Questões de Cibersegurança com Gabarito (Comentado)

41Q897154 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024

Para garantir a continuidade dos negócios e a proteção adequada dos dados, uma organização deve definir claramente os objetivos de RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Esses conceitos ajudam a estabelecer estratégias eficazes de recuperação e minimizam o impacto de incidentes.
Considerando a importância dos objetivos de recuperação em um plano de continuidade de negócios, assinale a opção que apresenta as corretas definições para RTO e RPO.

✂️ a) RTO é o intervalo máximo aceitável entre o último backup realizado e o momento de um incidente, enquanto RPO é o tempo máximo permitido para restaurar a operação após um incidente.
✂️ b) RTO é o tempo máximo aceitável para restaurar a operação de um sistema após um incidente, enquanto RPO é a quantidade máxima de dados que podem ser perdidos sem causar danos significativos aos negócios.
✂️ c) RTO é a quantidade máxima de dados que podem ser perdidos sem impactos negativos, enquanto RPO é o tempo máximo permitido para a execução de testes de recuperação de desastres.
✂️ d) RTO é o intervalo de tempo entre o último backup realizado e a perda de dados, enquanto RPO é o tempo máximo necessário para restaurar a operação após uma interrupção;
✂️ e) RTO é o tempo máximo permitido para o backup de dados em uma organização, enquanto RPO é o período durante o qual a organização deve manter um backup de dados.

42Q905726 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024

O tipo de incidente de segurança mais reportado anualmente ao CERT.br é conhecido como SCAN e engloba as notificações de varreduras em redes de computadores (scans).

O fato de este ser o tipo de incidente mais reportado não é incomum, pois a varredura é usualmente a

✂️ a) segunda etapa de um ataque que interage com os sistemas-alvo, utilizando-se de ferramentas para testar diversas senhas.
✂️ b) única etapa de um ataque sem interação com os sistemas-alvo, sendo utilizada em praticamente todos os tipos de ataque.
✂️ c) última etapa de um ataque, buscando percorrer os sistemas afetados e garantir que eles não contenham registros do ataque.
✂️ d) primeira etapa de um ataque, utilizando-se de técnicas de engenharia social.
✂️ e) primeira etapa em que ocorre interação com os sistemas-alvo, sendo utilizada em praticamente todos os tipos de ataque.

43Q1042892 | Direito Digital, Lei N 13 709 de 2018, Cibersegurança, TJ RR, FGV, 2024

Um sistema de gerenciamento de dados dos beneficiários de um programa governamental coleta diversas informações pessoais, incluindo nome, endereço e dados bancários para depósito dos benefícios.
Durante uma auditoria, o auditor descobriu que

1. O sistema não informa aos usuários como seus dados serão utilizados.
2. Não há procedimentos estabelecidos para que os beneficiários solicitem a remoção de seus dados.
3. Não existe a opção de correção de certos dados fornecidos pelo usuário.

Considerando os direitos do titular de dados pessoais previstos na LGPD, é correto afirmar que, entre os direitos violados, encontra-se o direito de

✂️ a) acesso aos dados pessoais.
✂️ b) revogação do consentimento.
✂️ c) eliminação dos dados pessoais após o término do tratamento.
✂️ d) portabilidade dos dados pessoais.
✂️ e) oposição ao tratamento de dados pessoais.

44Q905743 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024

Os Benchmarks CIS (Center for Internet Security) são recomendações de configurações técnicas para manter ou aumentar a segurança de uma tecnologia específica. Por exemplo, no CIS Red Hat Enterprise Linux 9 Benchmark v1.0.0, encontram-se recomendações de configuração técnica relevantes para o sistema RHEL 9. Dentre as recomendações para a configuração de sistemas de arquivos, os diretórios que são usados para funções de todo o sistema podem ser protegidos, ainda mais quando são colocados em partições separadas. Isso fornece proteção para exaustão de recursos e permite o uso de opções de montagem que são aplicáveis ao uso pretendido do diretório. Em particular, para o sistema de arquivos do /tmp, a recomendação é montá-lo em uma partição separada e usar opções de montagem para evitar três ameaças nesse sistema de arquivos:

(1) criação de arquivos especiais de dispositivos de bloco ou de fluxo;
(2) criação de arquivos com permissão de setuid;
(3) execução de arquivos binários.

Respectivamente, essas opções de montagem são

✂️ a) nodev, nosuid e noexec
✂️ b) nodev, nosetuid e norun
✂️ c) nodev, nosetuid e noexec
✂️ d) nospecdev, nosuid e nofork
✂️ e) nospecdev, nosetuid e norun

45Q905747 | Programação, Cibersegurança, BNDES, CESGRANRIO, 2024

Um CSIRT (Computer Security Incident Response Team) é capaz não apenas de coletar e avaliar relatórios de incidentes de segurança da informação, mas também de analisar dados relevantes e executar análises técnicas detalhadas do incidente em si e de quaisquer artefatos usados. A partir dessa análise, a mitigação e as etapas para se recuperar do incidente podem ser recomendadas.

De acordo com o FIRST CSIRT Services Framework, o serviço de mitigação e recuperação está definido para a área de serviço de

✂️ a) Consciência Situacional
✂️ b) Transferência de Conhecimento
✂️ c) Gestão de Vulnerabilidade
✂️ d) Gestão de Eventos de Segurança da Informação
✂️ e) Gestão de Incidentes de Segurança da Informação

46Q905750 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024

A norma ABNT NBR ISO/IEC 27002:2022 organiza os controles de segurança em diferentes categorias (ou temas), e cada controle está associado a cinco atributos com valores de atributo correspondentes. Dentre esses atributos, o de domínios de segurança é usado para visualizar controles na perspectiva de quatro domínios de segurança da informação.

Os valores desse atributo consistem em:

✂️ a) Confidencialidade, Integridade, Disponibilidade e Resiliência
✂️ b) Governança, Defesa, Continuidade e Segurança_física
✂️ c) Governança, Confidencialidade, Integridade e Disponibilidade
✂️ d) Governança_e_Ecossistema, Proteção, Defesa e Resiliência
✂️ e) Governança_e_Ecossistema, Proteção, Defesa e Segurança_física

47Q897158 | Banco de Dados, Cibersegurança, TJ RR, FGV, 2024

PostgreSQL 16 suporta tanto Views (Visões) quanto Materialized Views (Visões Materializadas).
Avalie as seguintes afirmações relacionadas a esses conceitos.

I. Tanto uma Materialized View como uma View são apenas cópias virtuais, sem que haja um armazenamento físico dos dados (resultados da consulta).
II. O comando REFRESH MATERIALIZED VIEW nome_da_visao_materializada; substitui completamente o conteúdo da Materialized View, descartando os dados antigos.
III. A utilização da cláusula WITH NO DATA, no comando de criação de uma Materialized View, faz com que sua estrutura seja criada, mas sem preenchê-la, isto é, sem popular com dados no momento da criação.

Está correto o que se afirma em

✂️ a) I, apenas.
✂️ b) I e II, apenas.
✂️ c) I e III, apenas.
✂️ d) II e III, apenas.
✂️ e) I, II e III.

48Q1044175 | Legislação dos TRFs, Conselho Nacional de Justiça Cnj, Cibersegurança, TJ RR, FGV, 2024

Os Manuais e Protocolos criados pela Resolução CNJ nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) e aprovados pela Portaria nº 162 de 10/06/2021 normatizam diversas atividades na área de segurança cibernética a serem implantadas pelos diversos órgãos do Poder Judiciário.

Com base nos Manuais e Protocolos aprovados pela Portaria nº 162, de 10/06/2021, analise as afirmações a seguir.

I. Os Protocolos e Manuais serão atualizados a qualquer tempo por indicação do Comitê Gestor de Segurança Cibernética do Poder Judiciário.
II. O Protocolo de Investigação de Ilícitos Cibernéticos do Poder Judiciário (PIILC-PJ) deverá ser implementado por todos os órgãos do Poder Judiciário, com exceção do Supremo Tribunal Federal.
III. O Manual de Proteção de Infraestruturas de TIC descreve as ações responsivas a serem colocadas em prática quando ficar evidente que um incidente de segurança cibernética não será mitigado rapidamente e poderá durar dias, semanas ou meses.

Está correto o que se afirma em

✂️ a) I, apenas.
✂️ b) I e II, apenas.
✂️ c) I e III, apenas.
✂️ d) II e III, apenas.
✂️ e) I, II e III.

49Q897156 | Segurança da Informação, Cibersegurança, TJ RR, FGV, 2024

Considerando a norma ABNT NBR ISO/IEC 27701:2019 (versão corrigida: 2020), que apresenta requisitos e diretrizes quanto à gestão da privacidade da informação nas organizações, analise as afirmativas a seguir.

I. Convém que a organização designe um ponto de contato para ser usado pelo cliente, em relação ao tratamento de dados pessoais.
II. Convém que a organização assegure que o uso de dispositivos móveis não conduza a um comprometimento de dados pessoais.
III. Convém que a organização forneça informações para o cliente em relação às circunstâncias em que ela usa a criptografia para proteger os dados pessoais que ela trata.

Encontra-se presente na referida norma o que se afirma em

✂️ a) I, apenas.
✂️ b) I e II, apenas.
✂️ c) I e III, apenas.
✂️ d) II e III, apenas.
✂️ e) I, II e III.

50Q897159 | Sistemas Operacionais, Cibersegurança, TJ RR, FGV, 2024

Um contêiner é um ambiente de software onde é possível instalar uma aplicação ou microsserviço e contém todas as dependências da biblioteca, os binários e uma configuração básica, necessária para a sua execução.
Em relação ao uso de contêineres, analise as afirmativas a seguir:

I. Permite uma capacidade de carga muito maior, a diminuição de custos e a facilidade de manuseio.
II. Padroniza o ambiente de execução da aplicação e facilita a implantação (deploy) de forma independente.
III. Permite o isolamento da aplicação, dependências e recursos como em uma máquina virtual, mas de maneira mais custosa.

Está correto o que se afirma em

✂️ a) I, apenas.
✂️ b) II, apenas.
✂️ c) I e II, apenas.
✂️ d) II e III, apenas.
✂️ e) I, II e III.

52Q905741 | Redes de Computadores, Cibersegurança, BNDES, CESGRANRIO, 2024

As equipes do Security Operation Center (SOC) da organização, muitas vezes, são inundadas com tarefas repetitivas e demoradas que prejudicam e reduzem a eficiência na resposta aos incidentes. Para minimizar esse problema, um conjunto de tecnologias de segurança cibernética permite que as organizações respondam a alguns incidentes automaticamente, possibilitando que os administradores lidem com alertas de segurança, sem a necessidade de intervenção manual. Para isso, englobam três importantes recursos de software usados pelas equipes de cibersegurança: gerenciamento de casos e de fluxos de trabalho; automação de tarefas e acesso a meios centralizados de consulta; e compartilhamento de informações sobre ameaças.

Esse conjunto de tecnologias de segurança cibernética é conhecido como

✂️ a) IPS
✂️ b) DLP
✂️ c) WAF
✂️ d) CASB
✂️ e) SOAR

53Q1042891 | Direito Digital, Lei N 13 709 de 2018, Cibersegurança, TJ RR, FGV, 2024

No contexto da Lei Geral de Proteção de Dados (LGPD), os papéis do Controlador, do Operador e do Encarregado de Dados (DPO – Data Protection Officer) são fundamentais para o correto tratamento dos dados pessoais.
Considerando a interação com a Autoridade Nacional de Proteção de Dados (ANPD), e as responsabilidades e funções de cada um, é correto afirmar que

✂️ a) o Controlador é responsável por executar o tratamento de dados pessoais seguindo as instruções do Operador, enquanto o DPO orienta e atua como canal de comunicação.
✂️ b) o Operador decide sobre as finalidades e os meios de tratamento dos dados pessoais, sendo auxiliado pelo Controlador na implementação das medidas de segurança, enquanto o DPO interage tanto com os titulares dos dados quanto com a ANPD.
✂️ c) o DPO é responsável por determinar como os dados pessoais serão coletados e utilizados, além de implementar políticas de proteção de dados de forma independente do Controlador ou Operador.
✂️ d) o Controlador determina as finalidades e os meios de tratamento dos dados pessoais; o Operador realiza o tratamento, seguindo as instruções do Controlador; e o DPO atua como canal de comunicação entre o Controlador, os titulares dos dados e a ANPD.
✂️ e) o Controlador e o Operador compartilham a responsabilidade de decidir sobre as bases legais para o tratamento de dados pessoais, enquanto o DPO é o único responsável por comunicar violações de dados à ANPD e aos titulares.

54Q905745 | Segurança da Informação, Cibersegurança, BNDES, CESGRANRIO, 2024

Conforme descrito no documento CIS Microsoft Windows Server 2019 Standalone Benchmark v1.0.0, os usuários devem ser educados sobre a seleção e a manutenção adequadas de senhas pessoais, especialmente com relação ao comprimento. Os tipos de ataques de senha incluem ataques de dicionário (que tentam usar palavras e frases comuns) e ataques de força bruta (que tentam todas as combinações possíveis de caracteres). Além disso, os invasores, às vezes, tentam obter o banco de dados de contas para que possam usar ferramentas para descobrir as contas e as senhas.

Segundo esse benchmark, a recomendação para o tamanho das senhas no ambiente corporativo é de quantos caracteres?

✂️ a) 6
✂️ b) 8
✂️ c) 10
✂️ d) 12
✂️ e) 14 ou mais

Questões de Concursos Cibersegurança

Resolva questões de Cibersegurança comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática.