Questões de Concurso Comentadas sobre segurança da informação

Foram encontradas 13.346 questões

Q2325401 Segurança da Informação
Na NBR ISO 29100:2020, é fornecida uma estrutura de alto nível para a proteção de dados pessoais no contexto dos sistemas de tecnologia da informação e de comunicações (TIC). Para assegurar a privacidade de dados pessoais, há um processo pelo qual esses dados são irreversivelmente alterados, de forma que um titular de dados pessoais não mais possa ser identificado, direta ou indiretamente, seja por um controlador de dados pessoais ou em colaboração com qualquer outra parte.
Esse processo é definido nessa norma como
Alternativas
Q2325400 Segurança da Informação
Na NBR ISO 27002:2013, é recomendada a aplicação de controles para lidar com os recursos humanos que, em geral, são o elo mais fraco da segurança da informação.
Com relação à segurança em recursos humanos, essa norma estabelece controles para serem aplicados 
Alternativas
Q2325399 Segurança da Informação
A Resolução nº 740/2020, da Anatel, aprovou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, que tem por objetivo estabelecer condutas e procedimentos para a promoção da segurança nas redes e nos serviços de telecomunicações. Nessa resolução, é apresentada a seguinte definição:

espaço virtual composto por um conjunto de canais de comunicação da internet e outras redes de comunicação que garantem a interconexão de dispositivos de TIC e que engloba todas as formas de atividades digitais em rede, incluindo o armazenamento, processamento e compartilhamento de conteúdo além de todas as ações, humanas ou automatizadas, conduzidas através desse ambiente.

Na resolução citada, essa é a definição de espaço
Alternativas
Q2325398 Segurança da Informação
Na NBR ISO 27005:2019, é estabelecido que a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia de análise de riscos que utiliza uma escala com atributos que descrevem a magnitude das consequências potenciais (por exemplo, pequena, média e grande) e a probabilidade de essas consequências ocorrerem (por exemplo, alta, média e baixa).
Essa metodologia de análise de riscos é classificada como
Alternativas
Q2325397 Segurança da Informação
Na NBR ISO 27002:2013, são listados controles e objetivos de controles que devem ser aplicados de forma alinhada com o tratamento de riscos de segurança da informação. Um desses controles visa assegurar que a segurança da informação está implementada e é operada de acordo com as políticas e com os procedimentos da organização.
O objetivo descrito é o do controle de
Alternativas
Q2325395 Segurança da Informação
As organizações estabelecem e implementam um Sistema de Gestão de Segurança da Informação (SGSI) com base em suas necessidades e em seus objetivos, em seus requisitos de segurança, em seus processos organizacionais, em seu tamanho e em sua estrutura.
A NBR ISO 27001:2013 define vários itens que fazem parte da avaliação de desempenho do SGSI, dentre os quais 
Alternativas
Q2325394 Segurança da Informação
Um atacante ordenou aos seus bots a continuamente estabelecerem inúmeras conexões TCP diretamente com um servidor web alvo, usando um endereço de origem falsificado e inexistente. Todas as solicitações realizadas pelos bots foram recebidas e respondidas por esse servidor alvo durante algum tempo e, agora, não há mais recursos no servidor para responder a novas solicitações de conexão.
Esse servidor alvo está diante de um ataque de TCP
Alternativas
Q2325393 Segurança da Informação
Um ataque é um ato intencional executado por um agente malicioso para evadir os serviços de segurança de um sistema. Esse agente malicioso pode comandar um terceiro agente na execução do ataque às vítimas, e o fluxo de dados malicioso será direcionado às vítimas por esse terceiro agente.
Nesse caso, o método de execução do ataque é classificado como  
Alternativas
Q2325369 Segurança da Informação
O esquema desenvolvido por Rivest, Shamir e Adleman utiliza uma expressão com exponenciais para garantir o sigilo de dados. Considerando-se esse esquema, suponha que os primos p e q foram escolhidos e que n é igual ao produto de p * q. Sabe-se que a chave pública consiste no par [e,n], a chave privada consiste no par [d,n] e o texto cifrado (C) foi gerado a partir da chave pública.
Nesse contexto, o cálculo do texto plano (M) a partir do texto cifrado (C) será
Alternativas
Q2325367 Segurança da Informação
Diversos conceitos da teoria dos números são essenciais para o projeto de algoritmos de chave pública.
Um exemplo de algoritmo de chave pública que, para sua segurança, depende da dificuldade de se calcular logaritmos discretos é o 
Alternativas
Q2324368 Segurança da Informação
A Injeção de SQL, ou SQL Injection, está entre as vulnerabilidades mais críticas em aplicações Web.

De acordo com a OWASP, a melhor maneira de prevenir essa vulnerabilidade é
Alternativas
Q2324367 Segurança da Informação
Os frameworks de segurança da informação e segurança cibernética são ferramentas cruciais para orientar as organizações na proteção de seus ativos digitais. Eles oferecem uma estrutura padronizada para identificar, prevenir e responder a ameaças cibernéticas.

Nesse contexto, relacione os frameworks a seguir aos seus respectivos propósitos:

1. MITRE ATT&CK
2. CyBOK
3. NIST Cybersecurity
( ) É uma base de conhecimento que lista táticas, técnicas e procedimentos (TTPs) usados por atacantes cibernéticos.
( ) É composto por cinco funções principais: Identificar, Proteger, Detectar, Responder e Recuperar.
( ) Fornece práticas recomendadas e diretrizes específicas para implementar controles de segurança em uma organização.

Assinale a opção que indica a relação correta, na ordem apresentada.
Alternativas
Q2324366 Segurança da Informação
No contexto da gestão de riscos em segurança da informação e avaliação de segurança de produtos de TI, a ISO/IEC 27005 e a ISO/IEC 15408 são normas internacionalmente reconhecidas.

Em relação ao tema, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) A ISO/IEC 27005 é uma norma que fornece diretrizes para o processo de gestão de riscos em segurança da informação, incluindo a identificação, análise e tratamento de riscos.
( ) A ISO/IEC 15408, também conhecida como Critérios Comuns (Common Criteria), é uma norma que estabelece um framework para a avaliação da segurança de produtos de software, mas não inclui hardware em seu escopo.
( ) Ambas as normas, ISO/IEC 27005 e ISO/IEC 15408, fornecem critérios específicos para a certificação de produtos e serviços em segurança da informação.

As afirmativas são, respectivamente,
Alternativas
Q2324365 Segurança da Informação
Analise as seguintes afirmações relacionadas às soluções para Segurança da Informação:

I. O Firewall é uma solução de segurança projetada para monitorar e filtrar o tráfego de rede, permitindo ou bloqueando a comunicação com base em um conjunto de regras de segurança.
II. Sistemas de Prevenção de Intrusão (Intrusion Prevention System ou IPS) são capazes de detectar atividades suspeitas ou maliciosas na rede, mas necessitam de intervenção humana para bloquear o tráfego suspeito.
III. Sistemas de Detecção de Intrusão (IDS) têm como principal função prevenir atividades maliciosas na rede, bloqueando automaticamente o tráfego suspeito.
IV. Um Security Information and Event Management (SIEM) consolida logs e eventos de diversas fontes, proporcionando análise e correlação para identificar comportamentos anormais.

Está correto apenas o que se afirma em
Alternativas
Q2324364 Segurança da Informação
No contexto da criptografia simétrica e assimétrica, analise as afirmativas a seguir e assinale (V) para a verdadeira e (F) para a falsa.

( ) A criptografia assimétrica utiliza um par de chaves: uma chave pública e uma chave privada.
( ) O protocolo TLS usa uma combinação de criptografia simétrica e assimétrica para fornecer confidencialidade, integridade e autenticidade nas comunicações pela Internet.
( ) A criptografia assimétrica é geralmente mais rápida que a criptografia simétrica, sendo frequentemente utilizada para cifrar grandes volumes de dados.

As afirmativas são, respectivamente,
Alternativas
Q2324351 Segurança da Informação
Aline, diretora de TI de uma empresa, precisa implementar uma estratégia para retenção mais longa possível das cópias de segurança de um ambiente e com um número limitado de três conjuntos de mídias de backup.

Para isso, ela escolheu uma estratégia de rotação de modo que o primeiro conjunto de mídia é usado em dias alternados iniciando no primeiro dia, o segundo conjunto é usado no 2º e 6º dias e, o terceiro conjunto é usado no 4º e 8º dias. A partir do 9º dia este ciclo se repete.

A estratégia de backup utilizada por Aline chama-se
Alternativas
Q2324322 Segurança da Informação
O OAuth2 é um protocolo de autorização amplamente utilizado em seviços da web. Neste protocolo, a autorização é expressa na forma de uma concessão de autorização (authorization grant), que a aplicação cliente utiliza para solicitar o token de acesso.
São tipos de concessão de autorização definidos no OAuth2:
Alternativas
Q2322025 Segurança da Informação
Davi é servidor do Departamento de Segurança da Informação do Tribunal de Contas do Estado de São Paulo (TCE SP) e recebeu a tarefa de classificar as informações trafegadas na rede interna do Tribunal. O objetivo é assegurar que a informação receba um nível adequado de proteção de acordo com a sua importância para a organização e conformidade com a LGPD (Lei Geral de Proteção de Dados). Davi encontrou algumas informações estratégicas da empresa que deveriam estar disponíveis apenas para grupos restritos de colaboradores e que deveriam ter níveis médios de confidencialidade.

As informações encontradas por Davi devem ser classificadas como:
Alternativas
Q2322024 Segurança da Informação
  Imagem associada para resolução da questão
Amanda trabalha como webdesigner e dá suporte para aplicações WEB em várias empresas. A empresa Y entrou em contato com Amanda informando que está sofrendo muitos ataques de injeção de SQL e quebra de autenticação. Amanda informou à empresa Y que deveria ser instalado um firewall de aplicação web (WAF) com a intenção de identificar e bloquear tais ataques. Amanda implementou um modelo normalmente baseado em hardware e instalado localmente para que seja mais rápido, em contrapartida a um custo maior na sua implementação.

Amanda está implementando um WAF do tipo:
Alternativas
Q2322023 Segurança da Informação
Com o aumento no número de violações de segurança da rede do Tribunal de Contas do Estado de São Paulo (TCE SP), este resolveu contratar a empresa Z para que faça o hardening em sua rede. Hardening é uma coleção de ferramentas, técnicas e práticas recomendadas para reduzir as vulnerabilidades em softwares, sistemas, infraestrutura, firmwares e hardwares. Sua execução possui etapas comuns independentemente da referência adotada e está dividida em 9 etapas. A empresa Z está usando ferramentas para verificar a eficácia da implementação e emitindo alertas para possíveis comprometimentos de algum procedimento.

A empresa Z encontra-se na fase de verificação da:
Alternativas
Respostas
5081: E
5082: E
5083: D
5084: D
5085: A
5086: A
5087: A
5088: B
5089: C
5090: A
5091: D
5092: B
5093: A
5094: E
5095: D
5096: E
5097: D
5098: C
5099: A
5100: C