Questões de Concursos Segurança da Informação

Uma equipe de segurança de um órgão público foi designada para realizar testes de penetração no âmbito do Tribunal de Justiça do Distrito Federal e dos Territórios. Como parte da etapa de coleta de informações, a seguinte busca foi realizada em fontes abertas https://www.google.com/search?q=site:tjdft.jus.br. A requisição retornará páginas:

DevSecOps é uma abordagem que integra segurança ao ciclo de vida do desenvolvimento de software, garantindo que vulnerabilidades sejam identificadas e corrigidas desde as primeiras etapas do processo. Uma das características dessa abordagem é a

Assinale a opção em que é indicada uma medida apropriada a ser tomada em face da ocorrência de uma não conformidade no sistema de gestão da segurança da informação em uma organização.

Uma das estratégias avançadas do DevSecOps para a garantia da segurança do software em ambientes de nuvem é a implementação de

Na Gestão de Riscos, as organizações identificam, avaliam e priorizam riscos para minimizar o impacto de eventos adversos em seus objetivos e operações. Uma das principais estratégias utilizadas é a “mitigação de riscos”. Neste contexto marque a alternativa que corretamente contém, o que significa “mitigação de riscos”:

A capacidade de uma pessoa determinar, por si mesma, quando, como e em que medida as informações pessoais sobre ela poderão ser compartilhadas ou comunicadas a outras pessoas, entidades ou organizações está diretamente relacionada

Um malware altamente contagioso, que se propague automaticamente pela rede, infectando computadores e roubando dados confidenciais, é um malware do tipo

A autenticação descreve métodos usados para garantir que o sujeito é a entidade que ele afirma ser. A identificação pode ser fornecida com a utilização de um nome de usuário ou número de conta. Para ser propriamente autenticado, o sujeito é normalmente solicitado a fornecer uma senha, uma frase em código, uma chave criptográfica, um número pessoal de identificação — personal identification number (PIN) —, um atributo anatômico ou um token.

A segurança online depende de cuidados pessoais e de ferramentas como antivírus para proteger contra ameaças como phishing e ransomware. Acerca do assunto, marque (V), para as afirmativas verdadeiras, e (F), para as falsas.
(__) O phishing é uma tática que utiliza mensagens falsas para enganar usuários e obter dados sensíveis, como senhas e informações bancárias.
(__) Ransomware é um tipo de vírus que apenas rouba informações do computador, sem bloquear arquivos ou exigir pagamentos.
(__) Um bom antivírus pode identificar e bloquear links maliciosos antes que eles causem danos ao computador.
(__) Não abrir anexos de remetentes desconhecidos é uma prática importante para evitar golpes e contaminações por malware.
A sequência está correta em:

Ao final de três meses da implantação da gestão de riscos em uma empresa, foi realizado um estudo, onde foi mensurado o desempenho da estrutura da gestão de riscos, os indicadores e comportamento esperado.
Ao final do estudo, foi constatado que as ações estão eficazes e a empresa está com plenas condições de alcançar os seus objetivos dentro da gestão de riscos.
De acordo com a NBR ISO 31000, da ABNT, a componente da estrutura da gestão de riscos associada à atividade descrita é

Muitos ataques cibernéticos não exploram vulnerabilidades de sites, aplicações ou serviços, mas na verdade exploram a dimensão humana, realizando a chamada engenharia social, para enganar o usuário visando roubar credenciais de acesso, coletar informações, injetar malwares, etc. Um desses ataques utiliza email, SMS ou chamadas telefônicas para atacar uma lista restrita de alvos sobre os quais os criminosos realizaram pesquisa específica para a elaboração do ataque.
O ataque supramencionado é chamado de

De acordo com a ABNT NBR ISO/IEC 27001, entre os controles da organização interna da segurança da informação inclui-se

Um certificado digital é, em essência, uma identidade eletrônica. É um arquivo eletrônico que associa uma chave pública a uma pessoa física ou jurídica, garantindo a autenticidade e a integridade das informações trocadas em ambientes digitais. Imagine-o como um RG digital, mas com funcionalidades muito mais abrangentes.
Assinale a afirmativa correta sobre a certificação digital.

Os componentes do perímetro de segurança incorporam atividades de monitoramento e filtragem do tráfego de rede para fortalecer a segurança do trânsito de dados entre redes. Esses componentes devem ser independentes para assegurar que o comprometimento de um componente não afete diretamente os demais. Um desses componentes opera no nível de aplicação e é capaz de inspecionar o conteúdo das mensagens de aplicação e fazer a intermediação do tráfego entre as estações da rede interna e os servidores externos para impor a política de segurança da organização.
Esse componente é o

Fabrício, delegado de polícia, solicitou a intervenção de um especialista em informática para investigar um incidente ocorrido em uma empresa, no qual João, um ex-funcionário, acessou indevidamente o sistema da empresa, que continha dados confidenciais. Durante essa invasão, João procedeu à modificação dos preços dos produtos, reduzindo-os a valores insignificantes, e distribuiu essas informações para milhares de indivíduos, ocasionando uma interrupção temporária no funcionamento do sistema.

Após uma minuciosa análise da situação, o perito elaborou um relatório abrangente para o delegado Fabrício, no qual apontou os objetivos fundamentais de segurança que foram violados.

A alternativa que lista os objetivos fundamentais de segurança que foram violados, na ordem em que as respectivas violações aparecem no texto acima, é:

A segurança da informação é uma preocupação central em qualquer organização que lide com dados sensíveis. Um dos pilares dessa segurança é a criptografia, que visa proteger a confidencialidade dos dados através da sua codificação. Nesse contexto, a criptografia assimétrica, também conhecida como criptografia de chave pública, distingue-se da criptografia simétrica por:

Por hipótese, considere que, durante um processo de auditoria interna em um Tribunal Regional Eleitoral, foi encontrada uma documentação sobre registros de verbas de campanha com conteúdo violado e clara identificação de perda material. Essa constatação fere o princípio da segurança da informação quanto

Considerando os conceitos de IDS (intrusion detection systems) e IPS (intrusion prevention systems), julgue o item a seguir.

IDS podem ser definidos como um tipo de ferramenta de software ou appliance capaz de detectar eventos com base em assinatura e em características que os tornam suspeitos na rede sob análise.