Questões de Concursos Especialidade Segurança da Informação

A criptografia assimétrica utiliza um par de chaves para codificar e decodificar as mensagens trocadas entre o emissor e o receptor.
Sobre a criptografia assimétrica, é correto afirmar que:

O Conselho Nacional de Justiça (CNJ) instituiu a política pública para a governança e gestão de processo judicial eletrônico, integrando todos os tribunais do país com a criação da plataforma digital do Poder Judiciário brasileiro (PDPJ-Br).
A PDPJ-Br provê aplicações, módulos e microsserviços por meio do serviço de computação em nuvem.
O serviço de computação em nuvem da empresa XYZ foi contratado para hospedar a PDPJ-Br. No contrato firmado, a empresa XYZ se compromete a cumprir todos os preceitos da Lei Geral de Proteção de Dados Pessoais (LGPD) e atuar no limite das determinações do controlador de dados pessoais.
Segundo a LGPD, a empresa XYZ exerce o papel de:

Quando lidamos com antivírus, diversos assuntos são de extrema importância para o profissional de tecnologia, desde a sua configuração em garantir suas atualizações, isto por que, diversas vulnerabilidades são exploradas constantemente por hackers ou investigadores independentes. Diante do exposto, assinale a alternativa que apresenta qual é a vulnerabilidade em que o fabricante do antivírus não dispõe da devida correção e que muitas vezes essas vulnerabilidades são difundidas apenas a um pequeno grupo de hackers.

O firewall controla todas as mensagens que passam por ele. Em geral, um firewall é utilizado para interconectar uma rede segura (como a rede interna das empresas) a uma rede insegura, como a Internet. Assinale a alternativa que apresenta o que acontece com o tráfego de rede quando um firewall é configurado com sua configuração padrão.

Davi está modificando a forma de trabalho de sua empresa de desenvolvimento para usar o processo de Continuous Delivery e Continuous Integration (CI/CD). As aplicações em desenvolvimento vão passar por um conjunto de etapas nas quais o código passará por alterações até chegar à produção (pipeline). Uma das aplicações de Davi está na fase de certificação de sistema/subsistema em um ambiente de staging.
Nesse pipeline de CD/CI, a aplicação de Davi encontra-se na fase de:

Para incrementar o processo de autenticação em seus sistemas, um órgão está adotando uma solução de multifator de autenticação. Esse tipo de autenticação é implementado em camadas, utilizando vários fatores de autenticação.
O fator de posse do usuário, ou seja, aquilo que ele tem, pode ser implementado com:

A fim de tratar os riscos técnicos identificados nos ativos, a equipe de segurança do órgão SICRIT está implementando um processo para gestão das vulnerabilidades técnicas de acordo com a ABNT NBR ISO/IEC 27002:2022.
Para realizar a identificação das vulnerabilidades, a equipe de segurança deve seguir a orientação de:

Alguns computadores de uma rede segmentada de um órgão foram infectados por códigos maliciosos inseridos por um invasor que se utilizou das vulnerabilidades existentes no seu sistema operacional. Os códigos maliciosos não se propagam, mas permitem o retorno do invasor sempre que desejar e permitem a instalação de outros códigos maliciosos.
O tipo de código malicioso que infectou os referidos computadores é um:

O Conselho Nacional de Justiça (CNJ) instituiu a política pública para a governança e gestão de processo judicial eletrônico, integrando todos os tribunais do país com a criação da plataforma digital do Poder Judiciário brasileiro (PDPJ-Br).
Caso uma solução tecnológica integrada à PDPJ-Br adote decisão automatizada, o titular do dado pessoal terá direito a:

Assinale a alternativa que apresenta a principal diferença entre um software antivírus e um software antispam, bem como evidencie a importância de ambos para a segurança da informação.

Vários aplicativos gratuitos e comerciais usam o SSH para acesso remoto. Entre eles, está o PuTTy, criado por Simon Tatham, que é um programa de SSH cliente que pode ser usado para acesso remoto. Assinale a alternativa que apresenta qual protocolo é construído sobre o SSH para a transferência segura de arquivos, utilizando um dos canais fornecidos pelo SSH.

Diretivas de segurança da informação definem as políticas e práticas essenciais para proteger dados e sistemas críticos. Elas orientam a implementação de controles de segurança, garantindo a confidencialidade, a integridade e a disponibilidade das informações. Essas diretivas ajudam a mitigar riscos e a assegurar conformidade com normas e regulamentações. Assinale a alternativa que apresenta qual é o propósito principal do documento OWASP Top Ten.

De acordo com a última edição OWASP Top Ten, existem três novas categorias, quatro categorias com alterações em nomenclaturas e escopo e alguma consolidação no Top 10:2021. Assinale a alternativa que apresenta qual é o novo foco da categoria "Falhas Criptográficas" no OWASP Top Ten, que anteriormente era conhecida como Exposição de Dados Sensíveis.

A estratégia nacional de tecnologia da informação e comunicação do Poder Judiciário (ENTIC-JUD) preconiza que cada órgão do Poder Judiciário deve elaborar seu plano de gestão de continuidade de negócios.
Considerando os requisitos de um sistema de gestão de continuidade de negócios, os procedimentos estabelecidos no plano de gestão de continuidade de negócios devem ser:

SSH-auth, ou autenticação por chave SSH, é um método poderoso e seguro para se conectar a servidores remotos. Assinale a alternativa que apresenta qual é a sequência correta de mensagens trocadas durante a autenticação do cliente no SSH.

A criptografia é uma técnica de segurança que transforma informações legíveis em um formato codificado, garantindo que apenas aqueles com a chave correta possam acessá-las. Assinale a alternativa que apresenta qual modelo de criptografia é descrito como aquele em que a chave usada para codificar e decodificar a mensagem é a mesma para ambas as partes envolvidas na comunicação e deve permanecer em segredo.

O Time de Respostas a Incidentes de Segurança Computacional (CSIRT), esses grupos, também conhecidos por outras denominações, nada mais são que os responsáveis por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Assinale a alternativa correta sobre como podem ser classificados os CSIRTs em termos de estrutura e operação.

Com o crescente número de ataques cibernéticos, o Tribunal Regional Federal da 1ª Região (TRF1) resolveu criar um departamento de cybersegurança. Esse departamento conterá inicialmente os times A e B. A diferença entre eles é que o time A é responsável por ataques e o time B, pela defesa. João, Denise e Sônia foram contratados para o departamento. João realizará coleta de dados, análises dos dados, sistemas, redes e servidores que devem ser protegidos, além de produzirem avaliações de riscos. Denise fará prevenção, identificação, contenção e mitigação de qualquer tentativa de acesso indevido. Sônia buscará vulnerabilidades conhecidas e testará novas combinações de ataques e de engenharia social para obter acesso aos sistemas.

De acordo com o que cada um executará, João, Denise e Sônia serão alocados, respectivamente, nos times:

Uma equipe de segurança contratou uma solução de antimalware como mecanismo adicional de segurança. O método de detecção da solução contratada simula a execução de arquivos específicos para analisar seu comportamento em busca de características suspeitas.
O método de detecção adotado na solução é:

Um órgão precisa enviar informações rotineiras para seus usuários por e-mail. Para que os e-mails enviados não sejam caracterizados como SPAM, é necessário que: