Questões de Segurança da Informação para Concurso
Foram encontradas 10.099 questões
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
No nível superior da organização, deve existir uma política de segurança da informação generalizada, conforme especificado na ISO/IEC 27001:2013.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
A Norma ISO/IEC 27002:2013 é considerada como uma
norma restritiva, pois ela está focada apenas na
segurança das informações digitais, ou seja, das
informações armazenadas em computadores. As demais
formas de informação, como, por exemplo,
documentação e conhecimento, não são abordadas por
ela.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
Para a segurança de ambiente, devem ser
implementados os controles físicos, ou seja, os controles
implementados por meio de equipamentos ou
dispositivos que interagem fisicamente apenas com
pessoas, e não com objetos, como, por exemplo,
sistemas de alarme.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
De acordo com as políticas de controle de acesso, na
área dos sistemas e do controle de acesso das
aplicações, o acesso às informações deve ser restrito.
Julgue o item, relativo às NBR ISO/IEC 27001:2013 e 27002:2013, que versam sobre a gestão de segurança da informação.
Para controlar o acesso aos ativos de informação, é
conveniente que os requisitos comerciais de controle de
acesso da organização sejam claramente documentados
em uma política e nos procedimentos de controle de
acesso.
No que diz respeito à segurança em redes wireless, ao protocolo Syslog e ao Microsoft Event Viewer, julgue o item seguinte.
O Event Viewer é uma ferramenta destinada à auditoria de
dados em ambiente Windows e que proporciona ao
administrador do sistema visualizar todos os logs de eventos;
a maior desvantagem dessa ferramenta é que ela não permite
a integração com o Agendador de Tarefas do Windows.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
A característica principal do ataque cross-site scripting
(XSS) é que ele é realizado somente de um modo: por meio
do envio de códigos JavaScript pelos formulários de cadastro
de uma aplicação web com a finalidade de manipular as
informações no navegador do usuário.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
Caso uma aplicação permita que comandos SQL sejam
digitados nos inputs de seus formulários e concatenados
diretamente nos comandos SQL da própria aplicação, sem
que seja realizada uma validação ou tratamento antecedente,
certamente essa aplicação estará vulnerável ao ataque
conhecido como SQL Injection.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
Classificação de Risco para o Top 10 é uma metodologia baseada
na OWASP Risk Rating Methodology e consiste em estimar,
para cada categoria do Top 10, o risco peculiar que cada falha
introduz em uma aplicação web típica e, posteriormente, ordenar
o Top 10 de acordo com as falhas que tipicamente introduzem o
risco mais significativo para uma aplicação.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
As ferramentas de spidering são usadas na exploração de falhas e
têm como finalidade catalogar solicitações HTTP/S enviadas a
partir do navegador e respostas geradas pela aplicação web.
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web.
O tipo de ataque em que o atacante explora a relação de
confiança que um sítio possui com o navegador que o acessa
é conhecido como CSRF (cross-site request forgery).
Julgue o item seguinte, a respeito dos algoritmos RSA e AES, da esteganografia, da função hash e da segurança em banco de dados.
Embora seja muito simples, a função hash é o método mais
seguro de criptografar dados, pois tanto o valor de hash
quanto a própria função hash são secretos e não requerem
mecanismos de proteção.
Pelo fato de os algoritmos RSA usarem o conceito de fatoração de números primos, eles não são vulneráveis a ataques.
( ) Aprendizado de máquina (machine learning) tem sido utilizado para aumentar a eficiência de IDS baseados em comportamento.
( ) A maior ocorrência de pacotes criptografados na rede tem dificultado o NIDS (Network IDS) a detectar ataques.
( ) IPS baseados em assinatura trazem o risco de bloquear tráfego legitimo.
As afirmativas são, respectivamente,
Assinale a opção que descreve uma forma de proteção, mesmo parcial, contra clickjacking.
I. Essa norma indica que o termo “segurança da informação”, usado na norma NBR ISO/IEC 27001, deva ser considerado como “segurança da informação e privacidade”.
II. A norma coloca como conveniente a existência um ponto de contato para ser usado pelo cliente, em relação ao tratamento de dados pessoais.
III. De acordo com a norma, a ocorrência de um evento de segurança da informação implica necessariamente em uma probabilidade alta de acesso não autorizado a dados pessoais, sensíveis ou não.
Está correto apenas o que se afirma em
( ) Uma das práticas definidas pelo modelo SDL da Microsoft é a modelagem de ameaças.
( ) Uma análise estática de segurança (SAST) exige que a aplicação já esteja em funcionamento.
( ) O conserto de vulnerabilidades descobertas por meio de análise dinâmica de segurança (DAST) costuma custar mais caro do que aquelas descobertas no início do ciclo de desenvolvimento.
As afirmativas são, respectivamente,
A conclusão do perito é que o malvware estava tentando realizar
I. Não é vulnerável a ataques “man-in-the-middle”.
II. Pode ser utilizado tanto para assinatura digital quanto para geração de chave simétrica.
III. Pode ser usado de três maneiras diferentes: anônimo, estático e efêmero, sendo essa última considerada a maneira mais segura.
Está correto apenas o que se afirma em
O nome desse documento é
Conheça nossos planos