Questões de Concurso Público DATAPREV 2023 para Analista de Tecnologia da Informação - Perfil: Desenvolvimento de Software
Foram encontradas 23 questões
No âmbito da Estratégia Nacional de Segurança Cibernética, a ação da indústria de adotar padrões internacionais de segurança e privacidade no desenvolvimento de novos produtos tecnológicos desde a sua concepção está vinculada à ação estratégica de incentivar a concepção de soluções inovadoras em segurança cibernética.
Segundo o Decreto n.º 10.748/2021, a Rede Federal de Gestão de Incidentes Cibernéticos deve ser coordenada por um colegiado técnico composto por representantes dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.
De acordo com a Política Nacional de Segurança da Informação, regulamentada pelo Decreto n.º 9.637/2018, a participação de membros indicados no Comitê Gestor da Segurança da Informação será considerada prestação de serviço público especificamente remunerada.
Entre as ações de prevenção destacadas no Plano de Gestão de Incidentes Cibernéticos para a administração pública federal incluem-se a implementação de controles de segurança; o gerenciamento de vulnerabilidades; e a conscientização e capacitação.
Segundo o disposto no Decreto n.º 11.200/2022 — Plano Nacional de Segurança de Infraestruturas Críticas —, dos órgãos e das entidades que atuam na segurança de infraestruturas críticas requer-se que acompanhem e avaliem continuamente a situação das infraestruturas críticas e que implementem, quando necessário, medidas de proteção a elas.
No âmbito da Instrução Normativa GSI n.º 1, a segurança da informação abrange, entre outros aspectos, a segurança pública lógica, a defesa aeroespacial digital e a segurança das infraestruturas de comunicação.
A garantia de segurança e confiabilidade de um blockchain é feita por meio de uma terceira parte mediadora, cuja confiabilidade é publicamente aceita.
Os direitos concedidos a usuários com acessos privilegiados são restritos e controlados, sendo necessário ter requisitos para expirar esse tipo de acesso.
No gerenciamento de informações, deve ser evitado o uso de mensagens de correio eletrônico de terceiros para o fornecimento de informações temporárias de autenticação secreta de usuários.
Uma política de gerenciamento de chaves deve estabelecer a forma apropriada de lidar com chaves comprometidas: deve-se manter registro e auditoria das atividades que tenham relação com o gerenciamento de chaves e não se deve jamais destruir chaves comprometidas, as quais devem ser somente arquivadas.
O controle de acesso a código-fonte de programas deve ser vedado à maioria dos times de tecnologia, exceto ao time de suporte, que deve ter acesso irrestrito às bibliotecas de programa-fonte.
No desenvolvimento de uma política para criptografia, o uso de criptografia no transporte de mídias móveis é opcional, desde que, para o transporte, as mídias sejam lacradas e rastreadas durante todo o tempo em que estiverem em trânsito.
Em um perímetro de segurança física, as portas corta-fogo devem ser providas de alarme e monitoramentos e devem ser testadas em conjunto com as paredes, a fim de se estabelecer o nível de resistência exigido.
A modelagem de ameaças pode ser aplicada no componente de um software, para apoiar a seleção de recursos de segurança.
Durante a fase de implementação, são aplicados padrões de codificação e testes.
A fase de implementação contempla a aplicação de testes de segurança sem o uso de soluções para análise de código.
A fase de design prevê a definição da estrutura geral do software relacionado à segurança e a realização de revisões de código.
Na fase de suporte e manutenção, deve ser estabelecido um time ou grupo responsável por respostas a incidentes de segurança.
No que se refere a OWASP Top 10, julgue o seguinte item.
Security misconfiguration indica que a aplicação pode estar
vulnerável devido à utilização de contas e senhas default que
estão habilitadas e ainda não foram alteradas.
Insecure design recomenda o uso de LIMIT e outros controles SQL para prevenir a divulgação em massa de registros em caso de injeção de SQL.