Teste_ AO2 Gestão de Riscos

Prévia do material em texto

AO2
Iniciado: 4 dez em 10:01
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 ptsPergunta 1
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança
da informação (SI) e dá sustentação aos conceitos especificados na ISO
27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar
sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto
pelas seguintes atividades:
Identificação de ameaças, controles, vulnerabilidades e consequências.
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos
de segurança da informação. QSP. Disponível em:
https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
https://www.qsp.org.br/artigo_27005.shtml
Definição do contexto, identificação, análise e aceitação dos riscos.
Monitoramento, análise e melhoria dos processos de prevenção ao risco.
Instalar antivírus, antispam, firewall e proxy eficientes para proteção.
Modificação, retenção, ação de evitar e compartilhamento do risco.
0,6 ptsPergunta 2
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
A asserções I e II são proposições falsas.
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos identificados usando
a probabilidade de eles ocorrerem, o impacto correspondente nos objetivos do
projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente o efeito
dos riscos identificados nos objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do conjunto de
conhecimentos em gerenciamento de projetos: Guia PMBOK. 3. ed. Newtown
Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a metodologia de
análise quantitativa deve ser utilizada.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores monetários
aos ativos, consequências e controles, mas escalas de atributos.
 
A respeito dessas asserções, assinale a opção correta.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
0,6 ptsPergunta 3
Leia o texto a seguir:
 
Estabelecimento de uma Política de Segurança da Informação
Para construir as políticas de segurança da organização, o comitê deve tomar
como base os padrões e normas apresentados anteriormente, sendo que dentre
eles, os mais recomendados para esta finalidade são: A BS7799/ISO17799 e as
RFC´s de número 2196 (1997) e 2828 (2000).
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento que
deve descrever as recomendações, as regras, as responsabilidades e as práticas
de segurança. Entretanto, sabe-se que não existe uma "Política de Segurança
Modelo" que possa ser implementada em toda e qualquer organização, pois a
Política deverá ser moldada à especificidade de cada caso. Portanto, elaborar
uma Política de Segurança é uma tarefa complexa e que necessita ser
constantemente monitorada, revisada e atualizada. Além disso, os seus
resultados normalmente só poderão ser notados a médio e longo prazo. É
fundamental a existência de uma política de segurança que seja realmente
referência para os colaboradores da organização, possibilitando a garantia dos
três princípios básicos da segurança da informação: integridade, disponibilidade e
confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da informação,
portanto, normalmente, este grupo propõe as políticas necessárias para gestão
da segurança da informação e seus recursos. Buscando realizar a implantação,
acompanhamento e revisões periódicas.
 
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação de
um Sistema de Gestão de Segurança da Informação. JISTEM J.Inf.Syst.
Technol. Manag. (Online) São Paulo, v. 2, n. 2, p. 121-136, 2005. pp. 128-129.
Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807-
17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de 2020.
A asserção I e II são proposições falsas.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza
suas estratégias e abordagens para a preservação de seus ativos.
PORQUE
II. A política de segurança da informação deve definir responsabilidade e
penalidades adequadas no caso de infrações e a forma como ocorrerá a
implementação.
 
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 4
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de
praticas para a gestão de segurança da informação, onde podem ser encontradas
as melhores práticas para iniciar, implementar, manter e melhorar a gestão
de segurança da informação
(https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-
boas-praticas-para-manter-seus-dados-seguros/) em uma organização. Para
elaboração da política, são necessárias algumas atividades básicas.
 
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
II e III apenas.
I apenas.
III apenas.
I e II apenas.
I e III apenas.
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/
(https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar
atividades e instruções operacionais relacionadas à segurança. Representam
comandos operacionais a serem executados no momento da realização de um
procedimento de segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa. Essas regras representam as
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
É verdadeiro o que se afirma em:
0,6 ptsPergunta 5
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de cada um em
relação à segurança dos recursos computacionais que utiliza e as penalidades às
quais está sujeito, caso não a cumpra.
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
I, III e IV.
I, II e III.
III e IV.
II e IV.
II, III e IV.
É considerada como um importante mecanismo de segurança, tanto para as
instituições como para os usuários, pois com ela é possível deixar claro o
comportamento esperado de cada um. Desta forma, casos de mau
comportamento, que estejam previstos na política, podem ser tratados de forma
adequadapelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para
Internet. Disponível em https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
 
I. Uma política de segurança é um documento aprovado pela alta direção da
empresa e que garante a provisão de recursos anuais para a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de tecnologia da
empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas
maneiras: por meio de ataques provocados por hackers, violações provocadas
por ataques causados por ex-funcionários de empresas, violações causadas por
pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidas para evitar as
violações, assim como medidas adotadas após a ocorrência dos fatos
indesejáveis.
 
Estão corretas apenas as afirmativas:
0,6 ptsPergunta 6
https://cartilha.cert.br/mecanismos/
Comunicação do risco.
Análise/Avaliação de riscos
Tratamento do risco.
Definição do contexto.
Aceitação do risco.
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser
aplicado na organização como um todo, ou a uma área específica da organização
(...), a qualquer sistema de informações, a controles já existentes, planejados ou
apenas a aspectos particulares de um controle. Essa norma apresenta também o
processo de gestão de riscos de segurança da informação, descrevendo o
funcionamento, as fases, entradas e saídas de tal processo, assim como os
grupos de atividades previstas para cada subprocesso.
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf) Acesso
em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam os riscos e
determinam as ações necessárias para reduzir o risco a um nível aceitável pela
organização?
0,6 ptsPergunta 7
Leia o texto a seguir:
 
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000, que são
respectivamente as certificações internacionais de gestão da qualidade e gestão
ambiental para empresas. As marcas que conquistam essas normas costumam
expor selos que informam a todos os públicos o fato de estarem adequadas a
normas e práticas internacionais. Clientes, fornecedores, colaboradores e futuros
clientes valorizam negócios que estejam nesse patamar. Afinal, são sinônimo de
preocupação com a qualidade, a inovação e com o meio ambiente.
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
É uma norma que apresenta diretrizes de administração dos perigos na segurança da
informação.
É uma norma que define como as empresas do ramo alimentício devem analisar seus
riscos.
É uma norma que estabelece princípios e diretrizes genéricas de tratamento de riscos
para qualquer indústria ou setor.
É uma norma que determina as condições de bom funcionamento para um SGSI.
Existe também uma certificação internacional que trata da segurança da
informação em empresas. É a ISO 27000, focada no Sistema de Gestão de
Segurança da Informação (SGSI), e tem como normas mais conhecidas as ISO
27001 e ISO 27002. Todo o seu conceito está relacionado a segurança da
informação nos mais variados formatos. Foi projetada para ser aplicável a todos
os tipos e tamanhos de empresas, desde multinacionais até os pequenos e
médios empreendimentos.
(...)
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de
certificações – ou, como é comum ouvir, uma família. Dessa maneira, cada
membro da família recebe uma denominação única e objetivos específicos.
Existem mais de 40 normas, que foram desenvolvidas com base em
procedimentos para a implementação nas empresas, havendo algumas também
dedicadas exclusivamente a determinados segmentos de mercado. Um exemplo
é a ISO 27011, que aborda a gestão da segurança da informação para empresas
de telecomunicações, enquanto a ISO 27015 é dedicada a negócios do ramo de
serviços financeiros. Existem outros focados em tópicos específicos da tecnologia
da informação, como controles para cloud computing (ISO 27017) e segurança de
redes (ISO 27033).
(...)
 
Fonte: ISO 27000: as vantagens da certificação de segurança da informação
para o seu negócio. OSTEC. Disponível em: https://ostec.blog/geral/iso-
27000-vantagens-certificacao-seguranca/ (https://ostec.blog/geral/iso-27000-
vantagens-certificacao-seguranca/) . Acesso em: 09 de março de 2021.
 
São diversas as normas que tratam de segurança da informação. Qual a resposta
descreve corretamente uma norma da série ISO 27000 que pode ser usada em
uma empresa que deseja fazer uma adequada Gestão de Riscos de Segurança
da Informação?
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
É uma norma que descreve as boas práticas de gestão de segurança da informação.
0,6 ptsPergunta 8
Segundo a cartilha da Política de gestão de risco da Agência Nacional de Saúde,
considere as seguintes definições:
 
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto um
risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a partir
de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos
identificados, assim como as ações mínimas referentes ao gerenciamento.
 
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS IRREVERSÍVEIS nos objetivos relacionados ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços
às partes interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de
operações ou atividades da ANS, de projetos, programas ou processos,
causando IMPACTOS SIGNIFICATIVOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços
às partes interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS PEQUENOS nos objetivos relacionados ao atendimento de metas,
padrões ou à capacidade de entrega de produtos/serviços às partes interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação de
I e III, apenas.
I, apenas.
I e III, apenas.
III, apenas.
II, apenas.
operações, atividades, projetos, programas ou processos da ANS, porém
causando IMPACTOS MÍNIMOS nos objetivos relacionado ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
 
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/ges
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_
gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
 
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser
revertidos nas atividades e nos objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a
probabilidade de ocorrência do evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as
próximas etapas do processo de gestão de risco.
 
É correto o que se afirma em:
0,6 ptsPergunta 9
Leia o Texto:
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdfDetecção
Conscientização
Recuperação
Correção
Prevenção
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de
controles, de forma que o risco residual possa ser reduzido e, por conseguinte,
aceito. Os controles selecionados devem satisfazer os critérios para aceitação do
risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
custos, prazos, interação com outros controles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso
em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam reparar
qualquer anormalidade. Qual é este tipo de controle?
0,6 ptsPergunta 10
Analise a tirinha a seguir:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 
Fonte: Gênio Hacker. Vida de Suporte. Disponível em:
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
(https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso em: 09 de
março de 2021.
 
Pessoas mal intencionadas causam cada vez mais problemas para as empresas,
através de invasões, disseminação de malwares, deleção de informações críticas,
sequestro de ambientes computacionais, ataque de negação de serviço, entre
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
Salvo em 10:41 
Atacante que usa técnicas de infecção, invasão e roubo de informações, a fim de causar
danos às empresas ou mesmo ter algum tipo de benefício próprio.
Indivíduo que já atuou como cibercriminoso e que no momento usa seus conhecimentos
técnicos para auxiliar as empresas, atuando na equipe técnica das mesmas.
Atacante que usa seus conhecimentos para fazer campanhas ativistas de reivindicações
diversas, e que atua muito fortemente divulgando informações das empresas.
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas e avisar as
pessoas e empresas dessas vulnerabilidades, sem o intuito de benefícios próprios.
Atacante que tem fácil acesso aos sistemas e informações da empresa por ser um
funcionário, e que usa esse acesso e seus conhecimentos com o intuito de prejudicar a
empresa.
outros tipos de ataque.
Essas pessoas mal intencionadas, chamadas de invasores ou criminosos virtuais
caracterizam um risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como insider:
Enviar teste