Tema central: A questão aborda o conceito de teste de penetração (pentest) na área de Segurança da Informação, especialmente quanto ao objetivo dessa prática em ambientes organizacionais.

Explicação didática: O pentest é um método essencial para identificação e exploração de vulnerabilidades em sistemas, redes ou aplicativos, por meio da simulação controlada de ataques reais. Diferente de procedimentos puramente preventivos (como atualizações ou backups), o pentest adota uma ótica proativa: busca encontrar e demonstrar a existência de brechas de segurança antes que agentes mal-intencionados as explorem.

A norma ISO/IEC 27001 fundamenta essa prática ao destacar a relevância de avaliar vulnerabilidades como parte da gestão da segurança da informação. Também o regulamento europeu DORA reforça a importância de simular ataques para melhorar a resiliência digital e corrigir fragilidades dos sistemas.

Análise da alternativa correta – C: “Identificar e explorar vulnerabilidades em sistemas para melhorar a segurança.” Essa alternativa está perfeita, pois descreve exatamente o objetivo central do pentest: encontrar falhas para que sejam corrigidas antes que sejam exploradas por atacantes reais, aumentando assim a segurança global dos ativos da organização.

Análise das alternativas incorretas:

A) Cópia de segurança (backup) é voltada para recuperação de dados e continuidade de negócios em caso de falhas, não para identificar vulnerabilidades.

B) Instalar atualizações é uma medida preventiva, fundamental, mas não envolve testar ou simular ataques.

D) Monitoramento em tempo real é uma medida de detecção, que visa observar eventos e identificar possíveis intrusos, e não simular ataques.

E) Configurar firewalls e sistemas de detecção são ações de proteção, não de identificação ativa de vulnerabilidades via simulação.

Estratégias para provas: Nos enunciados, atente-se a verbos de ação: “identificar e explorar” (pentest) ≠ “criar” (backup), “instalar” (atualizações), “monitorar” (detecção), “configurar” (proteção). Muitos confunde conceitos que atuam em fases distintas do ciclo de segurança: prevenção, detecção e resposta. O pentest é uma ação proativa de busca de falhas.

Fonte teórica: Engenharia de Segurança da Informação – Anderson; Segurança da Informação – William Stallings; ISO/IEC 27001.

Gostou do comentário? Deixe sua avaliação aqui embaixo!