Avaliação Geral da Disciplina

Prévia do material em texto

Avaliação Geral da Disciplina
Este teste foi travado 31 mar em 23:59.
	
	Tentativa
	Tempo
	Pontuação
	MAIS RECENTE
	Tentativa 1
	105 minutos
	7 de 10
 As respostas serão mostradas após a última tentativa
Pontuação desta tentativa: 7 de 10
Enviado 23 mar em 8:36
Esta tentativa levou 105 minutos.
 
Pergunta 1
0,5 / 0,5 pts
A seguinte equação:
Ameaça x vulnerabilidade x valor do ativo = risco
  
Não tem relação com a análise de risco.
 
  
Qualifica um tipo de risco em relação ao seu grau de prioridade.
 
  
Pode ser utilizada para representar o que é risco.
 
  
É sugerida pela ISO 27037 para definir risco.
 
  
Consolida o valor da ameaça.
 
Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor do ativo.
 
Pergunta 2
0,5 / 0,5 pts
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
  
Não têm relação com análise de risco.
 
  
São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente.
 
  
São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética.
 
  
São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização.
 
  
São processos opcionais para a implementação de uma política de segurança.
 
A segurança da informação tem sua maturidade ou grau elevado a partir da combinação dos vários processos coligados. Assim, se um processo for implementado de forma isolada, pode até promover alguma melhoria, mas a partir da ótica do negócio seria uma ação pouco eficiente.
 
IncorretaPergunta 3
0 / 0,5 pts
Sobre o risco, é CORRETO afirmar que
  
Qualitativas e avaliativas.
 
  
Quantitativas e avaliativas.
 
  
Qualitativas e quantitativas.
 
  
Pode ser eliminado com a aquisição de tecnologia para segurança da informação.
 
  
Construtivas e qualitativas.
 
A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco.
 
IncorretaPergunta 4
0 / 0,5 pts
Considere as seguintes afirmativas:
I A análise de risco é uma ferramenta importante para possibilitar ao especialista de segurança da informação realizar o gerenciamento de riscos.
II O processo de análise de risco é fundamental para a realização de outros processos de segurança da informação, tais como BIA, PCN e PRD.
III O devido investimento em tecnologias para segurança, como firewall, IDS, antivírus etc.,
bastam para garantir a segurança.
É VERDADEIRO o que se afirmar em
  
I e II, apenas.
 
  
II, apenas.
 
  
I, II e III.
 
  
I, apenas.
 
  
I e III, apenas.
 
A Análise de Risco acaba sendo um requisito importante para outros processos de Segurança de informação, dando subsídio para a liderança avaliar os aspectos pertinentes que podem gerar impacto ao negócio como também dar suporte na decisão das ações de mitigação e até mesmo na priorização dessas ações.
Diante disso deve se ter em mente que não seria correto pensar em BIA, PCN ou mesmo PRD sendo que se tenha feito uma Análise de Risco.
 
Pergunta 5
0,5 / 0,5 pts
As metodologias destinadas à análise de risco podem ser divididas em dois tipos:
  
Construtivas e qualitativas
 
  
Construtivas e avaliativas.
 
  
Qualitativas e quantitativas.
 
  
Quantitativas e avaliativas.
 
  
Qualitativas e avaliativas
 
A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco.
 
Pergunta 6
0,5 / 0,5 pts
Qual é a sigla para a métrica de expectativa de perda única?
  
ALE.
 
  
ARO.
 
  
EF.
 
  
AV.
 
  
SLE.
 
É uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco.
 
Pergunta 7
0,5 / 0,5 pts
Como se calcula o Annualized Loss Expectancy (ALE)?
  
SLE x EF.
 
  
EF x ARO.
 
  
SLE x ARO.
 
  
AV x EF.
 
  
ARO x AV.
 
O valor do ALE pode ser definido a partir do produto de Single Loss Expectancy (SLE) por Annualized Rate of Occurrence (ARO).
 
Pergunta 8
0,5 / 0,5 pts
Assinale a alternativa que apresenta uma metodologia de análise de risco qualitativa:
  
Matriz de GUT.
 
  
SLE.
 
  
Análise de vulnerabilidade.
 
  
OWASP.
 
  
ALE.
 
A matriz de GUT é uma metodologia que vem da Administração e que pode ser usada para qualificar riscos.
 
Pergunta 9
0,5 / 0,5 pts
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE?
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00.
 
  
100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00.
 
Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00.
 
IncorretaPergunta 10
0 / 0,5 pts
Qual é a sigla para a métrica de expectativa de perda anual?
  
SLE.
 
  
AV.
 
  
ARO.
 
  
ALE.
 
  
EF.
 
Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela de tempo, normalmente um ano.
 
Pergunta 11
0,5 / 0,5 pts
Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)?
  
TCO.
 
  
ROI.
 
  
PCN.
 
  
ALE.
 
  
ROSI.
 
Plano de Continuidade de Negócios (PCN) é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração.
 
Pergunta 12
0,5 / 0,5 pts
Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio?
  
ROI
 
  
ALE.
 
  
ROSI.
 
  
BIA.
 
  
PCN.
 
Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas de negócio da empresa.
 
Pergunta 13
0,5 / 0,5 pts
Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente?
  
Preventivas.
 
  
Adivinhativas.
 
  
Corretivas.
 
  
Repressivas.
 
  
Detectivas.
 
Medidas que são definidas para restaurar um ambiente após a ocorrência de um incidente.
 
IncorretaPergunta 14
0 / 0,5 pts
Qual é o propósito da notificação de incidentes de segurança da informação?
  
Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.
 
  
Direcionar as atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela alta gestão.
 
  
Garantir que as mudanças aconteçam de forma planejada e controlada dentro das organizações.
 
  
Assegurar que fragilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
 
  
Notificar os fornecedores sobre falhas na operação.
 
Processo que deve ser definido como parte da gestão de incidentes, formalizando o canal correto para notificação, a fim de que seja de conhecimento de todos os colaboradores.
 
Pergunta15
0,5 / 0,5 pts
É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é
  
ALE.
 
  
ROSI.
 
  
PCN.
 
  
ROI.
 
  
TCO.
 
Plano de Continuidade de Negócio (PCN) – importante processo que define ações para garantir o retorno da operação diante de uma ameaça concretizada
 
IncorretaPergunta 16
0 / 0,5 pts
Como pode ser definido o processo de Análise de Vulnerabilidade?
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
Pode ser definido como a concretização de uma ameaça.
 
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças.
 
Essa visão de Análise de Vulnerabilidade não se deve limitar ao contexto tecnológico, deve-se considerar também processos e pessoas.
 
Pergunta 17
0,5 / 0,5 pts
I - Ameaça é um possível evento que pode comprometer a confiabilidade de informação;
II - Uma ameaça de origem humana pode ser intencional e não intencional;
III - Existem ameaças de origem não humana;
IV - Não existe relação direta entre ameaça e incidente.
Sobre as proposições citadas, pode se afirmar que:
  
Somente as questões II e III estão corretas.
 
  
A afirmativa IV está correta.
 
  
Nenhumas das respostas anteriores.
 
  
Somente a afirmativa I é certa.
 
  
As afirmativas I, II, III estão corretas.
 
Uma ameaça se concebe a partir de uma vulnerabilidade. Uma Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, do processo e das pessoas.
 
IncorretaPergunta 18
0 / 0,5 pts
O que é um Impacto?
  
É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade.
 
  
É o uso de uma ameaça para conceber uma vulnerabilidade.
 
  
Furto de um ativo tangível.
 
  
É uma mudança adversa no nível obtido dos objetivos de negócio.
 
  
É uma fraqueza que quando explorada gera uma vulnerabilidade.
 
Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a partir da exploração de uma vulnerabilidade. Digite aqui
 
Pergunta 19
0,5 / 0,5 pts
Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”?
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
 
  
Pode ser definido como a concretização de uma ameaça.
 
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado que pode ser mensurada a partir de informações apuradas durante uma análise de Vulnerabilidades. E também pode ser utilizado como métrica subsidiar uma Análise de Risco
 
Pergunta 20
0,5 / 0,5 pts
Um incidente pode ser definido como?
  
Pode ser definido como a concretização de uma ameaça.
 
  
É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
 
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
Pode ser definido como a concretização de uma ameaça.
Pontuação do teste: 7 de 10