PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO Ativiade 2

Prévia do material em texto

Curso
	GRA0540 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO GR2506-212-9 - 202120.ead-17716.01
	Teste
	ATIVIDADE 2 (A2)
	Iniciado
	29/11/21 20:58
	Enviado
	29/11/21 21:33
	Status
	Completada
	Resultado da tentativa
	7 em 10 pontos  
	Tempo decorrido
	35 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	Normas como a ISO 27001 e 27002 visão definir padrões e boas práticas. Tais medidas formam extraídas de uma série de observações de organizações e seus resultados. Em resumo, é como se aprendêssemos com os erros dos outros. Isso pode garantir uma maior assertividade em relação a tomadas de decisão sobre uma ameaça.
Quando o negócio de uma organização é bastante crítica e não há opção de aceitar uma ameaça deve-se pelo menos mitiga-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o texto anterior escolha a medida de proteção que melhor se enquadre
	
	
	
	
		Resposta Selecionada:
	 
Seguro
	Resposta Correta:
	 
Seguro
	Comentário da resposta:
	Resposta correta:  a medida de proteção segura é efetiva quando os eventos não são totalmente previsíveis e não se tem a opção de aceita-los. Para isso deve pelo menos mitiga-los (reduzir) o impacto. Por exemplo, realizar um seguro da instalação contra eventos da natureza.
	
	
	
· Pergunta 2
1 em 1 pontos
	
	
	
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira.
Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique as principais formas de se medir um risco:
	
	
	
	
		Resposta Selecionada:
	 
Quantitativa e qualitativa
	Resposta Correta:
	 
Quantitativa e qualitativa
	Comentário da resposta:
	Resposta correta: Para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco.
	
	
	
· Pergunta 3
0 em 1 pontos
	
	
	
	Se fosse tão fácil se precaver de riscos poderíamos obter os riscos de outras organizações e aplicá-las a nossa realidade. Porém, sabe-se que isso não é verdade, cada organização possui uma prioridade diferente para lidar com os riscos.
Conhecer os riscos que mais nos afeta é sem dúvida um passo importante para a destinação de recursos, como tempo e dinheiro. Por meio da avaliação de riscos podemos priorizar e conhecê-los.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
De acordo com os requisitos básicos que uma organização deve considerar para se identificar os riscos de maneira efetiva são:
	
	
	
	
		Resposta Selecionada:
	 
Eventos, incidentes e estratégias
	Resposta Correta:
	 
Objetivos e estratégias, leis e regras de negócio
	Comentário da resposta:
	Sua resposta está errada: uma organização deve levar em consideração no mínimo três tipos de requisitos de segurança básicos.  Eles estão diretamente envolvidos com o negócio da mesma. Releia o material e compreenda melhor os requisitos.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	Sempre ouvimos a palavra risco associada ao nosso cotidiano. Por exemplo, aquela pessoa está se arriscando muito, ela corre risco de morte, etc. Percebemos que o risco está associado a perigo e desde cedo (criança) já nos preocupamos com ele, evitando ficar expostos a situações perigosas.
O risco para Segurança da Informação também possui o mesmo sentido. É algo que devemos nos preocupar para garantir uma maior segurança para uma organização. Não é à toa que existem diversos processos para se gerenciar um risco. Consequentemente, o gerenciamento ajuda a conhecer o risco.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com a definição da palavra risco para a Segurança da Informação, escolha a opção que melhor a descreva
	
	
	
	
		Resposta Selecionada:
	 
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição.
	Resposta Correta:
	 
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição.
	Comentário da resposta:
	Respostas correta:  o risco está associado e probabilidade da ocorrência de um evento ruim aos ativos de uma organização. O seu dano pode variar, sendo pouco ou causando grandes prejuízos.
	
	
	
· Pergunta 5
0 em 1 pontos
	
	
	
	 Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não.
Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Escolha a opção abaixo que melhor a descreva:
	
	
	
	
		Resposta Selecionada:
	 
Detecção
	Resposta Correta:
	 
Aceitação
	Comentário da resposta:
	Sua resposta está errada:  a medida esperada é esperada quando não se deseja realizar nenhuma ação. Reveja o seu material e compreenda o conteúdo abordado.
	
	
	
· Pergunta 6
1 em 1 pontos
	
	
	
	 Uma organização pode levantar suas ameaças com base em normas e boas práticas. De acordo com o objetivo de uma organização essas ameaças podem receber prioridades diferentes do que em outras organizações. Logo, deve-se conhece-as e tomar medidas necessárias envolvendo custo e prazo.
As ameaças são oriundas de incidentes não desejados. Eles podem tanto trazer grandes prejuízos como não. Onde, é importante saber quais são os principais tipos de ameaça existente.
 
Goodrich, M. T. e Tamassia, R. Introdução à Segurança de Computadores. Editora Bookman, 2013.
 
Com base nos tipos de ameaça escolha a opção que melhor a descreva
	
	
	
	
		Resposta Selecionada:
	 
Humanas e não-humanas
	Resposta Correta:
	 
Humanas e não-humanas
	Comentário da resposta:
	Resposta correta:  os tipos de ameaça podem ser humanas que podem variar entre intencionais e não intencionais. Enquanto que a não humanas podem estar relacionadas a eventos da natureza, como incêndios, enchentes, sobrecargas elétricas, etc.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Uma organização por menor que seja está sujeita a riscos. Um exemplo disso pode ser eventos da natureza, como enchentes, tempestades, etc. Eventos esses que podem disparar incidentes e causar enormes danos a uma organização.
Para conhecer e se preparar melhor para o risco existem uma série de processos que visam avaliar o risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado cite alguns exemplos de processos de gerenciamento de risco.
	
	
	
	
		Resposta Selecionada:
	 
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Resposta Correta:
	 
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute).
	Comentário da resposta:
	Resposta correta: as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bemcomo o PMBOK da PMI. Por meio dessas boas práticas pode-se gerenciar melhor o risco.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida.
Analisar um risco permite que possamos ponderar seu nível de dano e consequentemente determinar custos para minimizar tal incidente. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o seu material estudado, em particular a análise qualitativa de risco escolha a alternativa que apresente uma técnica de levantamento
	
	
	
	
		Resposta Selecionada:
	 
Por ataque
	Resposta Correta:
	 
Brainstorming
	Comentário da resposta:
	Sua resposta está errada: As técnicas utilizadas geralmente estão envolvidas com grupos de pessoas, especialistas ou não. Nesse momento aproveitam para discutir sobre os itens e chegar a um consentimento. Para compreender melhor quais técnicas são utilizadas releia o seu material.
	
	
	
· Pergunta 9
1 em 1 pontos
	
	
	
	Quando se tem uma vulnerabilidade abre-se espaço para agentes ameaçadores. Em consequência, pode-se resultar em incidentes que podem causar inúmeros prejuízos a uma organização.
Para evitar uma ameaça deve-se tomar contramedidas específicas e eficientes que podem minimizar o impacto, resultando em uma melhor proteção da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nas medidas de proteção escolha a opção abaixo que melhor represente uma ação tomada antes da ocorrência de um incidente.
	
	
	
	
		Resposta Selecionada:
	 
Preventiva
	Resposta Correta:
	 
Preventiva
	Comentário da resposta:
	Resposta correta:  uma medida preventiva visa antecipar um incidente. Por exemplo, sabe-se que o número de furtos a carro é bastante elevado no Brasil e uma pessoa precavida faz um seguro, além disso colocam medidas de segurança como alarmes e rastreadores.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	A análise de riscos é sem dúvida a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios é possível ponderar e priorizar os principais riscos.
Um risco é conhecido a partir da análise de toda uma organização. Através de seus objetivos é possível conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com as estratégias utilizadas sobre um risco aponte uma delas a qual não se faz nada. Ou seja, deixa o risco como está assumindo a possiblidade de dano.
	
	
	
	
		Resposta Selecionada:
	 
Tolerância
	Resposta Correta:
	 
Tolerância
	Comentário da resposta:
	Resposta correta:  a tolerância ou simplesmente a aceitação é quando aceita-se o risco como está. Ou por ter um custo mais elevado para se criar uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo.