Questões de Segurança da Informação - Análise de Vulnerabilidade e Gestão de Riscos para Concurso - Página 5

Q3015397

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: SEBRAE-NACIONAL Prova: CESPE / CEBRASPE - 2024 - SEBRAE-NACIONAL - Analista Técnico II – Infraestrutura Rede |

Q3015397 Segurança da Informação

Assinale a opção em que é indicada uma medida apropriada a ser tomada em face da ocorrência de uma não conformidade no sistema de gestão da segurança da informação em uma organização.

A

dispensar quaisquer ações corretivas que não estejam plenamente associadas à natureza da não conformidade

B

evitar mudanças imediatas no sistema de gestão da segurança da informação

C

realizar ações para controlar a não conformidade e lidar com as suas consequências

D

focar na eliminação dos efeitos resultantes da não conformidade, escalando a análise das suas causas para um momento futuro

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q3014784

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: SEBRAE-NACIONAL Prova: CESPE / CEBRASPE - 2024 - SEBRAE-NACIONAL - Analista Técnico II – Infraestrutura e Sistemas Operacionais |

Q3014784 Segurança da Informação

Para que seja possível detectar vulnerabilidades em comunicações cifradas e garantir a conformidade com políticas de segurança da informação de forma mais eficaz, os responsáveis pelos procedimentos de auditoria em uma rede de dados em uma organização de grande porte devem

A

focar a análise de dispositivos periféricos, como roteadores e switches, que detêm o controle de tráfego cifrado.

B

implementar uma combinação de análise manual e automatizada, incluindo a verificação de políticas de criptografia, configurações de certificados e análise de fluxos de tráfego cifrado.

C

realizar a auditoria em dispositivos que utilizam criptografia simétrica, já que são mais suscetíveis a falhas e, portanto, menos seguros.

D

confiar exclusivamente em ferramentas automatizadas de verificação de certificados SSL/TLS para identificar vulnerabilidades nas comunicações cifradas.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q3013664

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: SEBRAE-NACIONAL Prova: CESPE / CEBRASPE - 2024 - SEBRAE-NACIONAL - Analista Técnico II – Desenvolvimento Software |

Q3013664 Segurança da Informação

Certa empresa de software utiliza pipelines de CI/CD para automatizar a entrega de aplicações. Durante uma auditoria de segurança, identificou-se que as credenciais de acesso aos ambientes de produção estão sendo armazenadas em arquivo .txt nos scripts de automação.

Com base nessa situação hipotética, assinale a opção em que é citada a melhor prática para resolver a vulnerabilidade identificada

A

limitar o acesso aos scripts de automação

B

criptografar os scripts de automação

C

alterar as credenciais regularmente

D

utilizar um gerenciador de segredos para armazenar as credenciais

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q3011934

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: TCE-PR Prova: CESPE / CEBRASPE - 2024 - TCE-PR - Auditor de Controle Externo – Área: Informática |

Q3011934 Segurança da Informação

No protocolo SYSLOG, os indicadores de nível de severidade representados pelos valores 2 e 7 correspondem, respectivamente, a

A

informativo (mensagens informativas) e emergência (sistema inutilizável).

B

aviso (condição de aviso) e alerta (a ação deve ser tomada imediatamente).

C

crítico (condições críticas) e debug (mensagens de nível de depuração).

D

emergência (sistema inutilizável) e informativo (mensagens informativas).

E

notificação (condição normal, mas significativa) e erro (condição de erro).

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q3011928

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: TCE-PR Prova: CESPE / CEBRASPE - 2024 - TCE-PR - Auditor de Controle Externo – Área: Informática |

Q3011928 Segurança da Informação

De acordo com a NBR ISO/IEC 22301, a partir dos resultados da análise de impacto nos negócios e da avaliação de riscos, a organização deve realizar a identificação de estratégias de continuidade de negócios que, entre outras ações,

A

reduzam a probabilidade de disrupção.

B

expandam o eventual cenário de impacto de disrupção.

C

revisem e validem novamente as atividades de recuperação.

D

priorizem outras atividades ainda não contempladas.

E

aumentem eventuais previsões para o período de disrupção.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2649888

Ano: 2024 Banca: Instituto Access Órgão: Câmara de Apiaí - SP Prova: Instituto Access - 2024 - Câmara de Apiaí - SP - Assistente de Tecnologia da Informação |

Q2649888 Segurança da Informação

Na Gestão de Riscos, as organizações identificam, avaliam e priorizam riscos para minimizar o impacto de eventos adversos em seus objetivos e operações. Uma das principais estratégias utilizadas é a “mitigação de riscos”. Neste contexto marque a alternativa que corretamente contém, o que significa “mitigação de riscos”:

A

Aceitar o risco sem tomar qualquer ação.

B

Tomar decisões que fáceis e sem riscos.

C

Tomar ações para reduzir a probabilidade ou impacto do risco.

D

Iniciar sempre pela atividade que gera o risco.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2590119

Ano: 2024 Banca: ACAFE Órgão: CELESC Prova: ACAFE - 2024 - CELESC - Analista de Sistemas - Negócios |

Q2590119 Segurança da Informação

Uma empresa de consultoria de segurança da informação está realizando uma análise de vulnerabilidade em um sistema computacional de um cliente. O objetivo é identificar pontos fracos que poderiam ser explorados por atacantes e recomendar medidas de mitigação. Durante a análise, a equipe de segurança discute os diferentes aspectos e técnicas envolvidas no processo de avaliação de vulnerabilidades. Qual das seguintes afirmações sobre análise de vulnerabilidade em sistemas computacionais está CORRETA?

A

A análise de vulnerabilidade não requer revisão regular, pois as vulnerabilidades do sistema são geralmente estáticas.

B

A análise de vulnerabilidade é um processo que visa corrigir imediatamente todas as falhas encontradas em um sistema.

C

A análise de vulnerabilidade inclui a identificação, quantificação e priorização de vulnerabilidades em um sistema.

D

A análise de vulnerabilidade é apenas relevante para grandes organizações e pode ser ignorada por pequenas empresas.

E

A análise de vulnerabilidade não envolve testes de penetração, pois são processos completamente distintos.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2589930

Ano: 2024 Banca: ACAFE Órgão: CELESC Prova: ACAFE - 2024 - CELESC - Analista de Sistemas - Infraestrutura Operação e Segurança |

Q2589930 Segurança da Informação

Uma empresa de tecnologia está preocupada com a segurança de sua infraestrutura de TI e decidiu contratar uma equipe de segurança para realizar testes de penetração (pentests) e avaliações de vulnerabilidade. O objetivo é identificar e corrigir possíveis fraquezas antes que sejam exploradas por atacantes maliciosos. Qual das seguintes opções descreve corretamente a diferença principal entre um teste de penetração (pentest) e uma avaliação de vulnerabilidade?

A

Um pentest é focado na conformidade com regulamentos, enquanto uma avaliação de vulnerabilidade é focada na performance dos sistemas.

B

Um pentest é realizado apenas internamente, enquanto uma avaliação de vulnerabilidade é sempre feita por terceiros.

C

Um pentest tenta explorar vulnerabilidades, enquanto uma avaliação de vulnerabilidade apenas identifica e classifica vulnerabilidades.

D

Um pentest é realizado apenas em redes externas, enquanto uma avaliação de vulnerabilidade é feita apenas em redes internas.

E

Um pentest é um processo automatizado, enquanto uma avaliação de vulnerabilidade é realizada manualmente.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2589877

Ano: 2024 Banca: IADES Órgão: BRB Prova: IADES - 2024 - BRB - Analista de Tecnologia da Informação |

Q2589877 Segurança da Informação

Em um cenário de teste de penetração, qual é o principal objetivo de uma equipe Red Team?

A

Detectar vulnerabilidades em sistemas antes que sejam explorados por atacantes reais.

B

Realizar auditorias contínuas das políticas de segurança.

C

Implementar soluções de firewall e sistemas de prevenção de intrusão.

D

Responder a incidentes de segurança e restaurar sistemas comprometidos.

E

Coordenar treinamentos de segurança para pessoal técnico e não técnico.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2589875

Ano: 2024 Banca: IADES Órgão: BRB Prova: IADES - 2024 - BRB - Analista de Tecnologia da Informação |

Q2589875 Segurança da Informação

A implementação de um programa de gestão de vulnerabilidades envolve várias etapas e práticas para garantir a eficácia do processo. Assinale a alternativa que apresenta uma prática recomendada na implementação desse tipo de programa.

A

Realizar varreduras de vulnerabilidades uma vez ao ano.

B

Utilizar uma abordagem manual e estatística para identificar vulnerabilidades em grandes redes, analisando pequenos trechos de logs.

C

Priorizar todas as vulnerabilidades de acordo com a facilidade de correção, independentemente do impacto.

D

Integrar a gestão de vulnerabilidades ao ciclo de vida de desenvolvimento de software (SDLC).

E

Tratar todas as vulnerabilidades com a mesma urgência, aumentando a equipe de acordo com a quantidade de vulnerabilidade encontrada.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2589851

Ano: 2024 Banca: IADES Órgão: BRB Prova: IADES - 2024 - BRB - Analista de Tecnologia da Informação |

Q2589851 Segurança da Informação

O propósito do gerenciamento da segurança da informação é proteger a informação necessária para que a organização conduza o próprio negócio. Acerca dessa disciplina, assinale a alternativa correta.

A

A detecção e a correção de incidentes de segurança da informação não fazem parte da cadeia de entrega de valor, mas sim do gerenciamento de serviços.

B

Processos de segurança da informação extremamente rigorosos sempre devem ser prioridade diante dos objetivos de inovação da organização.

C

O time de desenvolvimento pode atuar ativamente no processo de identificação e correção de incidentes de segurança, e, portanto, não deve ser percebido como um potencial ponto de vulnerabilidade.

D

O gerenciamento da segurança da informação não deve se estender aos clientes da organização, que não participam do processo de definição de políticas e podem ser um ponto de vulnerabilidade.

E

O não repúdio consiste em assegurar a identidade de qualquer agente que executa uma ação dentro da organização.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2571461

Ano: 2024 Banca: FGV Órgão: TCE-PA Prova: FGV - 2024 - TCE-PA - Auditor de Controle Externo - Área de Informática - Analista de Segurança |

Q2571461 Segurança da Informação

O Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica publicado pelo NIST provê uma orientação geral para a melhoria da governança de segurança cibernética para organizações que compõem a rede de infraestruturas críticas do país, como geração e distribuição de energia, distribuição de água entre outras.
Esse Guia estabelece níveis de implementação da estrutura de gestão da segurança cibernética, criando uma contextualização geral de como determinada organização trata o risco de segurança cibernética e os seus processos atualmente instalados para o gerenciamento desse risco.
Nesse contexto, é correto afirmar que

A

no nível 1 (Parcial), as práticas de gerenciamento de risco já estão consolidadas.

B

no nível 2 (Risco Informado), a organização ainda não possui processos estabelecidos para gerenciamento de risco.

C

no nível 3 (Reproduzível), as políticas de gerenciamento de risco estão aprovadas e publicadas como Política.

D

no nível 4 (Adaptável), a empresa ignora os relatos de novas ameaças, construindo sua própria base de ameaças mais completa.

E

no nível 5 (Consolidada), a empresa já se antecipa aos novos riscos, tendo inclusive capacidade de resistir aos Zero Day Attacks.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2571456

Ano: 2024 Banca: FGV Órgão: TCE-PA Prova: FGV - 2024 - TCE-PA - Auditor de Controle Externo - Área de Informática - Analista de Segurança |

Q2571456 Segurança da Informação

Um servidor de páginas web, Ubuntu Server, publicou na internet um portal de notícias com uma vulnerabilidade. Ela permite que os clientes maliciosos deste servidor tenham acesso a sua estrutura de arquivos e diretórios por meio da manipulação das informações demandadas por uma variável PHP apresentada na URL de acesso desta página web.
Assinale, entre as opções abaixo, aquela que apresenta o tipo de vulnerabilidade presente nesta página web.

A

LFI – Local File Inclusion.

B

RFI – Remote File Inclusion.

C

XSS – Cross-Site Scripting.

D

SQL Injection.

E

FPD – Full Path Disclosure.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2571449

Ano: 2024 Banca: FGV Órgão: TCE-PA Prova: FGV - 2024 - TCE-PA - Auditor de Controle Externo - Área de Informática - Analista de Segurança |

Q2571449 Segurança da Informação

Durante uma auditoria de segurança de uma rede corporativa, foi descoberto que alguns servidores apresentavam vulnerabilidades significativas. Entre os problemas identificados foram relacionados vazamentos de senhas, diversas aplicações com falta de atualizações críticas e contas de ex-funcionários ainda ativas com permissões administrativas.
Com base nessa situação hipotética, considerando os problemas encontrados e as boas práticas de hardening, as seguintes combinações de medidas de segurança são as mais apropriadas para proteger esses servidores e mitigar essas vulnerabilidades:

A

configurar o firewall nos servidores para impedir acessos não autorizados, proibir os compartilhamentos de senhas, e excluir contas de usuários inativos logo após a saída deles da empresa.

B

atualizar os sistemas operacionais e aplicar os patches de segurança, tirar as permissões administrativas dos usuários inativos, criar uma única senha forte com autenticação multifatorial (MFA) para o uso compartilhado pelos administradores dos sistemas.

C

atualizar política para o uso de senhas fortes e configurar o Host-Based Intrusion Detection System (HIDS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, e redefinir as senhas das contas dos usuários inativos.

D

atualizar política para uso de senhas fortes e configurar o Host-Based Intrusion Prevention System (HIPS) para proteger contra as senhas vazadas, atualizar os sistemas operacionais e aplicar os patches de segurança, excluir contas de usuários inativos logo após a saída deles da empresa.

E

atualizar política para o uso de senhas fortes e configurar autenticação multifatorial (MFA), manter o sistema sempre atualizado e aplicar os patches de segurança, e desativar contas de usuários inativos.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2566740

Ano: 2024 Banca: IBFC Órgão: POLÍCIA CIENTÍFICA-PR Prova: IBFC - 2024 - POLÍCIA CIENTÍFICA-PR - Perito Oficial Criminal - Área 3 |

Q2566740 Segurança da Informação

A respeito do método de dicionário para decifragem de dados, é correto afirmar:

A

Consiste em um método pouco sofisticado, no qual se realiza uma busca exaustiva de todas as possibilidades de um determinado conjunto.

B

Palavras e expressões relacionadas a filmes, músicas, esportes, cidades ou contidas em determinado sítio na internet atrapalham o exame pericial, e não devem ser utilizados como método de decifragem.

C

Consiste em arquivos de texto contendo uma palavra-chave por linha. Um exemplo prático é a tática de combinações de dados biográficos do suspeito e de parentes próximos do usuário investigado (incluindo nomes próprios, datas importantes, números de telefone, CPF, identidade, endereço.

D

É um processo que ataca o algoritmo criptográfico.

E

O exame pericial de decifragem do método dicionário consiste no armazenamento em disco de todas as chaves possíveis de um algoritmo, sem que haja nenhum tipo de compressão. Assim, um sistema que utilize uma chave de tamanho n, no qual seriam necessários 2ⁿ bits.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2562341

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: CNJ Prova: CESPE / CEBRASPE - 2024 - CNJ - Analista Judiciário - Área Apoio Especializado - Especialidade: Analista de Sistemas |

Q2562341 Segurança da Informação

Julgue o item seguinte, a respeito das melhores práticas para problemas com componentes vulneráveis ou desatualizados, conforme preconiza o OWASP.

Entre os fatores que podem tornar uma aplicação vulnerável estão o sistema operacional, o servidor web/aplicativo, o sistema de gerenciamento de banco de dados (SGBD), as API e todos os componentes, ambientes de tempo de execução e bibliotecas.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2562340

Ano: 2024 Banca: CESPE / CEBRASPE Órgão: CNJ Prova: CESPE / CEBRASPE - 2024 - CNJ - Analista Judiciário - Área Apoio Especializado - Especialidade: Analista de Sistemas |

Q2562340 Segurança da Informação

Julgue o item seguinte, a respeito das melhores práticas para problemas com componentes vulneráveis ou desatualizados, conforme preconiza o OWASP.

Como exemplo de melhor prática, o OWASP recomenda que os responsáveis por segurança de uma aplicação monitorem continuamente fontes como CVE (common vulnerability and exposures) e NVD (national vulnerability database) em busca de vulnerabilidades nos componentes usados na aplicação.

Certo

Errado

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2542041

Ano: 2024 Banca: IBADE Órgão: PRODEST-ES Prova: IBADE - 2024 - PRODEST-ES - Analista de Tecnologia da Informação - Desenvolvimento de Sistemas |

Q2542041 Segurança da Informação

No espelhamento de discos RAID 5 existe uma vulnerabilidade que pode comprometer toda a segurança. Essa vulnerabilidade está relacionada a:

A

paridade ser realizada em um único disco;

B

falha ocorrer em mais de dois discos;

C

sobrecarga da paridade em um dos discos ;

D

indisponibilidadede por falha em um dos discos;

E

necessidade de criptografia dos discos.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2539052

Ano: 2024 Banca: FUNDATEC Órgão: Prefeitura de Cruzaltense - RS Prova: FUNDATEC - 2024 - Prefeitura de Cruzaltense - RS - Técnico em Informática |

Q2539052 Segurança da Informação

De acordo com a norma NBR ISO/IEC 27005:2011, as vulnerabilidades podem ser classificadas quanto ao tipo de ativo secundário ao qual elas se aplicam: de hardware, de software, de rede, de __________, de instalações e da estrutura organizacional.
Assinale a alternativa que preenche corretamente a lacuna do trecho acima.

A

dados

B

processos de negócio

C

informações

D

pessoal

E

estratégia

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

Q2535218

Ano: 2024 Banca: FGV Órgão: MF Prova: FGV - 2024 - MF - Auditor Federal de Finanças e Controle - Área de Tecnologia da Informação (Operação e Infraestrutura) - manhã |

Q2535218 Segurança da Informação

O gerenciamento de incidentes de segurança em redes de computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais (ETIR) dos órgãos e entidades da administração pública federal é disciplinado pela norma complementar 08/IN01/DSIC/GSIPR.
De acordo com essa norma, além do serviço de tratamento de incidentes, a ETIR poderá oferecer à sua comunidade o serviço de

A

tratamento de vulnerabilidades em hardware ou software.

B

automação e otimização de processos de negócio.

C

outsourcing de profissionais e equipamentos de TI.

D

desenvolvimento de software de qualquer natureza.

E

administração de sistemas e de banco de dados.

Você errou! Resposta:

Acesse Comentários para encontrar explicações sobre a solução da questão.

Parabéns! Você acertou!

Aprenda mais ensinando outros alunos ao comentar esta questão.

SEJA VITALÍCIO

SEJA VITALÍCIO

Questões de Concurso Sobre análise de vulnerabilidade e gestão de riscos em segurança da informação

Foram encontradas 652 questões