Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.346 questões
Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).
As organizações devem adotar a abordagem sistemática de gestão de riscos conforme método específico estipulado na norma NBR ISO 27005:2019.
Acerca de gestão de riscos e continuidade de negócio, julgue o item que se segue, com base na NBR ISO 27005:2019 e na Lei Geral de Proteção de Dados (LGPD).
O processo de avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis, determina as consequências possíveis e prioriza os riscos derivados, ordenando-os de acordo com os critérios de avaliação de riscos estabelecidos.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Um certificado digital possibilita a assinatura de documentos, a prova de identidade, a criptografia de dados e a garantia da integridade da informação gerada por seu detentor.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Em sistemas de criptografia, uma chave pública é gerada a partir da chave privada do seu emissor e, após isso, pode ser distribuída livremente.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Os sistemas de criptografia assimétrica utilizam uma chave compartilhada entre o emissor e o receptor dos dados, sendo indicados para ambientes de baixo nível de segurança.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Nos algoritmos de criptografia DES e IDEA, a chave utilizada para cifrar dados é a mesma utilizada para decifrá-los, e deve ser conhecida pelo remetente e pelo destinatário da informação.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Caso um certificado digital seja revogado, permanecem válidas todas as assinaturas realizadas com este certificado anteriormente à sua revogação, independentemente de haver ou não mecanismos de carimbo de tempo associados às assinaturas antigas.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Os certificados digitais para pessoas físicas são emitidos pelas autoridades certificadoras, possuem prazo de validade e dependem da validação de identidade do solicitante.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
Diferentemente de outros algoritmos de criptografia simétrica, o protocolo AES exige o constante compartilhamento de chaves entre todas as partes envolvidas em uma comunicação, o que limita seu desempenho em sistemas distribuídos e o torna impraticável em cenários de alta escala.
Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.
No Brasil, a assinatura digital foi regulamentada pela Lei Geral de Proteção de Dados, que dispõe sobre o processo de emissão, distribuição, validação e revogação dos certificados digitais para sistemas e pessoas.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
Um ataque LDAP injection bem-sucedido pode resultar na execução de comandos arbitrários, como a concessão de permissões para consultas não autorizadas e a modificação de conteúdo dentro da árvore LDAP.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
A camada de inteligência estratégica de ameaças de uma organização deve atuar na coleta de informações sobre as metodologias dos atacantes, bem como sobre as ferramentas e tecnologias envolvidas nos ataques.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
No contexto do planejamento e do controle operacionais, a organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
A metodologia OWASP (open web application security project) propõe um modelo de escopo de segurança restrito às etapas finais do desenvolvimento de software, focando principalmente na detecção e na mitigação de vulnerabilidades em produtos já prontos.
Julgue o próximo item, relativo aos serviços de autenticação Keycloak e OAuth 2.0.
De acordo com a especificação OAuth 2.0, o token de acesso, credencial utilizada para acessar recursos protegidos, é uma string que representa uma autorização emitida para o cliente.
Considerando o uso de um WAF (web application firewall) diante de uma aplicação web comum, julgue o item a seguir.
Um WAF baseado em nuvem precisa ser implementado por meio de proxy direto e suporta apenas um site.
No caso em questão, será necessário restaurar o backup completo do sábado anterior e o backup diferencial da terça-feira, bem como que os dados produzidos pelo sistema na quarta-feira pela manhã serão perdidos.
Julgue o próximo item, referente a códigos maliciosos e aplicativos para segurança.
Os sistemas antimalware baseados em métodos heurísticos têm como principal característica a imunidade à sinalização de falsos positivos, o que os torna superiores em eficácia aos sistemas baseados em assinaturas.
Considerando o uso de um WAF (web application firewall) diante de uma aplicação web comum, julgue o item a seguir.
Um WAF por assinatura de ataque detecta padrões que podem indicar tráfego malicioso, identificando tipos de solicitação, respostas anômalas do servidor e endereços IP maliciosos conhecidos.
Acerca de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.
Considere a seguinte URL.
https://prova.com/prova_seguranca?id=1332
Se nenhum outro controle estiver em vigor, um atacante pode simplesmente modificar o valor id para visualizar outros registros da aplicação em questão, sendo esse um exemplo de referência insegura a objetos que leva ao escalonamento horizontal de privilégios.