atividade 3 gestão de risco

Prévia do material em texto

Pontuação desta tentativa: 1 de 1
Enviado 3 nov em 10:27
Esta tentativa levou 9 minutos.
 
Pergunta 1
0,2 / 0,2 pts
Leia o texto a seguir:
 
À medida que desenvolver estratégia de risco, você deverá entender as respostas mais comuns. Você pode reduzi-los, transferi-los, aceitá-los ou evitá-los.
· Atenuação (redução) de risco – Esta abordagem usa diversos controles para atenuar ou reduzir riscos identificados. Esses controles podem ser administrativos, técnicos ou físicos.
 
Fonte: KIM, D. SOLOMON, M. G. Fundamentos da Segurança de Informação. Rio de Janeiro: LTC: 2014, p. 198.
Aponte a alternativa que possui uma estratégia de modificação do risco.
 
  
Utilização de software antivírus e de firewall para reduzir a infecção nos computadores da empresa e na rede.
 
Alternativa correta.
A Utilização de software antivírus e de firewall são ações que contribuem para reduzir a infecção nos computadores da empresa e na rede, diminuindo o risco de segurança da informação da empresa.
  
Não abrir uma filial em um país que seja alvo de tumulto político ou movimentos sociais frequentes.
 
  
Restaurante contrata uma empresa terceirizada para administrar as áreas de estacionamento.
 
  
Um médico compra um seguro contra negligência médica e aceita risco residual de perda igual à franquia.
 
  
Empresa exportadora que deseja especular o valor do dólar para daqui 1 ano.
 
 
Pergunta 2
0,2 / 0,2 pts
Leia o texto a seguir:
 
PSR = Probabilidade x Severidade x Relevância - os fatores da Probabilidade e Severidade são pontuados durante as análises técnicas e a Relevância pontuada no processo de levantamento dos ativos, considerando-se a importância do ativo para o negócio ou serviço. Assim, o valor do risco de um ativo é obtido pelo somatório dos produtos dos três fatores (P x S x R) calculado cada uma das ameaças ao ativo em análise.
 
A tabela 7 a seguir demonstra a distribuição dos possíveis valores de Risco (PSR):
Da tabela anterior são identificadas e definidas as faixas para os níveis de risco que irão orientar a priorização da faze de tratamento dos riscos, priorizando o tratamento dos riscos mais altos, conforme a Tabela 8 a seguir.
 
Como risco aceitável, o Ministério da Saúde considera os níveis que apresentarem PSR Baixo ou Muito Baixo. Portanto, deverão ser tratados os riscos Muito Alto, Alto e Médio, cabendo ao Gestor da área analisar os casos especiais, nos quais a aceitação do risco é justificável. Podem ser entendidos como casos especiais, dentre outros, as atividades temporárias ou de curto prazo; a implantação de controles cujo custo supera o valor da consequência causada pela ocorrência do evento.
 
Fonte: BRASIL. Ministério Da Saúde. Metodologia De Gestão De Riscos De Segurança Da Informação e Comunicações Do Ministério Da Saúde. Brasília, 2015. Disponível em: https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf (Links para um site externo.). Acesso em: 29 de maio de 2020. Adaptado.
Considerando a metodologia de gestão de risco adotado no Ministério da Saúde, assinale a alternativa correta.
  
Para uma ameaça de sobrecarga de energia no servidor WEB, cujo PSR = 50, não é necessário a realização de tratamento desse risco, pois PSR=50 corresponde a nível de risco baixo.
 
  
Para uma ameaça de queima da fonte das estações de trabalho, cujo PSR = 8, é necessário o tratamento desse risco, com o compra de nobreak para todas as estações de trabalho.
 
  
A Avaliação de controle de riscos é de 2015, período anterior à pandemia do Corona Vírus e, portanto, não é mais válida.
 
  
Para uma ameaça de acesso indevido, cujo PSR = 75, é necessário o tratamento desse risco através de controle biométrico ou certificados digitais.
 
Alternativa correta.
Para um indicador PSR = 75, pela tabela 8, opera-se com um nível de risco muito alto. Para esse nível de risco, é necessário o tratamento do risco. Como a ameaça é de acesso indevido, o uso de controle biométrico e/ou certificados digitais pode ser um tratamento para esse risco.
  
Para uma ameaça de ataques de Hackers, cujo PSR = 40, não é necessário a realização de tratamento desse risco, pois os hackers não vão atacar o Ministério da Saúde.
 
 
Pergunta 3
0,2 / 0,2 pts
Leia o texto a seguir:
 
A figura a seguir apresenta graficamente a localização das atividades no processo de gestão de riscos:
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013.
Existem duas atividades que devem ocorrer a todo o tempo: acompanhamento do dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades e probabilidades. A partir disso, avalie as asserções a seguir e a relação entre elas:
 
I. As fases de Comunicação do risco e Monitoramento e análise crítica são permanentes e desenvolvidas simultaneamente com as demais fases do processo de gestão de riscos.
 
PORQUE
 
II. Com o monitoramento, a organização verifica se todos os recursos necessários à gestão e tratamento do risco estão disponíveis, e a verificação da necessidade de mudanças nos critérios, na metodologia ou nas ferramentas utilizada e, através da comunicação, as informações sobre o desenvolvimento das atividades e os resultados alcançados são transmitidas.
 
A respeito dessas asserções, assinale a opção correta:
  
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
 
  
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
 
  
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
 
  
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
 
Alternativa correta.
A asserção I está correta, pois algumas atividades como a Definição de Contexto, Identificação de Risco, Análise de Riscos, Avaliação de Riscos, Tratamento de riscos e Aceitação de Riscos possuem momentos de realização bem definidos, pois as entradas necessárias por estas são estão disponíveis quando a etapa anterior é finalizada. Enquanto as etapas de Comunicação e Monitoramento ocorrem durante todo o processo.
A asserção II está correta, pois o monitoramento é a observação contínua e o registro regular das atividades e ações da gestão de riscos. O monitoramento O monitoramento deve ser feito para garantir que tratamento do risco está sendo implementado conforme planejados, novos ativos foram incluídos no escopo da gestão de riscos e os controles selecionados como de resposta ao risco ainda estão eficazes. A comunicação do risco também deve ocorrer forma contínua, pois através dela que são transmitidas informações sobre o desenvolvimento das atividades e os resultados alcançados.
Assim, a asserção II justifica a asserção I.
  
As asserções I e II são proposições falsas.
 
 
Pergunta 4
0,2 / 0,2 pts
Leia o texto a seguir:
 
Os riscos existem e estão a nossa volta o tempo todo. Dificilmente vamos eliminá-los. Podemos minimizá-los, mas para isso, a busca por conformidade, confiabilidade, eficiência, eficácia, governança e qualquer outro adjetivo que suporte as informações e a manutenção das organizações será bem-vinda, pois a busca pela continuidade dos negócios e pela boa prática de governança corporativa deve ser inserida em todas as atividades empresariais, para as pequenas, médias e grandes companhias.
O bom senso e o conhecimento de negócio auxiliam na busca por essa tão falada conformidade e devemos atentar que, em muitos casos, as regras parecem impossíveis de serem aplicadas, mas devemos avaliar até que ponto devemos colocá-las em prática sem causar danos à organização.
Ninguém está obrigado a fazer nada desde que possa justificar a sua atitude. A busca pelos controles internos e contábeis e pela gestão de riscos vai de encontro ao apetite de risco da organização e como minimizar o risco corporativo.
 Portanto, minimizar riscos é conhecer, prevenir e monitorá-los sempre que possível, pois eles não são evidenciados somente nas fraudes. Erros e negligência também fazem parte. É bom avaliar sempre isso.
 
Fonte: ASSI, M. Gestão DeRiscos Com Controles Internos: Como vencer os desafios e manter a eficiência dos negócios. 1. ed. São Paulo: Saint Paul Editora, 2012, p. 142.
Considerando as informações apresentadas, analise as afirmações a seguir:
 
I. Após a etapa de Tratamento do Risco, ocorre a decisão de a aceitação ou retenção de riscos, ação de evitar outros riscos ou a transferência de alguns desses riscos a outros agentes.
II. A eliminação do risco depende de um complexo diagrama de controles de risco.
III. Caso o risco residual for maior que o risco máximo aceitável, a empresa terá uma implementação ineficiente do processo de gestão de riscos.
 
É correto o que se afirma em:
  
I e II, apenas.
 
  
II e III, apenas.
 
  
I e III, apenas.
 
  
I, apenas.
 
A afirmação I está correta, pois a etapa de Tratamento do Risco proporciona 4 ações: Retenção, Aceitação, Compartilhamento e Impedimento do Risco.
A afirmação II está incorreta, pois o risco não pode ser eliminado, mas gerenciado, fato abordado no texto.
A afirmação III está incorreta, pois caso o risco residual fique maior que o máximo risco aceitável, será realizada mais uma iteração do processo de gestão de risco, partindo da definição de contexto.
Assim, somente afirmação I está correta.
  
II, apenas.
 
 
Pergunta 5
0,2 / 0,2 pts
Leia o texto a seguir:
 
Os benefícios do monitoramento para a segurança de uma empresa
 
Mas quais são exatamente esses benefícios que um bom monitoramento de segurança da informação traz para uma empresa? Listamos as vantagens que vão muito além da simples proteção de dados:
 
Confiabilidade e disponibilidade
Dados seguros significam um sistema mais confiável. Essa máxima já foi experimentada e aprovada em diversos negócios que investiram em segurança da informação e receberam em troca processos mais estáveis, disponibilidade facilitada de dados e informações sensíveis e a capacidade de trabalho remoto com total controle de acesso, visualização e edição de arquivos sem riscos para a empresa.
 
Aumento da produtividade
E esse é o motivador principal para a otimização do trabalho dentro da empresa. Sim, segurança também gera produtividade! Isso acontece porque um bom monitoramento do sistema garante menos vulnerabilidades que, por consequência, significa menos tempo indisponível para manutenção ou recuperação de desastres.
 
Além disso, o controle de acesso através do monitoramento reduz a perda de tempo com o mau uso da internet por funcionários, que muitas vezes perdem o foco navegando em sites não pertinentes ao negócio e redes sociais.
 
Ajustes estratégicos
Além de facilitar o trabalho dos funcionários, a segurança da informação bem monitorada é também uma ferramenta para o gerente de TI e o resto da diretoria.
 
Quanto melhor o monitoramento, melhor é a estratégia de prevenção e mais rápida é a resposta a ameaças. É ainda a base para implementar um processo de melhoria continuada, como o famoso PDCA (Plan, Do, Check, Act). Garantir um ciclo de iteração é uma forma de estar sempre à frente das ameaças.
 
Redução de custos
Por fim, o aumento da produtividade, simplificação de processos e mais tempo de sistema disponível resultam em economia para qualquer empresa. Por um lado, gasta-se menos com estrutura e combate a incêndios, por outro, aumenta-se a eficiência da operação.
 
Esse dinheiro a mais, inclusive, pode ser reinvestido na própria segurança da informação, como na compra de novos equipamentos ou na contratação de empresas especializadas. Assim, cria-se um ciclo virtuoso de monitoramento para uma empresa ainda mais competitiva.
 
 
Fonte: Importância de monitorar a segurança da informação para sua gestão. Strong security. 19/09/2017. Disponível em: https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/ (Links para um site externo.). Acesso em: 29 de maio de 2020.
Para o planejamento da etapa de monitoração de riscos, considere as seguintes atividades.
 
I. Incluir novos ativos no escopo da gestão de riscos.
 
II. Avaliar a eficiência da redução de riscos.
 
III. Elaborar o Plano de tratamento do risco e dos riscos residuais.
 
IV. Calcular as probabilidades dos cenários de incidentes no método quantitativo ou qualitativo.
 
Assinale a alternativa com atividades da etapa de monitoramento de riscos, apenas.
  
I, II e III.
 
  
I e II.
 
O monitoramento é a atividade de identificar e de assegurar o controle do risco, monitorando riscos residuais e identificando novas ameaças e vulnerabilidades, assegurando a execução dos planos de tratamento do risco e avaliando sua eficiência e eficácia na redução dos riscos. Assim, as atividades “Incluir novos ativos no escopo da gestão de riscos” (I) e “Avaliar a eficiência da redução de riscos são parte da monitoração de risco” (II).
A atividade “Elaborar o Plano de tratamento do risco e dos riscos residuais” (III) ocorre na etapa de Tratamento do Risco e não monitoramento. A atividade “Calcular as probabilidades dos cenários de incidentes no método quantitativo ou qualitativo” (IV) ocorre na etapa de Avaliação do Risco.
Assim, somente as atividades I e II ocorrem na etapa de Monitoração de Riscos.
  
II e III.
 
  
III e IV.
 
  
I e IV.
 
Pontuação do teste: 1 de 1
AnteriorPróximo