Baixe o app para aproveitar ainda mais
Prévia do material em texto
20/05/2022 20:51 Avaliação I - Individual 1/5 Prova Impressa GABARITO | Avaliação I - Individual (Cod.:739512) Peso da Avaliação 1,50 Prova 47081504 Qtd. de Questões 10 Acertos/Erros 10/0 Nota 10,00 O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa CORRETA: A Tríade de segurança da informação. B Risco comercial. C Gestão de Segurança da Informação. D Gerenciamento de riscos. A segurança da informação (SI) é obtida com a implementação de controles, que deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização. Com base no que faz parte da (CID), a tríade de SI, assinale a alternativa INCORRETA: A Autenticidade. B Disponibilidade. C Confidencialidade. D Integridade. Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida avaliando a perda em termos de integridade (exemplo: o recurso afetado foi alterado ou destruído), confidencialidade (exemplo: o recurso se torna conhecido pelo atacante) e disponibilidade (exemplo: acesso ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores de risco para cada um dos itens de segurança da informação. Com base nessa escala, classifique V para as opções verdadeiras e F para as falsas: ( ) Risco nulo. ( ) Risco baixo. ( ) Risco médio. ( ) Risco alto. Assinale a alternativa que apresenta a sequência CORRETA: VOLTAR A+ Alterar modo de visualização 1 2 3 20/05/2022 20:51 Avaliação I - Individual 2/5 A F - V - V - V. B F - F - F - V. C F - F - V - F. D V - V - V - F. A segurança da informação é obtida com a implementação de controles, que deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização. Com base na tríade de segurança da informação, classifique V para as opções verdadeiras e F para as falsas: ( ) Integridade. ( ) Confidencialidade. ( ) Manutenibilidade. ( ) Disponibilidade. Assinale a alternativa que apresenta a sequência CORRETA: A V - F - F - V. B F - F - V - V. C V - V - F - V. D F - V - F - F. A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). A avaliação de riscos é um componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com base no exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Definição do contexto. ( ) Probabilidade de risco. ( ) Análise/Avaliação de riscos. ( ) Impacto do risco. Assinale a alternativa que apresenta a sequência CORRETA: FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2021. NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021. A V - V - V - F. 4 5 20/05/2022 20:51 Avaliação I - Individual 3/5 B V - F - F - V. C F - V - V - F. D V - F - V - F. A segurança da informação é obtida com a implementação de controles, que deverão ser monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da organização: confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da informação (SÊMOLA, 2014). Com relação às respectivas definições dos chamados "três pilares da segurança da informação", assinale a alternativa INCORRETA: FONTE: SÊMOLA, M. Gestão da segurança da informação - uma visão executiva. Rio de Janeiro. Editora Elsevier. 2. ed. 2014. A O objetivo da segurança da informação, nesse caso, é garantir que as informações se mantenham livres de qualquer alteração, conforme foram criadas. B As informações precisam estar sempre disponíveis para consultas dos colaboradores, pois qualquer ausência pode dificultar ou mesmo inviabilizar decisões, contratos, vendas, além de prejudicar a relação com o cliente. C As empresas já entenderam que os dados são verdadeiros ativos, por isso estão cada vez mais preocupadas com os pilares da segurança da informação. D O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, como espionagem e ciberataques, exponham qualquer conteúdo confidencial. A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) estabelece as condições necessárias para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Com base nas principais normas da série ISO/IEC 27000, classifique V para as opções verdadeiras e F para as falsas: ( ) ISO/IEC 27002. ( ) ISO/IEC 27004. ( ) ISO/IEC 27006. ( ) ISO/IEC 27007. Assinale a alternativa que apresenta a sequência CORRETA: A F - F - V - F. B F - F - F - V. C V - F - V - F. D V - V - V - F. 6 7 20/05/2022 20:51 Avaliação I - Individual 4/5 Em segurança da informação, antes de executar tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação. Com base nessas decisões, analise as sentenças a seguir: I- Executar, cuidando com a chance de risco. II- Reconhecer e aceitar o risco. III- Não permitir ações que podem causar risco. IV- Transferir, repassando o risco. Assinale a alternativa CORRETA: A As sentenças I e IV estão corretas. B As sentenças I, II e IV estão corretas. C As sentenças II, III e IV estão corretas. D As sentenças I, II e III estão corretas. A avaliação de risco é o processo de comparação dos resultados da análise de risco com critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). Trata-se de um componente essencial de um processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com base nesses grupos, analise as opções a seguir: I- Tratamento do risco. II- Aceitação do risco. III- Comunicação do risco. IV- Transmissão do risco. Assinale a alternativa CORRETA: FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2020. NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - Information Security. 2012. Disponível em: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021. A As opções I, II e III estão corretas. B Somente a opção I está correta. C Somente a opção II está correta. D As opções I e IV estão corretas. 8 9 20/05/2022 20:51 Avaliação I - Individual 5/5 O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist, classifiqueV para as opções verdadeiras e F para as falsas: ( ) Estruturação. ( ) Processamento. ( ) Avaliação. ( ) Monitoramento. Assinale a alternativa que apresenta a sequência CORRETA: A F - V - V - F. B V - F - F - F. C F - V - V - V. D V - F - V - V. 10 Imprimir
Compartilhar