AO2_ Gestão de Riscos

Prévia do material em texto

07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 1/19
AO2
Entrega 12 dez em 23:59 Pontos 6 Perguntas 10
Disponível 1 dez em 0:00 - 12 dez em 23:59 12 dias Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 25 minutos 5,4 de 6
 As respostas corretas estarão disponíveis em 13 dez em 0:00.
Pontuação deste teste: 5,4 de 6
Enviado 7 dez em 21:12
Esta tentativa levou 25 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0 / 0,6 ptsPergunta 1IncorretaIncorreta
Leia o texto a seguir:
 
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000,
que são respectivamente as certificações internacionais de gestão da
qualidade e gestão ambiental para empresas. As marcas que
conquistam essas normas costumam expor selos que informam a
todos os públicos o fato de estarem adequadas a normas e práticas
internacionais. Clientes, fornecedores, colaboradores e futuros clientes
valorizam negócios que estejam nesse patamar. Afinal, são sinônimo
de preocupação com a qualidade, a inovação e com o meio ambiente.
Existe também uma certificação internacional que trata da segurança
da informação em empresas. É a ISO 27000, focada no Sistema de
https://famonline.instructure.com/courses/16279/quizzes/62142/history?version=1
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 2/19
Gestão de Segurança da Informação (SGSI), e tem como normas mais
conhecidas as ISO 27001 e ISO 27002. Todo o seu conceito está
relacionado a segurança da informação nos mais variados formatos.
Foi projetada para ser aplicável a todos os tipos e tamanhos de
empresas, desde multinacionais até os pequenos e médios
empreendimentos.
(...)
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de
certificações – ou, como é comum ouvir, uma família. Dessa maneira,
cada membro da família recebe uma denominação única e objetivos
específicos. Existem mais de 40 normas, que foram desenvolvidas
com base em procedimentos para a implementação nas empresas,
havendo algumas também dedicadas exclusivamente a determinados
segmentos de mercado. Um exemplo é a ISO 27011, que aborda a
gestão da segurança da informação para empresas de
telecomunicações, enquanto a ISO 27015 é dedicada a negócios do
ramo de serviços financeiros. Existem outros focados em tópicos
específicos da tecnologia da informação, como controles para cloud
computing (ISO 27017) e segurança de redes (ISO 27033).
(...)
 
Fonte: ISO 27000: as vantagens da certificação de segurança da
informação para o seu negócio. OSTEC. Disponível em:
https://ostec.blog/geral/iso-27000-vantagens-certificacao-
seguranca/ (https://ostec.blog/geral/iso-27000-vantagens-certificacao-
seguranca/) . Acesso em: 09 de março de 2021.
 
São diversas as normas que tratam de segurança da informação. Qual
a resposta descreve corretamente uma norma da série ISO 27000 que
pode ser usada em uma empresa que deseja fazer uma adequada
Gestão de Riscos de Segurança da Informação?
 
É uma norma que estabelece princípios e diretrizes genéricas de
tratamento de riscos para qualquer indústria ou setor.
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 3/19
 
É uma norma que apresenta diretrizes de administração dos perigos na
segurança da informação.
 
É uma norma que descreve as boas práticas de gestão de segurança
da informação.
 
É uma norma que determina as condições de bom funcionamento para
um SGSI.
A resposta está incorreta. Essa é a definição da ISO 27001, que
define os requisitos para a criação do SGSI da empresa, não
tendo foco em gestão de riscos.
 
É uma norma que define como as empresas do ramo alimentício
devem analisar seus riscos.
0,6 / 0,6 ptsPergunta 2
Analise a tirinha a seguir:
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 4/19
 
Fonte: Gênio Hacker. Vida de Suporte. Disponível em:
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
(https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso
em: 09 de março de 2021.
 
Pessoas mal intencionadas causam cada vez mais problemas para as
empresas, através de invasões, disseminação de malwares, deleção
de informações críticas, sequestro de ambientes computacionais,
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 5/19
ataque de negação de serviço, entre outros tipos de ataque.
Essas pessoas mal intencionadas, chamadas de invasores ou
criminosos virtuais caracterizam um risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como
insider:
 
Indivíduo que já atuou como cibercriminoso e que no momento usa
seus conhecimentos técnicos para auxiliar as empresas, atuando na
equipe técnica das mesmas.
 
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas
e avisar as pessoas e empresas dessas vulnerabilidades, sem o intuito
de benefícios próprios.
 
Atacante que usa seus conhecimentos para fazer campanhas ativistas
de reivindicações diversas, e que atua muito fortemente divulgando
informações das empresas.
 
Atacante que usa técnicas de infecção, invasão e roubo de
informações, a fim de causar danos às empresas ou mesmo ter algum
tipo de benefício próprio.
 
Atacante que tem fácil acesso aos sistemas e informações da empresa
por ser um funcionário, e que usa esse acesso e seus conhecimentos
com o intuito de prejudicar a empresa.
Quando ataque é gerado por um prestador de serviços, assim
como quando um funcionário ou ex-funcionário gera um ataque,
chamamos o mesmo de insider, pois ele atua de dentro da
organização a fim de causar danos.
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 6/19
0,6 / 0,6 ptsPergunta 3
O quadro a seguir representa as opções de tratamento de risco da
Agência Nacional de Petróleo (ANP).
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2.
Agosto/2019. p. 16. Disponível em:
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-
gestao-riscos-anp.pdf (http://www.anp.gov.br/arquivos/gestao-
riscos/metodologia-gestao-riscos-anp.pdf) . Acesso em: 01 de junho de
2020.
Em relação ao Tratamento de riscos, considere as seguintes
afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os
custos para a implementação de controles excedem seus benefícios, o
risco deve ser 100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que
cubram as consequências da ocorrência de um incidente de segurança
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 7/19
da informação.
III. A retenção do risco representa a aceitação do risco de uma perda,
isto é, aceita-se “correr o risco”.
 
É correto o que se afirma em:
 I, II e III. 
Alternativa correta.
A afirmação I está correta, pois se os custos do controle excedem
os benefícios e o negócio já possui alto risco, deve-se evitar o
risco.
A afirmação II está correta, pois haverá a transferência ou
compartilhamento dos riscos com uma entidade externa, no caso,
a seguradora.
A afirmação III está correta, pois aceitação do risco, consciente e
objetiva, desde que claramente satisfazendo as políticas da
organização e os critérios para aceitação do risco” descreve a
mesma atividade, que pode ser entendida como “correr o risco”.
 II e III, apenas. 
 I e III, apenas. 
 I e II, apenas. 
 II, apenas. 
0,6 / 0,6 ptsPergunta 4
Leia o texto:
 
07/12/2021 21:15 AO2: Gestão deRiscos
https://famonline.instructure.com/courses/16279/quizzes/62142 8/19
Para se elaborar uma Política de Segurança da Informação, deve se
levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma
de códigos de praticas para a gestão de segurança da informação,
onde podem ser encontradas as melhores práticas para iniciar,
implementar, manter e melhorar a gestão de segurança da
informação (https://www.profissionaisti.com.br/2012/05/seguranca-da-
informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/)
 em uma organização. Para elaboração da política, são necessárias
algumas atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-
da-informacao-definicao-importancia-elaboracao-e-
implementacao/ (https://www.profissionaisti.com.br/politica-de-
seguranca-da-informacao-definicao-importancia-elaboracao-e-
implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações
a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem executados
no momento da realização de um procedimento de segurança. É
importante que exista uma estrutura de registro de que esses
procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que
estão baseadas na visão e na missão da empresa. Essas regras
representam as preocupações da organização sobre a segurança das
informações. 
III. A política de segurança deve considerar os negócios, os objetivos
da organização e sua cultura.
É verdadeiro o que se afirma em:
 I e II apenas. 
 I apenas. 
 III apenas. 
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 9/19
 II e III apenas. 
 I e III apenas. 
Alternativa correta. As afirmações I e III estão corretas.
Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem
executados no momento da realização de um procedimento de
segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados. Assim como a política
de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
A afirmação II está incorreta, pois os conjuntos de regras gerais
de nível estratégico que estão baseadas na visão e na missão da
empresa, que representam as preocupações da organização
sobre a segurança das informações, são as Diretrizes e não
normas.
 
0,6 / 0,6 ptsPergunta 5
Leia o texto a seguir:
 
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou
negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas
financeiras, de saúde e segurança e ambientais) e podem aplicar–se
em diferentes níveis (tais como estratégico, em toda a organização, de
projeto, de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos
eventos potenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso
em termos de uma combinação de consequências de um evento
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 10/19
(incluindo mudanças nas circunstâncias) e a probabilidade (likelihood)
associada de ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu
conhecimento, sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o
potencial de que ameaças possam explorar vulnerabilidades de um
ativo de informação ou grupo de ativos de informação e,
consequentemente, causar dano a uma organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da
Segurança da Informação.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. A organização e seus ativos apresentam vulnerabilidades que pode
ser explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos
objetivos de negócios.
 
A respeito dessas asserções, assinale a opção correta.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 11/19
A asserção I é verdadeira, pois uma Ameaça é a “causa potencial
de um incidente indesejado, que pode resultar em dano para um
sistema ou organização” (ISO/IEC, 2004) e a Vulnerabilidade é
uma “fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ou mais ameaças”.
A asserção II também é verdadeira, pois o risco de segurança de
informação contém os efeitos de Evento de Segurança da
Informação, que representa a ocorrência identificada de um
estado de sistema, serviço ou rede, indicando uma possível
violação da política de segurança.
Entretanto, não existe uma relação de causalidade que justifica a
asserção I em função da asserção II.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
0,6 / 0,6 ptsPergunta 6
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou
alteração de controles, de forma que o risco residual possa ser
reduzido e, por conseguinte, aceito. Os controles selecionados devem
satisfazer os critérios para aceitação do risco e os requisitos legais,
regulatórios e contratuais. Devem considerar também custos, prazos,
interação com outros controles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua
implementação.
 
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 12/19
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf)
Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um
que é descrito como sendo as atividades que implementam controles
que visam reparar qualquer anormalidade. Qual é este tipo de
controle?
 Prevenção 
 Conscientização 
 Detecção 
 Correção 
Resposta correta, pois no tipo de controle de correção, as
atividades implementarão controles que visem corrigir qualquer
anormalidade.
 Recuperação 
0,6 / 0,6 ptsPergunta 7
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos
identificados usando a probabilidade de eles ocorrerem, o impacto
correspondente nos objetivos do projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente
o efeito dos riscos identificados nos objetivos gerais do projeto.
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 13/19
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do
conjunto de conhecimentos em gerenciamento de projetos: Guia
PMBOK. 3. ed. Newtown Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a
metodologia de análise quantitativa deve serutilizada.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores
monetários aos ativos, consequências e controles, mas escalas de
atributos.
 
A respeito dessas asserções, assinale a opção correta.
 A asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 14/19
Alternativa correta.
A asserção I está incorreta, A análise pode ser realizada segundo
a metodologia qualitativa, quantitativa ou a combinação das duas,
dependendo das circunstâncias. A metodologia qualitativa é
principalmente utilizada para uma verificação inicial dos riscos,
quando não estão disponíveis dados numéricos em quantidade
suficiente.
A asserção II está correta, análise qualitativa se baseia na
avaliação, através de atributos qualificadores e descritivos, da
intensidade das consequências e probabilidade de ocorrência do
risco identificado. Por exemplo, a probabilidade de ocorrência
pode ser Baixa, Média, Alta, Muito Alta e Elevada. As
consequências ou impactos pode ser Alto, Médio e Baixo.
0,6 / 0,6 ptsPergunta 8
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados
para a informação, leve em consideração as necessidades do negócio
para compartilhar ou restringir a informação bem como os requisitos
legais. Convém que outros ativos além dos ativos de informação
também sejam classificados de acordo com a classificação da
informação armazenada, processada, manuseada ou protegida pelo
ativo.”
Considerando a orientação acima, é perfeitamente possível entender
que a classificação da informação poderá seguir tantos quantos níveis
de classificação a complexidade do negócio exija, mas vias de regra,
os níveis mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as
consequências do acesso não autorizado à esta informação são
severos e, possivelmente, irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 15/19
USO INTERNO: constrangimento é maior que o impacto e suas
consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-
noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-
da-teoria-a-pratica/) . Acesso em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso,
assinale a alternativa correta.
 
Todas as regras para rotulação foram definidas na norma ISO 27.001. 
 
Base de dados de sistemas e aplicativos não devem receber
classificação de informação.
 
É possível a rotulação em documentos impressos através de etiquetas,
carimbos e outras marcas visuais.
Alternativa correta.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas
visuais são recomendados, pode também ser inclusa no rodapé
dos documentos ou até mesmo como marca d’água.
 Documentos eletrônicos como e-mail não devem ser rotulados. 
 O controle de acesso físico só pode ser realizado com senha. 
0,6 / 0,6 ptsPergunta 9
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 16/19
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos
pode ser aplicado na organização como um todo, ou a uma área
específica da organização (...), a qualquer sistema de informações, a
controles já existentes, planejados ou apenas a aspectos particulares
de um controle. Essa norma apresenta também o processo de gestão
de riscos de segurança da informação, descrevendo o funcionamento,
as fases, entradas e saídas de tal processo, assim como os grupos de
atividades previstas para cada subprocesso.
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.
(https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf)
 Acesso em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam
os riscos e determinam as ações necessárias para reduzir o risco a um
nível aceitável pela organização?
 Definição do contexto. 
 Comunicação do risco. 
 Análise/Avaliação de riscos 
Resposta Correta.
Análise/Avaliação de riscos é a etapa na qual se identificam os
riscos e determinam as ações necessárias para reduzir o risco a
um nível aceitável pela organização. É conveniente que os riscos
sejam identificados, quantificados ou descritos qualitativamente,
para então serem priorizados com base em critérios de avaliação
de riscos e dos objetivos relevantes da organização.
 Aceitação do risco. 
 Tratamento do risco. 
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 17/19
0,6 / 0,6 ptsPergunta 10
Leia o texto a seguir:
 
Com o crescimento exponencial dos ataques realizados por
cibercriminosos e a dependência cada vez maior das empresas pelos
recursos tecnológicos, realizar uma análise de riscos em TI é
essencial, não só para se proteger, mas para seguir sobrevivendo no
mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não
basta mais as empresas se preocuparem apenas com firewalls e
sistemas antivírus. É preciso criar uma cultura de proatividade em
busca das melhores tecnologias e técnicas para manter os seus dados
e os de seus clientes a salvo de pessoas mal-intencionadas.
A análise de riscos é uma técnica de levantamento de informações
acerca de processos e sistemas utilizados na empresa de modo a
melhorar a governança de ativos de TI em relação às vulnerabilidades
que podem ser encontradas, verificando a probabilidade de ocorrência
de determinados eventos e as consequências que eles podem trazer
para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco,
mas o mais importante é entender a fórmula que determina o que é um
risco. Ele pode ser calculado multiplicando a vulnerabilidade de um
ativo e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante
para a empresa ele for, maior é o risco que ele corre. Assim, o
investimento para diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser
feita periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a
fase de coleta de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim
como a tecnologia evolui todos os dias, as ações dos cibercriminosos
também, e é preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise
de riscos na empresa estão o encontro das vulnerabilidades que
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 18/19
podem ser utilizadas por hackers para acessar os arquivos da
empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para
serem corrigidas, é necessário colocar a atenção nos ativos que tem
mais importância para o negócio da empresa, isto faz como que os
investimentos sejam dirigidos para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos,
interrompendo a disponibilidade dos serviços de tecnologia da
informação na empresa e causando prejuízosque poderiam ter sido
evitados, existe também a redução de custos com restaurações e
manutenção de sistemas.
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong
Security, 2018. Disponível em:
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-
que-e-como-fazer-e-mais/
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-
como-fazer-e-mais/) . Acesso em: 09 de março de 2021.
 
Considerando a importância de se realizar o processo de análise de
riscos em uma empresa, ao se realizar esse processo na empresa
deve-se levar em consideração os aspectos: 
 confidencialidade, integridade e disponibilidade. 
 ativos, vulnerabilidades, ameaças e impactos. 
O que deve ser levado em consideração são os ativos, as
vulnerabilidades, as ameaças e o impacto para a empresa.
Os ativos são tudo aquilo que tem valor para a empresa; as
vulnerabilidades são os pontos fracos dos ativos; as ameaças são
os eventos que exploram as vulnerabilidades dos ativos; e os
impactos são as perdas que a empresa vai ter. Considerando-se
que o risco é a probabilidade de uma ameaça explorar a
vulnerabilidade dos ativos gerando impactos negativos, esses são
os principais elementos que devem ser levados em consideração
ao se realizar o processo de análise de riscos.
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
07/12/2021 21:15 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 19/19
 gravidade, urgência, tendência e transferência 
 vulnerabilidades, Impactos e legalidade. 
 pontos fortes, pontos fracos, oportunidades e ameaças 
Pontuação do teste: 5,4 de 6