Questões de Concursos de Segurança da Informação com Gabarito (Comentado)

A estratégia nacional de segurança da informação e cibernética do Poder Judiciário (ENSEC-PJ) estabelece que cada tribunal, com exceção do STF, deverá estabelecer, em sua política de segurança da informação, ações para:

criar controles para o tratamento de informações sem restrição de acesso;

utilizar os recursos de soluções de anonimização, ampliando o uso de assinatura eletrônica;

comunicar e articular as ações de segurança da informação com a área de tecnologia;

promover treinamento contínuo e certificação internacional dos profissionais formados na área de segurança cibernética;

estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos.

Uma instituição privada sofreu um ataque por ransomware, no qual dados confidenciais foram sequestrados e bloqueados, com a ameaça de só serem liberados mediante pagamento de resgate ao invasor. Para ajudar a resolver o problema, foi utilizada a técnica de Engenharia Reversa.
Com base no relato, avalie as afirmativas relacionadas ao emprego da Engenharia Reversa e assinale (V) para verdadeira e (F) para falsa.

( ) É um processo técnico útil para resolver o problema, utilizando a análise do sistema para entender sua estrutura, seu funcionamento e sua operação.
( ) Ela atua na análise do sistema de arquivos e na tentativa de recuperar dados que não estão mais acessíveis, promovendo o entendimento de como o malware funciona, identificando suas fraquezas e aperfeiçoando o desenvolvimento de defesas mais eficazes.
( ) Nesse cenário, as vulnerabilidades de dia zero representam uma ameaça específica, pois significam vulnerabilidades conhecidas, documentadas e corrigidas.

As afirmativas são, respectivamente,

criar controles para o tratamento de informações sem restrição de acesso;

utilizar os recursos de soluções de anonimização, ampliando o uso de assinatura eletrônica;

comunicar e articular as ações de segurança da informação com a área de tecnologia;

promover treinamento contínuo e certificação internacional dos profissionais formados na área de segurança cibernética;

estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos.

A abordagem de segurança e gerenciamento de acesso do princípio do privilégio mínimo (ou princípio do menor privilégio) diz que

um usuário regular deve ter no mínimo acesso administrativo a tudo.

usuários e clientes devem ter acesso ao mínimo de dados sensíveis e privilegiados.

uma pessoa ou sistema deve receber apenas os privilégios e dados necessários para completar a tarefa em questão, e nada mais.

usuários e sistemas devem ter ao menos acesso aos dados mestres (master data) e históricos.

os acessos e privilégios devem ser revisados uma vez na semana, no mínimo.

A norma ISO/IEC 27001 especifica os(as) ___________ referentes a um sistema de gestão de segurança da informação, possibilitando que as organizações ________________________ para _____________________________________.

Assinale a alternativa que preenche, correta e respectivamente, as lacunas do trecho acima.

padrões – incluam protocolos de comunicação – incrementar as sete camadas e os níveis de segurança

práticas – entendam e implementem a responsabilidade social de forma eficaz – um desenvolvimento mais sustentável e equitativo

práticas – melhorem a capacidade e maturidade dos processos em diversas áreas – alcançarem seus objetivos de segurança

requisitos – avaliem os seus riscos e implementem os procedimentos necessários – a preservação da confidencialidade, integridade e disponibilidade da informação

normas e recomendações – incluam algoritmos de criptografia simétrica, algoritmos de criptografia assimétrica e funções de hash – preservar a confidencialidade

Acerca de VPN e firewall, e considerando as normas ISO 31000, ISO 22301 e ISO 27002, julgue o item que se segue.

Em uma organização que implementa a funcionalidade de VPN incorporada ao sistema de firewall, os pacotes que chegam pela VPN passam diretamente pelo firewall e sã o decriptados no computador de destino pelo software cliente de VPN.

As analistas Clara e Joana são responsáveis por uma carteira digital de criptoativos do MPU, a CWallet. A CWallet é uma carteira multiassinatura, não custodial e descentralizada, com funcionamento baseado em seed phrase. A CWallet não permite o backup das chaves privadas por ela geradas. Certo dia, ao realizar determinada transação na carteira, Joana percebeu que havia perdido tanto sua chave privada quanto sua chave pública, impossibilitando a realização de qualquer transação.
Em relação à recuperação da chave privada de Joana na CWallet, é correto afirmar que:

é possível, desde que Joana tenha guardado sua respectiva seed phrase;

não é possível, pois a CWallet, sendo não custodial, é incapaz de recriar chaves privadas;

não é possível, pois a CWallet, sendo descentralizada, é incapaz de recriar chaves privadas;

é possível, pois a CWallet, sendo multiassinatura, pode recriar a chave privada de Joana a partir da chave pública de Clara;

não é possível, pois a CWallet, sendo multiassinatura, só poderia recriar a chave privada de Joana se fornecida a respectiva a chave pública.

A organização da ICP-Brasil é constituída por várias entidades com atribuições específicas no processo de geração de certificados digitais. Periodicamente é emitida uma Lista de Certificados Revogados (LCR), os quais não podem ser utilizados para assinatura pelos responsáveis enquanto permanecerem na LCR.
A entidade responsável por emitir e assinar digitalmente a LCR é o(a):

Autoridade de Registro;

Autoridade Certificadora do Tempo;

Prestador de Serviço Biométrico;

Comitê Gestor da ICP-Brasil;

Autoridade Certificadora.

A fundação OWASP lista alguns dos principais riscos inerentes às aplicações web. Relacione os riscos a seguir com os exemplos de vulnerabilidades.

( ) Broken Access Control
( ) Injection
( ) Cryptographic Failures
( ) Identification and Authentication Failures

1. Permitir ataques por força bruta ou outros ataques automatizados.
2. Permitir ações que necessitem de login sem que o login tenha sido feito.
3. Transmitir senhas em claro.
4. Utilizar dados inseridos pelo usuário sem validação.

A relação correta, na ordem dada, é

2 – 4 – 3 – 1.

2 – 1 – 4 – 3.

3 – 2 – 1 – 4.

3 – 2 – 4 – 1.

1 – 4 – 3 – 2.

Sobre assinaturas digitais e certificados digitais, assinale a alternativa correta.

As assinaturas digitais utilizam apenas chaves privadas.

As assinaturas digitais exigem um agente certificador credenciado junto ao Instituto Nacional de Tecnologia da Informação.

Os certificados digitais usam ao menos duas chaves criptográficas.

Os certificados digitais não têm um prazo de validade.

É possível fazer uma assinatura digital sem certificado digital.

A demanda por segurança é cada vez maior em sistemas e redes. O protocolo de registro SSL v3 oferece serviços básicos de segurança, confiáveis de ponta a ponta, para vários protocolos de camada superior.

Os dois conceitos importantes abordados pelo SSL são

rede e transparência.

integridade e não repúdio.

tunelamento e criptografia.

rastreabilidade e autenticação.

O termo spam é usado para referir-se aos e-mails não solicitados que, geralmente, são enviados para um grande número de pessoas. Para reduzir o impacto causado pelo spam, muitas organizações adotam técnicas de filtragem para fazer uma triagem nos e-mails recebidos, separando os spams dos e-mails válidos. Dentre as técnicas mais aplicadas, o filtro bayesiano permite uma eficaz filtragem preditiva de mensagens através de palavras-chave com um número reduzido de falso positivos. A plataforma antispam de código aberto da Apache Software Foundation (ASF) usa uma estrutura de pontuação e plug-ins para integrar uma ampla gama de testes avançados de análise estatística e heurística, incluindo a filtragem bayesiana.

Essa plataforma é conhecida como

A RFC do Protocolo Network Configuration (NETCONF) é

No contexto de segurança da informação, um ataque na rede de computadores que consiste em adivinhar, por tentativa e erro, o nome de usuário e a senha para acessar computadores e executar indevidamente processos, é conhecido como ataque de:

Com relação à segurança da informação, julgue o item seguinte.

Um plano de continuidade de negócios deve ser criado em uma organização a fim de garantir que, no caso da interrupção das atividades na organização, soluções de segurança física e lógica sejam respectivamente implementadas.

Dentre os controles de segurança da informação referenciados na norma ABNT NBR ISO/IEC 27001:2022 está o que recomenda que

papéis e responsabilidades pela segurança da informação devem ser definidos e alocados de acordo com os interesses dos setores operacionais.

funções conflitantes e áreas de responsabilidade conflitantes devem ser segregadas.

medidas de segurança devem ser implementadas somente para o trabalho presencial.

os ativos fora das instalações da organização não precisam ser protegidos.

ambientes de desenvolvimento, testes e produção não devem ser separados.

No que se refere a vírus, cavalos de troia, sypware, keyloggers e worms, assinale a opção CORRETA:

Diferentemente do vírus, o worm se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos.

O trojan do tipo dropper instala ferramentas de negação de serviço e as utiliza para desferir ataques.

O trojan do tipo clicker instala outros códigos maliciosos, embutidos no próprio código do trojan.

Similar ao keylogger, o screenlogger é capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking.

O spyware do tipo screenlogger é projetado especificamente para apresentar propagandas.

Acerca de segurança da informação, julgue o item subsequente.

Assim como os vírus, os worms propagam-se por meio da inclusão de cópias de si mesmos em outros programas ou arquivos, de modo a comprometerem os sistemas hospedeiros.

Em políticas de recuperação de desastres, a funcionalidade principal do objetivo de tempo de recuperação (Recovery Time Objective - RTO) é

determinar a quantidade máxima de dados que pode ser perdida.

estabelecer o tempo máximo aceitável para recuperar operações.

garantir a integridade dos dados durante uma transferência.

classificar os níveis de permissão dos usuários no sistema.

priorizar backups incrementais sobre diferenciais.

De acordo com a NBR ISO/IEC 27002:2022, assinale a opção que indica o controle organizacional cujo propósito é assegurar a identificação e o entendimento das necessidades de proteção das informações de acordo com a sua importância para a organização.

rotulagem das informações

transferência das informações

controle de acesso das informações

classificação das informações

uso aceitável das informações

De acordo com a NBR ISO/IEC 22301, a partir dos resultados da análise de impacto nos negócios e da avaliação de riscos, a organização deve realizar a identificação de estratégias de continuidade de negócios que, entre outras ações,

reduzam a probabilidade de disrupção.

expandam o eventual cenário de impacto de disrupção.

revisem e validem novamente as atividades de recuperação.

priorizem outras atividades ainda não contempladas.

aumentem eventuais previsões para o período de disrupção.

Questões de Concursos

Q904008•
Segurança da Informação•
Políticas de Segurança de Informação•
FGV•
TRF 1a•
Especialista em Governança de Tecnologia da Informação•
2024

Q1044811•
Segurança da Informação•
Ataques e ameaças•
FGV•
TCE PE•
Auditor de Controle Externo Tecnologia da Informação•
2025

Q904008•
Segurança da Informação•
Políticas de Segurança de Informação•
FGV•
TRF 1a•
Especialista em Governança de Tecnologia da Informação•
2024

Q1044811•
Segurança da Informação•
Ataques e ameaças•
FGV•
TCE PE•
Auditor de Controle Externo Tecnologia da Informação•
2025

Q1050448•
Segurança da Informação•
Controles de segurança•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q882011•
Segurança da Informação•
FUNDATEC•
IFSC•
Técnico de Tecnologia da Informação•
2024

Q970335•
Segurança da Informação•
VPN Virtual Private Network•
CESPE CEBRASPE•
Petrobras•
Analista de Sistemas – Processos de negócio•
2022

Q1032044•
Segurança da Informação•
Conceitos Básicos em Segurança da Informação•
FGV•
MPU•
Perito em Contabilidade•
2025

Q961908•
Segurança da Informação•
FGV•
TRF 1ª REGIÃO•
Especialidade Análise de Sistemas de Informação•
2024

Q910197•
Segurança da Informação•
FGV•
TCEPA•
Analista de Sistemas•
2024

Q881530•
Segurança da Informação•
FADURPE•
UFRPE•
Técnico de Tecnologia da Informação / Área Suporte e Redes•
2024

Q1087376•
Segurança da Informação•
Protocolo SSL•
FGV•
TJ RJ•
Áreas de Tecnologia da Informação•
2024

Q905904•
Segurança da Informação•
CESGRANRIO•
BNDES•
Suporte Manhã•
2024

Q954045•
Segurança da Informação•
UECE CEV•
PGECE•
Análise e Desenvolvimento de Sistemas•
2025

Q1040072•
Segurança da Informação•
Ataques e ameaças•
FCC•
TRE PB•
Programação de Sistemas

Q1035992•
Segurança da Informação•
Plano de Continuidade de Negócios•
CESPE CEBRASPE•
Banrisul•
Suporte à Plataforma Mainframe•
2022

Q1040877•
Segurança da Informação•
Norma ISO 27001•
FCC•
TRT 15 Região SP•
Especialidade Tecnologia da Informação•
2023

Q953584•
Segurança da Informação•
UFCG•
UFCG•
Técnico de Tecnologia da Informação•
2025

Q1040125•
Segurança da Informação•
Malware•
CESPE CEBRASPE•
TJ DFT•
Programação de Sistemas

Q954122•
Segurança da Informação•
UECE CEV•
PGECE•
Infraestrutura•
2025

Q911645•
Segurança da Informação•
CESPE CEBRASPE•
TCEPR•
Auditor de Controle Externo – Área: Informática•
2024

Q911652•
Segurança da Informação•
CESPE CEBRASPE•
TCEPR•
Auditor de Controle Externo – Área: Informática•
2024

Q904008•Segurança da Informação•Políticas de Segurança de Informação•FGV•TRF 1a•Especialista em Governança de Tecnologia da Informação•2024

Q1044811•Segurança da Informação•Ataques e ameaças•FGV•TCE PE•Auditor de Controle Externo Tecnologia da Informação•2025

Q904008•Segurança da Informação•Políticas de Segurança de Informação•FGV•TRF 1a•Especialista em Governança de Tecnologia da Informação•2024

Q1044811•Segurança da Informação•Ataques e ameaças•FGV•TCE PE•Auditor de Controle Externo Tecnologia da Informação•2025

Q1050448•Segurança da Informação•Controles de segurança•FGV•TCE PA•Administrador de Banco de Dados•2024

Q882011•Segurança da Informação•FUNDATEC•IFSC•Técnico de Tecnologia da Informação•2024

Q970335•Segurança da Informação•VPN Virtual Private Network•CESPE CEBRASPE•Petrobras•Analista de Sistemas – Processos de negócio•2022

Q1032044•Segurança da Informação•Conceitos Básicos em Segurança da Informação•FGV•MPU•Perito em Contabilidade•2025

Q961908•Segurança da Informação•FGV•TRF 1ª REGIÃO•Especialidade Análise de Sistemas de Informação•2024

Q910197•Segurança da Informação•FGV•TCEPA•Analista de Sistemas•2024

Q881530•Segurança da Informação•FADURPE•UFRPE•Técnico de Tecnologia da Informação / Área Suporte e Redes•2024

Q1087376•Segurança da Informação•Protocolo SSL•FGV•TJ RJ•Áreas de Tecnologia da Informação•2024

Q905904•Segurança da Informação•CESGRANRIO•BNDES•Suporte Manhã•2024

Q954045•Segurança da Informação•UECE CEV•PGECE•Análise e Desenvolvimento de Sistemas•2025

Q1040072•Segurança da Informação•Ataques e ameaças•FCC•TRE PB•Programação de Sistemas

Q1035992•Segurança da Informação•Plano de Continuidade de Negócios•CESPE CEBRASPE•Banrisul•Suporte à Plataforma Mainframe•2022

Q1040877•Segurança da Informação•Norma ISO 27001•FCC•TRT 15 Região SP•Especialidade Tecnologia da Informação•2023

Q953584•Segurança da Informação•UFCG•UFCG•Técnico de Tecnologia da Informação•2025

Q1040125•Segurança da Informação•Malware•CESPE CEBRASPE•TJ DFT•Programação de Sistemas

Q954122•Segurança da Informação•UECE CEV•PGECE•Infraestrutura•2025

Q911645•Segurança da Informação•CESPE CEBRASPE•TCEPR•Auditor de Controle Externo – Área: Informática•2024

Q911652•Segurança da Informação•CESPE CEBRASPE•TCEPR•Auditor de Controle Externo – Área: Informática•2024

Q904008•
Segurança da Informação•
Políticas de Segurança de Informação•
FGV•
TRF 1a•
Especialista em Governança de Tecnologia da Informação•
2024

Q1044811•
Segurança da Informação•
Ataques e ameaças•
FGV•
TCE PE•
Auditor de Controle Externo Tecnologia da Informação•
2025

Q904008•
Segurança da Informação•
Políticas de Segurança de Informação•
FGV•
TRF 1a•
Especialista em Governança de Tecnologia da Informação•
2024

Q1044811•
Segurança da Informação•
Ataques e ameaças•
FGV•
TCE PE•
Auditor de Controle Externo Tecnologia da Informação•
2025

Q1050448•
Segurança da Informação•
Controles de segurança•
FGV•
TCE PA•
Administrador de Banco de Dados•
2024

Q882011•
Segurança da Informação•
FUNDATEC•
IFSC•
Técnico de Tecnologia da Informação•
2024

Q970335•
Segurança da Informação•
VPN Virtual Private Network•
CESPE CEBRASPE•
Petrobras•
Analista de Sistemas – Processos de negócio•
2022

Q1032044•
Segurança da Informação•
Conceitos Básicos em Segurança da Informação•
FGV•
MPU•
Perito em Contabilidade•
2025

Q961908•
Segurança da Informação•
FGV•
TRF 1ª REGIÃO•
Especialidade Análise de Sistemas de Informação•
2024

Q910197•
Segurança da Informação•
FGV•
TCEPA•
Analista de Sistemas•
2024

Q881530•
Segurança da Informação•
FADURPE•
UFRPE•
Técnico de Tecnologia da Informação / Área Suporte e Redes•
2024

Q1087376•
Segurança da Informação•
Protocolo SSL•
FGV•
TJ RJ•
Áreas de Tecnologia da Informação•
2024

Q905904•
Segurança da Informação•
CESGRANRIO•
BNDES•
Suporte Manhã•
2024

Q954045•
Segurança da Informação•
UECE CEV•
PGECE•
Análise e Desenvolvimento de Sistemas•
2025

Q1040072•
Segurança da Informação•
Ataques e ameaças•
FCC•
TRE PB•
Programação de Sistemas

Q1035992•
Segurança da Informação•
Plano de Continuidade de Negócios•
CESPE CEBRASPE•
Banrisul•
Suporte à Plataforma Mainframe•
2022

Q1040877•
Segurança da Informação•
Norma ISO 27001•
FCC•
TRT 15 Região SP•
Especialidade Tecnologia da Informação•
2023

Q953584•
Segurança da Informação•
UFCG•
UFCG•
Técnico de Tecnologia da Informação•
2025

Q1040125•
Segurança da Informação•
Malware•
CESPE CEBRASPE•
TJ DFT•
Programação de Sistemas

Q954122•
Segurança da Informação•
UECE CEV•
PGECE•
Infraestrutura•
2025

Q911645•
Segurança da Informação•
CESPE CEBRASPE•
TCEPR•
Auditor de Controle Externo – Área: Informática•
2024

Q911652•
Segurança da Informação•
CESPE CEBRASPE•
TCEPR•
Auditor de Controle Externo – Área: Informática•
2024