2260984 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-22

Provas:

Analista Judiciário - TI
Provas ×

Legislação

Estabelecer governança de segurança cibernética e fortalecer a gestão e coordenação integrada de ações de segurança cibernética nos órgãos do Poder Judiciário é um dos objetivos da Estratégia Nacional de Segurança da Informação e Cibernética do Poder Judiciário (ENSEC-PJ), que consta na Resolução Nº

Provas

Questão presente nas seguintes provas

2260976 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-22

Provas:

Analista Judiciário - TI
Provas ×

Frameworks e NormasCIS Controls
Segurança LógicaSIEM: Security Information and Event Management

Com relação ao monitoramento e defesa da rede, o CIS Controls v8 indica como medida de segurança a centralização dos alertas de eventos de segurança em ativos corporativos para correlação e análise de log. Indica como melhor prática o uso de um recurso que inclui alertas de correlação de eventos definidos pelo fornecedor. Esse recurso é conhecido como

Provas

Questão presente nas seguintes provas

2260975 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-22

Provas:

Analista Judiciário - TI
Provas ×

GestãoGestão de Continuidade de NegóciosISO 15999: Gestão de Continuidade de Negócios

Segundo a norma ABNT NBR ISO 22301:2020, na parte que trata do contexto da organização, ao estabelecer o Sistema de Gestão de Continuidade de Negócios (SGCN), a organização deve determinar

A

quais são os ativos e sistemas sensíveis e de quem é a responsabilidade pelo uso e resguardo desses ativos e sistemas.

B

as partes interessadas que sejam pertinentes para o SGCN e os requisitos pertinentes dessas partes interessadas.

C

políticas de backup, de recuperação de desastres, de contingência e de emergência.

D

o escopo das políticas de segurança, os requisitos legais e regulamentares e a responsabilidade de colaboradores sobre todos os ativos de informação.

E

os objetivos gerais e específicos da organização, os níveis de risco aceitáveis e medidas para aceitação de riscos.

Provas

Questão presente nas seguintes provas

2260974 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-22

Provas:

Analista Judiciário - TI
Provas ×

GestãoGestão de Incidentes de SegurançaDefinição de Incidente de Segurança
GestãoGestão de Incidentes de SegurançaNotificação de Incidentes e Responsabilidades
GestãoGestão de Incidentes de SegurançaISO/IEC 27035: Gerenciamento de Incidentes

Considere as fases abaixo, referentes a operações de notificação de incidentes, descritos na norma ABNT NBR ISO/IEC 27035- -3:2021.

Fase I: o evento de segurança de TIC detectado, que é um incidente em potencial, é relatado (geração de relatório de eventos) da fonte (pessoas, aviso de organização externa ou alerta do sistema) ao PoC (ponto de contato).

Fase II: dependendo das características do incidente, vários tipos de geração de relatórios internos são incluídos como parte da geração de relatório de incidentes.

As fases I e II são, correta e respectivamente,

A

operação de detecção de incidente e operação de geração de relatório de incidentes. As fases fazem parte da etapa de auditoria de incidentes.

B

geração de indicadores de comprometimento (IoC) e geração de relatório de incidente interno. Todas fazem parte da etapa de consolidação de relatório de incidentes.

C

operação de notificação de incidentes e geração de relatório de comprometimento (RoC). As duas fases fazem parte do processo de auditoria de incidentes.

D

geração de indicadores de comprometimento (IoC) e geração de relatório de comprometimento (RoC). Todas fazem parte da etapa de geração de relatório de incidentes.

E

operação de notificação de incidentes e geração de relatório de incidente interno. Todas fazem parte da etapa de geração de relatório de incidentes.

Provas

Questão presente nas seguintes provas

2260967 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: FCC
Orgão: TRT-22

Provas:

Analista Judiciário - TI
Provas ×

AAA: Autenticação, Autorização e AuditoriaOAuth

Considere a situação abaixo.

Carlos abre um aplicativo no qual são oferecidas 3 formas de acesso à plataforma: com Google, com Facebook e com E-mail.

Carlos clica no opção “Acessar com Google”. O aplicativo faz uma requisição ao Google Accounts, pedindo uma chave de acesso para consumir um recurso protegido. Quando o Google Accounts recebe o pedido de autorização para acessar um recurso protegido, inicia-se o processo de identificação e autenticação.

Surge a tela do Google para Carlos digitar seu e-mail (@gmail.com), seguida da tela (do Google) para Carlos digitar a senha. Nesse passo, Carlos identifica-se, autentica-se e consente que o aplicativo acesse os recursos protegidos em seu nome. Então, o Google Accounts emite um access token (chave de acesso) para o aplicativo, que poderá acessar os recursos protegidos.

Nessa situação, que ilustra o funcionamento inicial do OAuth2 (RFC 6749), o Google Accounts é o ..^I.., Carlos é o ..^II.. e o aplicativo é o ..^III... .

Os roles que preenchem, correta e respectivamente, as lacunas I, II e III são:

Provas

Questão presente nas seguintes provas

2260207 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: AOCP
Orgão: BANESE

Provas:

Técnico Bancário - TI/Suporte
Provas ×

Conceitos BásicosTerminologiaAmeaça

Durante uma auditoria realizada por uma empresa especializada em segurança da informação, o consultor alertou sobre os “insiders”. Como responsável pelo time de segurança, você deverá propor as medidas necessárias contra esse tipo de ameaça. Assinale a alternativa mais adequada ao caso.

A

Adoção de ferramentas de gestão de antimalwares, já que “insiders” são um software malicioso que se insere dentro da organização com o objetivo de capturar informações.

B

Revisão das políticas de acesso à rede interna, incluindo as matrizes de acesso, para reforçar as regras de firewall, já que “insiders” são invasores oriundos da internet.

C

Revisão das políticas de backup, evitando o principal incidente causado pelos “insiders” que é a perda acidental de dados.

D

Avaliação de controles e processos internos relacionados a pessoas, já que “insiders” são pessoas de dentro da organização ou que possuem acesso a informações privilegiadas.

E

Adoção de um time de “hacking ético” para testar os controles de segurança aplicados a fim de proteger a rede interna de acessos externos.

Provas

Questão presente nas seguintes provas

2260206 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: AOCP
Orgão: BANESE

Provas:

Técnico Bancário - TI/Suporte
Provas ×

Conceitos BásicosFundamentos de Segurança da Informação
Conceitos BásicosHardening

A equipe de segurança Red Team realizou testes de invasão para testar os mecanismos de segurança implementados no ambiente de rede local. Alguns testes de invasão foram conduzidos com sucesso e, no relatório da atividade, a equipe sugeriu a implementação de mecanismos de segurança sobrepostos, de modo a dificultar uma invasão ou incidente de segurança mesmo quando há alguma vulnerabilidade no ambiente. Do que se trata a sugestão dada pela equipe Red Team?

Provas

Questão presente nas seguintes provas

2260204 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: AOCP
Orgão: BANESE

Provas:

Técnico Bancário - TI/Suporte
Provas ×

Certificado DigitalFundamentos: Certificado Digital
Certificado DigitalInfraestrutura de Chaves Públicas (PKI)
Certificado DigitalTipos de Certificados Digitais
CriptografiaCriptografia Assimétrica

Um certificado digital do tipo A3 é baseado em qual tipo de criptografia?

Provas

Questão presente nas seguintes provas

2260203 Ano: 2022
Disciplina: TI - Segurança da Informação
Banca: AOCP
Orgão: BANESE

Provas:

Técnico Bancário - TI/Suporte
Provas ×

Conceitos BásicosPrincípiosIrretratabilidade (Não Repúdio)
Certificado DigitalAssinatura Digital
Certificado DigitalInfraestrutura de Chaves Públicas (PKI)

A auditoria de sistemas é um componente importante na identificação de eventos relacionados à segurança. O conceito de não repúdio é um excelente aliado à auditoria, pois visa garantir que um usuário não terá como negar que uma transação foi realizada por ele. Qual das abordagens a seguir implementa da melhor forma o conceito de não repúdio?