O Glossário de Segurança da Internet (RFC 4949) define autenticação como o processo de verificar a alegação de uma entidade ou recurso do sistema possuir um determinado valor de atributo. Sobre o processo de autenticação assinale a alternativa correta.

Basicamente, um certificado digital é um documento eletrônico que vincula uma chave pública a uma entidade (pessoa física, jurídica, servidor, domínio etc.), este documento é assinado digitalmente por uma terceira parte confiável. Essa terceira parte, comumente referida Autoridade Certificadora (AC), pode ser uma agência governamental, uma instituição financeira ou uma empresa especializada, e goza da confiança da comunidade de usuários. Protocolos como HTTPS, TLS e S/MIME utilizam certificados digitais seguindo o padrão X.509. Assinale o item correto quanto ao uso de certificados X.509.

Resumos criptográficos, ou hashes, correspondem a uma classe de métodos criptográficos aplicados na garantia da integridade de informações. Assinale o item que apresenta corretamente uma utilização de hashes criptográficos.

“Um megavazamento de dados expôs 16 bilhões de senhas e credenciais de login de contas da Apple, Google, Facebook, Telegram, GitHub e até serviços governamentais. [...] Segundo os especialistas, [...] o vazamento não se trata de dados antigos reciclados, mas sim de informações novas e altamente exploráveis, coletadas por info-stealers — malwares especializados em roubo de dados. A maior parte dos registros estava organizada em URLs seguidas por logins e senhas, permitindo acesso a praticamente qualquer serviço online. Embora os dados tenham ficado expostos por pouco tempo, o impacto pode ser duradouro.” (Fonte: MAIOR Vazamento de Dados da História Expõe 16 Bilhões de Senhas, e o Mundo Quase Não Percebeu. Forbes, Forbes Tech, [s.l.], 2025. Disponível em: https://forbes.com.br/forbes-tech/2025/06/maior-vazamento-de-dadosda-historia-expoe-16-bilhoes-de-senhas-e-o-mundo-quase-nao-percebeu/. Acesso em: 10 fev. 2026). Assinale o item que apresenta um controle adequado para mitigar o uso indevido de credenciais expostas descrito no cenário descrito.

A criptografia é a base de muitos protocolos, serviços e sistemas de segurança. Um analista de segurança da informação deve ser capaz de diferenciar os diversos tipos de cifras criptográficas e sua utilização na garantia da segurança dos sistemas e informações organizacionais. Assinale o item que apresenta corretamente a associação entre um algoritmo criptográfico e sua aplicação primária.

A criptografia tem sido utilizada há milhares de anos na proteção de informações sensíveis através de sua codificação. A decodificação das informações será possível apenas para aqueles que detém a respectiva chave de decodificação, independente da captura de uma mensagem codificada e do conhecimento sobre o algoritmo utilizado no embaralhamento da mensagem. Com relação ao uso de chaves e algoritmos criptográficos, é correto o que se afirma em:

A Estrutura de Segurança Cibernética 2.0 do Instituto Nacional de Padrões e Tecnologia (NIST CSF 2.0) fornece orientações para o gerenciamento dos riscos de segurança cibernética. As ações por ela sugeridas podem ser usadas por qualquer organização - independentemente de seu tamanho, setor ou maturidade - para uma melhor compreensão, avaliação, priorização e comunicação de seus esforços relacionados à segurança cibernética. Considerando as funções essenciais do núcleo da NIST CSF 2.0 é correto o que se afirma em:

“PF deflagra a Operação Decrypt contra organização criminosa especializada em ataques cibernéticos — [...] A investigação tem como objetivo esclarecer a participação de um cidadão brasileiro em uma organização criminosa transnacional especializada em ataques cibernéticos do tipo ransomware — modalidade em que sistemas são invadidos, os dados são criptografados e, em seguida, é exigido o pagamento de resgate, geralmente em criptomoedas, para a liberação das informações. [...]” (Fonte: COORDENAÇÃO-GERAL DE COMUNICAÇÃO SOCIAL DA POLÍCIA FEDERAL. PF deflagra a Operação Decrypt contra organização criminosa especializada em ataques cibernéticos. [S.l.], 2025. Disponível em: https://www.gov.br/pf/ptbr/assuntos/noticias/2025/10/pf-deflagra-operacao-contra-grupo-internacional-de-crimes-ciberneticos. Acesso em: 03 fev. 2026).

Considerando o cenário descrito no enunciado, o ataque do tipo ransomware pode ser avaliado como uma ameaça:

Para uma organização, suas informações são consideradas um ativo que possui valor e portanto, requer níveis de proteção adequados. Além disso, essas informações e demais ativos associados estão sujeitos a diversas fontes de ameaças, sejam estas naturais, acidentais ou deliberadas. Convém que a seleção de contramedidas para tais ameaças esteja apoiada em uma avaliação de riscos adequada ao cenário organizacional. Assinale o item que define risco no contexto de Segurança da Informação.

“Os ataques à cadeia de suprimentos são projetados para explorar relações de confiança entre uma organização e partes externas. Esses relacionamentos podem incluir parcerias, relacionamentos com fornecedores ou o uso de software de terceiros. Os atores das ameaças cibernéticas comprometerão uma organização e depois subirão na cadeia de abastecimento, aproveitando estas relações de confiança para obter acesso aos ambientes de outras organizações.” (Fonte: CHECK POINT. O que é um ataque à cadeia de suprimentos?. Cyber Hub. [S.l.], c2026. Disponível em: https://www.checkpoint.com/pt/cyber-hub/threat-prevention/what-is-a-supply-chain-attack/. Acesso em: 28 jan. 2026).

Assinale o item que apresenta uma condição que favorece ataques à cadeia de suprimentos.