Questões de Concurso Sobre segurança da informação

Foram encontradas 14.730 questões

Q1988579 Segurança da Informação
No RDS (Remote Desktop Services), o estabelecimento de um túnel SSL criptografado entre o dispositivo do usuário final e o servidor de gateway faz parte 
Alternativas
Q1986923 Segurança da Informação
Malware é qualquer software intencionalmente feito para causar danos a um computador, servidor, cliente, ou a uma rede de computadores. No entanto, existem vários tipos de malware tais como:

(1) Worm.
(2) Source.
(3) Trojan.
(4) Spyware.

Da relação apresentada:
Alternativas
Q1986152 Segurança da Informação
Considere que uma pessoa, detentora de um segredo:
I. Garante que ele está conforme seu conteúdo original estabelecido e que assim se manterá enquanto existir.
II. Garante a um grupo de pessoas que elas podem acessá-lo sempre que quiserem, desde que autorizadas por ela.
III. Autoriza somente um grupo de pessoas a acessá-lo em um determinado local.

No contexto de segurança da informação, as considerações I, II e III são, correta e respectivamente, correspondentes aos princípios de 
Alternativas
Q1986151 Segurança da Informação
No contexto de ataques DDos, considere o texto abaixo.
Um cliente mal-intencionado envia um grande volume de pacotes de SYN (primeira parte do handshake usual), mas nunca envia a confirmação para concluir o handshake. Isso deixa o servidor aguardando uma resposta a essas conexões semiabertas do TCP, que acabam ficando sem capacidade para aceitar novas conexões dos serviços que monitoram estados de conexão. Um exemplo disso no dia a dia seria como um trote feito por um grande número de pessoas, em que todos ligam para um mesmo restaurante delivery e pedem um prato no mesmo período. Então, quando o entregador vai organizar os pedidos, percebe que há pratos demais, que eles não cabem no carro e que os pedidos não têm endereço. Assim, todo o processo de entrega é interrompido.
O texto descreve um ataque do tipo
Alternativas
Q1986139 Segurança da Informação
Estabelecer governança de segurança cibernética e fortalecer a gestão e coordenação integrada de ações de segurança cibernética nos órgãos do Poder Judiciário é um dos objetivos da Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ), que consta na Resolução Nº
Alternativas
Q1986130 Segurança da Informação
Segundo a norma ABNT NBR ISO 22301:2020, na parte que trata do contexto da organização, ao estabelecer o Sistema de Gestão de Continuidade de Negócios (SGCN), a organização deve determinar
Alternativas
Q1986129 Segurança da Informação
Considere as fases abaixo, referentes a operações de notificação de incidentes, descritos na norma ABNT NBR ISO/IEC 27035- -3:2021. 

Fase I: o evento de segurança de TIC detectado, que é um incidente em potencial, é relatado (geração de relatório de eventos) da fonte (pessoas, aviso de organização externa ou alerta do sistema) ao PoC (ponto de contato).
Fase II: dependendo das características do incidente, vários tipos de geração de relatórios internos são incluídos como parte da geração de relatório de incidentes.

As fases I e II são, correta e respectivamente, 
Alternativas
Q1986123 Segurança da Informação
Antes de decidir qual tipo de SSL offloading utilizar em um Tribunal, uma Analista elencou as características dos dois tipos:
I. O cliente é conectado ao load balancer por meio da conexão HTTPS segura e criptografada e, em seguida, esse load balancer é conectado ao servidor por meio do protocolo HTTP inseguro. O servidor não requer que todos os dados provenientes do lado do cliente sejam criptografados e descriptografados, o que ajuda a reduzir o workload e aumentar a velocidade de carregamento. Os sites com protocolo inseguro são certamente os que não lidam com nenhum dado sensível do usuário.
II. Os dados do cliente ao load balancer e do load balancer ao servidor se mantêm criptografados. O objetivo é verificar os dados para garantir que estejam livres de malware. O processo inclui a descriptografia dos dados recebidos e, em seguida, a inspeção de spyware, vírus e ataques web como DDoS, cross-site forgery, SQL injections etc. Logo após, os dados são novamente criptografados e enviados para o servidor web. Isso pode ser caro devido ao investimento em infraestrutura, mas é útil para os sites que coletam informações confidenciais do usuário.

Os tipos I e II são, correta e respectivamente, SSL
Alternativas
Q1986122 Segurança da Informação
Considere a situação abaixo.
Carlos abre um aplicativo no qual são oferecidas 3 formas de acesso à plataforma: com Google, com Facebook e com E-mail.
Carlos clica no opção “Acessar com Google”. O aplicativo faz uma requisição ao Google Accounts, pedindo uma chave de acesso para consumir um recurso protegido. Quando o Google Accounts recebe o pedido de autorização para acessar um recurso protegido, inicia-se o processo de identificação e autenticação.
Surge a tela do Google para Carlos digitar seu e-mail (@gmail.com), seguida da tela (do Google) para Carlos digitar a senha. Nesse passo, Carlos identifica-se, autentica-se e consente que o aplicativo acesse os recursos protegidos em seu nome. Então, o Google Accounts emite um access token (chave de acesso) para o aplicativo, que poderá acessar os recursos protegidos.

Nessa situação, que ilustra o funcionamento inicial do OAuth2 (RFC 6749), o Google Accounts é o  ...I... , Carlos é o ...II... e o aplicativo é o ...III... .
Os roles que preenchem, correta e respectivamente, as lacunas I, II e III são: 
Alternativas
Q1985771 Segurança da Informação
No contexto de protocolos criptográficos, de uso frequente em redes Wi-Fi, assinale a opção que apresenta a combinação que oferece o maior grau de proteção contra intrusos.
Alternativas
Q1985617 Segurança da Informação
Dadas as afirmativas sobre o propósito geral da ISO/IEC 27001:2013 dentro de um Sistema de Gestão de Segurança da Informação (SGSI),

I. Especifica um conjunto de diretrizes para estabelecer, implementar, manter e melhorar continuamente um SGSI, dentro de um contexto regional ou em um conjunto de organizações de um mesmo segmento.
II. A norma também apresenta requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
III. Especifica um conjunto de requisitos genéricos, que podem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.

verifica-se que está(ão) correta(s) apenas
Alternativas
Q1985613 Segurança da Informação
O Plano de Continuidade da Segurança da Informação é essencial para o tratamento de situações críticas e adversas, por exemplo, uma crise ou desastre. Para proporcionar uma implementação eficiente desse controle, convém que a organização assegure-se de que
Alternativas
Q1985612 Segurança da Informação
João trabalha numa organização que está em negociação para fechar contrato com uma empresa prestadora de serviço de vigilância eletrônica, a qual apresentou o certificado ISO 27001:2013 conquistado recentemente. Com base nessas informações, já é possível que João possa garantir a qualidade na gestão da segurança da informação no serviço que se pretende contratar?  
Alternativas
Q1985604 Segurança da Informação
Um agente do TCE deseja implantar o controle “Trabalho Remoto” descrito na ABNT NBR ISO/IEC 27002:2013 e, para isso, verificou os pontos que deveriam ser considerados nas diretrizes dessa norma técnica. De acordo com a norma, o agente deve atentar para
Alternativas
Q1984252 Segurança da Informação
O padrão SAML V2 define 3 tipos de declarações que podem ser transmitidas em uma afirmação.
As declarações de autenticação
Alternativas
Q1984240 Segurança da Informação
Os executivos responsáveis por uma empresa decidiram, recentemente, migrar toda sua força de trabalho para o modelo de home-office. Para facilitar essa migração, os serviços de diretório de identidades e armazenamento de arquivos foram migrados para provedores de serviços externos (nuvem pública), em que os usuários têm acesso diretamente aos serviços, sem necessidade de estar na rede da empresa.
Nesse sentido, assinale a opção que indica a ação efetiva para prover visibilidade sobre o uso dos serviços externos; controle sobre os cumprimentos das políticas de segurança da informação; e proteção contra vazamento de identidades.
Alternativas
Q1984189 Segurança da Informação
Um sistema criptográfico tipicamente depende de duas partes: seu algoritmo, que determina as operações que precisam ser feitas para proteger uma mensagem, e sua chave, que age como entropia para a proteção da mensagem. De forma geral, o algoritmo deverá ser capaz de, ao receber uma mensagem em texto legível, aciona a chave que gerará uma nova mensagem não compreensível para qualquer um que não possua a chave. Porém, durante os anos, criptoanalistas desenvolveram métodos para tentar descobrir as chaves secretas.
Nesse sentido, analise os métodos a seguir.
I. Ataque de texto cifrado (cyphertext-only): o criptoanalista tem uma grande biblioteca de mensagens cifradas, mas desconhece as originais e as chaves utilizadas. Seu objetivo é recuperar as mensagens normais (deduzir as chaves utilizadas).
II. Ataque de texto conhecido (known-plaintext): o criptoanalista possui uma grande biblioteca de mensagens criptografadas e também as mensagens originais equivalentes. Seu objetivo é deduzir as chaves utilizadas.
III. Ataque adaptativo do texto escolhido (adaptative-choosenplaintext): neste método o criptoanalista utiliza blocos de informações em texto puro para descobrir através da tentativa e erro entre todas as combinações possíveis as chaves de criptografia.
IV. Ataque do texto cifrado escolhido (choosen-cyphertext): o criptoanalista tem uma grande quantidade de mensagens e seus equivalentes criptografados e pode produzir uma mensagem criptografada específica para ser decifrada e obter o resultado produzido. É utilizado quando se tem uma "caixapreta" que faz descriptografia automática. Sua tarefa é deduzir chaves utilizadas.
Os métodos que estão corretamente descritos são:
Alternativas
Q1984188 Segurança da Informação
Os executivos responsáveis por uma empresa decidiram, recentemente, migrar toda sua força de trabalho para o modelo de home-office. Para facilitar essa migração, os serviços de diretório de identidades e armazenamento de arquivos foram migrados para provedores de serviços externos (nuvem pública), onde os usuários têm acesso diretamente aos serviços sem necessidade de estar na rede da empresa.
Nesse sentido, assinale a opção que indica a ação efetiva para:
- Prover visibilidade sobre o uso dos serviços externos.
- Controle sobre os cumprimentos das políticas de segurança da informação.
- Proteção contra vazamento de identidades. 
Alternativas
Q1984186 Segurança da Informação

O diagrama (Figura 1) e as informações a seguir refere-se à próxima questão.




Considere que:

Os equipamentos possuem os seguintes endereços IPs e máscaras:

 Servidor 1: 10.20.1.5 /24

 Servidor 2: 10.20.1.6 /24

 Computador 1: 10.20.1.101/24

 Firewall A – LAN: 10.20.1.1/24

 Firewall A – WAN: 200.212.123.2/30

Os computadores e servidores têm como gateway padrão o IP: 10.20.1.1

O Servidor 1 possui um serviço http instalado rodando na porta 80, que está publicado para a internet através de um NAT no firewall na mesma porta.

O Servidor 2 possui um serviço ldap rodando na porta 389.

Assuma que os equipamentos listados anteriormente compõem a rede da empresa fictícia Empresa A. Mediante as novas demandas do mercado por segurança, os executivos da Empresa A contrataram uma consultoria para fazer um levantamento de riscos.
Um dos riscos indicados foi a possível interrupção do negócio mediante comprometimento do ambiente.
A esse respeito, assinale a opção que não apresenta um controle presente no Guia De Aperfeiçoamento Da Segurança Cibernética Para Infraestrutura Crítica V1.1 que pode ajudar a prevenir este risco.
Alternativas
Q1983272 Segurança da Informação
Sobre o Comitê Gestor da Internet no Brasil, avalie as afirmativas a seguir.
I. Os 25 integrantes do Comitê, eleitos a cada dois anos, representam diversos setores da sociedade, sendo a maior parte proveniente de órgãos de governo (13), seguidos pela Sociedade Civil (10) e por dois acadêmicos de notório saber em assuntos de Internet.
II. Além de recomendação de procedimentos, normas e padrões técnicos operacionais para a Internet no Brasil, entre as atribuições do Comitê está o estabelecimento de diretrizes para a administração do registro de Nomes de Domínio usando <.br> e de alocação de endereços Internet (IPs);
III. O setor empresarial é o único a receber pro-labore para integrar o Comitê e pode indicar apenas representantes dos seguintes setores: bens de informática, provedores de acesso e usuários.
Está correto o que se afirma em
Alternativas
Respostas
7101: E
7102: D
7103: D
7104: E
7105: E
7106: B
7107: E
7108: C
7109: E
7110: E
7111: E
7112: B
7113: A
7114: C
7115: B
7116: B
7117: D
7118: B
7119: C
7120: B