Questões de Concurso Comentadas sobre segurança da informação

Foram encontradas 13.346 questões

Q3508334 Segurança da Informação
Em um contexto de planejamento de Recuperação de Desastres (DRP), imagine que uma organização precisa definir seus objetivos para minimizar o impacto de uma interrupção nos seus sistemas e dados. Assinale entre as alternativa seguintes, que apresentam métricas de DRP, aquela que estabelece o período máximo tolerável durante o qual os dados podem ser perdidos devido a um incidente antes que cause danos significativos ao negócio:
Alternativas
Q3508332 Segurança da Informação
Dentre os modos de operação do algoritmo de criptografia simétrica AES listados, aquele que intrinsecamente fornece confidencialidade, integridade e autenticidade dos dados criptografados através de um mecanismo de autenticação integrado, sem depender de protocolos ou técnicas adicionais, é: 
Alternativas
Q3508331 Segurança da Informação
Durante a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em uma empresa de tecnologia, a equipe de segurança foi encarregada de garantir conformidade com a NBR ISO/IEC 27001:2022. Durante o processo, surgiu a necessidade de definir controles técnicos e administrativos adequados. Para isso, os profissionais consultaram também a NBR ISO/IEC 27002:2022. Assinale a alternativa que descreve corretamente a relação entre a NBR ISO/IEC 27001:2022 e a NBR ISO/IEC 27002:2022:
Alternativas
Q3508326 Segurança da Informação
Durante uma auditoria de segurança em um sistema de dados financeiros, a equipe responsável identificou uma vulnerabilidade crítica em um micro serviço responsável pela autenticação do sistema. O sistema estava aceitando tokens JWT cujo cabeçalho (header) especificava o algoritmo "none". Um atacante, explorando essa falha, conseguiu gerar manualmente um token falso com privilégios de administrador, obtendo acesso não autorizado a recursos sensíveis do sistema. Em relação à autenticação e autorização baseadas em tokens JWT, assinale a alternativa que descreve corretamente a implicação direta de permitir o uso do algoritmo "none":
Alternativas
Q3508318 Segurança da Informação

Durante uma análise forense em um data center, uma equipe identificou que um atacante obteve acesso a um espelhamento de porta (port mirroring) em um switch core. O tráfego estava protegido com HTTPS. Apesar disso, o atacante conseguiu interceptar dados sensíveis de um sistema legado. Com relação a alternativas que explicam corretamente como o sniffing pode ser viável mesmo em ambientes com criptografia TLS, analise as afirmações abaixo:



I. O uso de algoritmos TLS fracos ou obsoletos (ex.: TLS 1.0 ou RC4) pode permitir o ataque a sessões criptografadas;


II. Se um cliente aceitar certificados inválidos ou autoassinados, um atacante pode inserir seu próprio certificado para executar um ataque do tipo Man-in-the-Middle;


III. O espelhamento de porta (port mirroring) remove a criptografia TLS do tráfego capturado, tornando os dados legíveis para o atacante;



É correto o que se afirma em:

Alternativas
Q3508316 Segurança da Informação

Em um ambiente de rede corporativa complexo, segmentado em múltiplas VLANs (Virtual Local Area Networks) e com switches gerenciáveis, dotados de recursos avançados de segurança, a equipe de segurança da informação está implementando mecanismos para mitigar o risco de sniffing — ou seja, a interceptação não autorizada do tráfego de rede por agentes internos ou externos. Com base em práticas para mitigação contra sniffing em redes locais, analise as afirmações abaixo:



I. A utilização de criptografia fim a fim (ex.: TLS, IPSec) nas aplicações críticas contribui para preservar a confidencialidade dos dados.


II. A habilitação de mecanismos como DHCP Snooping e Dynamic ARP Inspection (DAI) nos switches contribui para bloquear ataques de ARP spoofing e falsos servidores DHCP, frequentemente utilizados para em sniffing.


III. A aplicação de políticas de Access Control Lists (ACLs) nos switches, associadas às VLANs, permite restringir o tráfego lateral entre segmentos da rede e contribui para o isolamento do tráfego interno.



É correto o que se afirma em

Alternativas
Q3508315 Segurança da Informação
No protocolo OAuth 2.0, qual é o ator responsável por verificar a identidade do usuário final e obter seu consentimento antes de emitir um código de autorização?
Alternativas
Q3508309 Segurança da Informação

Uma instituição financeira está revisando seus contratos com fornecedores de nuvem (cloud providers) para garantir conformidade com as normas de segurança da informação. Durante esse processo, a equipe de GRC (Governança, Risco e Compliance) identificou a necessidade de:


• Formalizar requisitos de segurança em contratos.


• Avaliar riscos específicos de terceirização.


• Implementar monitoramento contínuo.


Com base na NBR ISO/IEC 27001:2022 e 27002:2022, considere as seguintes afirmações a seguir: 

I. O controle A.5.23 (Segurança da informação para uso de serviços em nuvem) da NBR ISO/IEC 27002:2022 fornece diretrizes para mitigar riscos associados a fornecedores, incluindo avaliação de controles de segurança antes da contratação.

II. A avaliação de fornecedores pode considerar certificações independentes (ex: NBR ISO/IEC 27001 ou SOC 2) como evidência de conformidade com requisitos de segurança.

III. A NBR ISO/IEC 27001:2022, por meio do controle A.5.22 (Gestão de segurança da informação nas relações com fornecedores), exige formalmente que contratos com fornecedores incluam cláusulas específicas sobre segurança da informação, especificações no uso de criptografia nos dados em repouso, e métodos de autenticação e autorização.


É correto o que se afirma em:

Alternativas
Q3508308 Segurança da Informação

A definição de requisitos de segurança no início do ciclo de vida do software, como preconiza o SDL (Security Development Lifecycle), reduz o custo e o impacto das vulnerabilidades. Analise as afirmações a seguir:



I. A modelagem de ameaças no SDL ocorre antes da codificação e ajuda a identificar vetores de ataque.


II. SDL recomenda que as práticas de segurança sejam implementadas somente após a codificação.


III. O SDL substitui totalmente a necessidade de testes de penetração.



É correto o que se afirma em:

Alternativas
Q3507471 Segurança da Informação
Qual das alternativas abaixo descreve corretamente uma prática recomendada para a criação de senhas seguras no contexto da Internet?
Alternativas
Q3507414 Segurança da Informação
O que caracteriza um ataque de ransomware?
Alternativas
Q3507410 Segurança da Informação
Ao utilizar uma rede Wi-Fi pública, qual das ações abaixo é recomendada para garantir maior segurança ao realizar atividades que envolvam dados confidenciais?
Alternativas
Q3507369 Segurança da Informação
Qual das afirmativas abaixo está correta sobre malware e vírus?
Alternativas
Q3507294 Segurança da Informação
Ao acessar um site para fazer compras online, qual característica indica que ele possui um certificado de segurança ou SSL (Secure Sockets Layer)?
Alternativas
Q3506469 Segurança da Informação
Dados sensíveis de clientes estão sendo trafegados entre um data center e uma unidade de negócio por meio da internet. Considerando as boas práticas de segurança da informação, a forma mais adequada de garantir a proteção desses dados durante a transmissão e o armazenamento é por
Alternativas
Q3506468 Segurança da Informação
Um órgão de fiscalização estadual está implementando um programa de gestão de riscos em segurança da informação utilizando a análise SWOT com foco em riscos. Durante a primeira reunião, o comitê executivo identificou que o órgão possui uma equipe de TI altamente qualificada, mas que a política de backup ainda é manual e mal documentada. Além disso, observa-se o aumento do número de ataques de phishing direcionados a órgãos públicos. Na análise SWOT com foco em riscos, considerando os elementos apresentados, a equipe de TI é classificada como uma
Alternativas
Q3506467 Segurança da Informação
Uma organização desenvolveu um novo sistema para armazenar e transferir dados sensíveis entre unidades operacionais em diferentes localidades. Como parte da estratégia de segurança da informação, um integrante da equipe optou por implementar criptografia tradicional de dados em trânsito e em repouso, sem mecanismos adicionais de autenticação ou verificação, alegando que essa medida seria suficiente para garantir a integridade dos dados durante toda a operação. Nesse caso, é tecnicamente correto afirmar que a criptografia
Alternativas
Q3506466 Segurança da Informação
Um funcionário baixa um anexo malicioso de um e-mail. Um software instalado em seu computador detecta a ameaça de ransomware antes que ocorra qualquer criptografia, bloqueia o ataque automaticamente e notificaaequipe de segurança. Esse tipo de software é um exemplo de
Alternativas
Q3506325 Segurança da Informação
A gestão da segurança da informação é um conjunto de práticas e estratégias voltadas para proteger dados e sistemas contra ameaças, garantindo confidencialidade, integridade e disponibilidade das informações. Marque a alternativa CORRETA que caracteriza como a confidencialidade é definida.
Alternativas
Q3505689 Segurança da Informação
Assinale a alternativa que NÃO contribui para aumentar a segurança do usuário na Internet:
Alternativas
Respostas
1941: D
1942: A
1943: C
1944: D
1945: A
1946: E
1947: E
1948: A
1949: E
1950: B
1951: C
1952: B
1953: B
1954: A
1955: A
1956: D
1957: D
1958: C
1959: C
1960: D