Questões de Controles de segurança (Segurança da Informação)

Limpar Busca

Segurança da Informação Controles de segurança | Conceitos Básicos em Segurança da Informação


Controladoria (CGE SP) - Auditor Estadual de Controle Tecnologia da Informação tarde - FGV (2025)

José, recentemente contratado como CISO pela Banana Inc, sociedade empresária de médio porte com 500 funcionários, ficou entusiasmado ao ler sobre Arquitetura Zero Trust em uma rede social.
Interpretando literalmente o termo Zero Trust (confiança zero), José concluiu que isso significava não confiar em absolutamente nada nem ninguém. Ele então:
• Bloqueou todas as comunicações entre sistemas internos por padrão, sem exceções;
• Removeu todos os usuários e grupos do Active Directory que tivesse qualquer tipo de permissão;
• Desativou a VPN e o acesso remoto completamente ("não podemos confiar em ninguém fora do escritório");
• Configurou o firewall para negar todo tráfego de entrada e saída;
• Desabilitou certificados digitais da sociedade empresária ("não podemos confiar nem em nós mesmos");
• Bloqueou o acesso administrativo a todos os servidores, incluindo para a própria equipe de TI.

Após essa implementação, a sociedade empresária ficou completamente paralisada: os sistemas não comunicavam entre si, os usuários não conseguiam acessar nenhum recurso, os e-mails não eram recebidos nem enviados, e a própria equipe de TI ficou impossibilitada de gerenciar a infraestrutura.
A diretoria exigiu correção imediata mantendo princípios de segurança modernos. Para implementar corretamente Arquitetura Zero Trust conforme a NIST SP 800-207, José deveria

  • A substituir a VPN tradicional por uma solução ZTNA (Zero Trust Network Access), pois Zero Trust consiste essencialmente em trocar VPN por acesso baseado em identidade, mantendo o restante da arquitetura de segurança inalterado.
  • B implementar micro-segmentação de rede por meio de VLANs e ACLs rigorosas em todos os switches e firewalls internos, isolando cada departamento em sua própria zona de confiança separada.
  • C implementar a autenticação multifator (MFA) obrigatória para todos os acessos de usuários e service accounts, pois Zero Trust, fundamentalmente, significa fortalecer a autenticação para eliminar confiança implícita.
  • D implementar um modelo em que a segurança não se baseia em confiança implícita na localização de rede, mas em verificação contínua de identidade, contexto do dispositivo e autorização granular por recurso, usando Policy Engine e Policy Enforcement Points automatizados.
  • E bloquear todo tráfego por padrão e criado um processo automatizado de whitelist, em que cada usuário solicita acesso a recursos específicos via sistema de tickets, com aprovação automática baseada em função do usuário no organograma.

Segurança da Informação Ataques e ameaças | Controles de segurança


Controladoria (CGE SP) - Auditor Estadual de Controle Tecnologia da Informação tarde - FGV (2025)

No contexto da segurança de redes e aplicações corporativas, diferentes tipos de ataques requerem medidas de proteção específicas e adequadas às suas características técnicas.
Relacione os tipos de ataque listados a seguir, às suas respectivas medidas de proteção primárias.
1. Ransomware 2. Credential Stuffing 3. DNS Spoofing 4. Server-Side Request Forgery (SSRF)
( ) Implementar segmentação de rede com micro-segmentação, backup imutável (immutable backup) com retenção offline, EDR com detecção comportamental, e Application Control para bloquear executáveis não autorizados.

( ) Implementar DNSSEC (Domain Name System Security Extensions) para autenticação de respostas DNS, configurar resolvers DNS confiáveis, e utilizar DoH (DNS over HTTPS) ou DoT (DNS over TLS) para criptografar consultas.

( ) Implementar validação rigorosa de URLs de entrada, utilizar allowlist de destinos permitidos, restringir acesso de servidores a recursos internos através de firewalls internos, e sanitizar/validar todos os parâmetros que constroem requisições HTTP.

( ) Implementar rate limiting por IP e por conta de usuário, CAPTCHA após tentativas falhadas, monitoramento de credenciais vazadas em bases públicas (Have I Been Pwned), autenticação multifator (MFA), e detecção de anomalias baseada em geolocalização e dispositivos.


Assinale a opção que indica a relação correta na ordem apresentada.

  • A 1 – 3 – 4 – 2.
  • B 1 – 4 – 2 – 3.
  • C 2 – 1 – 3 – 4.
  • D 3 – 4 – 1 – 2.
  • E 4 – 3 – 2 – 1.

Segurança da Informação Controles de segurança


Controladoria (CGE SP) - Auditor Estadual de Controle Tecnologia da Informação tarde - FGV (2025)

Uma organização de médio porte está priorizando a implementação dos Controles de Segurança CIS v8 e possui os seguintes recursos:
• Orçamento limitado de segurança;
• Equipe técnica de 5 profissionais;
• Maturidade inicial em segurança (não possui inventário de ativos completo);
• Alta dependência de e-mail para comunicação de negócios.

O CISO está analisando as salvaguardas (safeguards) que deve implementar prioritariamente. Os Controles de Segurança CIS v8 classificam os controles em três grupos de implementação (Implementation Groups – IGs):
• IG1: Controles básicos e fundamentais (56 safeguards).
• IG2: Controles intermediários (74 safeguards).
• IG3: Controles avançados (23 safeguards).


Considerando o contexto organizacional e a metodologia do CIS Controls v8, assinale a opção que indica a estratégia de implementação adequada.

  • A Implementar todos os 153 safeguards dos três IGs simultaneamente para garantir proteção abrangente, utilizando ferramentas open-source para reduzir custos.
  • B Focar exclusivamente nos 6 CIS Controls básicos (1- Inventory of Assets; 2- Inventory of Software; 3- Data Protection; 4- Secure Configuration; 5- Account Management; 6- Access Control Management), implementando todos os safeguards desses controles.
  • C Implementar prioritariamente os 56 safeguards do IG1, focando inicialmente nos controles 1 (Inventário de Ativos) e 2 (Inventário de Software) como fundação, depois 4 (Configuração Segura), 5 (Gestão de Contas) e 6 (Controle de Acesso), seguindo a ordem de prioridade recomendada.
  • D Começar pelos controles mais avançados do IG3, como Penetration Testing e Red Team Exercises, pois são os que oferecem maior retorno sobre investimento em detecção de vulnerabilidades.
  • E Implementar apenas controles relacionados a e-mail (antispam, anti-phishing, DMARC/SPF/DKIM) do IG2, pois e-mail é o maior vetor de ataque, segundo o contexto da organização.

Segurança da Informação Controles de segurança | Conceitos Básicos em Segurança da Informação


Companhia de Gás de Mato Grosso do Sul (MSGás) - Analista de Processos Organizacionais Planejamento Estratégico - IESES (2025)

A segurança da informação envolve a adoção de diversas medidas para proteger sistemas e dados contra acessos não autorizados e ataques cibernéticos. Em um ambiente corporativo, um administrador configurou firewalls, antivírus atualizados, políticas de senhas fortes e autenticação multifator. Considerando as boas práticas de segurança, assinale: a alternativa correta.

  • A Políticas de senha fortes tornam dispensável a utilização de autenticação multifator.
  • B A combinação de firewall, antivírus, autenticação multifator e políticas de senha representa uma abordagem de defesa em camadas, reduzindo significativamente a superfície de ataque.
  • C Antivírus atualizados eliminam a necessidade de aplicação de patches e atualizações do sistema operacional.
  • D O uso de firewall é suficiente para garantir total proteção contra ataques de phishing e engenharia social.

Segurança da Informação Controles de segurança | Conceitos Básicos em Segurança da Informação


Companhia de Gás de Mato Grosso do Sul (MSGás) - Analista de Processos Organizacionais Negócios - IESES (2025)

A segurança da informação envolve a adoção de diversas medidas para proteger sistemas e dados contra acessos não autorizados e ataques cibernéticos. Em um ambiente corporativo, um administrador configurou firewalls, antivírus atualizados, políticas de senhas fortes e autenticação multifator. Considerando as boas práticas de segurança, assinale: a alternativa correta.

  • A Antivírus atualizados eliminam a necessidade de aplicação de patches e atualizações do sistema operacional.
  • B Políticas de senha fortes tornam dispensável a utilização de autenticação multifator.
  • C O uso de firewall é suficiente para garantir total proteção contra ataques de phishing e engenharia social.
  • D A combinação de firewall, antivírus, autenticação multifator e políticas de senha representa uma abordagem de defesa em camadas, reduzindo significativamente a superfície de ataque.