Questões de Concurso

O processo de identificação e tratamento de problemas de segurança no projeto de aplicações ou sistemas, ou seja, antes que o código seja desenvolvido, é conhecido como: 

Em busca de alcançar uma postura de segurança bem-sucedida, as organizações devem realizar, periodicamente, testes de segurança em seus ativos. Sejam estes sob a perspectiva da rede interna, rede externa, dispositivos, sistemas ou aplicativos. Assinale a alternativa que apresenta uma afirmação sobre testes de invasão, ou pentests.

Ferramentas como OpenVAS e Nessus auxiliam os analistas no processo de identificação, classificação e monitoramento de vulnerabilidades em ativos organizacionais. A fim de obter um resultado com uma menor incidência de falsos positivos sob uma faixa de endereços IP de servidores, deve-se configurar uma varredura do tipo:

O sigilo de uma informação a um terceiro pode ser alcançado através da aplicação de um dos seguintes métodos: pela ocultação de sua existência, disfarçando a informação em outra mensagem; ou pela aplicação de uma série de transformações sobre a informação sigilosa, tornando-a ininteligível. Um grau ainda maior de sigilo pode ser alcançado ao combinar os dois métodos. Os métodos mencionados são, respectivamente:

Um importante produto da criptografia de chave pública é a assinatura digital ou assinatura eletrônica. No Brasil, as assinaturas eletrônicas são válidas e reconhecidas legalmente através da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil). O uso de assinatura digital permite a garantia das seguintes propriedades de segurança da informação:

No gerenciamento de riscos, qual das opções abaixo exemplifica uma estratégia de mitigação de risco?

O OWASP Top 10 classifica o Cross-Site Scripting (XSS) como uma das vulnerabilidades mais comuns em aplicações web, especialmente no front-end. Assinale a alternativa abaixo que descreve a principal estratégia para mitigar o risco de XSS em um aplicativo web.

A norma ABNT NBR ISO/IEC 27002:2022 fornece diretrizes para a implementação de controles de segurança da informação. Qual das alternativas a seguir descreve corretamente a relação entre vulnerabilidades, impactos e os controles propostos pela norma?

A norma NBR ISO/IEC 27001:2022 estabelece um conjunto de controles estruturados para implementar e manter um sistema de gestão de segurança da informação (SGSI) eficaz. Qual dos seguintes exemplos está classificado como um controle organizacional de acordo com essa norma?

Um Analista de Informática precisa implementar medidas de proteção para garantir a segurança da informação em uma empresa. Ele deve considerar os diferentes tipos de ataques e vulnerabilidades que podem afetar os ativos da empresa, incluindo hardware, software, sistemas operacionais, aplicações, bancos de dados, redes, pessoas e ambiente físico.

Relacione os tipos de ataque com as medidas de proteção mais adequadas:

1.Ataque de phishing.
2.Ataque de negação de serviço (DoS).
3.Invasão física ao data center.
4.SQL injection.
5.Ataque de malware.

Firewall

(__)Sistema de detecção de intrusão (IDS).
(__)Controle de acesso físico e sistema de vigilância.
(__)Treinamento de conscientização sobre segurança.
(__)Antivírus e sistema de prevenção de intrusão (IPS).

Assinale a alternativa que apresenta a sequência correta de preenchimento dos parênteses de cima para baixo:

Uma empresa de e-commerce sofreu um ataque de ransomware que criptografou todos os dados do seu servidor principal, incluindo o banco de dados de clientes, o sistema de pedidos e o catálogo de produtos. A equipe de TI precisa agir rapidamente para restaurar os sistemas e minimizar os impactos do ataque.
Nesse cenário, qual documento deve ser consultado para orientar as ações de recuperação e garantir a continuidade das operações da empresa?

O gerenciamento dos riscos é um ponto importante a ser considerado na disponibilização de aplicações. Sobre as etapas do processo de gerenciamento de riscos, marque a alternativa correta.

Assinale a opção que apresenta uma vantagem dos backups incrementais em comparação com os backups completos. 

A gestão de segurança da informação é fundamental para proteger a informação dentro de uma organização. O anexo A da norma ISO/IEC 27001, atualizada em 2022, estabelece série de pontos de controles de segurança da informação que são subdivididos em grupos.
Neste sentido, correlacione os grupos de controle existentes no anexo A desta norma, e apresentados abaixo, com seus respectivos pontos de controle.

1. Controle de Pessoal
2. Controles Físicos
3. Controles Tecnológicos

( ) Filtros de navegação web – O acesso a sites (web pages) externos devem ser controladas para reduzir a exposição a possíveis conteúdos maliciosos.

( ) Segurança do cabeamento – Cabos de energia, dados etc. devem ser protegidos contra interceptações, interferência ou danos.

( ) Trabalho remoto - Medidas de segurança devem ser implementadas quando o pessoal estiver trabalhando remotamente para proteger informações acessadas, processadas ou armazenadas fora das instalações da organização.


Assinale a opção que indica a relação correta na ordem apresentada 

Criptografia é utilizada para codificar informações para protegê-las de acessos não autorizados, utilizando técnicas de cifragem que transformam dados legíveis em códigos secretos.
Existem diversos algoritmos que permitem a realização de criptografia. Nesse sentido, correlacione os tipos de algoritmos de criptografia apresentados abaixo com os algoritmos descritos na sequência.

1. Algoritmo de criptografia simétrica
2. Algoritmo de criptografia assimétrica

( ) DAS - Digital Signature Algorithm
( ) DES - Data Encryption Standard
( ) AES - Advanced Encryption Standard


Assinale a opção que indica a relação correta na ordem apresentada

A assinatura digital simplifica processos ao permitir a autenticação e a validação de documentos eletrônicos de forma rápida e segura, eliminando a necessidade de papel e de deslocamentos.
Neste sentido, assinale a opção que apresenta somente conceitos corretos em relação ao processo criptográfico para geração de uma assinatura digital.

A digitalização é o processo de converter informações e documentos físicos em formatos digitais, permitindo sua manipulação, armazenamento e compartilhamento em ambientes virtuais. O processo de digitalização traz várias facilidades para as empresas e indivíduos, promovendo maior agilidade, eficiência e acesso a dados em tempo real. Dentre as possibilidades existentes tornou-se popular a assinatura digital de documentos por meio da internet.
Com relação ao assunto, avalie as afirmativas a seguir:

I. O certificado digital é um documento eletrônico utilizado para comprovar a identidade de uma pessoa ou empresa no meio digital. Ele possibilita transações seguras e a assinatura digital de documentos de forma legalmente válida, proporcionando autenticidade, integridade e confidencialidade.

II. O certificado digital pode ser emitido por uma Autoridade Certificadora (AC), reconhecida por entidades confiáveis e instituições reguladoras. Ele contribui para garantir a segurança em processos online, como transações bancárias, envio de documentos fiscais e comunicações com órgãos públicos.

III. Os certificados digitais também podem ser emitidos pela própria entidade, sem a necessidade de que a identidade seja aferida por uma terceira parte. Nestes casos, ainda será mantida a capacidade de garantir a segurança em processos realizados online, como acesso seguro a portais web, transações bancárias etc.


Está correto o que se afirma em

A criptografia é uma técnica que protege dados, convertendo informações legíveis em códigos, acessíveis apenas por quem possui a chave correta. Ela contribui para a garantia da confidencialidade, integridade e segurança em comunicações e armazenamento de informações sensíveis.
Com relação ao assunto, avalie as afirmativas a seguir:

I. O processo de criptografia assimétrica utiliza um par de chaves: uma pública e uma privada. Ambas podem ser compartilhadas livremente. Entretanto, dados criptografados com uma chave só podem ser descriptografados pela outra.

II. O processo de criptografia simétrica é realizado com apenas uma chave criptográfica compartilhada entre as partes. Essa chave é utilizada tanto para criptografar os dados quanto para decriptografa-los.

III. O hash é uma função criptográfica que transforma uma entrada de dados de qualquer tamanho em uma sequência única e de tamanho fixo. Essa sequência é usada para verificar a integridade dos dados, garantindo que não houve alterações nas informações originais.


Está correto o que se afirma em

Analise as afirmativas a seguir sobre o algoritmo de criptografia RSA:

I. É um algoritmo de criptografia simétrica, conhecido por utilizar uma única chave para encriptação e decriptação dos dados.

II. É um algoritmo de chave pública que utiliza como base a dificuldade de fatorar números grandes em seus fatores primos, proporcionando segurança na transmissão de dados.

III. Gera as chaves pública e privada a partir de uma série de operações de multiplicação de números pares, o que o torna resistente a ataques de força bruta.

Está correto o que se afirma em