Uma empresa sofreu um ataque por meio do qual um funcionário recebeu um e-mail aparentemente legítimo do “departamento de TI” solicitando login e senha para atualização do sistema. O funcionário forneceu as credenciais, resultando em violação de dados.

Esse tipo de ataque é conhecido como

O setor de TI da ALE-RO está implementando uma nova política de segurança. Além de exigir senhas fortes, ele quer adicionar uma camada extra de proteção ao acesso dos sistemas, especialmente para os servidores que contêm dados fiscais sensíveis. O objetivo é que, mesmo que uma senha seja comprometida, um invasor não consiga acessar a conta sem outra forma de validação.
Considerando o objetivo de adicionar uma camada extra de proteção que vá além da senha, a medida de segurança mais adequada a ser implementada é

Diversos golpes digitais se aproveitam da falta de atenção do usuário para capturar suas informações, sendo o phishing um dos métodos mais comuns. Para reconhecer esse tipo de ameaça, é essencial conhecer suas características e as principais formas de prevenção.
Com base nesse contexto, em relação às características ou medidas corretas relacionadas ao phishing, assinale a alternativa INCORRETA.

Durante o processo de gestão de riscos, uma organização necessita identificar e avaliar eventos que possam comprometer a confidencialidade, integridade ou disponibilidade de seus ativos. Após essa avaliação, deve selecionar e implementar controles capazes de reduzir o risco a níveis aceitáveis, conforme o apetite ao risco definido pela alta direção. A etapa do processo de gestão de riscos corresponde à escolha e aplicação de medidas destinadas a reduzir o risco identificado é o (a)

Uma organização realiza a análise de riscos para seus ativos de informação. Durante o processo, identifica que um servidor crítico está desatualizado (possui falhas de software não corrigidas), que existe a possibilidade de ataque de ransomware e que, caso o ataque ocorra, a interrupção dos serviços pode gerar grandes perdas financeiras e reputacionais. Com relação a nesse cenário, assinale a alternativa que corresponde ao conceito de "vulnerabilidade".

Uma empresa de tecnologia implementa políticas de segurança para gerenciar o acesso aos seus sistemas críticos. Ela deseja garantir que: usuários só possam acessar os recursos necessários para suas funções (princípio do menor privilégio); a atribuição de permissões seja centralizada e baseada em funções organizacionais; e alguns recursos altamente sensíveis só possam ser acessados por usuários com níveis de segurança específicos. A abordagem de controle de acesso que atende corretamente a essas necessidades é o

Uma empresa deseja implementar um Sistema de Gestão de Segurança da Informação (SGSI) conforme a ISO/IEC 27001:2022. O objetivo é estabelecer, implementar, manter e melhorar continuamente o SGSI, identificar riscos aos ativos de informação, e aplicar controles apropriados para protegê-los. O elemento obrigatório de acordo com os requisitos da ISO/IEC 27001:2022 é

Uma empresa deseja formalizar diretrizes que definam como seus colaboradores devem proteger informações confidenciais, utilizar recursos de TI e reagir a incidentes de segurança. Essas diretrizes devem ser documentadas, revisadas periodicamente e aplicáveis a todos os níveis da organização, de forma a reduzir riscos, garantir conformidade legal e proteger ativos de informação. Assinale a alternativa que contém o conceito que descreve corretamente esse conjunto de regras e diretrizes.

A Metodologia OWASP é amplamente utilizada para orientar organizações no desenvolvimento de aplicações seguras, oferecendo listas, frameworks, guias e práticas recomendadas para reduzir vulnerabilidades comuns. Com relação aos princípios e documentos oficiais mantidos pelo OWASP, assinale a alternativa correta sobre essa metodologia.

Um auditor de segurança está analisando uma aplicação web que monta consultas SQL diretamente a partir de parâmetros fornecidos pelo usuário, sem validação adequada. Durante o teste, ele insere diferentes cadeias de caracteres para avaliar se é possível manipular a cláusula WHERE da consulta. Considerando apenas técnicas e recursos diretamente associados ao SQL Injection, assinale a alternativa que representa um exemplo clássico de payload utilizado para explorar falhas desse tipo.