Questões de Concurso Público TCU 2026 para Auditor Federal de Controle Externo - Área de Controle Externo/ Orientação: Auditoria de Tecnologia da Informação

Foram encontradas 200 questões

Q3906577 Segurança da Informação

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente. 


Em arquiteturas corporativas, o uso combinado de um proxy e de um SIEM tem potencial para ampliar a capacidade de detecção de atividades anômalas, uma vez que os registros de navegação tratados pelo proxy podem ser correlacionados pelo SIEM a eventos provenientes de firewalls, IDS e controles de acesso.  

Alternativas
Q3906578 Segurança da Informação

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente. 


A validação de segurança realizada no cliente é suficiente para eliminar os riscos de injeção em aplicações web baseadas em APIs REST, desde que o tráfego esteja protegido por TLS.  

Alternativas
Q3906579 Segurança da Informação

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente. 


Em um sistema corporativo, a exigência de senha e de código gerado por aplicativo autenticador atende aos requisitos de múltiplos fatores de autenticação, pois combina um fator de conhecimento e um fator de posse.

Alternativas
Q3906580 Segurança da Informação

A respeito de controles e testes de segurança para aplicações web, múltiplos fatores de autenticação e soluções para segurança da informação, julgue o item subsequente. 


O uso de um SIEM devidamente configurado para correlação em tempo real elimina a necessidade de mecanismos de prevenção de um IPS, já que os eventos consolidados permitem bloquear as atividades maliciosas diretamente a partir da análise centralizada.

Alternativas
Q3906581 Segurança da Informação

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue. 


No MITRE ATT&CK, as técnicas associadas à fase de exfiltração são classificadas como táticas do domínio Enterprise que representam objetivos estratégicos e substituem a necessidade de técnicas específicas na matriz.

Alternativas
Q3906582 Segurança da Informação

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue. 


Em um cenário corporativo no qual o framework NIST CSF é utilizado para organização das funções de segurança, a implementação de inventário e controle de ativos prevista nos CIS controls pode apoiar diretamente a função Identify do framework, já que ambos exigem visibilidade consistente de recursos tecnológicos.  

Alternativas
Q3906583 Segurança da Informação

No que se refere a frameworks de segurança da informação e a tratamento de incidentes cibernéticos, julgue o item que se segue. 


Durante o tratamento de um incidente cibernético, a fase de contenção pode incluir o isolamento temporário de ativos afetados, para limitar o impacto do incidente. 

Alternativas
Q3906584 Segurança da Informação

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores. 


Em ambientes de nuvem pública, a configuração de controles de acesso baseada em princípio de privilégio mínimo no nível dos serviços gerenciados contribui para reduzir superfícies de ataque. 

Alternativas
Q3906585 Segurança da Informação

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores. 


Em um sistema que utiliza assinatura digital para garantir integridade e autenticidade de documentos, é adequado que a proteção dos dados em trânsito seja apoiada por protocolos como o TLS, enquanto a proteção dos dados em repouso seja realizada por criptografia simétrica.  

Alternativas
Q3906586 Segurança da Informação

Julgue o item a seguir, referente a assinaturas digitais, segurança em nuvens e ataques a redes de computadores. 


Em ataques de ARP spoofing, o atacante depende de técnicas de IP spoofing para alterar o mapeamento entre endereços MAC e IP na tabela ARP da vítima.  

Alternativas
Q3906587 Sistemas Operacionais

Em relação à computação em nuvem e a tecnologias de contêineres, julgue o item a seguir.  


Docker e Kubernetes são software intercambiáveis em qualquer ambiente, pois ambos criam, executam e orquestram contêineres de forma idêntica.  

Alternativas
Q3906588 Arquitetura de Software

Em relação à computação em nuvem e a tecnologias de contêineres, julgue o item a seguir.  


Em arquiteturas serverless, operam servidores físicos, porém a gestão da infraestrutura — incluídos o provisionamento, a manutenção e a escalabilidade — é totalmente abstraída dos desenvolvedores, que focam exclusivamente a lógica da aplicação, permitindo rápida adaptação a demandas variáveis, sem preocupações com recursos subjacentes.  

Alternativas
Q3906589 Redes de Computadores

Acerca de modelos de controle de acesso e das arquiteturas de segurança RBAC (Role-Based Access Control) e Zero Trust, julgue o próximo item.  


Na arquitetura Zero Trust, usuários conectados por VPN corporativa são tratados como confiáveis por padrão, uma vez que, nesse modelo, a confiança é eliminada independentemente da origem da conexão, incluído o perímetro da rede interna, exigindo-se autenticação contínua e validação de acesso a cada recurso.  

Alternativas
Q3906590 Segurança da Informação

Acerca de modelos de controle de acesso e das arquiteturas de segurança RBAC (Role-Based Access Control) e Zero Trust, julgue o próximo item.  


O modelo RBAC não é eficaz para a implementação do princípio do menor privilégio, pois suas funções tendem a conceder permissões amplas e não limitam o acesso somente ao necessário para tarefas específicas, o que compromete a segurança em ambientes de computação em nuvem.  

Alternativas
Q3906591 Arquitetura de Software

Julgue o item que se segue, relativo a conceitos, práticas e ferramentas de integração e entrega contínua (CI/CD) e a gestão financeira em ambientes de computação em nuvem (FinOps).  


A prática de FinOps combina pessoas, processos e tecnologias para fornecer visibilidade detalhada e em tempo real dos custos em ambientes de nuvem, possibilitando o controle financeiro eficaz e a tomada de decisão baseada em dados precisos, o que promove a otimização contínua dos gastos e a gestão alinhada às necessidades estratégicas do negócio.

Alternativas
Q3906592 Engenharia de Software

Julgue o item que se segue, relativo a conceitos, práticas e ferramentas de integração e entrega contínua (CI/CD) e a gestão financeira em ambientes de computação em nuvem (FinOps).  


A abordagem CI/CD visa otimizar e acelerar o ciclo de vida do desenvolvimento de software, combinando a integração automática e frequente de alterações ao repositório por meio da integração contínua, com processos automatizados de testes, entrega e implantação que conduzem a mudanças no ambiente de produção, assegurando agilidade e qualidade.  

Alternativas
Q3906593 Sistemas Operacionais

Julgue o próximo item, relativo a fundamentos de computação em nuvem, plataformas e serviços em nuvem e armazenamento de dados em computação em nuvem. 


A alta disponibilidade em ambientes de nuvem é obtida suficientemente com o uso de múltiplas zonas de disponibilidade dentro de um mesmo data center, sem necessidade de replicação geográfica de dados ou de componentes de sistema.

Alternativas
Q3906594 Sistemas Operacionais

Julgue o próximo item, relativo a fundamentos de computação em nuvem, plataformas e serviços em nuvem e armazenamento de dados em computação em nuvem. 


No armazenamento orientado a objetos, cada informação é organizada como uma unidade autônoma acompanhada de metadados, sendo tal abordagem indicada para grandes volumes de dados não estruturados, como imagens, vídeos, logs e backups. 

Alternativas
Q3906595 Sistemas Operacionais

Julgue o próximo item, relativo a fundamentos de computação em nuvem, plataformas e serviços em nuvem e armazenamento de dados em computação em nuvem. 


O AWS IAM (Identity and Access Management) restringe o controle de permissões a configurações gerais aplicadas de maneira uniforme a todos os usuários, sem oferecer mecanismos para detalhamento de acesso por recurso ou por entidade específica. 

Alternativas
Q3906596 Sistemas Operacionais

Acerca de estratégias de migração de aplicações e de arquiteturas multicloud, julgue o item subsequente.  


Arquiteturas multicloud caracterizam-se pelo uso simultâneo de serviços de nuvens públicas de diferentes provedores, o que permite maior flexibilidade operacional e reduz a dependência de um único fornecedor. 

Alternativas
Respostas
141: C
142: E
143: C
144: E
145: E
146: C
147: C
148: C
149: C
150: E
151: E
152: C
153: E
154: E
155: C
156: C
157: E
158: C
159: E
160: C