Analise de Vulnerabilidade de Riscos - Avaliacao I - Individual

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação I - Individual (Cod.:739512)
Peso da Avaliação 1,50
Prova 46369135
Qtd. de Questões 10
Acertos/Erros 9/1
Nota 9,00
A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança
corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do inglês
PDCA. Visando identificar esta sigla, analise as opções a seguir: I- PLAN. II- DO. III- ALL. IV-
CHECK. Assinale a alternativa CORRETA:
A Somente a opção I está correta.
B As opções I, II e IV estão corretas.
C Somente a opção III está correta.
D As opções III e IV estão corretas.
A segurança da informação é obtida com a implementação de controles, que deverão ser
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do
negócio, mitigando os riscos e garantindo os preceitos de segurança da organização. Com base na
tríade de segurança da informação, classifique V para as opções verdadeiras e F para as falsas: ( )
Integridade. ( ) Confidencialidade. ( ) Manutenibilidade. ( ) Disponibilidade. Assinale a alternativa
que apresenta a sequência CORRETA:
A F - V - F - F.
B V - V - F - V.
C F - F - V - V.
D V - F - F - V.
A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization)
preconiza as condições necessárias para estabelecer, implementar, manter e melhorar continuamente
um sistema de gestão de segurança da informação. Com base no exposto, analise as sentenças a
seguir: I- ISO/IEC 27000 - apresenta uma visão geral das normas e vocabulário. II- ISO/IEC 27002 -
apresenta um conjunto de controles e objetivos de controle de segurança da informação. III- ISO/IEC
27006 - apresenta recomendações para o processo de auditoria e certificação em segurança da
informação. IV- ISO/IEC 27020 - apresenta linhas gerais para a implementação do sistema de gestão
de segurança da informação. Assinale a alternativa CORRETA:
A As sentenças I, II e III estão corretas.
 VOLTAR
A+ Alterar modo de visualização
1
2
3
B As sentenças II e V estão corretas.
C As sentenças II, IV e V estão corretas.
D As sentenças I, II e V estão corretas.
A segurança da informação é obtida com a implementação de controles, que deverão ser
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do
negócio, mitigando os riscos e garantindo os preceitos de segurança da organização:
confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da informação
(SÊMOLA, 2014). Com relação às respectivas definições dos chamados "três pilares da segurança da
informação", assinale a alternativa INCORRETA: FONTE: SÊMOLA, M. Gestão da segurança da
informação - uma visão executiva. Rio de Janeiro. Editora Elsevier. 2. ed. 2014.
A O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, como
espionagem e ciberataques, exponham qualquer conteúdo confidencial.
B As empresas já entenderam que os dados são verdadeiros ativos, por isso estão cada vez mais
preocupadas com os pilares da segurança da informação.
C
As informações precisam estar sempre disponíveis para consultas dos colaboradores, pois
qualquer ausência pode dificultar ou mesmo inviabilizar decisões, contratos, vendas, além de
prejudicar a relação com o cliente.
D O objetivo da segurança da informação, nesse caso, é garantir que as informações se mantenham
livres de qualquer alteração, conforme foram criadas.
O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois
desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos
isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa
CORRETA:
A Risco comercial.
B Gestão de Segurança da Informação.
C Tríade de segurança da informação.
D Gerenciamento de riscos.
Em segurança da informação, antes de executar tratamento do risco, é necessário que sejam
avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma
decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de
práticas orientadas para a gestão da segurança da informação. Com base nessas decisões, analise as
sentenças a seguir: I- Executar, cuidando com a chance de risco. II- Reconhecer e aceitar o risco. III-
Não permitir ações que podem causar risco. IV- Transferir, repassando o risco. Assinale a alternativa
CORRETA:
A As sentenças I e IV estão corretas.
B As sentenças I, II e III estão corretas.
4
5
6
As sentenças I, II e III estão corretas.
C As sentenças II, III e IV estão corretas.
D As sentenças I, II e IV estão corretas.
A segurança da informação (SI) é obtida com a implementação de controles, que deverão ser
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do
negócio, mitigando os riscos e garantindo os preceitos de segurança da organização. Com base no que
faz parte da (CID), a tríade de SI, assinale a alternativa INCORRETA:
A Confidencialidade.
B Disponibilidade.
C Integridade.
D Autenticidade.
Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida avaliando
a perda em termos de integridade (exemplo: o recurso afetado foi alterado ou destruído),
confidencialidade (exemplo: o recurso se torna conhecido pelo atacante) e disponibilidade (exemplo:
acesso ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores de risco para cada
um dos itens de segurança da informação. Com base nessa escala, classifique V para as opções
verdadeiras e F para as falsas: ( ) Risco nulo. ( ) Risco baixo. ( ) Risco médio. ( ) Risco alto. Assinale
a alternativa que apresenta a sequência CORRETA:
A F - F - F - V.
B F - F - V - F.
C F - V - V - V.
D V - V - V - F.
A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization)
estabelece as condições necessárias para estabelecer, implementar, manter e melhorar continuamente
um sistema de gestão de segurança da informação. Com base nas principais normas da série ISO/IEC
27000, classifique V para as opções verdadeiras e F para as falsas: ( ) ISO/IEC 27002. ( ) ISO/IEC
27004. ( ) ISO/IEC 27006. ( ) ISO/IEC 27007. Assinale a alternativa que apresenta a sequência
CORRETA:
A F - F - F - V.
B V - F - V - F.
C V - V - V - F.
7
8
9
D F - F - V - F.
O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível
com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de
gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist,
classifique V para as opções verdadeiras e F para as falsas: ( ) Estruturação. ( ) Processamento. ( )
Avaliação. ( ) Monitoramento. Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B F - V - V - F.
C F - V - V - V.
D V - F - F - F.
10
Imprimir