Questões de Concurso Público TJ-RJ 2026 para Analista Judiciário - Tecnologia da Informação - Analista de Segurança da Informação

Foram encontradas 19 questões

Q3874300 Segurança da Informação
No contexto da segurança da informação, a chamada tríade CIA (Confidentiality, Integrity, Availability) representa três princípios fundamentais que orientam a proteção de ativos de informação nas organizações.
Associe cada situação ao principal princípio de segurança afetado.
1. Confidencialidade
2. Integridade
3. Disponibilidade
( ) Um erro em um processo de atualização de software altera indevidamente parte dos registros de transações financeiras.
( ) Uma pane em um servidor impede, por horas, o acesso dos usuários a um sistema crítico de emissão de passagens.
( ) Um funcionário sem autorização consegue visualizar o prontuário médico de um paciente em um sistema hospitalar.
A sequência correta é: 
Alternativas
Q3874303 Segurança da Informação
O departamento de TI de um tribunal migrou seu sistema de consulta processual para um provedor de nuvem pública, adotando o modelo PaaS (Platform as a Service) por meio de um serviço de Web App gerenciado. Seis meses após a migração, o sistema sofreu uma invasão que resultou na exfiltração de dados. A perícia forense digital concluiu que:
• o código-fonte da aplicação desenvolvido pelo tribunal seguia as práticas seguras da OWASP;
• as credenciais e o gerenciamento de identidade (IAM) estavam configurados corretamente pelo Tribunal; e
• a invasão ocorreu estritamente devido à exploração de uma vulnerabilidade conhecida (CVE) e não corrigida no kernel do sistema operacional do servidor que hospedava o ambiente de execução (runtime).
Considerando o Modelo de Responsabilidade Compartilhada aplicável a serviços PaaS, é correto afirmar que a responsabilidade pela falha de segurança que permitiu o incidente é: 
Alternativas
Q3874308 Segurança da Informação
Uma equipe de analistas do TJRJ foi encarregada de aumentar o nível de proteção da rede 2 e, se possível, aprimorar sua gestão. Na rede 2, todas as aplicações web são hospedadas em servidores locais. Após uma análise detalhada, a equipe propôs a implementação de uma zona desmilitarizada (DMZ) na rede 2. As aplicações web voltadas ao público externo seriam movidas para a DMZ, enquanto os dados locais usados pelas aplicações permaneceriam fora dessa zona. Em sua análise, a equipe levou em consideração os princípios de defesa em profundidade e do menor privilégio.
O objetivo da DMZ no cenário apresentado é: 
Alternativas
Q3874309 Segurança da Informação
O analista Rafael implementou com sucesso uma função hash, que denominou H, para armazenar as senhas em um sistema. A fim de mitigar eventuais ataques de tabela arco-íris, Rafael implementou nas senhas a técnica padrão de salting, antes de aplicar a função H.
A técnica de salting implementada por Rafael mitiga o ataque de tabela arco-íris na medida em que:
Alternativas
Q3874310 Segurança da Informação
Uma empresa de consultoria de segurança foi contratada pelo Tribunal de Justiça do Estado X (TJEX) para verificar como está o nível de segurança em sua rede local. Após algum tempo de trabalho, a consultoria identificou que o servidor de arquivos do Tribunal possuía os serviços de FTP e telnet ativos, mesmo sem uso.
De forma a aumentar o hardening do TJEX, a consultoria deve solicitar:
Alternativas
Q3874311 Segurança da Informação
Durante a gestão de uma infraestrutura automatizada via IaC, uma equipe de operações percebeu que alguns recursos estavam com configurações diferentes das definidas originalmente no código. Nenhuma alteração foi registrada nos repositórios ou pipelines. Esse cenário caracteriza um desvio (drift).
A abordagem adequada para lidar com as ações descritas é:
Alternativas
Q3874312 Segurança da Informação
Ao efetuar uma investigação de segurança, um analista de segurança do Tribunal de Justiça do Estado do Rio de Janeiro (TJRJ) identificou um processo que tentava se comunicar com um domínio recém-criado, porém não categorizado.
Em seu relatório para o chefe de TI do TJRJ, o analista explica o que foi encontrado a partir da seguinte técnica de observabilidade:
Alternativas
Q3874313 Segurança da Informação
A +Acordo é a plataforma institucional de Resolução Online de Disputas do Tribunal de Justiça do Estado do Rio de Janeiro. A plataforma tem por objetivo conferir soluções adequadas e céleres para os mais diversos conflitos de interesses, proporcionando uma melhor experiência ao usuário e aumentando a efetividade do Poder Judiciário.
Após a autenticação bem-sucedida, a plataforma consulta a Ordem dos Advogados do Brasil (OAB), para confirmar se o CPF informado está associado a uma inscrição válida e ativa nos sistemas da OAB; somente assim o advogado está autorizado a usar a plataforma com o perfil de advogado ou representante jurídico.
A propriedade da segurança da informação garantida por meio da consulta à OAB é: 
Alternativas
Q3874314 Segurança da Informação
A Política de Segurança da Informação (PSI) do Poder Judiciário do Estado do Rio de Janeiro tem como objetivo geral garantir a confidencialidade, integridade, disponibilidade e autenticidade das informações e dos recursos de tecnologia da informação, visando à proteção do patrimônio informacional e à continuidade dos serviços prestados.
Para cumprir os preceitos da PSI, a Secretaria Geral de Tecnologia da Informação e Comunicações (SGTEC) implementou uma estratégia de segurança que compreende a utilização de defesa em profundidade.
A defesa em profundidade se caracteriza por:
Alternativas
Q3874315 Segurança da Informação
O sistema de processo judicial eletrônico utilizado pelo Tribunal de Justiça do Estado X oferece uma série de funcionalidades que tornam o andamento processual mais ágil, seguro e transparente. A área de segurança da informação do tribunal identificou uma tentativa de acesso aos dados sigilosos do sistema. O atacante utilizou credenciais falsas de um funcionário do tribunal e conseguiu capturar alguns pacotes de dados. Após analisar o ataque, o gestor de segurança da informação garantiu que o atacante não conseguiu ler os dados capturados.
No cenário descrito, a criptografia:
Alternativas
Q3874316 Segurança da Informação
O Sistema Eletrônico de Execução Unificado (SEEU) é a ferramenta que centraliza e uniformiza a gestão de processos de execução penal em todo o país.
O Sistema permite um trâmite processual mais eficiente e proporciona a gestão confiável dos dados da população carcerária do Brasil.
Para estabelecer conexão com o sistema, o advogado pode utilizar seu certificado digital da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil) ou efetuar seu login utilizando sua conta de acesso à plataforma Gov.br.
No cenário descrito, a criptografia assimétrica: 
Alternativas
Q3874317 Segurança da Informação
O Instituto Nacional de Tecnologia da Informação (ITI) é uma autarquia federal, vinculada ao Ministério da Gestão e da Inovação em Serviços Públicos, com a finalidade de ser a Autoridade Certificadora Raiz (AC Raiz) da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).
A cadeia de confiança no uso de certificados digitais é assegurada pelo(a):
Alternativas
Q3874318 Segurança da Informação
O Processo Judicial Eletrônico (PJe) é uma plataforma digital que permite a prática de atos jurídicos e acompanhamento do trâmite processual de forma padronizada.
Para acessar o sistema, o usuário precisa informar suas credenciais de acesso (login e senha) e o código de autenticação gerado fora da plataforma.
A forma descrita de acesso ao PJe é conhecida como:
Alternativas
Q3874319 Segurança da Informação
Uma corretora de valores, especializada em serviços financeiros digitais, buscou a implementação do modelo Zero Trust após sofrer um ataque de ransomware que explorou credenciais de um colaborador remoto.
Com o objetivo de evitar novos ataques nesse sentido e se adequar aos princípios do modelo, a ação alinhada com o processo a ser executado pela corretora é: 
Alternativas
Q3874320 Segurança da Informação
A empresa Beta, que trabalha com soluções para o setor educacional, está migrando seus sistemas para a nuvem e adotando práticas DevSecOps para garantir segurança desde o desenvolvimento até a operação. Durante uma reunião de planejamento, o CTO (Chief Technology Officer) da empresa Beta propôs integrar ferramentas de segurança diretamente no pipeline de CI/CD.
Com base nas práticas DevSecOps, a ação alinhada com o modelo a ser implementada pela empresa Beta é: 
Alternativas
Q3874321 Segurança da Informação
A empresa Data_Trust_Cloud, especializada em serviços de armazenamento em nuvem, identificou que, em virtude de algum erro na atribuição de permissões, alguns colaboradores estavam acessando dados confidenciais fora do escopo de suas funções. Uma auditoria foi contratada para avaliar o problema e trouxe como possibilidade algumas formas de controle de acesso.
O CTO decidiu, então, pelo RBAC (controle baseado em função), uma vez que esse tipo de acesso permite: 
Alternativas
Q3874322 Segurança da Informação
A equipe de segurança da informação do TJRJ realizou um pentest em uma aplicação web responsável pelo gerenciamento de documentos. O pentester conseguiu manipular parâmetros de uma requisição HTTP de forma a injetar um código Javascript malicioso no servidor web. O código injetado foi inadvertidamente inserido pelo servidor em meio a uma página web devolvida a um usuário logado. O navegador web do usuário logado executou o código malicioso e permitiu a exfiltração de dados sensíveis.
Uma mitigação eficaz e imediata para esse tipo de ataque, em conformidade com as recomendações do OWASP Top 10, é:
Alternativas
Q3874323 Segurança da Informação
A analista Renata está implementando o fluxo Authorization Code Grant com Proof Key for Code Exchange (PKCE), do OAuth 2.0, em um aplicativo mobile, a fim de acessar uma API protegida. Conforme as especificações do OAuth 2.0 para esse fluxo, o servidor de autenticação deve efetuar certas validações na fase de troca do código de autorização pelo token de acesso. A passagem de parâmetros para o servidor de autenticação foi implementada pela analista de forma correta, ao longo de todo o fluxo.
Cabe ao servidor de autorização verificar, na referida fase, se: 
Alternativas
Q3874325 Segurança da Informação
Uma equipe de analistas do TJRJ está revisando a maturidade da gestão de segurança da informação no Tribunal, à luz de normas internacionais. Ao utilizar o NIST Cybersecurity Framework (CSF) como referência, os analistas constataram que a capacidade do TJRJ de analisar anomalias recém-descobertas, em tempo hábil, com a utilização de informações de inteligência de ameaças, necessita de aprimoramento.
De acordo com o CSF, a capacidade do Tribunal a ser aprimorada está diretamente relacionada à função central de:
Alternativas
Respostas
1: C
2: B
3: E
4: C
5: B
6: E
7: C
8: B
9: D
10: E
11: C
12: C
13: D
14: E
15: D
16: E
17: D
18: B
19: A