Questões de Segurança da Informação para Concurso
Foram encontradas 10.096 questões
Avalie se, para evitar esses eventos, as seguintes ações podem ser executadas:
I. Identificar riscos potenciais e avaliar a sua gravidade e probabilidade de ocorrência.
II. Priorizar os riscos identificados e desenvolver estratégias para aceitá-los, transferi-los, mitigá-los ou evitá-los.
III. A organização deve verificar os esforços de gestão de riscos ao finalizar o evento.
Está correto o que se propõe em
Com relação à demanda de cuidados no uso da tecnologia de verificação em duas etapas, assinale V para a afirmativa verdadeira e F para a falsa.
( ) Os dados usados na verificação da identidade devem ser atualizados frequentemente, em especial o número principal do telefone celular para recebimento de códigos de verificação e os cadastros alternativos, como e-mails e números de telefone adicionais.
( ) Em caso de extravio de dispositivo cadastrado como confiável é contraindicada a imediata exclusão do equipamento nos serviços em que estiver configurado, devendo ser reportado a perda dos mecanismos de autenticação ao portal administrador do sistema, aguardando a apuração para efetivar a exclusão do equipamento nos serviços.
( ) Em caso de perda da chave de segurança física ela deve ser revogada e o serviço onde ela é usada deve ser notificado imediatamente, e em caso de perda ou desconfiança de acesso não autorizado, devem ser gerados novamente os códigos de backup.
As afirmativas são, respectivamente,
Entre as estratégias de gestão de segurança da informação, após identificação de artefatos maliciosos hospedados em endereços de redes no Brasil, deve ser encaminhada notificação com o seguinte regramento:
Relacione os vetores de ataque da OWASP com a explicação do cenário de ameaças de API relacionado a vulnerabilidade menciona na lista de 2023:
1. Broken Authentication
2. Broken Function Level Authorization
3. Improper Inventory Management
4. Server Side Request Forgery
( ) Invasores podem obter acesso aos recursos e/ou funções administrativas de outros usuários ao explorarem políticas complexas de controle de acesso com diferentes hierarquias, grupos e papéis, bem como sistemas com pouco clara separação entre funções administrativas e regulares.
( ) Falha explorada quando uma API está buscando um recurso remoto sem validar o URI fornecido pelo usuário, resultando em uma falsificação de solicitação permitindo que um invasor force a aplicação a enviar uma solicitação criada para um destino inesperado, mesmo quando protegido por um firewall ou VPN.
( ) Implementações incorretas podem comprometem a capacidade de um sistema de identificar o cliente/usuário, permitindo que os invasores comprometam os tokens de autenticação ou explorem falhas de implementação para assumir as identidades de outros usuários temporária ou permanentemente.
( ) Acessos não autorizados podem ser prevenidos ao focar a segurança na importância de rastrear e gerenciar as superfícies de ataque da organização, em especial realizando o manejo adequado de hosts e manutenção do versionamento atualizado de API implantadas.
Assinale a opção que indica a relação correta, na ordem apresentada.
No que se refere à gestão de segurança da informação, julgue o item subsecutivo.
O modelo de sistema de gestão de segurança da informação
(SGSI) de uma organização é influenciado por fatores como
necessidades e objetivos, requisitos de segurança, processos
e estrutura organizacional.
No que se refere à gestão de segurança da informação, julgue o item subsecutivo.
Para se aplicar uma política de segurança da informação em
uma organização, é suficiente que a alta direção da
organização bem como os detentores dos demais cargos de
liderança tenham conhecimento do teor da referida política e
acompanhem a sua implantação.
Acerca da segurança da informação, julgue o item que se segue.
A confidencialidade da informação garante que, em uma
comunicação, a origem e o destino sejam realmente aquilo
que alegam ser.
Acerca da segurança da informação, julgue o item que se segue.
A ocorrência, em uma empresa, da perda de comunicação
com um sistema importante, seja pela queda de um servidor,
seja pela aplicação crítica de negócio configura exemplo de
perda de integridade.
Julgue o item a seguir, a respeito de softwares maliciosos.
Cavalo de troia (trojan horse) é um programa que promete
uma ação ou funcionalidade, mas executa outra totalmente
diferente; seu objetivo é enganar as pessoas, permitindo o
acesso e o roubo de informações de seus computadores.
Julgue o item a seguir, a respeito de softwares maliciosos.
Spyware é um programa que se instala de maneira furtiva por
meio de outro programa; ele monitora o usuário, capturando
informações confidenciais, hábitos de consumo, senhas
bancárias e informações de cartões de crédito.
Julgue o item a seguir, a respeito de softwares maliciosos.
Worm é um tipo de software malicioso que infecta uma
estação de trabalho (workstation) em vez de infectar
arquivos; ele não requer intervenção humana para se
propagar e, diferentemente do vírus, não precisa se fixar em
arquivo ou setor
Julgue o próximo item, relativo a OWASP Top 10.
Quando explorado, o Broken Access Control permite a
violação do princípio de menor privilégio, situação em que o
acesso que deveria ser concedido para usuários específicos
fica disponível para qualquer pessoa.
Julgue o próximo item, relativo a OWASP Top 10.
De acordo com o descrito para Insecure Design, um design
inseguro não pode ser corrigido por uma implementação
perfeita, sendo a falta de um perfil de risco empresarial
inerente ao software que está sendo desenvolvido um dos
fatores que contribuem para um design inseguro.
Julgue o seguinte item, com base no que dispõe a NBR ISO/IEC 27001:2022.
No que se refere à conscientização, as pessoas que realizam
trabalho sob o controle de uma organização devem estar
cientes da política de segurança da informação desta, ainda
que não seja necessário que conheçam as implicações da não
conformidade com os requisitos do sistema de gestão da
segurança da informação.
Julgue o seguinte item, com base no que dispõe a NBR ISO/IEC 27001:2022.
A organização deve realizar avaliações de riscos da
segurança da informação, bem como implementar o plano de
tratamento de riscos da segurança da informação, retendo
informação documentada dos resultados tanto das avaliações
quanto do tratamento de riscos da segurança da informação.
Julgue o próximo item, à luz do disposto na NBR ISO/IEC 27002:2022.
A segregação de funções e áreas de responsabilidade é
importante em uma organização; entretanto, as funções de
solicitação, aprovação e implementação de direitos de acesso
não devem ser segregadas, devido ao princípio da unicidade
de concessão de privilégios.
Julgue o próximo item, à luz do disposto na NBR ISO/IEC 27002:2022.
Deve-se permitir a identificação única de indivíduos e
sistemas que acessem as informações de uma organização
por meio da gestão de identidade; assim, são vedadas,
expressamente e sem exceção, identidades atribuídas a várias
pessoas, como, por exemplo, identidades compartilhadas,
uma vez que é cogente responsabilizar a pessoa por ações
realizadas com o emprego de uma identidade específica.
Com referência a políticas de segurança da informação, julgue o item a seguir.
O objetivo da classificação da informação é definir o padrão
de sigilo que será utilizado na organização e classificar cada
informação considerando esse padrão.
Com referência a políticas de segurança da informação, julgue o item a seguir.
Cada informação deverá ter o seu próprio gestor, que será
responsável por controlar suas autorizações de acesso e sua
confidencialidade.
Julgue o próximo item, com relação a vulnerabilidades e ataques.
Instalações inadequadas e falta de controle de acesso são
exemplos de vulnerabilidades organizacionais.
Conheça nossos planos