Privilégio (Principle of Least PrivilegePoLP) consiste em:
Alternativas
Q3821227 Segurança da Informação
A ABNT NBR ISO/IEC 27002 (Código de Práticas para Controles de Segurança da Informação) fornece diretrizes para a implementação de controles de segurança. Qual dos seguintes controles é fundamental para garantir a Responsabilidade e o Não Repúdio das ações realizadas por um usuário em um sistema? 
Alternativas
Q3781101 Segurança da Informação
Soluções DLP (Data Loss Prevention) utilizam diferentes métodos para identificar e classificar dados sensíveis que precisam ser protegidos.
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.
Alternativas
Q3781100 Segurança da Informação
No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.


Assinale a opção que indica a relação correta na ordem apresentada.
Alternativas
Q3781095 Segurança da Informação
Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.

O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).


Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.
Alternativas
Respostas
41: B
42: E
43: E
44: D
45: A
46: A
47: B
48: E
49: D
50: A
51: E
52: A
53: C
54: A
55: A
56: D
57: C
58: E
59: A
60: C