AO2 - Gestão de Riscos - NOTA 6

Prévia do material em texto

AO2
Iniciado: 11 jun em 3:49
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 ptsPergunta 1
Leia o texto a seguir:
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve focar
nos mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco
inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este
artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao
comprar uma apólice de seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a
de modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria
maior do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo
de investimento.
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001
– 6 etapas básicas. Tradução de Rhand Leal. Disponível em
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-
e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições falsas.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
(https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-
de-riscos-segundo-a-iso-27001-6-etapas-basicas/) . Acesso em: 01 de junho de
2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela
organização, ocorrerá uma nova iteração no processo de gestão de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de controles
para evitar, transferir ou mitigar riscos.
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 2
Segundo a cartilha da Política de gestão de risco da Agência Nacional de
Saúde, considere as seguintes definições:
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto
um risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a
partir de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos
identificados, assim como as ações mínimas referentes ao gerenciamento.
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS IRREVERSÍVEIS nos objetivos relacionados ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de
produtos/serviços às partes interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de
operações ou atividades da ANS, de projetos, programas ou processos,
causando IMPACTOS SIGNIFICATIVOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de
produtos/serviços às partes interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS PEQUENOS nos objetivos relacionados ao atendimento de metas,
padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação
de operações, atividades, projetos, programas ou processos da ANS, porém
causando IMPACTOS MÍNIMOS nos objetivos relacionado ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional
/gestao_de_riscos/cartilha-gestao-de-riscos.pdf (http://www.ans.gov.br
/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-
gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser
A+
A
A-
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdfhttp://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
I, apenas.
III, apenas.
I e III, apenas.
I e III, apenas.
II, apenas.
revertidos nas atividades e nos objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a
probabilidade de ocorrência do evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as
próximas etapas do processo de gestão de risco.
É correto o que se afirma em:
0,6 ptsPergunta 3
Leia o texto:
Para se elaborar uma Política de Segurança da Informação, deve se levar em
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de
praticas para a gestão de segurança da informação, onde podem ser
encontradas as melhores práticas para iniciar, implementar, manter e melhorar
a gestão de segurança da informação (https://www.profissionaisti.com.br
/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-
dados-seguros/) em uma organização. Para elaboração da política, são
necessárias algumas atividades básicas.
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/
(https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-
definicao-importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
A+
A
A-
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
I e II apenas.
I e III apenas.
III apenas.
I apenas.
II e III apenas.
Considerando o texto acima e o conteúdo visto, analise as afirmações a
seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar
atividades e instruções operacionais relacionadas à segurança. Representam
comandos operacionais a serem executados no momento da realização de um
procedimento de segurança. É importante que exista uma estrutura de registro
de que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa. Essas regras representam as
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
É verdadeiro o que se afirma em:
0,6 ptsPergunta 4
Leia o texto a seguir:
Com o crescimento exponencial dos ataques realizados por cibercriminosos e
a dependência cada vez maior das empresas pelos recursos tecnológicos,
realizar uma análise de riscos em TI é essencial, não só para se proteger, mas
para seguir sobrevivendo no mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais
A+
A
A-
as empresas se preocuparem apenas com firewalls e sistemas antivírus. É
preciso criar uma cultura de proatividade em busca das melhores tecnologias e
técnicas para manter os seus dados e os de seus clientes a salvo de pessoas
mal-intencionadas.
A análise de riscos é uma técnica de levantamento de informações acerca de
processos e sistemas utilizados na empresa de modo a melhorar a governança
de ativos de TI em relação às vulnerabilidades que podem ser encontradas,
verificando a probabilidade de ocorrência de determinados eventos e as
consequências que eles podem trazer para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco, mas o
mais importante é entender a fórmula que determina o que é um risco.Ele
pode ser calculado multiplicando a vulnerabilidade de um ativo e a importância
para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a
empresa ele for, maior é o risco que ele corre. Assim, o investimento para
diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita
periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a fase de
coleta de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a
tecnologia evolui todos os dias, as ações dos cibercriminosos também, e é
preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise de riscos
na empresa estão o encontro das vulnerabilidades que podem ser utilizadas
por hackers para acessar os arquivos da empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para serem
corrigidas, é necessário colocar a atenção nos ativos que tem mais importância
para o negócio da empresa, isto faz como que os investimentos sejam dirigidos
para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a
disponibilidade dos serviços de tecnologia da informação na empresa e
causando prejuízos que poderiam ter sido evitados, existe também a redução
de custos com restaurações e manutenção de sistemas.
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong
Security, 2018. Disponível em: https://www.strongsecurity.com.br
/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
A+
A
A-
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
vulnerabilidades, Impactos e legalidade.
pontos fortes, pontos fracos, oportunidades e ameaças
gravidade, urgência, tendência e transferência
confidencialidade, integridade e disponibilidade.
ativos, vulnerabilidades, ameaças e impactos.
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-
fazer-e-mais/) . Acesso em: 09 de março de 2021.
Considerando a importância de se realizar o processo de análise de riscos em
uma empresa, ao se realizar esse processo na empresa deve-se levar em
consideração os aspectos: 
0,6 ptsPergunta 5
Leia o texto a seguir:
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000, que são
respectivamente as certificações internacionais de gestão da qualidade e
gestão ambiental para empresas. As marcas que conquistam essas normas
costumam expor selos que informam a todos os públicos o fato de estarem
adequadas a normas e práticas internacionais. Clientes, fornecedores,
colaboradores e futuros clientes valorizam negócios que estejam nesse
patamar. Afinal, são sinônimo de preocupação com a qualidade, a inovação e
com o meio ambiente.
Existe também uma certificação internacional que trata da segurança da
informação em empresas. É a ISO 27000, focada no Sistema de Gestão de
Segurança da Informação (SGSI), e tem como normas mais conhecidas as ISO
27001 e ISO 27002. Todo o seu conceito está relacionado a segurança da
informação nos mais variados formatos. Foi projetada para ser aplicável a
todos os tipos e tamanhos de empresas, desde multinacionais até os pequenos
e médios empreendimentos.
(...)
A+
A
A-
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
É uma norma que descreve as boas práticas de gestão de segurança da
informação.
É uma norma que determina as condições de bom funcionamento para um SGSI.
É uma norma que define como as empresas do ramo alimentício devem analisar
seus riscos.
É uma norma que estabelece princípios e diretrizes genéricas de tratamento de
riscos para qualquer indústria ou setor.
É uma norma que apresenta diretrizes de administração dos perigos na segurança
da informação.
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de
certificações – ou, como é comum ouvir, uma família. Dessa maneira, cada
membro da família recebe uma denominação única e objetivos específicos.
Existem mais de 40 normas, que foram desenvolvidas com base em
procedimentos para a implementação nas empresas, havendo algumas
também dedicadas exclusivamente a determinados segmentos de mercado.
Um exemplo é a ISO 27011, que aborda a gestão da segurança da informação
para empresas de telecomunicações, enquanto a ISO 27015 é dedicada a
negócios do ramo de serviços financeiros. Existem outros focados em tópicos
específicos da tecnologia da informação, como controles para cloud computing
(ISO 27017) e segurança de redes (ISO 27033).
(...)
Fonte: ISO 27000: as vantagens da certificação de segurança da
informação para o seu negócio. OSTEC. Disponível em: https://ostec.blog
/geral/iso-27000-vantagens-certificacao-seguranca/ (https://ostec.blog
/geral/iso-27000-vantagens-certificacao-seguranca/) . Acesso em: 09 de março
de 2021.
São diversas as normas que tratam de segurança da informação. Qual a
resposta descreve corretamente uma norma da série ISO 27000 que pode ser
usada em uma empresa que deseja fazer uma adequada Gestão de Riscos de
Segurança da Informação?
A+
A
A-
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
0,6 ptsPergunta 6
Leia o texto a seguir:
Estabelecimento de uma Política de Segurança da Informação
Para construir as políticas de segurança da organização, o comitê deve tomar
como base os padrões e normas apresentados anteriormente, sendo que
dentre eles, os mais recomendados para esta finalidade são: A
BS7799/ISO17799 e as RFC´s de número 2196 (1997) e 2828 (2000).
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento
que deve descrever as recomendações, as regras, as responsabilidades e as
práticas de segurança.Entretanto, sabe-se que não existe uma "Política de
Segurança Modelo" que possa ser implementada em toda e qualquer
organização, pois a Política deverá ser moldada à especificidade de cada caso.
Portanto, elaborar uma Política de Segurança é uma tarefa complexa e que
necessita ser constantemente monitorada, revisada e atualizada. Além disso,
os seus resultados normalmente só poderão ser notados a médio e longo
prazo. É fundamental a existência de uma política de segurança que seja
realmente referência para os colaboradores da organização, possibilitando a
garantia dos três princípios básicos da segurança da informação: integridade,
disponibilidade e confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da
informação, portanto, normalmente, este grupo propõe as políticas necessárias
para gestão da segurança da informação e seus recursos. Buscando realizar a
implantação, acompanhamento e revisões periódicas.
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação
de um Sistema de Gestão de Segurança da Informação. JISTEM J.Inf.Syst.
Technol. Manag. (Online) São Paulo, v. 2, n. 2, p. 121-136, 2005. pp. 128-129.
Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&
pid=S1807-17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de
2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza
A+
A
A-
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
A asserção I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
suas estratégias e abordagens para a preservação de seus ativos.
PORQUE
II. A política de segurança da informação deve definir responsabilidade e
penalidades adequadas no caso de infrações e a forma como ocorrerá a
implementação.
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 7
Leia o texto a seguir:
Contexto
É necessário entender o significado conceitual de “contexto” e sua aplicação
na gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se,
entre outras definições, que contexto é um substantivo masculino que significa
“inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade
de circunstâncias que possibilitam, condicionam ou determinam a realização
de um texto, projeto, atividade ou mesmo de um evento de segurança da
informação. Em outras palavras, contexto é o conjunto de circunstâncias que
se relacionam de alguma forma com um determinado acontecimento.
A+
A
A-
II e III, apenas.
I e III, apenas
I, apenas.
I e II, apenas.
I, II e III.
É a situação geral ou o ambiente a que está sendo referido um determinado
assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
I. A contextualização é a atividade de mapear todo o ambiente que envolve o
evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura
de TI, um processo de negócio, departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível
de risco presente na norma ISO 27005.
É correto o que se afirma em:
0,6 ptsPergunta 8
Leia o texto a seguir:
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a
informação, leve em consideração as necessidades do negócio para
compartilhar ou restringir a informação bem como os requisitos legais. Convém
que outros ativos além dos ativos de informação também sejam classificados
A+
A
A-
Documentos eletrônicos como e-mail não devem ser rotulados.
É possível a rotulação em documentos impressos através de etiquetas, carimbos e
outras marcas visuais.
Base de dados de sistemas e aplicativos não devem receber classificação de
informação.
Todas as regras para rotulação foram definidas na norma ISO 27.001.
O controle de acesso físico só pode ser realizado com senha.
de acordo com a classificação da informação armazenada, processada,
manuseada ou protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a
classificação da informação poderá seguir tantos quantos níveis de
classificação a complexidade do negócio exija, mas vias de regra, os níveis
mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do
acesso não autorizado à esta informação são severos e, possivelmente,
irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas
consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-noticias
/classificacao-da-informacao-da-teoria-a-pratica/ (https://cryptoid.com.br
/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/) . Acesso em:
01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a
alternativa correta.
0,6 ptsPergunta 9
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
Análise/Avaliação de riscos
Comunicação do risco.
Tratamento do risco.
Definição do contexto.
Aceitação do risco.
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser
aplicado na organização como um todo, ou a uma área específica da
organização (...), a qualquer sistema de informações, a controles já existentes,
planejados ou apenas a aspectos particulares de um controle. Essa norma
apresenta também o processo de gestão de riscos de segurança da
informação, descrevendo o funcionamento, as fases, entradas e saídas de tal
processo, assim como os grupos de atividades previstas para cada
subprocesso.
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8149
/1/50901743.pdf (https://repositorio.uniceub.br/jspui/bitstream/235/8149
/1/50901743.pdf) Acesso em 27/10/2020.
Qual das alternativas abaixo se refere a etapa em que se identificam os riscos
e determinam as ações necessárias para reduzir o risco a um nível aceitável
pela organização?
0,6 ptsPergunta 10
Leiao texto a seguir:
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou
negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
As asserções I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
financeiras, de saúde e segurança e ambientais) e podem aplicar–se em
diferentes níveis (tais como estratégico, em toda a organização, de projeto, de
produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos
potenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso em
termos de uma combinação de consequências de um evento (incluindo
mudanças nas circunstâncias) e a probabilidade (likelihood) associada de
ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu conhecimento,
sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o potencial
de que ameaças possam explorar vulnerabilidades de um ativo de informação
ou grupo de ativos de informação e, consequentemente, causar dano a uma
organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da
Informação.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
I. A organização e seus ativos apresentam vulnerabilidades que pode ser
explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos objetivos
de negócios.
A respeito dessas asserções, assinale a opção correta.
A+
A
A-
Salvo em 3:08
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
Enviar teste
A+
A
A-