Uma Secretaria da Fazenda está implementando um Sistema de Gestão da Segurança da Informação (SGSI) conforme os requisitos da ABNT NBR ISO/IEC 27001 com a emenda 1:2024. O objetivo é proteger informações criticas sobre contribuintes, arrecadação tributaria e processos fiscais. Durante o planejamento do SGSI, a Secretaria da Fazenda realizou uma análise de contexto e identificou que um novo sistema de cobrança de dividas ativas esta sendo desenvolvido por uma empresa terceirizada. Nesse cenário e considerando os controles estabelecidos na ABNT NBR ISO/IEC 27001, a Secretaria da Fazenda deve

Um órgão fazendário federal mantém uma API para que empresas consultem pendências tributarias. A equipe de segurança identificou que o backend reutiliza o mesmo token de acesso OAuth2 por até 24 horas, sem rotação, com permissões amplas e sem validação de escopo em relação ao que o cliente solicitou. Um atacante que obtenha esse token consegue consultar dados de múltiplos contribuintes. Nesse cenário, considerando o OWASP Top 10:2021, a ação que corrige diretamente as falhas de controle de acesso e de sessão descritas é

Uma Secretaria da Fazenda estadual opera um ambiente hibrido para processamento de declarações fiscais, com diversas APIs internas acessando bases com dados sensíveis. A auditoria apontou ausência de padronização de criptografia, falta de documentação dos fluxos de dados e baixa visibilidade sobre onde e como os dados fiscais trafegam. O comité decidiu priorizar ações alinhadas ao Controle 3 - Data Protection da CIS v8.1. Nesse cenário, a ação mais aderente a essa prioridade é

Um órgão tributário está executando workloads de análise antifraude em um cluster Kubernetes e alguns pods falham intermitentemente na inicialização porque dependem de credenciais de acesso a sistemas internos. A equipe deseja disponibilizar esses valores sensíveis seguindo boas praticas, sem embuti-los na imagem de contêiner. Nessa situação, o mecanismo do Kubernetes que deve ser utilizado é

Em um órgão público responsável pela gestão tributária, foi identificado um incidente de segurança envolvendo acesso indevido a dados cadastrais de contribuintes. Diante disso, a administração determinou que as práticas de Segurança da informação fossem revistas, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Considerando os princípios da LGPD e as boas práticas de Segurança da informação, assinale CORRETAMENTE:

Um órgão público mantém arquivos administrativos críticos armazenados em servidor local. Para garantir segurança das informações, foi definida política de backup com as seguintes diretrizes:

• Cópia diária apenas dos arquivos modificados no dia;

• Cópia completa realizada semanalmente;

• Armazenamento de uma cópia em local físico distinto (off-site);

• Testes periódicos de restauração dos arquivos.

Considerando os conceitos de backup completo, incremental e boas práticas de segurança da informação, assinale a alternativa correta:

No contexto da segurança da informação em ambientes administrativos, os procedimentos de backup devem observar critérios técnicos de periodicidade e recuperação.

Quanto aos tipos de backup, é correto afirmar que:

Vários recursos integram um bom sistema de segurança patrimonial. Assinale a alternativa que não corresponde a um desses componentes listados:

Um servidor público precisa enviar um documento confidencial para um colega através de e-mail corporativo. Qual é o método mais seguro para proteger esse arquivo antes do envio?

Os vírus de computador representam uma das importantes ameaças à segurança da informação, e podem ser classificados segundo diferentes critérios, dentre eles, a estratégia de ocultação, a fim de dificultar a detecção por usuários e por softwares antivírus.
Nesse contexto de classificação, é correto afirmar que os vírus