Baixe o app para aproveitar ainda mais
Prévia do material em texto
02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 1/15 Avaliação Geral Entrega Sem prazo Pontos 6 Perguntas 20 Disponível 20 mar em 0:00 - 31 mar em 23:59 12 dias Limite de tempo Nenhum Tentativas permitidas 3 Este teste foi travado 31 mar em 23:59. Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 101 minutos 6 de 6 Pontuação desta tentativa: 6 de 6 Enviado 27 mar em 10:40 Esta tentativa levou 101 minutos. 0,3 / 0,3 ptsPergunta 1 Um incidente pode ser definido como? É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Pode ser definido como a concretização de uma ameaça. Correto!Correto! É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732/history?version=1 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 2/15 É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Pode ser definido como a concretização de uma ameaça. 0,3 / 0,3 ptsPergunta 2 Considerando o conceito de Vulnerabilidade, como se pode definir “Grau de exposição”? É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. Pode ser definido como a concretização de uma ameaça. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. Correto!Correto! 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 3/15 O grau de exposição também é uma forma de mensurar o quanto um ativo está suscetível a uma ameaça. 0,3 / 0,3 ptsPergunta 3 I - Ameaça é um possível evento que pode comprometer a confiabilidade de informação; II - Uma ameaça de origem humana pode ser intencional e não intencional; III - Existem ameaças de origem não humana; IV - Não existe relação direta entre ameaça e incidente. Sobre as proposições citadas, pode se afirmar que: Somente a afirmativa I é certa. A afirmativa IV está correta. As afirmativas I, II, III estão corretas. Correto!Correto! Somente as questões II e III estão corretas. Nenhumas das respostas anteriores. Uma ameaça se concebe a partir de uma vulnerabilidade. Uma Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, do processo e das pessoas. 0,3 / 0,3 ptsPergunta 4 Uma vulnerabilidade pode ser definida como? 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 4/15 Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. Correto!Correto! É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Pode ser definida como a concretização de uma ameaça. Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, dos processos e das pessoas. Uma ameaça se concebe a partir de uma vulnerabilidade. 0,3 / 0,3 ptsPergunta 5 Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”? Pode ser definido como a concretização de uma ameaça. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 5/15 É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Correto!Correto! É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré- determinado que pode ser mensurada a partir de informações apuradas durante uma análise de Vulnerabilidades. E também pode ser utilizado como métrica subsidiar uma Análise de Risco 0,3 / 0,3 ptsPergunta 6 Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação? Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 6/15 Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos. Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada. Correto!Correto! Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002. 0,3 / 0,3 ptsPergunta 7 Fazer análise e gerenciamento de risco É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. Sustenta o processo de análise de impacto. Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN). Correto!Correto! 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 7/15 Não é possível se não houver análise de vulnerabilidade. É fundamental para a política de segurança. Alguns processos de segurança da informação dependem da execução de outros processos. Um bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um gerenciamento de risco. 0,3 / 0,3 ptsPergunta 8 Sobre os seguintes pontos: • Identificação e classificação dos processos e negócios; • Identificação e classificação dos ativos; • Análise de ameaças e danos; • Análise de vulnerabilidade; • Análise de risco. Pode-se afirmar que São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente. São processos opcionais para a implementação de uma política de segurança. São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização.Correto!Correto! Não têm relação com análise de risco. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 8/15 São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética. A segurança da informação tem sua maturidade ou grau elevado a partir da combinação dos vários processos coligados. Assim, se um processo for implementado de forma isolada, pode até promover alguma melhoria, mas a partir da ótica do negócio seria uma ação pouco eficiente. 0,3 / 0,3 ptsPergunta 9 Sobre o risco, é CORRETO afirmar que Pode ser eliminado com a aquisição de tecnologia para segurança da informação. Quantitativas e avaliativas. Qualitativas e avaliativas. Construtivas e qualitativas. Qualitativas e quantitativas. Correto!Correto! A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 9/15 0,3 / 0,3 ptsPergunta 10 Considere as seguintes afirmativas: I A análise de risco é uma ferramenta importante para possibilitar ao especialista de segurança da informação realizar o gerenciamento de riscos. II O processo de análise de risco é fundamental para a realização de outros processos de segurança da informação, tais como BIA, PCN e PRD. III O devido investimento em tecnologias para segurança, como firewall, IDS, antivírus etc., bastam para garantir a segurança. É VERDADEIRO o que se afirmar em I, apenas. II, apenas. I e II, apenas. Correto!Correto! I, II e III. I e III, apenas. A Análise de Risco acaba sendo um requisito importante para outros processos de Segurança de informação, dando subsídio para a liderança avaliar os aspectos pertinentes que podem gerar impacto ao negócio como também dar suporte na decisão das ações de mitigação e até mesmo na priorização dessas ações. Diante disso deve se ter em mente que não seria correto pensar em BIA, PCN ou mesmo PRD sendo que se tenha feito uma Análise de Risco. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 10/15 0,3 / 0,3 ptsPergunta 11 Qual é a sigla para a métrica de valor do ativo? EF. SLE. ALE. ARO. AV. Correto!Correto! Definição do valor do ativo. 0,3 / 0,3 ptsPergunta 12 Qual é a sigla para a métrica de fator de exposição? SLE. ARO. EF. Correto!Correto! ALE. AV. Métrica percentual que define o fator de exposição de um ativo. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 11/15 0,3 / 0,3 ptsPergunta 13 Como se calcula o Single Loss Expectancy (SLE)? AV x EF. Correto!Correto! EF x ARO. SLE x ARO. ARO x AV. SLE x EF. O valor do SLE pode ser definido a partir do produto de Asset Value (AV) por Exposure Factor (EF). 0,3 / 0,3 ptsPergunta 14 Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês. Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE? 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 12/15 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. Correto!Correto! 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00. 0,3 / 0,3 ptsPergunta 15 Como se calcula o Annualized Loss Expectancy (ALE)? ARO x AV. SLE x ARO. Correto!Correto! SLE x EF. EF x ARO. AV x EF. O valor do ALE pode ser definido a partir do produto de Single Loss Expectancy (SLE) por Annualized Rate of Occurrence (ARO). 0,3 / 0,3 ptsPergunta 16 BIA é a sigla em inglês para o processo de Business 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 13/15 Impact Analytic. Intelligence Analysis. Intelligence Analytic. Impact Analysis. Correto!Correto! Impact Advanced. BIA é a sigla em inglês para Business Impact Analysis, ou seja, processo de análise de impacto de negócio. 0,3 / 0,3 ptsPergunta 17 Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio? ROI ALE. PCN. BIA. Correto!Correto! ROSI. Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas de negócio da empresa. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 14/15 0,3 / 0,3 ptsPergunta 18 É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é PCN. Correto!Correto! TCO. ROI. ROSI. ALE. Plano de Continuidade de Negócio (PCN) – importante processo que define ações para garantir o retorno da operação diante de uma ameaça concretizada 0,3 / 0,3 ptsPergunta 19 Qual padrão de backup-site tem o menor tempo de RPO, mas, consequentemente, apresenta o maior custo? Cold. Hot. Correto!Correto! Warm. Cold. 02/04/2022 08:43 Avaliação Geral : CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/23771/quizzes/60732 15/15 Red. A arquitetura de um backup-site é baseada em tecnologia de tempo de resposta mínimo, dessa forma, o RPO tende a ser o menor possível; consequentemente, porém, o custo desse tipo de backup-site é mais elevado. 0,3 / 0,3 ptsPergunta 20 Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente? Corretivas. Correto!Correto! Repressivas. Adivinhativas. Preventivas. Detectivas. Medidas que são definidas para restaurar um ambiente após a ocorrência de um incidente. Pontuação do teste: 6 de 6
Compartilhar