Questões de Concurso
Comentadas sobre controles de segurança em segurança da informação
Foram encontradas 614 questões
O CTO decidiu, então, pelo RBAC (controle baseado em função), uma vez que esse tipo de acesso permite:
Com o objetivo de evitar novos ataques nesse sentido e se adequar aos princípios do modelo, a ação alinhada com o processo a ser executado pela corretora é:
Para cumprir os preceitos da PSI, a Secretaria Geral de Tecnologia da Informação e Comunicações (SGTEC) implementou uma estratégia de segurança que compreende a utilização de defesa em profundidade.
A defesa em profundidade se caracteriza por:
I.A confidencialidade está relacionada à limitação de acesso à informação apenas a usuários, sistemas ou processos autorizados, podendo ser apoiada por mecanismos como controle de acesso e criptografia.
II.A integridade refere-se à manutenção da exatidão e da consistência das informações ao longo do tempo, sendo favorecida por técnicas como controles de alteração, registros de auditoria e uso de funções hash.
III.A disponibilidade envolve garantir que dados e serviços estejam acessíveis quando necessários, podendo ser impactada por falhas de hardware, ataques ou ausência de mecanismos de redundância.
IV.A aplicação isolada de soluções tecnológicas é suficiente para assegurar a tríade CIA, independentemente de políticas, processos organizacionais ou conscientização dos usuários.
V.Boas práticas de segurança da informação incluem a combinação de medidas técnicas, administrativas e físicas, buscando reduzir riscos sem eliminar completamente a possibilidade de incidentes.
Assinale a alternativa correta:
I. Manter instalados somente os aplicativos que realmente são utilizados.
II. Usar contas diferentes para cada usuário que utiliza um mesmo computador.
III. Manter data e hora corretos.
Quais estão corretas?
I.Foca a gestão do risco e a gestão da segurança do sistema de informação.
II.É primariamente implementado e executado por pessoas, em oposição a sistemas.
III.É primariamente executado e implementado pelo sistema de informação, através de mecanismos contidos nos componentes de hardware, software ou firmware presentes no sistema.
Esses controles de segurança são conhecidos, respectivamente, como:
Os dois conceitos com as siglas que definem essas soluções, são conhecidos, respectivamente, como:
Essa técnica é conhecida como:
Assinale a opção que descreve corretamente o método de classificação de dados por “Exact Data Match” (EDM) em soluções DLP.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.
( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.
( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.
( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.
Assinale a opção que indica a relação correta na ordem apresentada.
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.
O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).
Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.