Escolar Documentos
Profissional Documentos
Cultura Documentos
Principais Tópicos
Prof. Esp. Sergio Sierro
• Segurança Cibernética e da Informação
5
Segurança da Informação
Fonte: LinkedIn.
6
Direto do Concurso
Questão 01 (FGV - 2023 - DPE-RS - Analista - Área de Apoio Especializado - Tecnologia da
Informação - Infraestrutura e Redes)
Tânia trabalha em uma prestadora de serviços de Internet. Equivocadamente, ela enviou ao servidor
um comando UPDATE, o qual alterou indevidamente a base de dados, não permitindo mais seu
acesso. De forma a ocultar seu erro, Tânia descobriu um post-it sob o teclado com a senha de um
dos técnicos que trabalhava com ela. Então, utilizando a senha, entrou no sistema e efetuou novas
modificações, de forma que a culpa recaísse sobre o técnico. No incidente relatado, houve a quebra
do(a):
a) confidencialidade e autenticidade.
b) integridade e autenticidade.
c) irretratabilidade e disponibilidade.
d) não repúdio e confidencialidade.
e) confidencialidade e integridade.
7
Direto do Concurso
Questão 02 (FGV - 2023 - TJ-RN - Analista Judiciário - Tecnologia de Informação – Análise de
Suporte)
A empresa Progseg foi contratada via processo licitatório para a modernização das aplicações
utilizadas no Tribunal de Justiça do Rio Grande do Norte. Aurélio, chefe do Departamento de
Tecnologia, conduzirá junto à empresa o retrofit, que terá como foco a melhoria na segurança dos
sistemas.
Os requisitos mandatórios dessa modernização são:
- Assegurar que informações privadas e confidenciais não estejam disponíveis nem sejam reveladas
para indivíduos não autorizados; e
- Verificar que os usuários são quem dizem ser.
O requisito desejável dessa modernização é:
- Ser capaz de associar uma violação de segurança a uma parte responsável.
8
Direto do Concurso
Questão 02 (FGV - 2023 - TJ-RN - Analista Judiciário - Tecnologia de Informação – Análise de
Suporte)
Com base nos requisitos citados, a Progseg deverá implementar, respectivamente:
a) confidencialidade, autenticidade, responsabilização.
b) disponibilidade, autenticidade, privacidade.
c) não repúdio, integridade de sistemas, confidencialidade.
d) integridade, disponibilidade, responsabilização.
e) autenticidade, integridade de dados, integridade de sistemas.
9
Direto do Concurso
Questão 03 (FGV - 2023 - CGE-SC - Auditor do Estado - Ciências da Computação)
Para o caso hipotético descrito a seguir, somente informações corretas são consideradas
disponíveis.
Um determinado funcionário atende um pedido por telefone de alguém que se identifica como o
cliente A. Essa pessoa explica que seus dados cadastrais estão errados e pede que seja feito um novo
cadastro com as informações que ela está passando. O funcionário atende ao pedido e atualiza o
sistema da empresa removendo o cadastro antigo e criando um novo.
Dias depois, ao tentar emitir uma fatura, a empresa nota que os dados do cliente A não estão
completos e resolve abrir uma investigação. Durante a investigação descobre-se que os dados
passados pela pessoa ao telefone eram falsos e que é portanto necessário refazer o cadastro.
Neste caso, avalie se, durante o processo de atendimento mencionado, ocorreu um incidente com
quebra da
I. Confidencialidade dos dados do cliente A.
II. Disponibilidade dos dados do cliente A.
III. Integridade dos dados do cliente A. 10
Direto do Concurso
Questão 03 (FGV - 2023 - CGE-SC - Auditor do Estado - Ciências da Computação)
Está correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) II e III, apenas.
11
Controle de Acesso
• O controle de acesso é o processo de implementação e execução das políticas de
autorização.
• RBAC (Controle de Acesso Baseado em Função): Onde as permissões são atribuídas com
base nas funções dos usuários dentro da organização.
12
Controle de Acesso Físico
• Medidas implementadas para prevenir o acesso não autorizado a recursos físicos.
• Barreiras físicas.
• Sistemas de Identificação.
• Monitores e Câmeras de Segurança.
• Guardas de Segurança.
• Sistemas de Alarme.
13
Controle de Acesso Lógico
• Medidas implementadas para prevenir o acesso não autorizado a recursos
informacionais e sistemas informatizados.
• Autenticação.
• Autorização.
• Criptografia.
• Firewalls, Sistemas de Detecção de Intrusões (IDS) e Sistemas de Prevenção de Intrusões
(IPS).
• Registros e Monitoramento.
14
Autenticação
• Ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a
autoria ou a veracidade de alguma coisa.
15
Fatores de Autenticação
• Autenticação baseada em conhecimento ("o que você sabe?").
Fonte: UWM.
16
Autenticação Multifator (MFA)
• Os usuários precisarão fornecer uma verificação de identidade adicional ao acessar
contas ou aplicativos.
• Esse processo pode ser gerenciado através de políticas de controle de acesso como ACL
(Lista de Controle de Acesso) ou através de modelos como RBAC (Controle de Acesso
Baseado em Função).
18
Auditoria
• É o processo de monitoramento e registro das atividades de usuários e sistemas.
• Assegurar que as políticas de controle de acesso estão sendo seguidas e para detectar
qualquer atividade suspeita ou não autorizada.
19
Direto do Concurso
Questão 04 (FGV/Prefeitura de Niterói-RJ/Fiscal de Posturas/2015)
Observe o seguinte diálogo:
João: Sr. Gerente, sou usuário iniciante de computadores. Estou aprendendo a realizar transações
bancárias pela Internet, mas estou com muito receio em relação à segurança do site do banco. Poderia me
ajudar?
Gerente do Banco: Claro, Sr. João. Para confirmar a realização de uma transação, você deve utilizar uma
senha, definida por você mesmo, e usar um cartão de segurança, com códigos previamente definidos,
emitido pelo banco.
A forma de autenticação que combina uma senha pessoal e um cartão de segurança oferecida pelo
Gerente do Banco de João é:
a) Single sign-on.
b) Senha forte.
c) Certificado digital.
d) Verificação em duas etapas.
e) Token. 20
Direto do Concurso
Questão 05 (FGV - 2023 - PGM - Niterói - Técnico de Procuradoria)
Julia usa senhas fortes em suas contas digitais mas quer elevar o seu nível de segurança. Para isso,
consultou o técnico de informática Matheus que a orientou a adicionar uma segunda camada de
proteção no acesso às suas contas. Assim, mesmo que o atacante descubra sua senha, ele precisará
de outras informações para invadir sua conta. Matheus completou dizendo: “Escolha o método que
considerar mais prático e seguro, como:
• usar um aplicativo de celular para gerar códigos de verificação; ou
• receber códigos por mensagem de texto ou voz.”
21
Direto do Concurso
Questão 05 (FGV - 2023 - PGM - Niterói - Técnico de Procuradoria)
A proteção sugerida por Matheus é o(a):
a) Antispam.
b) Firewall pessoal.
c) Certificado digital.
d) Gerenciador de senha.
e) Verificação em duas etapas.
22
Direto do Concurso
Questão 06 (FGV - 2023 - SEFAZ-MG - Auditor Fiscal da Receita Estadual - Tecnologia da
Informação)
Uma análise de riscos na empresa XPTO detectou que era prática comum credenciais continuarem
ativas por um longo período após a saída dos funcionários. Uma opção que iria reduzir o risco deste
evento ocorrer seria
a) implementar um segundo fator de autenticação.
b) concentrar as credenciais em um diretório único de identidades e implementar um processo de
limpeza e revisão periódica do diretório.
c) determinar um prazo máximo de seis meses para a validade das senhas e implementar um sistema
de autosserviço para a troca das mesmas.
d) utilizar certificados X509 no processo de autenticação.
e) utilizar chaves de segurança no processo de autenticação.
23
Direto do Concurso
Questão 07 (FGV - 2022 - TRT - 16ª REGIÃO (MA) - Analista Judiciário - Tecnologia da Informação)
Os firewalls podem ser um meio eficaz de proteger sistemas e redes contra ameaças de segurança.
Com relação às suas limitações, analise os itens a seguir.
I. Não são capazes de proteger contra os ataques que contornam o firewall.
II. Não protegem contra ameaças internas, como funcionários insatisfeitos ou que cooperam com
um atacante externo.
III. Não protegem contra a transferência de programas ou arquivos infectados com vírus.
Está correto o que se afirma em
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I, II e III.
e) II e III, apenas.
24
Criptografia
• Técnica que utiliza algoritmos matemáticos para proteger informações, garantindo
confidencialidade, integridade e autenticidade dos dados.
25
Criptografia Simétrica
26
Criptografia Simétrica
• DES (Data Encryption Standard): Um dos primeiros algoritmos de criptografia simétrica
amplamente adotados, mas agora é considerado inseguro devido à sua chave
relativamente curta.
• 3DES (Triple DES): Uma extensão do DES que oferece segurança aumentada através do
uso de três chaves em vez de uma.
• Blowfish & Twofish: Algoritmos de criptografia simétrica que são conhecidos por sua
velocidade e eficiência.
27
Criptografia Assimétrica
28
Criptografia Assimétrica
• RSA: Um dos primeiros e mais amplamente utilizados algoritmos de criptografia
assimétrica, que é usado para segurança de dados e também para autenticação digital.
• ECC (Elliptic Curve Cryptography): Um algoritmo de criptografia que usa curvas elípticas
e é conhecido por fornecer alta segurança com chaves relativamente menores, em
comparação com outros algoritmos de criptografia assimétrica.
29
Função Hash Criptográfica
Fonte: Wikipedia. 30
Função Hash Criptográfica
• SHA (Secure Hash Algorithm): Uma família de funções hash criptográficas, incluindo
SHA-1 (agora considerado inseguro) e SHA-256 (usado em muitos sistemas de
segurança modernos).
31
Direto do Concurso
Questão 08 (FGV - 2023 - AL-MA - Técnico de Gestão Administrativa - Analista de Sistemas)
Em criptografia, a cifra simétrica que encripta dados em blocos e tem comprimento de chave
variável é a
a) blowfish.
b) cramer.
c) md5.
d) paillier.
e) sha-2.
32
Direto do Concurso
Questão 09 (FGV - 2023 - DPE-RS - Analista - Área de Apoio Especializado - Tecnologia da
Informação - Infraestrutura e Redes)
Paula está desenvolvendo um sistema de chat que garante a veracidade do conteúdo enviado com a
utilização de um hash criptográfico para cada mensagem. A certificação digital não será utilizada,
sendo adotada uma chave estática para gerar os blocos de hash.
Para implementar a funcionalidade, ela deverá usar o algoritmo:
a) DES.
b) 3DES.
c) SHA-256.
d) AES.
e) Base64.
33
Direto do Concurso
Questão 10 (FGV - 2022 - TRT - 13ª Região (PB) - Técnico Judiciário - Tecnologia da Informação)
João quer enviar uma mensagem cifrada para Maria e escolheu um algoritmo no qual seja possível
usar a mesma chave criptográfica para encriptação do texto puro e decriptação do texto cifrado.
Para isso, João pode utilizar o algoritmo
a) Blowfish.
b) ECC.
c) MD5.
d) SHA-1.
e) RSA.
34