Questões de Concursos Segurança de sistemas de informação

Resolva questões de Segurança de sistemas de informação comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática.

Ordenar por:

61Q149574 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Tecnologia da Informação, TJ PI, FCC

No âmbito de Segurança da Informação, é correto afirmar:

✂️ a) Um computador baseado em Windows pode enviar e receber senhas atualizadas de/para um computador baseado em UNIX. Se a senha não for criptografada, deverá ter o maior nível possível de complexidade, caso contrário, a chave de criptografia deve conter, pelo menos, 12 caracteres.
✂️ b) O single sign-on é implementado com maior eficiência em ambientes de infraestrutura heterogênea e se constitui em um elemento facilitador da gerência e administração de identidades nesse tipo de ambiente.
✂️ c) Políticas de sincronização de senha entre sistemas operacionais distintos são aplicáveis somente com sincronização de senhas bidirecionais.
✂️ d) Em termos de sincronização de senha unidirecional, entre sistemas operacionais distintos, que a política de senha do computador, a partir do qual as senhas serão sincronizadas, seja pelo menos tão restritiva, em todas as áreas, quanto a política do computador para o qual as senhas serão sincronizadas.
✂️ e) O single sign-on permite que um usuário se autentique uma única vez para acessar múltiplos sistemas e aplicações, reduzindo, dessa forma, a complexidade da infraestrutura, além de dificultar ataques de força bruta em senhas.

63Q111442 | Segurança da Informação , Segurança de sistemas de informação, Analista de Finanças e Controle, CGU, ESAF

Segurança compreende a proteção de informações, sistemas, recursos e serviços contra desastres, erros e manipulação não-autorizada, reduzindo assim, a probabilidade e o impacto de incidentes de segurança. Em termos de Segurança da Informação, é correto afirmar que:

✂️ a) são classificadas como informações confidenciais aquelas cujo acesso interno ou externo de pessoas não autorizadas é crítico para a empresa, sendo imprescindível um número restrito de pessoas autorizadas e o controle total sobre o uso das informações.
✂️ b) a segurança de acesso físico tem por objetivo proteger informações contra usuários não autorizados, protegendo o acesso aos recursos, de modo explícito ou implícito (áreas de acesso restrito), englobando ainda, a prevenção de dados provocados por desastres naturais.
✂️ c) os elementos fundamentais do controle de acesso lógico podem ser visualizados sob dois aspectos distintos: a partir do recurso computacional que se pretende proteger e a partir do usuário a quem se pretende dar certos privilégios e acessos aos recursos. Tais elementos, em essência, podem ser considerados como a identificação e a autenticação de usuários.
✂️ d) A envia uma mensagem encriptada com sua chave privada para B (e que B já possui uma cópia da chave pública de . Ao receber o criptograma, B usa uma cópia da chave pública de A para decriptar a mensagem. Sendo assim, a mensagem encriptadada servirá como assinatura digital, garantindo autenticidade em termos da origem e integridade da mensagem.
✂️ e) considerando que A deseja se comunicar com B, uma possibilidade para resolver a distribuição de chaves convencionais a garantir a autenticidade das partes envolvidas é A gerar um par de chaves públicas e transmitir uma cópia de sua chave pública para B que, por sua vez, gera uma chave secreta e a transmite para A, encriptada com a chave pública de A.

65Q154184 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Tecnologia da Informação, TRE AP, CESPE CEBRASPE

Julgue os próximos itens, acerca da legislação relativa à segurança dos sistemas de informação.

I Não existe, hoje, lei federal que permita ou proíba um empregador de abrir um e-mail dirigido ao empregado, se este estiver usando o e-mail da organização para a qual trabalha.

II O direito à privacidade é um dispositivo infraconstitucional relacionado à segurança da informação.

III A doutrina e a legislação brasileira prescrevem como um dos tipos de assinaturas eletrônicas a assinatura digitalizada, a qual é gerada por meio de criptografia assimétrica.

IV São fases do tratamento da informação, que devem ser observadas pela administração pública quando da gestão da documentação governamental: recepção, produção, reprodução, utilização, acesso, transporte, transmissão, distribuição, armazenamento, eliminação e controle.

Estão certos apenas os itens

✂️ a) I e II.
✂️ b) I e III.
✂️ c) I e IV.
✂️ d) II e III.
✂️ e) III e IV.

66Q234121 | Segurança da Informação, Segurança de sistemas de informação, Programador de Computador, TJ PE, FCC

Sobre o SSE-CMM é correto afirmar:

✂️ a) É indicado apenas para a elaboração de processos de gestão de segurança.
✂️ b) Descreve todas as características dos processos que devem existir em uma organização para assegurar uma boa segurança de sistemas, mas não define níveis de maturidade para os processos.
✂️ c) Estão sendo identificadas e estudadas as métricas de processo e de segurança.
✂️ d) Foi criado para ser aplicado apenas no desenvolvimento de projetos de software.
✂️ e) Aplica-se apenas a pequenas e médias organizações privadas que possuem um número reduzido de processos.

67Q259010 | Segurança da Informação, Segurança de sistemas de informação, Técnico Judiciário Programação de Sistemas, TRE GO, CESPE CEBRASPE

Com relação a conceitos de segurança da informação, assinale a opção incorreta.
>

✂️ a) Os controles de acesso lógico são ferramentas usadas para identificação, autenticação, autorização e auditabilidade.
✂️ b) A identificação descreve o método de garantir que o sujeito é a entidade que ele afirma ser.
✂️ c) Os componentes de software que reforçam as medidas de controle de acesso a sistemas, programas, processos e informação podem ser inseridos em sistemas operacionais, aplicações, pacotes de segurança ou sistemas gerenciadores de bases de dados e redes.
✂️ d) Uma matriz de controle de acesso é uma tabela de sujeitos e objetos que indicam quais são as restrições de acesso físico de sujeitos individuais sobre objetos individuais.

68Q194638 | Segurança da Informação, Segurança de sistemas de informação, Analista, INFRAERO, FCC

No que se refere aos incidentes de segurança de informação, analise:

I. Considerando os cuidados com os aspectos de confidencialidade, os incidentes de segurança da informação podem ser utilizados em treinamento de conscientização como exemplos do que poderia ocorrer, como responder a tais incidentes e como evitá-los futuramente.

II. Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um indicador de um ataque de segurança ou violação de segurança e, portanto, convém que sejam notificados como um evento de segurança da informação.

III. Convém que os funcionários, fornecedores e terceiros sejam alertados para não tentarem averiguar uma fragilidade de segurança da informação suspeita. Testar fragilidades pode ser interpretado como um uso impróprio potencial do sistema e também pode causar danos ao sistema ou serviço de informação, resultando em responsabilidade legal ao indivíduo que efetuar o teste.

IV. Convém que, adicionalmente à notificação de eventos de segurança da informação e fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção de incidentes de segurança da informação.

Está correto o que consta em

✂️ a) I, II, III e IV.
✂️ b) I e III, apenas.
✂️ c) I, II e IV, apenas.
✂️ d) I e IV, apenas.
✂️ e) II e III, apenas.

69Q658493 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Análise de Sistemas, TJ PA, CESPE CEBRASPE, 2020

Texto 4A04-II

Cerca de 51% das empresas brasileiras disseram ter sido vítimas de um ataque do tipo ransomware no ano passado. Ransomware é um tipo de software maligno que impede o acesso dos usuários aos sistemas da empresa vítima. O ataque costuma codificar os dados da vítima, que só poderá recuperar o acesso se obtiver uma chave de acesso. O principal meio de infecção continua sendo o email e as páginas web com uso de engenharia social, e a propagação na rede através de exploração de vulnerabilidades. Outro facilitador são as permissões administrativas atribuídas aos usuários comuns da rede.

Internet: <www.exame.com.br> (com adaptações).

✂️ a) o uso de sistema de becapes corporativos, para salvaguarda e posterior recuperação das informações, o qual deve ser utilizado como último recurso em cenários de propagação de ransomwares.
✂️ b) adotar sistemas de rastreamento de ativos, com o objetivo de identificar e bloquear os emails recebidos com os ransomwares.
✂️ c) utilizar sistemas de aceleração web para os usuários institucionais, o que evita o download de ransomwares a partir de páginas web.
✂️ d) atualizar a BIOS (sistema básico de entrada e saída), com o objetivo de corrigir vulnerabilidades dos sistemas operacionais e dificultar a propagação do ransomwares na rede institucional.
✂️ e) o ajuste de privilégios das contas de usuários comuns, possibilitando acesso às pastas protegidas do sistema operacional e instalação de softwares para permitir a exclusão de ransomwares.

71Q904470 | Segurança da Informação, Segurança de sistemas de informação, Especialização em Desenvolvimento BackEnd, Prefeitura de Rio Branco AC, IV UFG, 2024

Leia o caso a seguir.

Em um ambiente de redes e sistemas distribuídos, a segurança dos dados é primordial. Uma empresa deverá estruturar sua rede, considerando os protocolos de comunicação e os modelos de arquitetura de redes, com intuito de garantir a integridade e a confidencialidade dos dados transmitidos.
Elaborado pelo(a) autor(a).

Para tanto a empresa mencionada no caso irá

✂️ a) utilizar um modelo de sistema distribuído sem estados, onde cada requisição é tratada de forma independente, garantindo assim a escalabilidade do sistema.
✂️ b) empregar equipamentos de transmissão de dados que operam exclusivamente em frequências não licenciadas para evitar interferências e assegurar a privacidade.
✂️ c) implementar protocolos de criptografia de ponta a ponta, como o TLS (Transport Layer Security), para proteger os dados durante a transmissão entre os nós da rede.
✂️ d) adotar a conteinerização para isolar as aplicações de rede, evitando, assim, que falhas em um contêiner afetem outros contêineres ou o sistema hospedeiro.

72Q1042713 | Segurança da Informação, Segurança de Sistemas de Informação, Desenvolvimento de Software, DATAPREV, FGV, 2024

A OWASP Top 10 é uma lista amplamente reconhecida das vulnerabilidades mais críticas em aplicações web, criada pela Open Web Application Security Project (OWASP). Atualizada periodicamente, a lista destaca as principais falhas de segurança que podem ser exploradas por atacantes. Com foco em orientar desenvolvedores e equipes de segurança, a OWASP Top 10 serve como uma referência essencial para proteger aplicações web e melhorar as práticas de desenvolvimento seguro.
Em sua versão OWASP Top 10:2021, identificamos como uma categoria de vulnerabilidade

✂️ a) a falsificação de solicitação do lado do servidor.
✂️ b) a proteção da cadeia de suprimentos de software.
✂️ c) a proteção do ambiente de engenharia.
✂️ d) o treinamento operacional.
✂️ e) o uso de recursos de linguagens e frameworks.

76Q904006 | Segurança da Informação, Segurança de sistemas de informação, Especialista em Governança de Tecnologia da Informação, TRF 1a, FGV, 2024

A Norma ABNT NBR ISO/IEC 27001:2022 recomenda que as organizações estabeleçam e apliquem um processo de tratamento de riscos de segurança da informação para:

✂️ a) preparar um plano diretor de tecnologia da informação;
✂️ b) obter da alta gestão a aprovação dos riscos do plano de tratamento de riscos;
✂️ c) elaborar uma declaração de aplicabilidade que contenha os controles avançados de segurança da informação;
✂️ d) determinar os controles que são necessários para implementar as opções escolhidas do tratamento de riscos de segurança da informação;
✂️ e) selecionar, de forma apropriada, as opções de tratamento dos riscos da segurança da informação levando em consideração os requisitos da alta gestão.

78Q1032287 | Segurança da Informação, Segurança de Sistemas de Informação, Tecnologia da Informação Reaplicação, TRT 24 REGIÃO MS, FGV, 2025

O padrão de verificação de segurança de aplicativos OWASP (versão 4.0.3) indica diversos tipos de verificações que devem ser consideradas no desenvolvimento e manutenção de aplicações seguras.
Com relação à verificação 7 que diz respeito ao tratamento e registro de erros em logs, analise as afirmativas a seguir.

I. Deve-se proteger logs de alta qualidade, seguindo as leis ou diretrizes locais de privacidade de dados, pois, geralmente, eles contêm dados sensíveis.
II. Não se deve coletar ou registrar informações confidenciais nos logs, a menos que seja especificamente necessário.
III. Deve-se garantir que todas as informações registradas nos logs sejam tratadas com segurança e protegidas de acordo com a LGPD.
IV. Deve-se garantir que os logs não sejam armazenados para sempre, mas tenham uma vida útil o mais longa possível.

Está correto o que se afirma em

✂️ a) III e IV, apenas.
✂️ b) II e IV, apenas.
✂️ c) II e III, apenas.
✂️ d) I e III, apenas.
✂️ e) I e II, apenas.

80Q1062321 | Segurança da Informação, Segurança de Sistemas de Informação, Área 3 Informática Forense, Polícia Federal, CESPE CEBRASPE, 2025

Certa aplicação web tem uma funcionalidade de busca de usuários por nome, realizada em PHP, conforme os parâmetros a seguir.
$ username = $ _GET['username']; $ query = “SELECT * FROM users WHERE username = '$ username'“; $ result = mysqli_query($ connection, $ query);
A partir dessas informações, julgue os itens subsequentes, considerando o que é definido pelo OWASP Top 10 de 2021 no que diz respeito a falhas de aplicação.
Na URL a seguir, o uso de -- indica o início de um comentário em SQL, de modo que o restante da consulta é ignorado.
http://prova.com/busca?username=admin'--

✂️ a) Certo
✂️ b) Errado

Questões de Concursos Segurança de sistemas de informação

Resolva questões de Segurança de sistemas de informação comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática.

61Q149574 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Tecnologia da Informação, TJ PI, FCC

62Q231287 | Segurança da Informação, Segurança de sistemas de informação, Programador, CEHAP PB, CESPE CEBRASPE

63Q111442 | Segurança da Informação , Segurança de sistemas de informação, Analista de Finanças e Controle, CGU, ESAF

64Q131768 | Segurança da Informação, Segurança de sistemas de informação, Analista de TIC Infraestrutura, CVM, ESAF

65Q154184 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Tecnologia da Informação, TRE AP, CESPE CEBRASPE

66Q234121 | Segurança da Informação, Segurança de sistemas de informação, Programador de Computador, TJ PE, FCC

67Q259010 | Segurança da Informação, Segurança de sistemas de informação, Técnico Judiciário Programação de Sistemas, TRE GO, CESPE CEBRASPE

68Q194638 | Segurança da Informação, Segurança de sistemas de informação, Analista, INFRAERO, FCC

69Q658493 | Segurança da Informação, Segurança de sistemas de informação, Analista Judiciário Análise de Sistemas, TJ PA, CESPE CEBRASPE, 2020

70Q1038341 | Segurança da Informação, Segurança de Sistemas de Informação, Infraestrutura e Segurança Cibernética, BDMG, CESPE CEBRASPE, 2025

71Q904470 | Segurança da Informação, Segurança de sistemas de informação, Especialização em Desenvolvimento BackEnd, Prefeitura de Rio Branco AC, IV UFG, 2024

72Q1042713 | Segurança da Informação, Segurança de Sistemas de Informação, Desenvolvimento de Software, DATAPREV, FGV, 2024

73Q1038348 | Segurança da Informação, Segurança de Sistemas de Informação, Infraestrutura e Segurança Cibernética, BDMG, CESPE CEBRASPE, 2025

74Q1062323 | Segurança da Informação, Segurança de Sistemas de Informação, Área 3 Informática Forense, Polícia Federal, CESPE CEBRASPE, 2025

75Q1038349 | Segurança da Informação, Segurança de Sistemas de Informação, Infraestrutura e Segurança Cibernética, BDMG, CESPE CEBRASPE, 2025

76Q904006 | Segurança da Informação, Segurança de sistemas de informação, Especialista em Governança de Tecnologia da Informação, TRF 1a, FGV, 2024

77Q1038418 | Segurança da Informação, Segurança de Sistemas de Informação, Sistemas Arquitetura e Solução de Dados, BDMG, CESPE CEBRASPE, 2025

78Q1032287 | Segurança da Informação, Segurança de Sistemas de Informação, Tecnologia da Informação Reaplicação, TRT 24 REGIÃO MS, FGV, 2025

79Q1009254 | Segurança da Informação, Segurança de sistemas de informação, Classe B, DPE RO, FGV, 2025

80Q1062321 | Segurança da Informação, Segurança de Sistemas de Informação, Área 3 Informática Forense, Polícia Federal, CESPE CEBRASPE, 2025