Questões de Concursos de Segurança da Informação com Gabarito (Comentado)

O departamento de TI do TCE-PA está implementando medidas para proteger seus sistemas contra diferentes tipos de malware.

Os programas maliciosos que se disfarçam como softwares legítimos são denominados

O que caracteriza um ataque de força bruta?

Tentativa de adivinhar credenciais testando todas as combinações possíveis.

Envio de e-mails falsos para enganar usuários.

Exploração de vulnerabilidades de software para obter acesso não autorizado.

Redirecionamento de tráfego de rede para servidores maliciosos.

Uso de engenharia social para obter informações sensíveis.

Acerca da gestão de riscos de TIC, julgue o seguinte item.

A gestão de riscos de TIC deve focar exclusivamente a mitigação de ameaças externas, como ataques cibernéticos e falhas de segurança, sem necessidade de considerar riscos internos, como erros operacionais, falhas de infraestrutura ou problemas de conformidade regulatória.

O departamento de TI do TCE-PA está implementando medidas para proteger seus sistemas contra diferentes tipos de malware.

Os programas maliciosos que se disfarçam como softwares legítimos são denominados

O que caracteriza um ataque de força bruta?

Tentativa de adivinhar credenciais testando todas as combinações possíveis.

Envio de e-mails falsos para enganar usuários.

Exploração de vulnerabilidades de software para obter acesso não autorizado.

Redirecionamento de tráfego de rede para servidores maliciosos.

Uso de engenharia social para obter informações sensíveis.

Acerca da gestão de riscos de TIC, julgue o seguinte item.

Na elaboração de procedimentos para situações de emergência, é fundamental o desenvolvimento de um plano de contingência.

Um plano de contingência é um

documento que lista os nomes dos funcionários responsáveis pela evacuação em caso de emergência.

conjunto de diretrizes para evacuação em caso de emergência.

plano alternativo para lidar com emergências que visa à recuperação das atividades empresariais o mais breve possível.

treinamento para uso de equipamentos de combate à emergência.

plano para realizar simulações de treinamentos de prevenção e combate a incêndio.

No que se relaciona aos pilares da segurança da informação, um deles garante que os dados sejam corretos, autênticos e confiáveis, ou seja, assegura que os dados não foram adulterados e, portanto, podem ser confiáveis. Os dados devem ser protegidos enquanto estão em uso, em trânsito e quando são armazenados, independentemente de residirem em um laptop, dispositivo de armazenamento, data center ou na nuvem. Esse pilar pode ser preservado por meio de criptografia, hashing, assinatura digital, certificado digital, sistemas de detecção de intrusão, auditoria, controle de versão, autenticação e controles de acesso.
Esse pilar é conhecido como:

Acerca de JWT, julgue o próximo item.

Reserved claims possuem o atributo não obrigatório iss (Issuer), que se refere à origem do token.

Para garantir a detecção eficaz de ataques internos sofisticados durante uma auditoria de rede de dados, a prática mais apropriada consiste em

implementar uma análise comportamental dos usuários e atividades internas em conjunto com a revisão de logs e tráfego de rede.

realizar auditorias periódicas nos dispositivos críticos.

realizar auditorias nos logs de acesso.

focar a análise de segurança na configuração e nas vulnerabilidades dos dispositivos de rede.

A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.

A camada de inteligência estratégica de ameaças de uma organização deve atuar na coleta de informações sobre as metodologias dos atacantes, bem como sobre as ferramentas e tecnologias envolvidas nos ataques.

Acerca de prevenção e combate a ataques a redes de computadores, criptografia e certificação digital, julgue o item seguinte.

Diferentemente de outros algoritmos de criptografia simétrica, o protocolo AES exige o constante compartilhamento de chaves entre todas as partes envolvidas em uma comunicação, o que limita seu desempenho em sistemas distribuídos e o torna impraticável em cenários de alta escala.

Assinale a alternativa que descreve corretamente uma característica de um Cavalo de Troia (Trojan)

Um Trojan se replica automaticamente, infectando outros arquivos e sistemas na rede, e sua principal ação maliciosa é exibir mensagens de propaganda indesejada para o usuário.

Um Trojan se propaga explorando vulnerabilidades em sistemas operacionais, sem a necessidade de intervenção do usuário, e sua principal ação maliciosa é coletar dados bancários do usuário, através da instalação de programas spyware.

Um Trojan não se autorreplica e depende da execução pelo usuário, se disfarçando como um programa útil, possibilitando a instalação de um backdoor, permitindo o acesso remoto do atacante ao computador.

Um Trojan infecta o setor de inicialização do disco rígido, ativando-se sempre que o sistema é iniciado, e sua principal ação maliciosa é criptografar os arquivos do usuário, exigindo o pagamento de resgate para descriptografá-los.

Um Trojan se esconde de softwares antivírus, modificando seu código a cada infecção, e sua principal ação maliciosa é redirecionar a navegação do usuário para sites falsos, com o objetivo de roubar informações pessoais.

Analise as seguintes asserções e a relação proposta entre elas:

I. A técnica do software antivírus com noções avançadas pode analisar o código, para verificar o que ele faz, e então tentar simular a operação do código. No entanto, como pode haver milhares de vírus e de arquivos para analisar, o processo pode tornar-se lento.

PORQUE

II. Vírus sofisticados possuem um recurso que permite alterar o decriptador a cada nova cópia. Esse recurso, conhecido como motor de mutação, consiste em modificar uma sequência de instruções de máquina sem alterar sua funcionalidade. A mutação pode envolver a inserção de código inútil, mas prejudicial, a permuta entre instruções, a troca de registros e a substituição de uma instrução por outra.

A respeito dessas asserções, assinale a alternativa correta.

As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.

As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.

A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.

A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.

As asserções I e II são proposições falsas.

Assinale a alternativa que preencha corretamente a lacuna.
______ é um método que permite aos usuários acessarem várias aplicações ou sistemas com uma única autenticação, simplificando o processo de login e proporcionando uma experiência de usuário mais eficiente.

SSN (Single Sign-Now)

SSU (Single Sign-Unique)

SSM (Single Sign-Me)

SSO (Single Sign-On)

Os analistas de segurança da informação estão pesquisando como mitigar riscos e monitorar ameaças que podem surgir no futuro. No modelo de ameaças STRIDE, a ameaça que tenta violar o princípio da confidencialidade é:

information disclosure;

elevation of privilege.

Na gestão eletrônica de documentos, o processo de criar uma cópia dos dados de um dispositivo ou sistema de armazenamento de dados, como um PC, celular, servidor, nuvem, WhatsApp, entre outros, para proteger as informações importantes contra a perda ou corrupção é denominado de:

Existem diferentes tipos e formas de atuação de Sistema de Identificação de Intrusão (IDS). Um IDS cuja forma de detecção é baseada em anomalias tem como característica

grande número de alarmes falsos.

facilidade de configuração e atualização.

simplicidade de implementação.

alta taxa de acertos de intrusão.

grande tráfego adicional gerado na rede.

Na construção de sistemas distribuídos, a escolha adequada de protocolos de comunicação é fundamental. Considerando os conceitos de redes de computadores, protocolos e modelos de referência OSI e TCP/IP, qual protocolo é comumente utilizado para a transmissão segura de dados na Internet, proporcionando criptografia e autenticação?

Considere a seguinte situação hipotética:

− Uma pessoa recebe um e-mail de um desconhecido, contendo uma oferta de empréstimo com taxas de juros muito inferiores às praticadas no mercado. Além disso, se ela investir em alguma boa aplicação, ganhará muito mais do que pagará pelo empréstimo. Oferta por demais atraente.

− O motivo, descrito na mensagem, pelo qual ela foi selecionada para receber essa oferta, foi a indicação de um amigo que a apontou como uma pessoa honesta, confiável e merecedora de tal benefício.

− Todavia, para ter direito a esse benefício, ela é orientada a preencher um cadastro e enviá-lo para análise de crédito.

− Após o seu crédito ser aprovado, ela é informada que necessita efetuar um depósito bancário ao ofertante para o ressarcimento das despesas inerentes a esse tipo de transação. Um valor razoável, mas bem menor do que ela ganhará com a transação.

− A mensagem deixa claro que se trata de uma transação ilegal e, por isso, solicita sigilo absoluto e urgência na ação, caso contrário o ofertante procurará outra pessoa e ela perderá a oportunidade de ganhar com isso.

Essa situação envolve questões de segurança da informação porque indica

o uso de uma tecnologia de varredura na internet conhecida como injection tree, que invade a lista de e-mails e manda mensagens perigosas.

um golpe praticado em e-mails caseiros ou comerciais conhecido como ramsomware.

o uso de uma tecnologia de obtenção de e-mails com fins maliciosos conhecida como spamming tree protocol.

um golpe praticado na internet conhecido como advance fee fraud.

um ataque de invasão de e-mails não comerciais conhecido como blueprint.

Um Tribunal Regional do Trabalho deseja implementar um sistema de autenticação centralizado para seus diversos aplicativos internos e externos. Decidiu, para isso, utilizar o Keycloak como Identity Provider (IdP) e configurar a autenticação e autorização dos usuários por meio do OAuth2. Durante a implementação, a equipe de segurança precisa garantir que os fluxos de autenticação estejam corretamente configurados e que os aplicativos tenham acesso seguro aos recursos protegidos. Nesse cenário,

o Keycloak pode atuar como um Authorization Server dentro do fluxo OAuth2, permitindo a emissão de tokens de acesso ? refresh tokens para aplicações cliente.

o Keycloak apenas suporta OAuth2 para autenticação federada, sendo necessário utilizar um provedor externo como Azure AD ou Google Identity para permitir login unificado.

no OAuth2, ao utilizar Keycloak como IdP, o fluxo de Implicit Grant deve ser sempre a opção preferida para aplicações web modernas, pois é o mais seguro e recomendado atualmente.

aplicações cliente que precisam acessar APIs protegidas devem utilizar o Authorization Code Lazy (ACL) combinado com Proof Authority for Code Exchange (PACE) para aumentar a segurança na troca de tokens.

o protocolo OAuth2, implementado no Keycloak, permite a geração de Access Tokens e ID Tokens, mas não suporta Refresh Tokens para renovação de sessão.

Acerca do OAuth2, julgue o próximo item.

OAuth2 é um protocolo de autorização.

Sobre criptografia simétrica, assimétrica e assinaturas digitais, analise as seguintes informações.

I. Assinaturas digitais são ideais para cifrar um grande volume de dados.
II. Algoritmos RSA e DSA são utilizados em criptografia simétrica.
III. Algoritmos RSA e DSA são utilizados em criptografia assimétrica.
IV. Protocolo SSH não utiliza criptografia simétrica devido à indisponibilidade de canal seguro para a troca da chave simétrica.
V. Protocolo HTTPS utiliza criptografia assimétrica.

Assinale a alternativa que contém, exclusivamente, as afirmações corretas.

Questões de Concursos

Q1050430•
Segurança da Informação•
Malware•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q957763•
Segurança da Informação•
FAU•
Prefeitura de Porto Amazonas PR•
Técnico em Informática•
2025

Q1041482•
Segurança da Informação•
Análise de Vulnerabilidade e Gestão de Riscos•
CESPE CEBRASPE•
STM•
Especialidade Análise de Sistemas•
2025

Q1050430•
Segurança da Informação•
Malware•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q957763•
Segurança da Informação•
FAU•
Prefeitura de Porto Amazonas PR•
Técnico em Informática•
2025

Q1041482•
Segurança da Informação•
Análise de Vulnerabilidade e Gestão de Riscos•
CESPE CEBRASPE•
STM•
Especialidade Análise de Sistemas•
2025

Q1036631•
Segurança da Informação•
Planos de contingência•
CESGRANRIO•
Caixa Econômica Federal•
Engenheiro de Segurança do Trabalho•
2024

Q893017•
Segurança da Informação•
SELECON•
CROMT•
TI•
2024

Q1036126•
Segurança da Informação•
Infra estrutura de Chaves Publicas PKI•
CESPE CEBRASPE•
Banrisul•
Desenvolvimento de Sistemas•
2022

Q900966•
Segurança da Informação•
CESPE CEBRASPE•
SEBRAENACIONAL•
Analista Técnico II Infraestrutura e Sistemas Operacionais•
2024

Q1041266•
Segurança da Informação•
Norma ISO 27001•
CESPE CEBRASPE•
TRF 6 REGIÃO•
Técnico Judiciário Desenvolvimento de Sistemas•
2025

Q1041271•
Segurança da Informação•
Criptografia•
CESPE CEBRASPE•
TRF 6 REGIÃO•
Técnico Judiciário Desenvolvimento de Sistemas•
2025

Q965499•
Segurança da Informação•
Malware•
Banco do Brasil•
Escriturário•
2024

Q958076•
Segurança da Informação•
Malware•
FUNDATEC•
IFRS•
Área Informática•
2025

Q891285•
Segurança da Informação•
IBFC•
TRF 5a•
Especialidade Desenvolvimento de Sistemas da Informação•
2024

Q972695•
Segurança da Informação•
FGV•
TJDFT•
Segurança da Informação•
2022

Q885151•
Segurança da Informação•
IBADE•
FACELI•
Auxiliar de Secretaria•
2024

Q1040049•
Segurança da Informação•
Sistemas de Prevenção Detecção de Intrusão•
FCC•
TRT 9 REGIÃO PR•
Tecnologia da Informação

Q989633•
Segurança da Informação•
SSL•
IBADE•
Prefeitura de Jaru RO•
Analista de Sistemas•
2024

Q963271•
Segurança da Informação•
FCC•
TRF 4ª REGIÃO•
Sistemas de Tecnologia da Informação•
2019

Q978642•
Segurança da Informação•
Autenticação•
FCC•
TRT 1ª REGIÃO RJ•
Tecnologia da Informação•
2025

Q1038327•
Segurança da Informação•
Autenticação•
CESPE CEBRASPE•
BDMG•
Infraestrutura e Segurança Cibernética•
2025

Q951832•
Segurança da Informação•
FCPC•
UFC•
Técnico de Tecnologia da Informação•
2025

Q1050430•Segurança da Informação•Malware•FGV•TCE PA•Administrador de Banco de Dados•2024

Q957763•Segurança da Informação•FAU•Prefeitura de Porto Amazonas PR•Técnico em Informática•2025

Q1041482•Segurança da Informação•Análise de Vulnerabilidade e Gestão de Riscos•CESPE CEBRASPE•STM•Especialidade Análise de Sistemas•2025

Q1050430•Segurança da Informação•Malware•FGV•TCE PA•Administrador de Banco de Dados•2024

Q957763•Segurança da Informação•FAU•Prefeitura de Porto Amazonas PR•Técnico em Informática•2025

Q1041482•Segurança da Informação•Análise de Vulnerabilidade e Gestão de Riscos•CESPE CEBRASPE•STM•Especialidade Análise de Sistemas•2025

Q1036631•Segurança da Informação•Planos de contingência•CESGRANRIO•Caixa Econômica Federal•Engenheiro de Segurança do Trabalho•2024

Q893017•Segurança da Informação•SELECON•CROMT•TI•2024

Q1036126•Segurança da Informação•Infra estrutura de Chaves Publicas PKI•CESPE CEBRASPE•Banrisul•Desenvolvimento de Sistemas•2022

Q900966•Segurança da Informação•CESPE CEBRASPE•SEBRAENACIONAL•Analista Técnico II Infraestrutura e Sistemas Operacionais•2024

Q1041266•Segurança da Informação•Norma ISO 27001•CESPE CEBRASPE•TRF 6 REGIÃO•Técnico Judiciário Desenvolvimento de Sistemas•2025

Q1041271•Segurança da Informação•Criptografia•CESPE CEBRASPE•TRF 6 REGIÃO•Técnico Judiciário Desenvolvimento de Sistemas•2025

Q965499•Segurança da Informação•Malware•Banco do Brasil•Escriturário•2024

Q958076•Segurança da Informação•Malware•FUNDATEC•IFRS•Área Informática•2025

Q891285•Segurança da Informação•IBFC•TRF 5a•Especialidade Desenvolvimento de Sistemas da Informação•2024

Q972695•Segurança da Informação•FGV•TJDFT•Segurança da Informação•2022

Q885151•Segurança da Informação•IBADE•FACELI•Auxiliar de Secretaria•2024

Q1040049•Segurança da Informação•Sistemas de Prevenção Detecção de Intrusão•FCC•TRT 9 REGIÃO PR•Tecnologia da Informação

Q989633•Segurança da Informação•SSL•IBADE•Prefeitura de Jaru RO•Analista de Sistemas•2024

Q963271•Segurança da Informação•FCC•TRF 4ª REGIÃO•Sistemas de Tecnologia da Informação•2019

Q978642•Segurança da Informação•Autenticação•FCC•TRT 1ª REGIÃO RJ•Tecnologia da Informação•2025

Q1038327•Segurança da Informação•Autenticação•CESPE CEBRASPE•BDMG•Infraestrutura e Segurança Cibernética•2025

Q951832•Segurança da Informação•FCPC•UFC•Técnico de Tecnologia da Informação•2025

Q1050430•
Segurança da Informação•
Malware•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q957763•
Segurança da Informação•
FAU•
Prefeitura de Porto Amazonas PR•
Técnico em Informática•
2025

Q1041482•
Segurança da Informação•
Análise de Vulnerabilidade e Gestão de Riscos•
CESPE CEBRASPE•
STM•
Especialidade Análise de Sistemas•
2025

Q1050430•
Segurança da Informação•
Malware•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q957763•
Segurança da Informação•
FAU•
Prefeitura de Porto Amazonas PR•
Técnico em Informática•
2025

Q1041482•
Segurança da Informação•
Análise de Vulnerabilidade e Gestão de Riscos•
CESPE CEBRASPE•
STM•
Especialidade Análise de Sistemas•
2025

Q1036631•
Segurança da Informação•
Planos de contingência•
CESGRANRIO•
Caixa Econômica Federal•
Engenheiro de Segurança do Trabalho•
2024

Q893017•
Segurança da Informação•
SELECON•
CROMT•
TI•
2024

Q1036126•
Segurança da Informação•
Infra estrutura de Chaves Publicas PKI•
CESPE CEBRASPE•
Banrisul•
Desenvolvimento de Sistemas•
2022

Q900966•
Segurança da Informação•
CESPE CEBRASPE•
SEBRAENACIONAL•
Analista Técnico II Infraestrutura e Sistemas Operacionais•
2024

Q1041266•
Segurança da Informação•
Norma ISO 27001•
CESPE CEBRASPE•
TRF 6 REGIÃO•
Técnico Judiciário Desenvolvimento de Sistemas•
2025

Q1041271•
Segurança da Informação•
Criptografia•
CESPE CEBRASPE•
TRF 6 REGIÃO•
Técnico Judiciário Desenvolvimento de Sistemas•
2025

Q965499•
Segurança da Informação•
Malware•
Banco do Brasil•
Escriturário•
2024

Q958076•
Segurança da Informação•
Malware•
FUNDATEC•
IFRS•
Área Informática•
2025

Q891285•
Segurança da Informação•
IBFC•
TRF 5a•
Especialidade Desenvolvimento de Sistemas da Informação•
2024

Q972695•
Segurança da Informação•
FGV•
TJDFT•
Segurança da Informação•
2022

Q885151•
Segurança da Informação•
IBADE•
FACELI•
Auxiliar de Secretaria•
2024

Q1040049•
Segurança da Informação•
Sistemas de Prevenção Detecção de Intrusão•
FCC•
TRT 9 REGIÃO PR•
Tecnologia da Informação

Q989633•
Segurança da Informação•
SSL•
IBADE•
Prefeitura de Jaru RO•
Analista de Sistemas•
2024

Q963271•
Segurança da Informação•
FCC•
TRF 4ª REGIÃO•
Sistemas de Tecnologia da Informação•
2019

Q978642•
Segurança da Informação•
Autenticação•
FCC•
TRT 1ª REGIÃO RJ•
Tecnologia da Informação•
2025

Q1038327•
Segurança da Informação•
Autenticação•
CESPE CEBRASPE•
BDMG•
Infraestrutura e Segurança Cibernética•
2025

Q951832•
Segurança da Informação•
FCPC•
UFC•
Técnico de Tecnologia da Informação•
2025