FAM - Atividade Objetiva 2 - Gestão de Riscos - 2021(2)

Prévia do material em texto

A�vidade Obje�va 2
Entrega 17 out em 23:59 Pontos 1 Perguntas 5 Disponível 10 ago em 0:00 - 17 out em 23:59 2 meses
Limite de tempo Nenhum Tentativas permitidas 2
Instruções
Histórico de tenta�vas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 17 minutos 1 de 1
 As respostas serão mostradas após a última tentativa
Pontuação desta tentativa: 1 de 1
Enviado 14 out em 20:54
Esta tentativa levou 17 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no final da
página.
Fazer o teste novamente
0,2 / 0,2 ptsPergunta 1
Leia o texto a seguir:
https://famonline.instructure.com/courses/16279/quizzes/62132/history?version=1
https://famonline.instructure.com/courses/16279/quizzes/62132/take?user_id=55781
A Matriz de Responsabilidade pode fundamentar as estratégias organizacionais de proteção, pois representa uma
justificativa para os investimentos conforme a influência dos perigos nos resultados da organização.
A figura a seguir ilustra o grau de probabilidade de ocorrência de riscos e o impacto desses riscos, na ECT, Empresa
Brasileira de Correios e Telégrafos. 
Figura 1: Matriz de Responsabilidades
Fonte: SILVA, L. F. C. P. Gestão de riscos em Tecnologia da Informação como fator crítico de sucesso na
Gestão da Segurança da Informações dos órgãos da Administração Pública Federal: estudo de caso da
Empresa Brasileira de Correios e Telégrafos – ECT. Brasília: Universidade de Brasília, 2010. p. 86. Adaptado.
A análise de impacto considera aspectos de imagem, financeiro, legal, operacional e social. Malware são softwares
maliciosos que podem ser instalados em equipamentos da empresa ou em sistemas.
Considerando as informações apresentadas, assinale a opção correta.
 Como no Brasil não ocorrem terremotos nem tsunamis, é possível ignorar o risco de desastre naturais. 
 Somente os riscos que estão no quadrante I devem ser gerenciados, monitorados e tratados. 
 O risco de Furto por ter baixa probabilidade não precisa ser monitorado nem precisa de controles. 
 
Os erros humanos não precisam ser gerenciados, pois impactos menores que moderados e esse tipo de erro não tem
como ser evitado.
 
O maior risco apontado na matriz são os Malwares, que apresentam alta probabilidade de ocorrência e impacto severo e
necessita de soluções como firewalls e anti-malwares.
Alternativa correta.
Como apontado na matriz de responsabilidades, os malwares apresentam grau de probabilidade alta e impacto
severo, já que poderão afetar os sistemas de informação e contaminar diversos computadores da empresa.
Qualquer sistema computacional interligado em rede está exposto a esse risco, mas existem soluções de prevenção
para esse tipo de ataque como sistemas de prevenção de instrução (IPS), firewalls, soluções anti-malware e
processo de conscientização de usuários internos.
0,2 / 0,2 ptsPergunta 2
Leia o texto a seguir:
Uma das principais necessidades que temos como organização e até como seres humanos, independentemente do
setor no qual nossos negócios são desenvolvidos (saúde, educação, finanças, governo etc.), é a segurança da
informação, que é parte ativa e fundamental do ecossistema tecnológico atual.
A segurança da informação vem sendo trabalhada há vários anos em empresas, tenham elas mais ou menos
maturidade. E ao longo do tempo, novas práticas, regulamentações e até novos conceitos como a própria segurança
cibernética vão sendo introduzidos.
Construir uma estratégia abrangente, peça por peça
A segurança cibernética inclui uma série de estratégias, metodologias e tecnologias que trabalham juntas para nos
proteger contra ameaças digitais atuais e futuras. No entanto, quando realizamos auditorias de segurança, tanto
internas como externas à TI nas organizações, descobrimos que a maioria delas não possui uma estratégia real em
termos de implementação de projetos de segurança cibernética e, de fato, persiste um forte desconhecimento da
gestão de riscos, que é a peça chave no desenvolvimento de qualquer arquitetura tecnológica, independentemente
de onde ela reside (data center, nuvem, terceiros etc.).
Fonte: Oscar Cortes. Cibersegurança entendida como um jogo de quebra-cabeças. Itforum365. 20/08/2019.
Disponível em https://itforum365.com.br/ciberseguranca-entendida-como-um-jogo-de-quebra-cabecas/
(https://itforum365.com.br/ciberseguranca-entendida-como-um-jogo-de-quebra-cabecas/) . Acesso em: 12 de maio
2020.
Com base na reportagem e no processo de gestão de riscos de segurança da informação, considere as seguintes
afirmações:
I. Pode-se definir um risco de segurança como um evento que tenha probabilidade de ocorrência não nula e que
incorra em danos a uma organização.
II. Como existe uma quantidade infinita de eventos negativos que podem ocorrer, devem ser adotados controles de
segurança para neutralizar cada um destes eventos.
III. Uma vez feito o processo de identificação de riscos, a empresa não precisa mais o refazer.
É correto o que se afirma em:
https://itforum365.com.br/ciberseguranca-entendida-como-um-jogo-de-quebra-cabecas/
 II, apenas. 
 II e III apenas. 
 III, apenas. 
 I e III, apenas. 
 I, apenas. 
Alternativa correta.
A afirmação I está correta, pois um risco de segurança é evento hipotético que possui chance de ocorrência futura
que não é nula e que apresenta impacto negativo significante.
A afirmação II está incorreta, já que nem todos os riscos identificados irão necessitar de proteção, mas há risco que
a empresa possa assumir. Por exemplo, quando a probabilidade de ocorrência é baixa e o impacto é baixo.
A afirmação III está incorreta, já que o processo de gerenciamento de riscos é iterativo. Assim, depois de realizada a
identificação de novos riscos, pode ser apontada e a empresa deverá refazer essa etapa do processo.
Assim, somente a afirmação I está correta.
0,2 / 0,2 ptsPergunta 3
Leia o texto a seguir:
Disponibilidade, integridade e confidencialidade são os três principais critérios de segurança da informação para uso
nas organizações em geral, sendo também utilizados outros como a autenticidade, o não repúdio, a contabilização,
a confiança e a conformidade. Além dos critérios ou objetivos citados, a informação também apresenta como
critérios de mensuração de consequências a efetividade e a eficiência, entre outros:
a) [Confidencialidade] “propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades
ou processos não autorizados” (ABNT, 2006);
b) [Integridade] “propriedade de salvaguarda da exatidão e completeza de ativos” (ABNT, 2006);]
c) [Disponibilidade] “propriedade de que (um sistema de) informação esteja acessí vel e utilizável sob demanda por
uma entidade autorizada” (ABNT, 2006);]
Fonte: FERNANDES, J. H. C. Introdução à gestão de riscos de segurança da informação. CEGSIC 2009-2011
v1.2. Brasília: UnB, 2009.
Considere a seguintes afirmações:
I. O impacto sobre o negócio da organização deve ser avaliado considerando as consequências de uma violação da
segurança da informação.
II. A análise quantitativa é suficiente para identificar os riscos aos quais uma organização está sujeita.
III. Ameaças podem ser acidentais ou intencionais e somente as ameaças intencionais devem ser identificadas.
É correto o que se afirma em:
 I, apenas. 
A afirmação I está correta, pois os impactos sobre o negócio da organização, que pode ser causado por incidentes
relacionados à segurança da informação, deve ser avaliado considerando as consequências de uma violação da
segurança da informação, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos
ativos.
A afirmação II está incorreta, pois é utilizada tanto a análise quantitativa quanto a análise qualitativa, pois a análise
quantitativa irá se limitar a eventos já ocorridos.
A afirmação III está incorreta, pois tanto as ameaças intencionais quanto acidentais devem ser identificadas, para
que esses riscos causados por essasameaças acidentais possam ser identificados, avaliados e tratados. Assim,
somente a afirmação I está correta.
 I e II, apenas. 
 I, II e III. 
 III, apenas. 
 II e III, apenas. 
0,2 / 0,2 ptsPergunta 4
O texto a seguir foi extraído do Manual de gestão de riscos do INPI:
Avaliação de a probabilidade de um risco ocorrer, através da escala:
Muito baixa (1) – baixíssima possibilidade de o evento ocorrer, embora ainda não tenha ocorrido.
Baixa (2) – o evento ocorre raramente.
Média (3) – o evento já ocorreu algumas vezes e pode voltar a ocorrer.
Alta (4) – o evento já ocorreu repetidas vezes e provavelmente voltará a ocorrer muitas vezes.
Avaliação de impacto na organização, dada a ocorrência do risco, através da escala:
Muito baixo (1) – consequências insignificantes caso o evento ocorra.
Baixo (2) – consequências menores em atividades ou processos que não sejam considerados prioritários.
Médio (3) – consequências relevantes em atividades e processos que não sejam considerados prioritários, ou
consequências menores em atividades e processos prioritários.
Alto (4) – consequências relevantes em atividades e processos prioritários.
Fonte: BRASIL. Instituto Nacional da Propriedade Industrial. Manual de gestão de riscos do INPI. Rio de Janeiro:
INPI, 2018. pp. 14-15.
Para essa empresa, o limite entre riscos aceitáveis ou não, pode ser visualizado graficamente entre as áreas em
laranja e vermelho.
Considere as informações apresentadas, analise as afirmações a seguir:
I. A escala de criticidade resulta em uma ordem de priorização. Isso quer dizer que quanto mais crítico estiver algum
risco, maior será sua pontuação na ordem de priorização, e, portanto, maior prioridade deve ser dada para tratar e
gerenciar determinado risco.
II. Avaliando-se as combinações de probabilidade e impacto, é gerada uma classificação do nível de risco para cada
evento identificado.
III. Para todos os critérios de identificação de riscos, os dados quantitativos baseados em histórico com critérios bem
estabelecidos é o único critério obrigatório para realizar essas identificações.
É correto o que se afirma em:
 I, II e III. 
 I, apenas. 
 II e III, apenas. 
 I e II, apenas. 
Alternativa correta.
A afirmação I está correta, pois são levantados os eventos de nível de riscos mais alto para empresa, e estes são
priorizados para o controle.
A afirmação II está correta, pois a Matriz de probabilidade e impacto combina tanto a probabilidade de ocorrência de
um evento com seu nível de criticidade.
A afirmação III está incorreta, pois também são utilizados dados de análises qualitativas com entrevistas com as
partes interessadas, brainstormings a partir de reuniões com uma equipe multidisciplinar, questionários e consultas a
relatórios contendo histórico de lições aprendidas ou resultantes de trabalho de auditoria, corregedoria e ouvidoria
do órgão (dependendo do tipo de natureza do risco analisado), e elaboração de diagramas de causa e efeito.
Assim, somente as afirmações I e II estão corretas.
 I e III, apenas. 
0,2 / 0,2 ptsPergunta 5
Leia o texto a seguir:
A ISO/IEC 27005 define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco
de uma organização (LUND; SOLHAUG; STØLEN, 2010).
Neste contexto, o processo de gestão de riscos é definido por oito atividades, como pode ser observado na Figura 1.
Para cada atividade da norma são propostas diretrizes para implementação que serão brevemente descritas a
seguir (ABNT NBR ISO/IEC 27005, 2008).
Figura 1: Processo de gestão de riscos de segurança da informação (ABNT NBR ISO/IEC 27005, 2008).
Fonte: KONZEN, M. P. FONTOURA, L. M. NUNES, R. C. Gestão de Riscos de Segurança da Informação Baseada
na Norma ISO/IEC 27005 Usando Padrões de Segurança. IX SEGet 2012. Resende/RJ, 2012.
Na etapa de Identificação de Riscos do processo de Gestão de Riscos de Segurança da Informação, a saída gerada
é
 uma lista de riscos aceitos e justificativas para aqueles que não satisfizeram os critérios definidos. 
 
a garantia permanente da relevância do processo de gestão de riscos para os objetivos de negócio da organização ou a
atualização do processo
 uma lista de riscos priorizados conforme critérios de aceitação previamente estabelecidos. 
 
Baseada nos critérios básicos para Gestão de Risco de Segurança da Informação (GRSI), escopo e limites do Gestão de
Risco de Segurança da Informação (SGRSI).
 uma lista dos ativos considerados sensíveis para a organização e uma lista dos negócios relacionados a estes ativos. 
Alternativa correta.
Como resultado da etapa de identificação de riscos, é elaborada uma lista de cenários de incidentes com suas
consequências associadas aos ativos e processos do negócio.
Pontuação do teste: 1 de 1