Questões sobre Análise de Vulnerabilidade e Gestão de Riscos

#Questão 1065544 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FCC, 2022, TRT - 19ª Região (AL), Analista Judiciário - Área Apoio Especializado Especialidade: Tecnologia da Informação

Segundo a Resolução CNJ número 396, de 7 de junho de 2021, cada Tribunal, com exceção do STF, deverá estabelecer em sua Política de Segurança da Informação ações para:
– realizar a Gestão dos Ativos de Informação e da Política de Controle de Acesso; – criar controles para o tratamento de informações com restrição de acesso; – promover treinamento contínuo e certificação internacional dos profissionais diretamente envolvidos na área de segurança cibernética; – estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos; – utilizar os recursos de soluções de criptografia, ampliando o uso de assinatura eletrônica, conforme legislações específicas; e

A) tratar riscos de segurança da informação de forma a garantir que as informações dos órgãos do Poder Judiciário sejam mantidas totalmente seguras.

B) garantir a melhoria contínua dos métodos e procedimentos no que tange à segurança física e lógica dos ambientes de tecnologia do Poder Judiciário.

C) assegurar o projeto e desenvolvimento de softwares seguros que garantam a segurança das informações dos órgãos do Poder Judiciário.

D) garantir a segregação de funções no controle de acesso a todos os sistemas do Poder Judiciário.

E) comunicar e articular as ações de segurança da informação com a alta administração do órgão.

#Questão 1066206 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FGV, 2022, TRT - 13ª Região (PB), Técnico Judiciário - Tecnologia da Informação

A falha ou quebra de controle de acesso ("Broken Access Control") é um risco de segurança crítico para aplicações Web.
Para prevenir essa vulnerabilidade, o OWASP recomenda que

A) a listagem de diretórios do servidor web seja desativada.

B) os tokens JWT stateless sejam de longa duração.

C) as sessões stateful sejam mantidas no servidor após o logout.

D) evite reutilizar os mecanismos de controle de acesso.

E) utilize APIs sem taxa limite de requisições.

#Questão 1066403 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FGV, 2022, Senado Federal, Analista Legislativo - Análise de Suporte de Sistemas

Assuma que os equipamentos listados anteriormente compõem a rede da empresa fictícia Empresa A. Mediante as novas demandas do mercado por segurança, os executivos da Empresa A contrataram uma consultoria para fazer um levantamento de riscos.
Um dos riscos indicados foi a possível interrupção do negócio mediante comprometimento do ambiente.
A esse respeito, assinale a opção que não apresenta um controle presente no Guia De Aperfeiçoamento Da Segurança Cibernética Para Infraestrutura Crítica V1.1 que pode ajudar a prevenir este risco.

A) PR.AC-4: Permissões de acesso e autorizações são gerenciadas, incorporando os princípios de menor privilégio e divisão de tarefas.

B) PR.PT-4: Redes de comunicação e controle são protegidas.

C) RS.CO-1: Os colaboradores conhecem seus papéis e a sequência de operações quando uma resposta é necessária.

D) PR.PT-2: As mídias removíveis são protegidas e seu uso é restrito de acordo com a política.

E) PR.AT-1: Todos os utilizadores são informados a respeito e treinados.

#Questão 1066475 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FGV, 2022, TCE-TO, Analista Técnico - Tecnologia da Informação

O analista Gideão instalou a ferramenta SecEval no cenário de integração contínua do TCE/TO. A SecEval analisa uma aplicação em execução buscando encontrar vulnerabilidades de segurança por meio de telemetrias coletadas em tempo real de sensores inseridos no interior da aplicação. Porém, SecEval não dispõe de recursos para bloquear ataques contra aplicações em execução.
Portanto, SecEval é uma ferramenta de teste de segurança do tipo:

A) Interactive Application Security Testing;

B) Static Application Security Testing;

C) Dynamic Application Security Testing;

D) Software Composition Analysis;

E) Runtime Application Self-Protection.

#Questão 1066528 - Segurança da Informação, Análise de Vulnerabilidade e Gestão de Riscos, FGV, 2022, TCE-TO, Auditor de Controle Externo - Tecnologia da informação

A aplicação Web SiCONTA viabiliza a recuperação de credenciais de acesso por meio da conferência de respostas previamente cadastradas pelo usuário a questionamentos realizados a ele no processo de criação da credencial.
Considerando a metodologia Open Web Application Security Project (OWASP), a aplicação Web SiCONTA possui uma vulnerabilidade classificada na categoria:

A) Broken Access Control;

B) Insecure Identification;

C) Security Misconfiguration;

D) Insecure Design and Implementation;

E) Identification and Authentication Failures.

Questões sobre Análise de Vulnerabilidade e Gestão de Riscos

Pesquise questões de concurso nos filtros abaixo