Material para Redação (T.I.) Flashcards
Qual dos seguintes princípios orientadores da ITIL 4 enfatiza a importância da transparência e do compartilhamento de informações entre equipes?
A) Focar no valor
B) Começar de onde está
C) Colabore e promova a visibilidade
D) Otimizar e automatizar
C) Colabore e promova a visibilidade
💡 Dica: Colaboração e visibilidade andam juntas! Se não há transparência, o trabalho não flui.
O Modelo das Quatro Dimensões da ITIL 4 NÃO inclui:
A) Organizações e Pessoas
B) Informação e Tecnologia
C) Infraestrutura de TI e Hardware
D) Fluxos de Valor e Processos
C) Infraestrutura de TI e Hardware
💡 Dica: A ITIL foca na entrega de serviços, não apenas na parte física da infraestrutura.
Qual é a função principal do Sistema de Valor de Serviço (SVS) na ITIL 4?
A) Gerenciar a comunicação entre usuários finais e a TI
B) Garantir que todos os serviços de TI sejam 100% automatizados
C) Representar a forma como componentes e atividades da organização trabalham juntos para gerar valor
D) Substituir a necessidade de processos de ITIL v3
C) Representar a forma como componentes e atividades da organização trabalham juntos para gerar valor
💡 Dica: Pense no SVS como uma “orquestra”, onde todos os componentes trabalham juntos para entregar valor.
A Cadeia de Valor de Serviço (CVS) da ITIL 4 é usada para:
A) Criar um modelo de monitoramento contínuo para aplicações
B) Definir as atividades-chave necessárias para gerenciar serviços de forma eficaz
C) Automatizar totalmente a entrega de serviços sem interação humana
D) Eliminar a necessidade de parceiros e fornecedores no gerenciamento de TI
B) Definir as atividades-chave necessárias para gerenciar serviços de forma eficaz
💡 Dica: Cadeia → Conjunto de atividades conectadas → Gestão eficaz de serviços.
Qual dos seguintes NÃO é um benefício da implementação da ITIL 4?
A) Maior alinhamento entre TI e negócio
B) Redução da complexidade dos serviços de TI
C) Aumento dos riscos operacionais
D) Melhoria na experiência do usuário final
C) Aumento dos riscos operacionais
💡 Dica: ITIL busca reduzir riscos, não aumentar!
Explique o conceito de ITIL 4 e sua importância no gerenciamento de serviços de TI.
A ITIL 4 é um conjunto de boas práticas para gerenciamento de serviços de TI, focando na entrega de valor e na melhoria contínua.
💡 Dica: Lembre-se das palavras-chave: valor, eficiência e boas práticas.
Descreva as quatro dimensões da ITIL 4 e como cada uma contribui para a eficiência operacional.
As quatro dimensões são:
Organizações e Pessoas: Estrutura da empresa e cultura organizacional.
Informação e Tecnologia: Sistemas e ferramentas utilizadas.
Parceiros e Fornecedores: Relacionamentos externos.
Fluxos de Valor e Processos: Como os serviços são entregues.
💡 Dica: Pense no funcionamento de uma empresa como um quebra-cabeça, onde cada peça é uma dimensão.
Qual é o papel do Sistema de Valor de Serviço (SVS) na ITIL 4 e como ele impacta a entrega de serviços?
O SVS representa o conjunto de componentes que colaboram para criar valor e entregar serviços eficazes.
💡 Dica: SVS é um guarda-chuva que cobre toda a gestão de TI.
Como a Cadeia de Valor de Serviço (CVS) estrutura o fornecimento de serviços de TI?
A CVS define atividades essenciais para a entrega e suporte de serviços de TI.
💡 Dica: Pense na CVS como uma linha de produção, onde cada etapa contribui para o produto final.
Compare a ITIL v3 com a ITIL 4, destacando as principais diferenças entre ambas.
ITIL v3 foca em processos, enquanto ITIL 4 é mais flexível, adaptável e integrada com DevOps e Agile.
💡 Dica: ITIL v3 é “engessada”, ITIL 4 é “flexível”.
O que caracteriza a cultura DevOps?
A) Isolamento total entre desenvolvimento e operações
B) Foco exclusivo na entrega contínua sem preocupação com estabilidade
C) Integração, automação e colaboração entre equipes
D) Uso obrigatório de Inteligência Artificial para automação
C) Integração, automação e colaboração entre equipes
💡 Dica: DevOps = colaboração + automação para agilizar a entrega de software.
No contexto do DevOps, qual das seguintes ferramentas é usada para automação de pipelines de CI/CD (Integração Contínua e Entrega Contínua)?
A) Microsoft Word
B) GitLab CI/CD
C) Excel
D) Paint
B) GitLab CI/CD
💡 Dica: CI/CD (Integração Contínua e Entrega Contínua) precisa de ferramentas de código como GitLab, Jenkins e Travis CI.
A prática de Integração Contínua (CI) tem como objetivo:
A) Substituir a necessidade de testes de software
B) Permitir que desenvolvedores integrem código continuamente em um repositório compartilhado
C) Reduzir o número de desenvolvedores necessários para um projeto
D) Tornar o processo de desenvolvimento mais burocrático
B) Permitir que desenvolvedores integrem código continuamente em um repositório compartilhado
💡 Dica: CI = Código sempre atualizado no repositório.
Qual é um dos principais benefícios da automação no DevOps?
A) Redução da transparência entre equipes
B) Aumento do tempo de entrega do software
C) Minimização de erros humanos e maior eficiência
D) Eliminação da necessidade de colaboração entre times
C) Minimização de erros humanos e maior eficiência
💡 Dica: Automação = Menos erro + Mais velocidade.
O que caracteriza a Entrega Contínua (CD) no DevOps?
A) Apenas a automação do processo de testes
B) Um processo em que o software é sempre implantado automaticamente em produção sem revisão
C) Um fluxo automatizado que garante que o software esteja sempre pronto para implantação
D) A necessidade de liberar apenas uma versão do software por ano
C) Um fluxo automatizado que garante que o software esteja sempre pronto para implantação
Dica: CD = Código pronto para ser lançado a qualquer momento.
Explique o conceito de DevOps e seus principais objetivos dentro do ciclo de vida do desenvolvimento de software.
DevOps é uma cultura que integra desenvolvimento e operações para acelerar a entrega de software, reduzir erros e melhorar a qualidade.
💡 Dica: DevOps = Agilidade + Automação + Integração.
Descreva a diferença entre Integração Contínua (CI) e Entrega Contínua (CD).
CI: Desenvolvedores enviam código constantemente para um repositório compartilhado.
CD: Código testado e pronto para ser implantado automaticamente.
💡 Dica: CI = Código sempre atualizado | CD = Código sempre pronto.
Como a automação no DevOps contribui para a estabilidade e confiabilidade dos sistemas?
A automação reduz erros manuais, melhora a repetibilidade dos processos e permite respostas rápidas a falhas.
💡 Dica: Automação = Menos erro + Mais estabilidade.
Quais são os principais desafios enfrentados pelas organizações ao adotar a cultura DevOps?
Resistência cultural, falta de treinamento, necessidade de novas ferramentas e integração de equipes.
💡 Dica: Desafios = Cultura + Ferramentas + Treinamento.
Cite uma ferramenta de CI/CD (Integração Contínua e Entrega Contínua) e explique como ela auxilia na automação do ciclo de desenvolvimento.
Jenkins é uma ferramenta de CI/CD que automatiza a compilação, teste e implantação de software.
💡 Dica: Jenkins = Automação total do desenvolvimento.
Qual das opções abaixo é um exemplo de criptografia simétrica?
A) RSA
B) AES
C) ECC
D) DH
B) AES
💡 Dica: AES (rápido, uma chave) | RSA (assimétrico) (lento, duas chaves).
O que é um certificado digital?
A) Um documento em papel usado para validar transações financeiras
B) Uma chave pública utilizada para criptografar e-mails
C) Um registro eletrônico que associa uma identidade a uma chave pública
D) Uma senha utilizada para acesso a sistemas
C) Um registro eletrônico que associa uma identidade a uma chave pública
💡 Dica: Certificado digital = Identidade segura online.
O que garante a autenticidade de um documento digital?
A) A assinatura digital
B) A criptografia assimétrica
C) O uso de VPNs
D) O armazenamento em servidores locais
A) A assinatura digital
💡 Dica: Assinatura digital = Garantia de autenticidade e integridade.
Qual das seguintes alternativas é uma técnica de autenticação multifator?
A) Apenas login e senha
B) Senha e código enviado por SMS
C) Apenas biometria
D) Apenas chave de segurança física
B) Senha e código enviado por SMS
💡 Dica: MFA = Mais de um fator para autenticar.
Por que a criptografia de ponta a ponta é importante?
A) Para reduzir o tempo de resposta dos servidores
B) Para proteger dados contra interceptação durante a transmissão
C) Para facilitar o acesso de hackers a mensagens criptografadas
D) Para eliminar a necessidade de autenticação
B) Para proteger dados contra interceptação durante a transmissão
💡 Dica: Criptografia ponta a ponta = Proteção total durante a transmissão.
Explique a diferença entre criptografia simétrica e criptografia assimétrica.
Simétrica: Mesma chave para criptografar e descriptografar.
Assimétrica: Usa um par de chaves (pública e privada).
💡 Dica: Simétrica = Uma chave | Assimétrica = Duas chaves.
Como a assinatura digital assegura a autenticidade e integridade das informações?
Usa criptografia assimétrica para validar a origem e garantir que o documento não foi alterado.
💡 Dica: Assinatura digital = Proteção contra fraudes.
O que é um ataque de força bruta e como a criptografia pode proteger contra esse tipo de ameaça?
Tentativa de adivinhar senhas por tentativa e erro; senhas fortes e criptografia dificultam esse ataque.
💡 Dica: Senha forte = Proteção contra força bruta.
Qual a importância da autenticação multifator (MFA) para a segurança da informação?
A MFA adiciona camadas extras de segurança, impedindo acessos indevidos mesmo que a senha seja comprometida.
💡 Dica: MFA = Senha + Algo a mais.
Como os certificados digitais garantem a confiabilidade nas comunicações eletrônicas?
Associam uma identidade a uma chave pública, garantindo autenticidade.
💡 Dica: Certificado digital = Passaporte digital.
Qual é a função principal do processo ETL em bancos de dados?
A) Armazenar dados em tempo real
B) Extrair, transformar e carregar dados para análise
C) Criar modelos preditivos usando aprendizado de máquina
D) Substituir a necessidade de bancos de dados relacionais
B) Extrair, transformar e carregar dados para análise
💡 Dica: ETL = Extrai, Transforma e Carrega dados para análise.
No processo ETL, qual é a principal função da fase de transformação?
A) Coletar dados de diferentes fontes
B) Limpar, formatar e padronizar os dados
C) Armazenar os dados no banco de dados final
D) Criar relatórios automatizados
B) Limpar, formatar e padronizar os dados
💡 Dica: Transformação = Preparação dos dados para análise.
Qual das seguintes etapas faz parte do pré-processamento de dados no Big Data?
A) Geração automática de relatórios
B) Limpeza e normalização dos dados
C) Criação de dashboards interativos
D) Criptografia de dados para segurança
B) Limpeza e normalização dos dados
💡 Dica: Pré-processamento = Organizar os dados antes de usá-los.
Quais são as principais fontes de dados utilizadas no Big Data?
A) Sensores IoT, redes sociais, transações financeiras, registros de sistemas
B) Apenas bancos de dados relacionais
C) Arquivos PDF e documentos impressos
D) Apenas dados estruturados armazenados em SQL
A) Sensores IoT, redes sociais, transações financeiras, registros de sistemas
💡 Dica: Big Data = Qualquer dado digital massivo (estruturado ou não).
Por que a redução de dimensionalidade é importante na análise de Big Data?
A) Para diminuir a complexidade dos dados e melhorar a eficiência da análise
B) Para aumentar a quantidade de dados processados
C) Para transformar dados não estruturados em estruturados
D) Para criar gráficos mais detalhados
A) Para diminuir a complexidade dos dados e melhorar a eficiência da análise
💡 Dica: Menos variáveis irrelevantes = Análises mais rápidas e eficientes.
Explique o conceito do processo ETL e suas três fases principais.
O processo ETL (Extração, Transformação e Carga) é utilizado para coletar dados de diversas fontes, tratá-los e armazená-los para análise.
Extração: Coleta de dados de bancos, APIs, sensores, etc.
Transformação: Limpeza, padronização e formatação dos dados.
Carga: Armazenamento dos dados no banco de dados final.
💡 Dica: ETL = “Pegar, arrumar e guardar” os dados.
Quais são as principais etapas do pré-processamento de dados na análise de Big Data?
Coleta e entendimento: Identificação da origem dos dados.
Limpeza: Remoção de duplicatas e erros.
Integração: Combinação de dados de várias fontes.
Transformação: Normalização e conversão para um formato adequado.
💡 Dica: Pré-processamento = “Arrumar a bagunça” dos dados antes de analisar.
O que é redução de dimensionalidade e por que ela é importante na análise de dados?
É o processo de remover variáveis irrelevantes ou redundantes para tornar os modelos mais eficientes.
Importância: Melhora a velocidade do processamento e a precisão da análise.
💡 Dica: Menos colunas inúteis = Modelos mais rápidos e eficientes.
Explique o impacto do Big Data na tomada de decisões empresariais.
O Big Data permite identificar padrões ocultos, prever tendências e tomar decisões mais embasadas, otimizando processos e aumentando a eficiência operacional.
💡 Dica: Big Data transforma dados brutos em inteligência para negócios.
Cite uma ferramenta de análise de Big Data e explique seu funcionamento.
O Apache Hadoop é uma ferramenta que processa grandes volumes de dados distribuídos em vários servidores, permitindo análises rápidas e escaláveis.
💡 Dica: Hadoop = “Dividir para conquistar” grandes volumes de dados.
O que caracteriza um ataque de negação de serviço distribuído (DDoS)?
A) Roubo de credenciais de usuários através de phishing
B) Envio massivo de solicitações a um servidor para sobrecarregá-lo e torná-lo inacessível
C) Instalação de malware para capturar dados pessoais
D) Criação de uma VPN para criptografar conexões de rede
B) Envio massivo de solicitações a um servidor para sobrecarregá-lo e torná-lo inacessível
💡 Dica: DDoS = “Tsunami” de requisições para derrubar um serviço.
Qual é o objetivo de um ataque de ransomware?
A) Roubar senhas de administradores de sistemas
B) Sequestrar arquivos e exigir pagamento para desbloqueá-los
C) Infectar dispositivos e enviar spam
D) Criar uma rede privada virtual (VPN) para ocultar atividades criminosas
B) Sequestrar arquivos e exigir pagamento para desbloqueá-los
💡 Dica: Ransom = Resgate → Sequestro de arquivos por dinheiro.
Qual das alternativas abaixo NÃO é uma medida eficaz para mitigar ataques DDoS?
A) Uso de firewalls de aplicação para filtrar tráfego malicioso
B) Manter softwares desatualizados para evitar vulnerabilidades conhecidas
C) Uso de redes de distribuição de conteúdo (CDN) para absorver picos de tráfego
D) Implementação de balanceadores de carga para distribuir o tráfego de rede
B) Manter softwares desatualizados para evitar vulnerabilidades conhecidas
💡 Dica: Segurança digital = Atualização constante!
Como um ataque de ransomware pode ser prevenido?
A) Criando senhas fáceis para lembrar
B) Mantendo backups offline e utilizando softwares antivírus atualizados
C) Desativando firewalls para maior velocidade de rede
D) Compartilhando credenciais de acesso com todos os funcionários
B) Mantendo backups offline e utilizando softwares antivírus atualizados
Dica: Backup offline = Melhor defesa contra ransomware.
Qual das ações abaixo é recomendada em caso de um ataque de ransomware?
A) Pagar o resgate imediatamente para recuperar os arquivos
B) Desconectar a máquina da rede e restaurar backups seguros
C) Ignorar o ataque e continuar usando o computador normalmente
D) Alterar apenas a senha do usuário e seguir com o uso do sistema
B) Desconectar a máquina da rede e restaurar backups seguros
💡 Dica: Nunca pague! Use backups e desconecte a rede.
Explique o funcionamento de um ataque DDoS e seus principais impactos.
Um ataque DDoS (Distributed Denial of Service) ocorre quando um grande volume de tráfego falso sobrecarrega um servidor, tornando-o indisponível para usuários legítimos.
Os impactos incluem:
- Indisponibilidade de serviços;
- Perda financeira e reputacional para empresas;
- Dificuldade na mitigação devido à origem distribuída do ataque.
💡 Dica: DDoS = Tráfego falso para “derrubar” um site.
O que é um ataque ransomware e quais são suas consequências?
O ransomware é um tipo de malware que criptografa arquivos e exige um resgate para desbloqueá-los.
Consequências incluem:
- Perda de dados e impactos financeiros;
- Interrupção de serviços críticos;
- Necessidade de restauração de backups para recuperação dos dados.
💡 Dica: Ransomware = “Sequestra” arquivos e pede dinheiro.
Quais são as melhores práticas para prevenir ataques de ransomware?
- Realizar backups regulares e armazená-los offline.
- Manter sistemas e softwares sempre atualizados.
- Evitar abrir e-mails ou anexos suspeitos.
- Usar soluções de segurança como antivírus e EDR (Endpoint Detection and Response).
💡 Dica: Backup + Atualização = Proteção contra ransomware.
Como a combinação de medidas preventivas e reativas pode minimizar o impacto de ataques DDoS?
- Preventivas: Uso de firewalls, CDNs (Content Delivery Networks) e balanceamento de carga.
- Reativas: Monitoramento de tráfego, mitigação automática e bloqueio de IPs maliciosos.
💡 Dica: DDoS: Bloquear antes, mitigar durante.
Por que o rastreamento de ataques cibernéticos é essencial para a segurança digital?
- Identifica a origem dos ataques e os responsáveis.
- Permite melhorar defesas contra ameaças futuras.
- Facilita ações legais contra criminosos cibernéticos.
💡 Dica: Rastrear = Prevenir novos ataques.
O que significa “continuidade de negócios” em segurança da informação?
A) Apenas manter os sistemas funcionando após um ataque
B) Conjunto de práticas para garantir a operação da empresa durante e após incidentes
C) Criar backups semanais
D) Apenas implementar firewalls
B) Conjunto de práticas para garantir a operação da empresa durante e após incidentes
💡 Dica: Continuidade = Planejar para manter o negócio ativo mesmo em crises.
Qual dos seguintes conceitos NÃO está relacionado à gestão de riscos em TI?
A) Identificação de ameaças
B) Avaliação de impactos
C) Monitoramento contínuo
D) Criação de novos vírus para testar defesas
D) Criação de novos vírus para testar defesas
💡 Dica: Gestão de riscos = Prevenir e mitigar, não criar ameaças.
O que significa o conceito de “disponibilidade” em segurança da informação?
A) Garantir que os dados sejam acessíveis apenas por usuários autorizados
B) Assegurar que os dados estejam protegidos contra modificações não autorizadas
C) Garantir que os serviços e sistemas estejam acessíveis sempre que necessário
D) Criar barreiras para dificultar o acesso a sistemas
C) Garantir que os serviços e sistemas estejam acessíveis sempre que necessário
💡 Dica: Disponibilidade = Serviço sempre ativo e acessível.
Qual é a principal finalidade de um Plano de Continuidade de Negócios (PCN)?
A) Criar novos sistemas de segurança
B) Minimizar impactos e restaurar operações rapidamente após incidentes
C) Reduzir custos com segurança
D) Recrutar mais funcionários para operações críticas
B) Minimizar impactos e restaurar operações rapidamente após incidentes
💡 Dica: PCN = Plano para seguir operando em emergências.
O que é um Plano de Recuperação de Desastres (DRP)?
A) Um método para prever falhas antes que ocorram
B) Estratégia para restaurar sistemas e dados após falhas ou ataques
C) Técnica de backup em nuvem
D) Processo para evitar acessos não autorizados
B) Estratégia para restaurar sistemas e dados após falhas ou ataques
💡 Dica: DRP = “Plano B” para restaurar sistemas pós-crise.
Explique a diferença entre gestão de riscos e continuidade de negócios.
- Gestão de riscos: Identifica e avalia ameaças e vulnerabilidades para reduzir impactos.
- Continuidade de negócios: Garante que a empresa continue operando durante e após incidentes.
💡 Dica: Gestão de riscos = Prevenir | Continuidade = Manter o negócio rodando.
Quais são os quatro pilares fundamentais da segurança da informação?
- Disponibilidade: Sistemas acessíveis quando necessário.
- Confidencialidade: Proteção contra acessos não autorizados.
- Integridade: Garantia de que os dados não foram alterados indevidamente.
- Autenticidade: Confirmação de identidade dos usuários.
💡 Dica: DICA = Disponibilidade, Integridade, Confidencialidade, Autenticidade.
Como um Plano de Continuidade de Negócios (PCN) pode evitar grandes prejuízos em uma empresa?
- Definição de procedimentos para continuar operando durante crises.
- Minimização do tempo de inatividade.
- Preservação da reputação da empresa.
💡 Dica: PCN = “Manual de sobrevivência” da empresa.
Qual a importância do Plano de Recuperação de Desastres (DRP) na segurança da informação?
- Permite restaurar rapidamente sistemas após falhas.
- Minimiza perdas de dados e impactos financeiros.
💡 Dica: DRP = Recuperação rápida pós-catástrofe.
Como a gestão de riscos impacta a segurança digital das empresas?
- Ajuda a identificar ameaças e vulnerabilidades.
- Permite ações preventivas para mitigar danos.
💡 Dica: Menos risco = Mais segurança.
O que é uma “referência insegura a objeto” (IDOR) segundo o OWASP?
A) Uma falha onde um usuário pode acessar dados de outro sem permissão
B) Um tipo de ataque DDoS
C) Um erro em firewalls
D) Um ataque de força bruta
A) Uma falha onde um usuário pode acessar dados de outro sem permissão
💡 Dica: IDOR = Acesso indevido a dados por falha no controle de permissões.
O que é “eavesdropping” em segurança da informação?
A) Um ataque para explorar vulnerabilidades de sistemas
B) Interceptação de comunicações para roubo de dados
C) Um método de autenticação seguro
D) Técnica usada para prevenir vazamentos de dados
B) Interceptação de comunicações para roubo de dados
💡 Dica: Eavesdropping = Espionagem digital.
Qual das práticas abaixo ajuda a prevenir ataques de eavesdropping?
A) Uso de criptografia TLS/SSL
B) Deixar o tráfego de rede sem proteção
C) Usar apenas autenticação baseada em senha fraca
D) Permitir acesso público a redes corporativas
A) Uso de criptografia TLS/SSL
💡 Dica: Criptografia = Comunicação segura contra espiões.
Qual das seguintes técnicas pode mitigar vulnerabilidades de IDOR (Insecure Direct Object Reference)?
A) Implementação de controles rigorosos de autorização
B) Criptografia assimétrica
C) Uso de algoritmos de compressão
D) Firewalls físicos
A) Implementação de controles rigorosos de autorização
💡 Dica: IDOR = Controle de acessos bem feito.
IDOR (Insecure Direct Object Reference) é uma vulnerabilidade de segurança que permite que invasores acessem dados confidenciais sem autorização.
O ataque Man-in-the-Middle (MitM) está relacionado a qual vulnerabilidade?
A) Referência insegura a objeto
B) Eavesdropping
C) Injeção de SQL
D) Ataques de negação de serviço
B) Eavesdropping
💡 Dica: MitM = Intermediário “bisbilhotando” sua conexão.
Como o próprio nome sugere, nesta modalidade o hacker coloca suas armadilhas entre a vítima e sites relevantes, como sites de bancos.
O que é referência insegura a objeto (IDOR) e como ela pode ser explorada?
Ocorre quando um sistema expõe identificadores diretos de objetos sem checar permissões.
Exemplo: Alterar um ID na URL para acessar dados de outro usuário.
💡 Dica: IDOR = Alterar URL para ver dados de outra pessoa.
IDOR (Insecure Direct Object Reference) é uma vulnerabilidade de segurança que permite que invasores acessem dados confidenciais sem autorização.
Como evitar ataques de eavesdropping em comunicações?
- Usar criptografia TLS/SSL.
- Evitar redes Wi-Fi públicas sem VPN.
💡 Dica: Wi-Fi público sem VPN = risco de espionagem.
Explique como funciona um ataque Man-in-the-Middle (MitM).
O atacante intercepta a comunicação entre dois usuários sem que eles percebam.
💡 Dica: MitM = Alguém se passando pelo seu banco online.
Quais são os principais impactos de um ataque de eavesdropping?
Roubo de senhas, dados bancários e espionagem corporativa.
💡 Dica: Eavesdropping = Escuta clandestina.
Como as empresas podem proteger suas APIs contra IDOR?
Implementando verificações de autorização antes de exibir dados.
💡 Dica: IDOR = Falha em restringir acessos.
IDOR (Insecure Direct Object Reference) é uma vulnerabilidade de segurança que permite que invasores acessem dados confidenciais sem autorização.
Qual é o principal objetivo do COBIT 2019?
A) Criar novas ferramentas de segurança da informação
B) Fornecer um framework de governança e gestão de TI alinhado aos objetivos do negócio
C) Substituir outros frameworks como ITIL e ISO 27001
D) Definir políticas exclusivamente para segurança cibernética
B) Fornecer um framework de governança e gestão de TI alinhado aos objetivos do negócio
💡 Dica: COBIT = Alinhar TI com os objetivos estratégicos da empresa.
Qual princípio do COBIT 2019 enfatiza a importância de entregar valor às partes interessadas?
A) Fornecer valor às partes interessadas
B) Governança dinâmica e adaptável
C) Integração com outros frameworks
D) Transparência e conformidade
A) Fornecer valor às partes interessadas
💡 Dica: TI deve atender às expectativas do negócio → Fornecer valor!
O COBIT 2019 é compatível e pode ser integrado com quais outros frameworks?
A) ITIL, ISO/IEC 27001, COSO e TOGAF
B) Apenas ITIL
C) Apenas frameworks de segurança da informação
D) Nenhum, pois é independente
A) ITIL, ISO/IEC 27001, COSO e TOGAF
💡 Dica: COBIT conversa com outros frameworks, não os substitui.
Qual dos seguintes componentes NÃO faz parte do Sistema de Governança do COBIT 2019?
A) Processos
B) Estruturas organizacionais
C) Hardware e Infraestrutura
D) Pessoas, habilidades e competências
C) Hardware e Infraestrutura
💡 Dica: COBIT foca na governança, não na tecnologia física.
O que significa o objetivo de governança “Avaliar, Direcionar e Monitorar” (EDM) no COBIT 2019?
A) Criar novos processos de TI
B) Garantir que a TI esteja alinhada com a estratégia da empresa e sendo monitorada
C) Substituir todas as metodologias ágeis na organização
D) Eliminar a necessidade de políticas de segurança
B) Garantir que a TI esteja alinhada com a estratégia da empresa e sendo monitorada
💡 Dica: EDM = TI deve ser monitorada e ajustada para seguir a estratégia.
Explique o que é o COBIT 2019 e sua principal finalidade.
O COBIT 2019 é um framework de governança e gestão de TI que permite alinhar a tecnologia da informação aos objetivos estratégicos da empresa.
Ele fornece diretrizes para que a TI gere valor e garanta segurança, conformidade e eficiência operacional.
💡 Dica: COBIT = “Gestor” da TI para atender às necessidades do negócio.
Quais são os principais princípios do COBIT 2019?
- Fornecer valor às partes interessadas: TI deve gerar benefícios para a empresa.
- Governança dinâmica e adaptável: Flexibilidade para diferentes cenários.
- Integração com outros frameworks: Pode ser usado com ITIL, ISO 27001 e outros.
💡 Dica: Pense no COBIT como um “líder” flexível, que gera valor e trabalha em equipe.
O que são os Objetivos de Governança e Gestão no COBIT 2019?
São cinco áreas-chave:
- EDM (Avaliar, Direcionar e Monitorar) – Estratégia e supervisão da TI.[
- APO (Alinhar, Planejar e Organizar) – Definição de diretrizes e políticas.
- BAI (Construir, Adquirir e Implementar) – Desenvolvimento e entrega de soluções.
- DSS (Entregar, Serviço e Suporte) – Operação e suporte de TI.
- MEA (Monitorar, Avaliar e Analisar) – Avaliação contínua do desempenho da TI.
💡 Dica: Lembre-se da sigla EDM-APO-BAI-DSS-MEA para organizar as funções do COBIT.
Como o COBIT 2019 se diferencia do COBIT 5?
O COBIT 2019 oferece mais flexibilidade, permite personalização para diferentes organizações e tem um modelo baseado em componentes de governança em vez de processos rígidos.
💡 Dica: COBIT 5 era mais rígido, COBIT 2019 é flexível e personalizável.
Qual a importância da integração do COBIT 2019 com outros frameworks, como ITIL e ISO 27001?
O COBIT 2019 não substitui outros frameworks, mas os complementa.
Ele fornece um modelo geral de governança, enquanto ITIL gerencia serviços de TI e a ISO 27001 foca na segurança da informação.
💡 Dica: COBIT “orquestra”, ITIL “entrega serviços” e ISO 27001 “protege”.
O que é a análise estática de código-fonte (SAST)?
A) Uma técnica que analisa o código-fonte da aplicação durante sua execução
B) Uma técnica que examina o código-fonte sem executá-lo para identificar vulnerabilidades
C) Um método de análise baseado em ataques externos simulados
D) Uma abordagem usada apenas para encontrar falhas de autenticaçã
B) Uma técnica que examina o código-fonte sem executá-lo para identificar vulnerabilidades
💡 Dica: SAST = Olhar o código sem rodá-lo para achar falhas!
Qual das vulnerabilidades abaixo pode ser detectada por uma análise SAST?
A) Injeção de SQL
B) Problemas de autenticação em produção
C) Erros de tempo de resposta do servidor
D) Ataques de negação de serviço (DDoS)
A) Injeção de SQL
💡 Dica: SAST encontra falhas no código antes de serem exploradas!
Qual das alternativas descreve corretamente o funcionamento da SAST?
A) Executa a aplicação e observa o comportamento do sistema
B) Analisa o código-fonte em busca de padrões inseguros sem executar o software
C) Simula ataques para avaliar a resposta da aplicação
D) Atua apenas na fase de testes do software
B) Analisa o código-fonte em busca de padrões inseguros sem executar o software
💡 Dica: SAST = Revisão de código com lupa de segurança!
O que são os testes dinâmicos de segurança (DAST)?
A) Testes que analisam o código-fonte sem executar a aplicação
B) Testes feitos apenas durante o desenvolvimento do software
C) Testes que avaliam a segurança da aplicação enquanto ela está em execução
D) Técnicas que analisam apenas permissões de usuários
C) Testes que avaliam a segurança da aplicação enquanto ela está em execução
💡 Dica: DAST = “Testar atacando” a aplicação rodando!
Qual das técnicas é considerada um teste do tipo “Black Box”?
A) DAST
B) SAST
C) Nenhuma das duas
D) Ambas
A) DAST
Dica: Black Box = Sem ver o código → DAST.
Explique o que é análise estática de código-fonte (SAST) e sua principal função.
A SAST (Static Application Security Testing) é uma técnica de análise que verifica o código-fonte de um software sem executá-lo, identificando vulnerabilidades antes da implantação.
Ela ajuda a encontrar falhas estruturais e problemas de segurança, como injeção de SQL e XSS, ainda na fase de desenvolvimento.
💡 Dica: SAST = Revisar código antes de rodar, prevenindo falhas.
Como funciona a análise estática de código-fonte (SAST)?
A SAST examina o código-fonte, bytecode ou código intermediário, identificando padrões inseguros e vulnerabilidades antes da execução.
Ferramentas como SonarQube e Checkmarx analisam o código automaticamente, ajudando a detectar falhas antes que possam ser exploradas.
💡 Dica: SAST = Segurança no código antes de executar.
O que são testes dinâmicos de segurança (DAST) e qual sua importância?
O DAST (Dynamic Application Security Testing) é uma técnica que avalia a segurança de uma aplicação enquanto ela está rodando, simulando ataques externos.
Ele permite identificar falhas reais, como erros de autenticação e vulnerabilidades exploráveis em tempo de execução.
💡 Dica: DAST = “Testar atacando” a aplicação em execução.
Como funciona a análise dinâmica de segurança (DAST)?
O DAST testa a aplicação sem acesso ao código-fonte, simulando ataques para encontrar vulnerabilidades exploráveis.
Ferramentas como OWASP ZAP e Burp Suite são utilizadas para testar aplicações web.
💡 Dica: DAST = Atacante externo tentando encontrar falhas no sistema rodando.
Explique a diferença entre SAST e DAST e qual delas é considerada White Box e Black Box.
SAST é White Box, pois analisa o código-fonte da aplicação e verifica vulnerabilidades antes da execução.
DAST é Black Box, pois testa a aplicação sem conhecer seu código-fonte, simulando um invasor externo.
💡 Dica:
- White Box (SAST) = Segurança desde o código.
- Black Box (DAST) = Segurança testada externamente.
Qual é o principal objetivo da LGPD?
A) Restringir totalmente o uso de dados pessoais no Brasil
B) Regulamentar o tratamento de dados pessoais para garantir a privacidade e proteção dos titulares
C) Eliminar qualquer possibilidade de compartilhamento de dados entre empresas
D) Permitir o armazenamento irrestrito de dados sem consentimento
B) Regulamentar o tratamento de dados pessoais para garantir a privacidade e proteção dos titulares
💡 Dica: LGPD = Regras para proteger dados e garantir privacidade!
Qual entidade é responsável por fiscalizar e regulamentar o cumprimento da LGPD?
A) Ministério da Justiça
B) Banco Central
C) ANPD (Autoridade Nacional de Proteção de Dados)
D) Receita Federal
C) ANPD (Autoridade Nacional de Proteção de Dados)
💡 Dica: ANPD = “Guardiã” da LGPD!
Qual das seguintes bases legais permite o tratamento de dados pessoais sem necessidade de consentimento?
A) Apenas com consentimento explícito do titular
B) Cumprimento de obrigação legal ou regulatória
C) Apenas para marketing direto
D) Sempre exige autorização judicial
B) Cumprimento de obrigação legal ou regulatória
💡 Dica: Nem sempre precisa de consentimento! Exemplo: Declaração de imposto de renda.
Quais são os principais direitos garantidos pela LGPD aos titulares dos dados?
A) Acesso, correção, exclusão, portabilidade e revogação do consentimento
B) Apenas acesso e portabilidade dos dados
C) Apenas exclusão dos dados pessoais
D) Apenas anonimização dos dados sensíveis
A) Acesso, correção, exclusão, portabilidade e revogação do consentimento
💡 Dica: Os titulares têm controle total sobre seus dados!
Qual penalidade pode ser aplicada a empresas que descumprem a LGPD?
A) Apenas uma advertência sem impacto financeiro
B) Multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração
C) Prisão imediata do responsável pela empresa
D) Bloqueio total de todos os serviços da empresa infratora
B) Multas que podem chegar a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração.
💡 Dica: Descumprir a LGPD pode sair caro! Multas pesadas e sanções da ANPD.
Explique o que é a LGPD e por que ela foi criada.
A LGPD (Lei nº 13.709/2018) é a legislação brasileira que regulamenta o tratamento de dados pessoais, garantindo privacidade e proteção aos titulares.
Foi criada para alinhar o Brasil às normas internacionais de proteção de dados, como o GDPR da União Europeia, e para estabelecer regras claras sobre o uso de informações pessoais.
💡 Dica: LGPD = Proteção de dados pessoais e regras para empresas!
Quais são os princípios fundamentais da LGPD?
A LGPD se baseia em 10 princípios, entre eles:
Finalidade: O uso dos dados deve ter um propósito legítimo.
Necessidade: Apenas os dados estritamente necessários devem ser coletados.
Transparência: O titular deve ser informado sobre o uso dos dados.
Segurança: Medidas devem ser adotadas para proteger os dados contra acessos indevidos.
💡 Dica: Pense nos princípios como “regras do jogo” para empresas que tratam dados.
Quais são as principais bases legais que autorizam o tratamento de dados pessoais?
A LGPD define 10 bases legais que justificam o tratamento de dados, sendo as principais:
- Consentimento do titular
- Cumprimento de obrigação legal ou regulatória
- Execução de contrato
- Interesse legítimo
- Proteção da vida
💡 Dica: Consentimento não é sempre obrigatório! Obrigações legais e contratos também permitem o uso.
Qual é o papel da ANPD na aplicação da LGPD?
A Autoridade Nacional de Proteção de Dados (ANPD) é responsável por fiscalizar, regulamentar e aplicar penalidades às empresas que descumprirem a LGPD.
Além disso, orienta sobre boas práticas para garantir a conformidade com a lei.
💡 Dica: ANPD = “Polícia dos dados” no Brasil!
Qual a importância da LGPD para empresas e consumidores?
Para consumidores: Garante mais privacidade, controle e transparência sobre seus dados.
Para empresas: Obriga a adoção de boas práticas de segurança e governança, evitando vazamentos de dados e garantindo conformidade legal.
💡 Dica: LGPD protege os cidadãos e obriga empresas a cuidarem dos dados!
