AO2_ Gestao de Riscos

Prévia do material em texto

AO2
Entrega 19 jun em 23:59 Pontos 6 Perguntas 10 Disponível 9 jun em 0:00 - 19 jun em 23:59 11 dias
Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 30 minutos 4,2 de 6
 As respostas corretas estarão disponíveis em 20 jun em 0:00.
Pontuação deste teste: 4,2 de 6
Enviado 9 jun em 17:46
Esta tentativa levou 30 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no
final da página.
0,6 / 0,6 ptsPergunta 1
A+
A
A-
https://famonline.instructure.com/courses/20444/quizzes/90381/history?version=1
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC
27001:2005, que é uma norma de códigos de praticas para a gestão de segurança da informação, onde
podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão
de segurança da informação (https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-
dicas-de-boas-praticas-para-manter-seus-dados-seguros/) em uma organização. Para elaboração da política,
são necessárias algumas atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/ (https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar atividades e instruções
operacionais relacionadas à segurança. Representam comandos operacionais a serem executados no
momento da realização de um procedimento de segurança. É importante que exista uma estrutura de
registro de que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão baseadas na visão e na missão da
empresa. Essas regras representam as preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da organização e sua cultura.
É verdadeiro o que se afirma em:
A+
A
A-
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
 II e III apenas. 
 I apenas. 
 I e III apenas. 
Alternativa correta. As afirmações I e III estão corretas. Procedimentos e Instruções são um conjunto de
orientações para realizar atividades e instruções operacionais relacionadas à segurança. Representam
comandos operacionais a serem executados no momento da realização de um procedimento de
segurança. É importante que exista uma estrutura de registro de que esses procedimentos são executados.
Assim como a política de segurança deve considerar os negócios, os objetivos da organização e sua
cultura.
A afirmação II está incorreta, pois os conjuntos de regras gerais de nível estratégico que estão baseadas
na visão e na missão da empresa, que representam as preocupações da organização sobre a segurança
das informações, são as Diretrizes e não normas.
 
 I e II apenas. 
 III apenas. 
0 / 0,6 ptsPergunta 2IncorretaIncorreta
Leia o texto a seguir:
A+
A
A-
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar
o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um substantivo
masculino que significa “inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstâncias que
possibilitam, condicionam ou determinam a realização de um texto, projeto, atividade ou mesmo de um
evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se
relacionam de alguma forma com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um determinado assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de TI, um processo de
negócio, departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de risco presente na norma
ISO 27005.
 
É correto o que se afirma em:
A+
A
A-
 I e II, apenas. 
 I e III, apenas 
 II e III, apenas. 
Esta alternativa está incorreta, pois apenas as afirmações I e II estão corretas.
A afirmação I está correta, a etapa inicial do processo de Gestão de Riscos é a Definição de Contexto, na
qual ocorre a definição do ambiente, escopo, critérios de avaliação, entre outras definições. Esta etapa é
fundamental para a equipe que realiza a gestão de risco conhecer todas as informações sobre a
organização.
A afirmação II está correta, escopo é descrição dos limites do projeto, sua abrangência, seus resultados e
entregas. São exemplos de escopo e limites: Uma aplicação de TI, A infraestrutura de TI, um processo de
negócio, o departamento de TI, uma filial, o sistema de internet banking de uma instituição financeira, o
serviço de e-mail da organização, o processo de controle de acesso físico da organização, o datacenter da
organização , o sistema logístico de distribuição de provas de concurso público nacional, a intranet da
organização, entre outros.
A afirmação III está incorreta, pois a norma não define critérios padronizados de risco e de criticidade. Os
critérios são a forma e o valor (pesos) com que serão valorados os riscos e os impacto.
 I, II e III. 
 I, apenas. 
0,6 / 0,6 ptsPergunta 3
A+
A
A-
Leia o texto a seguir:
 
Estabelecimento de uma Política de Segurança da Informação
Para construir as políticas de segurança da organização, o comitê deve tomar como base os padrões e
normas apresentados anteriormente, sendo que dentre eles, os mais recomendados para esta finalidade
são: A BS7799/ISO17799 e as RFC´s de número 2196 (1997) e 2828 (2000).
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento que deve descrever as
recomendações, as regras, as responsabilidades e as práticas de segurança. Entretanto, sabe-se que não
existe uma "Política de Segurança Modelo" que possa ser implementada em toda e qualquer organização,
pois a Política deverá ser moldada à especificidade de cada caso. Portanto, elaborar uma Política de
Segurança é uma tarefa complexa e que necessita ser constantemente monitorada, revisada e atualizada.
Além disso, os seus resultados normalmente só poderão ser notados a médio e longo prazo. É fundamental
a existência de uma política de segurança que seja realmente referência para os colaboradores da
organização, possibilitando a garantia dos três princípios básicos da segurança da informação: integridade,
disponibilidade e confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da informação, portanto, normalmente,
este grupo propõe as políticas necessárias para gestão da segurança da informação e seus recursos.
Buscando realizar a implantação, acompanhamento e revisões periódicas.
 
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação de um Sistema de Gestão
de Segurança da Informação. JISTEM J.Inf.Syst. Technol. Manag. (Online) São Paulo, v. 2, n. 2, p. 121-
136, 2005. pp. 128-129. Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807-
17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de 2020.
Considerando as informações apresentadas, avalie as asserções aseguir e a relação entre elas:
A+
A
A-
 
I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza suas estratégias e
abordagens para a preservação de seus ativos.
PORQUE
II. A política de segurança da informação deve definir responsabilidade e penalidades adequadas no caso
de infrações e a forma como ocorrerá a implementação.
 
A respeito dessas asserções, assinale a opção correta.
 A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 A asserção I e II são proposições falsas. 
 A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
A+
A
A-
Alternativa correta.
A asserção I está correta, pois, segundo NBR ISO/IEC 27002:2005, o objetivo da política de segurança da
informação é prover uma orientação e apoio da diretoria para a segurança de informação conforme os
requisitos do negócio e as leis e regulamentações aplicáveis.
A asserção II também é correta, pois ao elaborar a PSI é necessário: Entender e definir claramente o
processo de desenvolvimento, estabelecer uma forma de obter dados da organização, definir
responsabilidade e penalidades adequadas.
A asserção II não é uma justificativa da asserção I, é uma complementação.
 As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
0,6 / 0,6 ptsPergunta 4
Segundo a cartilha da Política de gestão de risco da Agência Nacional de Saúde, considere as seguintes
definições:
 
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto um risco pode afetar os
objetivos, processos de trabalho e projetos da ANS, a partir de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos identificados, assim como as ações
mínimas referentes ao gerenciamento.
 
A+
A
A-
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de operações, atividades,
projetos, programas ou processos da ANS, causando IMPACTOS IRREVERSÍVEIS nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de operações, atividades, projetos,
programas ou processos da ANS, causando IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de operações ou atividades da
ANS, de projetos, programas ou processos, causando IMPACTOS SIGNIFICATIVOS nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos,
programas ou processos da ANS, causando IMPACTOS PEQUENOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades,
projetos, programas ou processos da ANS, porém causando IMPACTOS MÍNIMOS nos objetivos
relacionado ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
 
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-
riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
A+
A
A-
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
Dadas essas definições, considere as seguintes afirmações:
 
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser revertidos nas atividades e nos
objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a probabilidade de ocorrência do
evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as próximas etapas do processo
de gestão de risco.
 
É correto o que se afirma em:
 I e III, apenas. 
 III, apenas. 
 I e III, apenas. 
 II, apenas. 
 I, apenas. 
A+
A
A-
Alternativa correta.
A afirmação I está correta, pois corresponde à classificação de Nível de Risco Extremo definida pela ANS.
A afirmação II está incorreta, porque o nível de criticidade no risco não deve levar em consideração a
probabilidade de ocorrência, que é considerada na Matriz de Risco na etapa de Avaliação do Risco.
A afirmação III está incorreta, porque para o risco ser desconsiderado, deve-se ir até a etapa de
Tratamento do risco.
0 / 0,6 ptsPergunta 5IncorretaIncorreta
Leia o texto a seguir:
 
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve focar nos mais importantes, os assim
chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo
A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao comprar uma apólice de seguro.
A+
A
A-
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de modo completamente
diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de investimento.
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
Tradução de Rhand Leal. Disponível em https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
(https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-
27001-6-etapas-basicas/) . Acesso em: 01 de junho de 2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas:
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela organização, ocorrerá uma nova
iteração no processo de gestão de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de controles para evitar, transferir ou mitigar
riscos.
 
A respeito dessas asserções, assinale a opção correta.
 A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
Esta alternativa está incorreta, pois as asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
A asserção I está correta, pois caso o risco esteja acima do nível de aceitação de riscos estabelecido pela
organização, pode ser necessária nova iteração.
A asserção II está correta, pois riscos residuais são os riscos restantes após a implantação de controles
para evitar, transferir ou mitigar riscos. Após a implementação de um controle, pode ser que o risco não
tenha sido totalmente
Mitigado e esta diferença é denominada risco residual.
A asserção II é uma justificativa para a asserção I.
 As asserções I e II são proposições falsas. 
 A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
 As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
0,6 / 0,6 ptsPergunta 6
O quadro a seguir representa as opções de tratamento de risco da Agência Nacional dePetróleo (ANP).
A+
A
A-
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2. Agosto/2019. p. 16. Disponível em:
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
(http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf) . Acesso em: 01 de junho
de 2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os custos para a implementação de
controles excedem seus benefícios, o risco deve ser 100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as consequências da
ocorrência de um incidente de segurança da informação.
III. A retenção do risco representa a aceitação do risco de uma perda, isto é, aceita-se “correr o risco”.
 
É correto o que se afirma em:
 I, II e III. 
Alternativa correta.
A afirmação I está correta, pois se os custos do controle excedem os benefícios e o negócio já possui alto
risco, deve-se evitar o risco.
A afirmação II está correta, pois haverá a transferência ou compartilhamento dos riscos com uma entidade
externa, no caso, a seguradora.
A afirmação III está correta, pois aceitação do risco, consciente e objetiva, desde que claramente
satisfazendo as políticas da organização e os critérios para aceitação do risco” descreve a mesma
atividade, que pode ser entendida como “correr o risco”.
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
 II, apenas. 
 I e III, apenas. 
 I e II, apenas. 
 II e III, apenas. 
0,6 / 0,6 ptsPergunta 7
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a informação, leve em
consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os
requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de
acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a classificação da informação
poderá seguir tantos quantos níveis de classificação a complexidade do negócio exija, mas vias de regra, os
níveis mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do acesso não autorizado à esta
informação são severos e, possivelmente, irreversíveis.
A+
A
A-
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática. 06/07/2018. Disponível em
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/) . Acesso em: 01 de
junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a alternativa correta.
 Documentos eletrônicos como e-mail não devem ser rotulados. 
 O controle de acesso físico só pode ser realizado com senha. 
 É possível a rotulação em documentos impressos através de etiquetas, carimbos e outras marcas visuais. 
Alternativa correta.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas visuais são recomendados, pode também
ser inclusa no rodapé dos documentos ou até mesmo como marca d’água.
 Todas as regras para rotulação foram definidas na norma ISO 27.001. 
 Base de dados de sistemas e aplicativos não devem receber classificação de informação. 
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
0,6 / 0,6 ptsPergunta 8
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de controles, de forma que o risco
residual possa ser reduzido e, por conseguinte, aceito. Os controles selecionados devem satisfazer os
critérios para aceitação do risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
custos, prazos, interação com outros controles, aspectos técnicos, culturais e ambientais, e demais
restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é descrito como sendo as
atividades que implementam controles que visam reparar qualquer anormalidade. Qual é este tipo de
controle?
 Prevenção 
 Conscientização 
 Correção 
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
Resposta correta, pois no tipo de controle de correção, as atividades implementarão controles que visem 
corrigir qualquer anormalidade.
 Detecção 
 Recuperação 
0 / 0,6 ptsPergunta 9IncorretaIncorreta
Leia o texto a seguir:
 
Identificação de riscos
 - Realizada para que se possa conhecer e determinar os possíveis eventos com potencial de causar
perdas, e fazer o levantamento de como isso pode acontecer.
- Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos.
É importante que qualquer organização identifique as suas fontes de risco, suas causas e consequências. A
finalidade é gerar uma lista abrangente de riscos baseada em eventos que possuam capacidade de criar,
aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p. 42.
Em qual das atividades da Identificação dos riscos que o resultado de saída com uma lista de todos os
controles existentes e planejados, sua implementação e status de utilização?
A+
A
A-
 Identificação dos controles existentes. 
 Identificação dos ativos. 
 Identificação de consequências. 
Alternativa incorreta.
A etapa de identificação de consequências resulta em uma lista de cenários de incidentes e suas
consequências associadas aos ativos e processos do negócio identificar as consequências ou prejuízos
para a organização que podem decorrer de um cenário de incidentes, fruto das vulnerabilidades
identificadas.
A resposta correta é atividade de identificação dos controles existentes, onde o objetivo é identificar no
ambiente do escopo os controles que estão planejados para implementação, e os controles já
implementados e em uso corrente. Na saída dessa atividade, é gerada uma lista de todos os controles
existentes e planejados, sua implementação e status de utilização.
 Identificação dos controles desejados. 
 Implementação de controles. 
0,6 / 0,6 ptsPergunta 10
A+
A
A-
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança
da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente)
no recurso de informação utilizado pela organização para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um evento indesejado e da probabilidade
de sua ocorrência. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente, e
capacita os gestores a priorizar os riscos, de acordo com a sua gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-
fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%2
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20poss
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto nadisciplina, avalie as afirmações a
seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que possam causar uma perda potencial,
evidenciando seu local, razão e impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações, processos e sistemas) e,
por isso, também as organizações. Ameaças podem ser de origem natural ou humana, e podem ser
acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar custos e trabalhos desnecessários, por
exemplo, na duplicação de controles. Além disso, é preciso testar os controles existentes – eles são
A+
A
A-
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
testados para assegurar que estão funcionando corretamente
É correto o que se afirma em:.
 I, II e III. 
Alternativa Correta. As afirmações I, II e III estão corretas, pois a etapa de identificação de riscos é quando 
são determinados os eventos que possam causar uma perda potencial, evidenciando seu local, razão e 
impactos. Assim como, uma ameaça tem o potencial de comprometer ativos, como informações, processos 
e sistemas, e por isso, podem também comprometer as organizações, elas podem ser de origem natural ou 
humana, e podem ser acidentais ou intencionais. Finalmente, a identificação de controles existentes é 
realizada para evitar custos e trabalhos desnecessários, e tão importante quanto isso, é realizar testes nos 
controles existentes, para assegurar que estão funcionando corretamente.
 I e III apenas. 
 III apenas. 
 II apenas. 
 I apenas. 
Pontuação do teste: 4,2 de 6
A+
A
A-