Gestão de Riscos_AO2 6

Prévia do material em texto

AO2
Entrega 19 jun em 23:59 Pontos 6 Perguntas 10
Disponível 9 jun em 0:00 - 19 jun em 23:59 11 dias Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 67 minutos 6 de 6
 As respostas corretas estarão disponíveis em 20 jun em 0:00.
Pontuação deste teste: 6 de 6
Enviado 10 jun em 23:13
Esta tentativa levou 67 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique
em "FAZER O QUESTIONÁRIO", no final da página.
0,6 / 0,6 ptsPergunta 1
Analise a tirinha a seguir:
A+
A
A-
https://famonline.instructure.com/courses/20444/quizzes/90381/history?version=1
Fonte: Gênio Hacker. Vida de Suporte. Disponível em:
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
(https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso em: 09 de
março de 2021.
Pessoas mal intencionadas causam cada vez mais problemas para as
empresas, através de invasões, disseminação de malwares, deleção de
informações críticas, sequestro de ambientes computacionais, ataque de
negação de serviço, entre outros tipos de ataque.
Essas pessoas mal intencionadas, chamadas de invasores ou criminosos
virtuais caracterizam um risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como insider:
A+
A
A-
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
 
Atacante que tem fácil acesso aos sistemas e informações da empresa por ser
um funcionário, e que usa esse acesso e seus conhecimentos com o intuito de
prejudicar a empresa.
Quando ataque é gerado por um prestador de serviços, assim como 
quando um funcionário ou ex-funcionário gera um ataque, chamamos o 
mesmo de insider, pois ele atua de dentro da organização a fim de causar 
danos.
 
Atacante que usa seus conhecimentos para fazer campanhas ativistas de
reivindicações diversas, e que atua muito fortemente divulgando informações das
empresas.
 
Indivíduo que já atuou como cibercriminoso e que no momento usa seus
conhecimentos técnicos para auxiliar as empresas, atuando na equipe técnica
das mesmas.
 
Atacante que usa técnicas de infecção, invasão e roubo de informações, a fim de
causar danos às empresas ou mesmo ter algum tipo de benefício próprio.
 
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas e avisar
as pessoas e empresas dessas vulnerabilidades, sem o intuito de benefícios
próprios.
0,6 / 0,6 ptsPergunta 2
Segundo a cartilha da Política de gestão de risco da Agência Nacional de
Saúde, considere as seguintes definições:
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto
um risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a
partir de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos
A+
A
A-
identificados, assim como as ações mínimas referentes ao gerenciamento.
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS IRREVERSÍVEIS nos objetivos relacionados ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de
produtos/serviços às partes interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de
operações ou atividades da ANS, de projetos, programas ou processos,
causando IMPACTOS SIGNIFICATIVOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de
produtos/serviços às partes interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS PEQUENOS nos objetivos relacionados ao atendimento de metas,
padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação
de operações, atividades, projetos, programas ou processos da ANS, porém
causando IMPACTOS MÍNIMOS nos objetivos relacionado ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/g
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_d
gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser
revertidos nas atividades e nos objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a
A+
A
A-
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
probabilidade de ocorrência do evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as
próximas etapas do processo de gestão de risco.
É correto o que se afirma em:
 I e III, apenas. 
 II, apenas. 
 I e III, apenas. 
 III, apenas. 
 I, apenas. 
Alternativa correta.
A afirmação I está correta, pois corresponde à classificação de Nível de
Risco Extremo definida pela ANS.
A afirmação II está incorreta, porque o nível de criticidade no risco não
deve levar em consideração a probabilidade de ocorrência, que é
considerada na Matriz de Risco na etapa de Avaliação do Risco.
A afirmação III está incorreta, porque para o risco ser desconsiderado,
deve-se ir até a etapa de Tratamento do risco.
0,6 / 0,6 ptsPergunta 3
Leia o texto a seguir:
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve focar
nos mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco
inaceitável:
A+
A
A-
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este
artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao
comprar uma apólice de seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a
de modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior
do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de
investimento.
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001
– 6 etapas básicas. Tradução de Rhand Leal. Disponível em
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-
tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
(https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-
de-riscos-segundo-a-iso-27001-6-etapas-basicas/) . Acesso em: 01 de junho de
2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela
organização, ocorrerá uma nova iteração no processo de gestão de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de controles
para evitar, transferir ou mitigar riscos.
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
Alternativa correta.
A asserção I está correta, pois caso o risco esteja acima do nívelde
aceitação de riscos estabelecido pela organização, pode ser necessária
nova iteração.
A asserção II está correta, pois riscos residuais são os riscos restantes
após a implantação de controles para evitar, transferir ou mitigar riscos.
Após a implementação de um controle, pode ser que o risco não tenha sido
totalmente
Mitigado e esta diferença é denominada risco residual.
A asserção II é uma justificativa para a asserção I.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição
falsa.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
 As asserções I e II são proposições falsas. 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
0,6 / 0,6 ptsPergunta 4
O quadro a seguir representa as opções de tratamento de risco da Agência
Nacional de Petróleo (ANP).
A+
A
A-
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2. Agosto/2019.
p. 16. Disponível em: http://www.anp.gov.br/arquivos/gestao-
riscos/metodologia-gestao-riscos-anp.pdf
(http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf)
. Acesso em: 01 de junho de 2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
I. Quando são identificados riscos extremamente elevados, em que os custos
para a implementação de controles excedem seus benefícios, o risco deve ser
100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as
consequências da ocorrência de um incidente de segurança da informação.
III. A retenção do risco representa a aceitação do risco de uma perda, isto é,
aceita-se “correr o risco”.
É correto o que se afirma em:
 I e II, apenas. 
 II e III, apenas. 
 I e III, apenas. 
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
 I, II e III. 
Alternativa correta.
A afirmação I está correta, pois se os custos do controle excedem os
benefícios e o negócio já possui alto risco, deve-se evitar o risco.
A afirmação II está correta, pois haverá a transferência ou
compartilhamento dos riscos com uma entidade externa, no caso, a
seguradora.
A afirmação III está correta, pois aceitação do risco, consciente e objetiva,
desde que claramente satisfazendo as políticas da organização e os
critérios para aceitação do risco” descreve a mesma atividade, que pode
ser entendida como “correr o risco”.
 II, apenas. 
0,6 / 0,6 ptsPergunta 5
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser
aplicado na organização como um todo, ou a uma área específica da
organização (...), a qualquer sistema de informações, a controles já existentes,
planejados ou apenas a aspectos particulares de um controle. Essa norma
apresenta também o processo de gestão de riscos de segurança da
informação, descrevendo o funcionamento, as fases, entradas e saídas de tal
processo, assim como os grupos de atividades previstas para cada
subprocesso.
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf) Acesso
em 27/10/2020.
Qual das alternativas abaixo se refere a etapa em que se identificam os riscos
e determinam as ações necessárias para reduzir o risco a um nível aceitável
pela organização?
 Comunicação do risco. 
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
 Aceitação do risco. 
 Análise/Avaliação de riscos 
Resposta Correta.
Análise/Avaliação de riscos é a etapa na qual se identificam os riscos e
determinam as ações necessárias para reduzir o risco a um nível aceitável
pela organização. É conveniente que os riscos sejam identificados,
quantificados ou descritos qualitativamente, para então serem priorizados
com base em critérios de avaliação de riscos e dos objetivos relevantes da
organização.
 Definição do contexto. 
 Tratamento do risco. 
0,6 / 0,6 ptsPergunta 6
Leia o texto a seguir:
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a
informação, leve em consideração as necessidades do negócio para
compartilhar ou restringir a informação bem como os requisitos legais. Convém
que outros ativos além dos ativos de informação também sejam classificados
de acordo com a classificação da informação armazenada, processada,
manuseada ou protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a
classificação da informação poderá seguir tantos quantos níveis de
classificação a complexidade do negócio exija, mas vias de regra, os níveis
mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do
acesso não autorizado à esta informação são severos e, possivelmente,
irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas
consequências.
A+
A
A-
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-
noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-
a-pratica/) . Acesso em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a
alternativa correta.
 
É possível a rotulação em documentos impressos através de etiquetas, carimbos
e outras marcas visuais.
Alternativa correta.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas visuais
são recomendados, pode também ser inclusa no rodapé dos documentos
ou até mesmo como marca d’água.
 O controle de acesso físico só pode ser realizado com senha. 
 Documentos eletrônicos como e-mail não devem ser rotulados. 
 
Base de dados de sistemas e aplicativos não devem receber classificação de
informação.
 Todas as regras para rotulação foram definidas na norma ISO 27.001. 
0,6 / 0,6 ptsPergunta 7
Leia o texto a seguir:
Risco: efeito da incerteza nos objetivos.
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou
negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas
financeiras, de saúde e segurança e ambientais) e podem aplicar–se em
diferentes níveis (tais como estratégico, em toda a organização, de projeto, de
produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos
potenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso em
termos de uma combinação de consequências de um evento (incluindo
mudanças nas circunstâncias) e a probabilidade (likelihood) associada de
ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu conhecimento,
sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o potencial
de que ameaças possam explorar vulnerabilidades de um ativo de informação
ou grupo de ativos de informação e, consequentemente, causar dano a uma
organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da
Informação.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
I. A organização e seus ativos apresentam vulnerabilidades que pode ser
explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos objetivos
de negócios.
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
A+
A
A-
A asserção I é verdadeira, pois uma Ameaça é a “causa potencial de um
incidenteindesejado, que pode resultar em dano para um sistema ou
organização” (ISO/IEC, 2004) e a Vulnerabilidade é uma “fragilidade de um
ativo ou grupo de ativos que pode ser explorada por uma ou mais
ameaças”.
A asserção II também é verdadeira, pois o risco de segurança de
informação contém os efeitos de Evento de Segurança da Informação, que
representa a ocorrência identificada de um estado de sistema, serviço ou
rede, indicando uma possível violação da política de segurança.
Entretanto, não existe uma relação de causalidade que justifica a asserção
I em função da asserção II.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição
falsa.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
0,6 / 0,6 ptsPergunta 8
Leia o texto a seguir:
Identificação de riscos
- Realizada para que se possa conhecer e determinar os possíveis eventos
com potencial de causar perdas, e fazer o levantamento de como isso pode
acontecer.
- Os resultados desta etapa serão os dados de entrada da etapa de estimativa
de riscos.
É importante que qualquer organização identifique as suas fontes de risco,
suas causas e consequências. A finalidade é gerar uma lista abrangente de
A+
A
A-
riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar,
reduzir, acelerar ou atrasar a conquista dos seus objetivos.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 42.
Em qual das atividades da Identificação dos riscos que o resultado de saída
com uma lista de todos os controles existentes e planejados, sua
implementação e status de utilização?
 Implementação de controles. 
 Identificação dos controles existentes. 
Na atividade de identificação dos controles existentes o objetivo é 
identificar no ambiente do escopo os controles que estão planejados para 
implementação, e os controles já implementados e em uso corrente. Na 
saída dessa atividade, é gerada uma lista de todos os controles existentes 
e planejados, sua implementação e status de utilização.
 Identificação dos controles desejados. 
 Identificação dos ativos. 
 Identificação de consequências. 
0,6 / 0,6 ptsPergunta 9
Leia o texto a seguir:
A análise qualitativa de riscos avalia a prioridade dos riscos identificados
usando a probabilidade de eles ocorrerem, o impacto correspondente nos
objetivos do projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente o efeito
dos riscos identificados nos objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do conjunto de
conhecimentos em gerenciamento de projetos: Guia PMBOK. 3. ed.
Newtown Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
A+
A
A-
I. Durante o processo de gerenciamento de riscos, somente a metodologia de
análise quantitativa deve ser utilizada.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores
monetários aos ativos, consequências e controles, mas escalas de atributos.
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa
da I.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição
falsa.
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
Alternativa correta.
A asserção I está incorreta, A análise pode ser realizada segundo a
metodologia qualitativa, quantitativa ou a combinação das duas,
dependendo das circunstâncias. A metodologia qualitativa é principalmente
utilizada para uma verificação inicial dos riscos, quando não estão
disponíveis dados numéricos em quantidade suficiente.
A asserção II está correta, análise qualitativa se baseia na avaliação,
através de atributos qualificadores e descritivos, da intensidade das
consequências e probabilidade de ocorrência do risco identificado. Por
exemplo, a probabilidade de ocorrência pode ser Baixa, Média, Alta, Muito
Alta e Elevada. As consequências ou impactos pode ser Alto, Médio e
Baixo.
 A asserções I e II são proposições falsas. 
A+
A
A-
0,6 / 0,6 ptsPergunta 10
Leia o Texto:
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de
controles, de forma que o risco residual possa ser reduzido e, por conseguinte,
aceito. Os controles selecionados devem satisfazer os critérios para aceitação
do risco e os requisitos legais, regulatórios e contratuais. Devem considerar
também custos, prazos, interação com outros controles, aspectos técnicos,
culturais e ambientais, e demais restrições que possam afetar sua
implementação.
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso
em 27/10/2020
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam
reparar qualquer anormalidade. Qual é este tipo de controle?
 Detecção 
 Correção 
Resposta correta, pois no tipo de controle de correção, as atividades 
implementarão controles que visem corrigir qualquer anormalidade.
 Recuperação 
 Prevenção 
 Conscientização 
Pontuação do teste: 6 de 6
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf