Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.346 questões
(__)Na assinatura digital de um documento, o remetente utiliza sua chave privada para criptografar o hash do documento, e o destinatário utiliza a chave pública do remetente para decifrar o hash e verificar a autenticidade e a integridade.
(__)A criptografia simétrica, como o AES, utiliza a mesma chave para os processos de cifragem e decifragem, o que a torna computacionalmente mais lenta e inadequada para grandes volumes de dados em comparação com a criptografia assimétrica.
(__)Um certificado digital, no padrão X.509, tem como principal função atestar a identidade do seu proprietário, mas não contém a chave pública do mesmo, que deve ser obtida por um canal de comunicação separado e seguro.
(__)O algoritmo RSA é um exemplo de criptografia assimétrica em que a segurança se baseia na dificuldade computacional de fatorar números inteiros muito grandes, que são o produto de dois números primos.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
I.A Declaração de Aplicabilidade (SoA) é um documento obrigatório que lista todos os controles selecionados do Anexo A, a justificativa para sua seleção, se estão implementados ou não, e a justificativa para a exclusão de quaisquer controles.
II.A análise de riscos, conforme a ISO 27001, deve obrigatoriamente seguir a metodologia quantitativa, calculando a Expectativa de Perda Anual (ALE) para cada ativo de informação identificado no escopo do SGSI.
III.O controle A.12.3 do Anexo A, referente a backup, especifica que cópias de segurança de informação, software e imagens de sistema devem ser realizadas e testadas regularmente de acordo com uma política de backup definida e acordada.
Está correto o que se afirma em:
(__)Para prevenir ataques de SQL Injection de forma eficaz, a melhor prática é utilizar declarações preparadas (prepared statements) com APIs como PDO (PHP Data Objects) ou MySQLi, em vez de concatenar ou interpolar variáveis diretamente em strings de consulta SQL.
(__)A função mysql_real_escape_string(), apesar de ainda funcional, é considerada obsoleta e insegura para prevenir SQL Injection em versões modernas do PHP, pois pertence à extensão mysql_ que foi removida no PHP 7.
(__)A utilização da função htmlspecialchars() é uma medida crucial para mitigar ataques de Cross-Site Scripting (XSS) refletido e armazenado, pois ela converte caracteres especiais, como < e >, em suas respectivas entidades HTML, impedindo que o navegador interprete o dado como código.
(__)Para proteger contra ataques de Cross-Site Request Forgery (CSRF), é suficiente verificar o cabeçalho HTTP Referer para garantir que a solicitação se origina do mesmo domínio, não sendo necessária a implementação de tokens de sincronização (synchronizer tokens).
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
(__)Um firewall de inspeção de estado (stateful inspection) opera principalmente na camada de Aplicação (Camada 7 do modelo OSI), analisando o conteúdo completo dos pacotes, incluindo cargas úteis de protocolos como HTTP e SMTP, para detectar malware.
(__)Um sistema de prevenção de intrusão (IPS) é um dispositivo de segurança ativo que monitora o tráfego da rede em busca de atividades maliciosas e, ao detectar uma ameaça, pode tomar ações para bloqueá-la em tempo real, como descartar pacotes ou encerrar a conexão.
(__)Um proxy reverso (reverse proxy) é posicionado em frente aos servidores web para interceptar requisições de clientes externos, podendo fornecer balanceamento de carga, cache de conteúdo e terminação SSL, aumentando a segurança e o desempenho dos servidores.
(__)Uma VPN (Virtual Private Network) com protocolo IPsec no modo túnel encapsula o pacote IP original inteiro dentro de um novo pacote IP, criptografando a carga útil e o cabeçalho originais, para fornecer um canal de comunicação seguro através de uma rede pública como a Internet.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
Esse pilar é denominado:
A política corporativa exige senhas complexas e autenticação em dois fatores (2FA) para contas sensíveis, incluindo o acesso remoto. Acerca dos procedimentos de segurança, assinale a opção que explicita o principal benefício de combinar essas duas medidas de segurança.
Ao receber um e-mail suspeito de origem desconhecida, a ação mais segura é:
I. As senhas que são fáceis de lembrar (como datas de nascimento, endereço ou número de telefone) são as mais seguras de serem utilizadas.
II. Conectar-se a qualquer rede Wi-Fi pública é totalmente seguro, mesmo sem senha.
III. Antivírus é opcional, já que os dispositivos modernos não são mais infectados por códigos maliciosos.
IV. É sempre importante verificar o endereço do site (URL) para evitar cair em golpes.
V. Nunca se deve compartilhar senhas e informações pessoais com desconhecidos na Internet.
Estão CORRETAS apenas:
I.Confidencialidade é a garantia de que a informação só será acessada por pessoas ou sistemas devidamente autorizados.
II.Integridade refere-se à salvaguarda da exatidão e completude da informação e dos métodos de processamento, garantindo que não houve alteração indevida.
III.Disponibilidade significa que a informação deve ser tornada pública na internet para que qualquer pessoa possa acessá-la a qualquer momento.
Está correto o que se afirma em:
I.Na criptografia simétrica, a mesma chave secreta é utilizada tanto para criptografar quanto para descriptografar a mensagem, exigindo um canal seguro para troca da chave.
II.Na criptografia assimétrica (chave pública), utiliza-se um par de chaves: uma pública para criptografar e uma privada, mantida em segredo pelo destinatário, para descriptografar.
III.A criptografia assimétrica é muito mais rápida computacionalmente que a simétrica, sendo por isso usada para criptografar todo o fluxo de dados em conexões de alta velocidade.
Está correto o que se afirma em: