Questões de Concurso Comentadas para sema-am

Foram encontradas 523 questões

Resolva questões gratuitamente!

Junte-se a mais de 4 milhões de concurseiros!

Q3934560 Direito Ambiental
São autoridades competentes para lavratura do auto de infração ambiental e instauração de processo administrativo os
Alternativas
Q3934558 Segurança da Informação
Na análise de vulnerabilidades de software, as técnicas de análise estática de segurança de aplicações (SAST)
Alternativas
Q3934557 Segurança da Informação
A metodologia OWASP categoriza as falhas mais críticas em aplicações web. Quando uma aplicação permite que um usuário autenticado altere o identificador de um objeto em uma URL para acessar dados de outro usuário sem que haja uma verificação de autorização adequada, ocorre uma vulnerabilidade denominada
Alternativas
Q3934556 Segurança da Informação
Com base na norma ABNT NBR ISO/IEC 27005, assinale a opção na qual é corretamente apresentada a atividade de gestão de segurança da informação em que, a partir de uma lista de riscos com níveis de valores designados, o nível dos riscos é comparado com os critérios de avaliação e de aceitação do risco.
Alternativas
Q3934555 Direito Digital
Conforme a LGPD, é direito do titular de dados pessoais obter do controlador, a qualquer momento e mediante requisição, a correção de dados que
Alternativas
Q3934554 Direito Digital
De acordo com o que dispõe a Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), dados pessoais relativos a convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter político, bem como dados referentes à saúde ou à vida sexual da pessoa natural, são denominados
Alternativas
Q3934553 Redes de Computadores
O protocolo TLS (transport layer security) é fundamental para a segurança das comunicações na camada de transporte. Durante o estabelecimento de uma conexão segura entre cliente e servidor, o protocolo TLS utiliza

I algoritmos assimétricos para a autenticação inicial das partes e troca segura de chaves.
II algoritmos simétricos para a cifragem do tráfego de dados após o estabelecimento da sessão.
III funções de hash para assegurar a integridade das mensagens trocadas durante a comunicação.

Assinale a opção correta.
Alternativas
Q3934552 Segurança da Informação
Na criptografia de chave pública, as entidades utilizam pares de chaves matematicamente relacionados. Para que um remetente consiga enviar uma mensagem cifrada garantindo que apenas o destinatário pretendido possa realizar a leitura do conteúdo original, o remetente deve realizar a cifragem utilizando a chave
Alternativas
Q3934551 Redes de Computadores
    Um servidor web de uma instituição pública recebeu um fluxo massivo e coordenado de dados, proveniente de milhares de computadores infectados geograficamente distribuídos, o que resultou na indisponibilidade total do serviço.

A modalidade de ataque descrita na situação hipotética apresentada é denominada
Alternativas
Q3934550 Segurança da Informação
    Um analista de segurança da informação de certa organização identificou um ataque em que um indivíduo enviou mensagens eletrônicas em massa para colaboradores da organização. Tais mensagens direcionavam os colaboradores a um sítio eletrônico fraudulento que simulava o portal corporativo, com o intuito de capturar suas credenciais de acesso.

A técnica maliciosa descrita na situação hipotética precedente é classificada, quanto ao seu tipo, como
Alternativas
Q3934549 Segurança da Informação
Considerando que, na infraestrutura de chaves públicas brasileira, o certificado digital funciona como uma identidade virtual, assinale a opção em que é apresentada a tecnologia que permite vincular uma chave pública a uma pessoa, assegurando que uma mensagem eletrônica provém de um remetente específico e que o seu conteúdo permanece íntegro desde a sua emissão.
Alternativas
Q3934548 Segurança da Informação
    Durante análise de uma aplicação web utilizada por certa secretaria estadual de meio ambiente para gerenciamento de autos de infração, a equipe de segurança identificou que campos de formulário não tinham validação adequada no servidor. Foi possível enviar dados contendo comandos de banco de dados por meio de um campo de pesquisa, o que resultou em alteração indevida de registros. Em outro teste, verificou-se que o aplicativo refletia, na resposta HTML, trechos de entrada do usuário sem filtragem, permitindo a inserção de scripts que eram executados no navegador de quem acessava a página. Esses dois achados foram registrados no processo de gestão de vulnerabilidades previsto no SGSI da organização, em conformidade com a NBR ISO/IEC 27001:2013.

Considerando ameaças e vulnerabilidades em aplicações web, assinale a opção correta a respeito da classificação das duas falhas descritas na situação hipotética apresentada.
Alternativas
Q3934547 Segurança da Informação
    Uma equipe de TI da SEMA/AM está desenvolvendo um novo sistema de licenciamento ambiental, que será acessado por servidores internos e por cidadãos. A arquitetura proposta prevê: (i) uso de autenticação de dois fatores (2FA) para os servidores internos, combinando-se senha e aplicativo gerador de códigos temporários (OTP); (ii) autenticação baseada em biometria facial em aplicativo móvel para cidadãos, associada a um PIN cadastrado; (iii) utilização de um provedor de identidade que emite JWT assinados, contendo informações de identidade (claims), que serão apresentados às APIs após o processo de autenticação. No desenvolvimento da solução, a equipe deve aplicar corretamente conceitos de autenticação multifator, classificação de fatores de autenticação (conhecimento, posse e inerência) e uso de tokens em protocolos modernos, bem como deve observar as boas práticas de controle de acesso em sistemas de gestão da segurança da informação.

A respeito da aplicação de métodos de autenticação e uso de tokens na arquitetura descrita na situação hipotética precedente, assinale a opção correta.
Alternativas
Q3934546 Segurança da Informação
    Uma equipe de TI da SEMA/AM está projetando a arquitetura de autenticação de um conjunto de APIs internas acessadas por aplicações web e móveis. A solução deverá: (i) permitir que aplicativos clientes obtenham acesso a recursos protegidos em nome do usuário, sem expor a senha ao serviço consumidor; (ii) padronizar a autenticação única (SSO) entre múltiplas aplicações, com entrega de informações de identidade em formato de token; (iii) suportar autenticação forte com segundo fator (2FA) baseada em aplicativo autenticador ou token físico, integrada ao fluxo de login. Considerando os requisitos de governança definidos no SGSI da organização, alinhado à NBR ISO/IEC 27001, bem como as recomendações de segurança sobre autenticação robusta e controle de acesso, a equipe deve avaliar algumas opções de desenho.

Na situação hipotética precedente, a solução de autenticação que melhor atende, em conjunto, às três necessidades apresentadas consiste na arquitetura em que
Alternativas
Q3934545 Segurança da Informação
    Em um ambiente de aplicações distribuídas, uma organização adota um modelo no qual o usuário realiza autenticação junto a um provedor de identidade e, a partir desse processo, passa a acessar diferentes aplicações sem necessidade de novas autenticações diretas em cada serviço. Nesse contexto, são utilizados mecanismos distintos para autenticar o usuário, delegar autorização de acesso a recursos e transportar informações de identidade entre os sistemas envolvidos.

Considerando esse cenário, assinale a opção em que é apresentada a combinação adequada de tecnologias para autenticação do usuário, delegação de autorização e transporte de informações de identidade, respectivamente.
Alternativas
Q3934543 Segurança da Informação
De acordo com a NBR ISO/IEC 27001:2013, com a literatura especializada de Sêmola e Stallings e com as exigências da Lei Geral de Proteção de Dados Pessoais (LGPD), é compatível com a estruturação adequada de um SGSI e com o regime legal aplicável à proteção de dados pessoais a ação de

I definir e divulgar uma política formal de segurança da informação, devidamente aprovada pela alta administração da organização, estabelecendo-se diretrizes para controle de acesso, classificação da informação, tratamento de incidentes e uso aceitável de recursos.
II realizar processo sistemático de avaliação e tratamento de riscos de segurança da informação, contemplando ameaças e vulnerabilidades associadas ao tratamento de dados pessoais, com seleção e documentação de controles técnicos e administrativos.
III instituir mecanismos formais de registro e gestão de incidentes de segurança da informação que envolvam dados pessoais, com procedimentos para detecção, resposta, comunicação às partes interessadas e registro de evidências.
IV assegurar que o uso de criptografia em trânsito e em repouso seja adotado de forma isolada, dispensando-se monitoramento contínuo e revisões periódicas de sua efetividade.

Estão certos apenas os itens
Alternativas
Q3934542 Segurança da Informação
Conforme os fundamentos da NBR ISO/IEC 27001:2013, a política de segurança da informação cumpre adequadamente seu papel quando
Alternativas
Q3934541 Segurança da Informação
   Uma organização pública, após decidir pela adoção da norma NBR ISO/IEC 27001:2013, iniciou a implementação de um SGSI. Durante esse processo, a organização buscou estruturar suas ações de modo a garantir que a segurança da informação fosse mantida e aprimorada ao longo do tempo.

Considerando a situação hipotética precedente e as disposições da NBR ISO/IEC 27001:2013, assinale a opção em que é apresentada prática necessária à efetividade do SGSI no caso.
Alternativas
Q3934540 Segurança da Informação
    Durante a implantação de um sistema de gestão da segurança da informação (SGSI) na secretaria de meio ambiente de certo estado da Federação, a equipe responsável identificou que já existiam controles técnicos de segurança em operação, porém sem diretrizes formais documentadas, sem definição clara de responsabilidades e sem um processo estruturado de análise de riscos. Diante desse cenário, a alta administração solicitou a adoção de práticas que permitissem integrar governança, gestão de riscos e controles de segurança da informação, de forma consistente e alinhada às boas práticas de gestão da segurança da informação.

Nessa situação, de acordo com as disposições da NBR ISO/IEC 27001:2013 relativas à gestão da segurança da informação, a medida prioritária que a secretaria deve adotar para atender à solicitação da alta administração é
Alternativas
Q3934539 Segurança da Informação
Uma organização pública avalia a adoção da ABNT NBR ISO/IEC 27001 como referência para estruturar a gestão da segurança da informação, com o intuito de proteger seus ativos informacionais, apoiar seus objetivos institucionais e tratar adequadamente os riscos associados ao uso da informação. No diagnóstico preliminar, verificou-se que existem iniciativas pontuais de segurança, porém sem integração formal entre políticas, processos e responsabilidades organizacionais.

Na situação hipotética precedente, a escolha pela adoção da NBR ISO/IEC 27001:2013 seria benéfica para a organização em questão, considerando-se que tal norma
Alternativas
Respostas
181: E
182: E
183: D
184: C
185: B
186: B
187: E
188: A
189: C
190: C
191: E
192: E
193: C
194: B
195: D
196: D
197: A
198: E
199: C
200: A