Em uma empresa ocorreu um incidente de segurança no qual uma das contas de e-mail de seus funcionários foi comprometida e começou a enviar diversos e-mails de SPAM para todos os endereços cadastrados na sua lista de contatos.

Durante a análise do ocorrido, um analista de segurança concluiu que a conta não foi comprometida por infecção de malware na máquina, mas sim que o próprio usuário havia inadvertidamente disponibilizado sua senha para o atacante após clicar em um link malicioso que havia recebido.

Assinale a opção que indica a técnica usada nesse ataque e um exemplo de seu uso.

Relacione as ameaças cibernéticas a seguir com as suas características:

1. worm

2. cavalo de Tróia

3. spyware

4. ransomware

( ) Tipo de malware que busca obter informações da máquina alvo sem levantar suspeitas.

( ) Tipo de malware que infecta máquinas alvo através da rede sem interação dos usuários.

( ) Tipo de malware que criptografa os dados da máquina alvo.

( ) Tipo de malware que se passa por um programa legítimo para que o usuário o execute.

Assinale a opção que indica a relação correta, na ordem apresentada.

Em uma empresa hipotética, o departamento de TI está realizando uma força tarefa com o objetivo de instalar um programa de criptografia em todos as pastas de documentos dos computadores de seus colaboradores.

De modo a informar suas atividades, o departamento de TI coloca em todos os setores da empresa um gráfico de tendência relacionando a proporção de máquinas concluídas.

De acordo com a NBR ISO 27004, da ABNT, o descritor da informação empregado pela equipe de TI por meio dos gráficos é

Uma empresa está se preparando para uma licitação e por isso, todos os seus empregados estão trabalhando para elaborar a proposta a ser apresentada.

Ao iniciar mais um dia de trabalho, os empregados constataram que os servidores estavam inacessíveis, impossibilitando-os de trabalhar na proposta.

Após ser notificada do fato, a equipe de TI analisou a situação e chegou à conclusão que a empresa sofreu um ataque do tipo Distributed Denial of Service (DDoS).

De acordo a NBR ISO/IEC 27005, da ABNT, o objetivo alvo dos atacantes era

De acordo com Date, as questões de segurança de dados são frequentemente associadas a questões de integridade de dados, mas os dois conceitos são na realidade bastante diferentes.

Com base nisso, faça a associação correta.

1. Falha de Integridade

2. Falha de Segurança

3. Falha de segurança e integridade

( ) Um funcionário que não deveria ter acesso a relatórios financeiros confidenciais consegue visualizar esses relatórios devido a permissões mal configuradas.

( ) Um hacker invade um sistema e altera registros de notas fiscais para fraudar o sistema.

( ) Um operador de banco de dados insere manualmente registros de transações financeiras com valores incorretos.

( ) Devido a um erro no sistema, uma transação de banco de dados é interrompida no meio, resultando em um estado inconsistente dos dados.

Assinale a opção que indica a associação correta, na ordem apresentada.

Com relação à aplicação do princípio do privilégio mínimo, avalie as ações a seguir.

I. Em um sistema de banco de dados, um administrador de banco de dados (DBA) pode ter privilégios para modificar a estrutura do banco de dados e realizar backups, mas não deve ter acesso de leitura ou escrita a dados sensíveis dos usuários, a menos que seja estritamente necessário para sua função.

II. Um desenvolvedor pode ter permissões limitadas para acessar e modificar apenas as tabelas e views necessárias para desenvolver os aplicativos de seu escopo de trabalho.

III. Conceder privilégios específicos somente aos objetos de banco de dados relevantes para cada usuário ou função.

O conceito foi corretamente aplicado em

A abordagem de segurança e gerenciamento de acesso do princípio do privilégio mínimo (ou princípio do menor privilégio) diz que

O TCE-PA está implementando um sistema de assinatura digital para garantir a autenticidade e integridade dos documentos eletrônicos que serão enviados e recebidos pelos seus sistemas.

Para assegurar que a chave pública do emissor esteja corretamente associada à sua identidade, o tribunal deve utilizar um

O departamento de TI do TCE-PA está implementando medidas para proteger seus sistemas contra diferentes tipos de malware.

Os programas maliciosos que se disfarçam como softwares legítimos são denominados

Para assegurar que o SGSI esteja em conformidade com a norma ABNT NBR ISO/IEC 27001:2022, a organização deve