Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.346 questões
A servidora Ana trabalha na vara civil de um tribunal e frequentemente acessa sistemas judiciais, manipula documentos sigilosos e recebe e-mails com arquivos anexos. Recentemente, percebeu lentidão no computador e janelas pop-up incomuns. Para evitar riscos à integridade e confidencialidade das informações tratadas, Ana decide adotar boas práticas de segurança digital com base na ação correta e segura no contexto da administração pública, que é:
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.
A esse respeito, relacione os componentes da Infraestrutura de Chaves Públicas (PKI) listados a seguir às respectivas funções.
1. Autoridade Certificadora 2. Autoridade de Registro 3. Diretório 4. Módulo de Validação
( ) Verifica a identidade dos solicitantes de certificados e encaminha a solicitação.
( ) Armazena e disponibiliza certificados públicos e listas de revogação.
( ) Verifica, em tempo real, o status dos certificados quanto à sua validade ou revogação.
( ) Emite, assina digitalmente e revoga certificados digitais.
A relação correta, segundo a ordem apresentada, é:
Com base no relato, avalie as afirmativas relacionadas ao emprego da Engenharia Reversa e assinale (V) para verdadeira e (F) para falsa.
( ) É um processo técnico útil para resolver o problema, utilizando a análise do sistema para entender sua estrutura, seu funcionamento e sua operação.
( ) Ela atua na análise do sistema de arquivos e na tentativa de recuperar dados que não estão mais acessíveis, promovendo o entendimento de como o malware funciona, identificando suas fraquezas e aperfeiçoando o desenvolvimento de defesas mais eficazes.
( ) Nesse cenário, as vulnerabilidades de dia zero representam uma ameaça específica, pois significam vulnerabilidades conhecidas, documentadas e corrigidas.
As afirmativas são, respectivamente,
Considerando esse contexto, selecione a opção que apresenta um exemplo de controle físico previsto na ISO/IEC 27001.
O auxiliar de informática sabe que isso não deve ser feito, porque viola um dos 3 pilares fundamentais da segurança da informação. Trata-se de
I. A autenticação multifator eleva a segurança de sistemas ao exigir a combinação de dois ou mais fatores de autenticação distintos, como algo que o usuário sabe, algo que possui e algo que é.
II. Na criptografia simétrica, cada parte da comunicação usa um par de chaves diferentes - uma pública e uma privada - para criptografar e descriptografar mensagens.
III. A certificação digital utiliza uma estrutura chamada Infraestrutura de Chaves Públicas (PKI) e serve para associar uma identidade a uma chave pública, por meio de uma Autoridade Certificadora (CA).
Está correto o que se afirma em:
Assinale a afirmativa que descreve corretamente a principal função de um certificado digital.
Princípios:
1. Confidencialidade
2. Autenticidade
3. Integridade Protocolos/Algoritmos:
( ) Kerberos
( ) 3DES (Triple Data Encryption Standard)
( ) SHA-1 (Secure Hash Algorithm 1)
Assinale a opção que indica a relação correta, na ordem apresentada.
Com base nesse cenário, assinale a opção que apresenta apenas controles tecnológicos previstos na norma ISO/IEC 27001.
Em relação ao conceito de integridade, avalie as afirmativas a seguir e assinale (V) para verdadeira e (F) para falsa.
( ) Quando um atacante insere um vírus, uma bomba lógica ou um backdoor em um sistema, a integridade do sistema é comprometida. Isso pode, por sua vez, afetar negativamente a integridade da informação contida no sistema mediante a corrupção, modificação maliciosa ou substituição de dados por dados incorretos. Controle de acesso estrito, detecção de intrusão e hashing podem combater essas ameaças.
( ) A integridade dos dados pode ser garantida em grande parte por meio de técnicas de criptografia, que protegem as informações contra acessos ou alterações não autorizadas. Os princípios de política e de gestão para criptografia podem ser definidos em um documento específicos de diretrizes.
( ) Ataques de negação de serviço e de marshalling são métodos em desuso que os atacantes usam para interromper a integridade dos dados e dos sistemas de uma organização. Esses ataques são planejados para alterar recursos ou sequestrar informações do sistema a partir de dispositivos móveis.
As afirmativas são, segundo a ordem apresentada,
Sabe-se que a organização foi, de fato, atacada, que houve negligência por parte do gestor de segurança, e que o ransomware apresentará uma mensagem de sequestro na tela ou adicionará um arquivo de texto (mensagem) nas pastas afetadas.
Com base no caso relatado, analise as afirmativas a seguir sobre formas de proteção contra ataques do tipo ransomware.
I. Fazer backup dos dados de modo regular e manter pelo menos um backup completo off-line.
II. Manter todos os softwares, incluindo os sistemas operacionais, atualizados e com patches de segurança.
III. Combinar boas práticas como monitoramento, softwares antimalware, treinamento e conscientização dos usuários.
Está correto o que se afirma em:
Com relação à encriptação, analise as afirmativas a seguir.
I. O Google Meet cumpre as normas de segurança da Internet Engineering Task Force (IETF) relativas a Datagram Transport Layer Security (DTLS) e Secure Real-time Transport Protocol (SRTP).
II. Por predefinição, as gravações do Google Meet armazenadas no Google Drive são encriptadas em repouso.
III. Por padrão, todos os dados transmitidos durante videoconferências realizadas pelo Google Meet — seja por navegador de internet, pelos aplicativos do Google Meet em dispositivos Android ou Apple® iOS®, ou por meio de hardware específico para salas de reunião — são criptografados durante o trânsito entre o cliente e os servidores da Google.
Está correto o que se afirma em:
Com relação à intencionalidade das ameaças, os grupos em que elas podem ser classificadas são: