Baixe o app para aproveitar ainda mais
Prévia do material em texto
15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 1/18 AO2 Entrega 19 jun em 23:59 Pontos 6 Perguntas 10 Disponível 9 jun em 0:00 - 19 jun em 23:59 11 dias Limite de tempo Nenhum Instruções Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 42 minutos 5,4 de 6 As respostas corretas estarão disponíveis em 20 jun em 0:00. Pontuação deste teste: 5,4 de 6 Enviado 15 jun em 19:02 Esta tentativa levou 42 minutos. Importante: Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no final da página. 0,6 / 0,6 ptsPergunta 1 Leia o texto: A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente) no recurso de informação utilizado pela organização para atingir os seus objetivos Um risco combina as consequências originadas da ocorrência de um evento indesejado e da probabilidade de sua ocorrência. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente, e capacita os gestores a priorizar os riscos, de acordo com a sua A+ A A- https://famonline.instructure.com/courses/20444/quizzes/90381/history?version=1 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 2/18 gravidade percebida. Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em- seguranca-da-informacao-como-fazer-uma- avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seu (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca- da-informacao-como-fazer-uma- avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20o Acesso em: 27//210/2020. Considerando o exposto no texto acima, assim como o conteúdo visto na disciplina, avalie as afirmações a seguir. I. A etapa de identificação de riscos é a determinação dos eventos que possam causar uma perda potencial, evidenciando seu local, razão e impactos. II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações, processos e sistemas) e, por isso, também as organizações. Ameaças podem ser de origem natural ou humana, e podem ser acidentais ou intencionais. III. A identificação dos controles existentes é realizada para evitar custos e trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, é preciso testar os controles existentes – eles são testados para assegurar que estão funcionando corretamente É correto o que se afirma em:. I apenas. II apenas. I, II e III. A+ A A- https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 3/18 Alternativa Correta. As afirmações I, II e III estão corretas, pois a etapa de identificação de riscos é quando são determinados os eventos que possam causar uma perda potencial, evidenciando seu local, razão e impactos. Assim como, uma ameaça tem o potencial de comprometer ativos, como informações, processos e sistemas, e por isso, podem também comprometer as organizações, elas podem ser de origem natural ou humana, e podem ser acidentais ou intencionais. Finalmente, a identificação de controles existentes é realizada para evitar custos e trabalhos desnecessários, e tão importante quanto isso, é realizar testes nos controles existentes, para assegurar que estão funcionando corretamente. III apenas. I e III apenas. 0,6 / 0,6 ptsPergunta 2 Leia o texto a seguir: Identificação de riscos - Realizada para que se possa conhecer e determinar os possíveis eventos com potencial de causar perdas, e fazer o levantamento de como isso pode acontecer. - Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos. É importante que qualquer organização identifique as suas fontes de risco, suas causas e consequências. A finalidade é gerar uma lista abrangente de riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos. Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p. 42. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 4/18 Em qual das atividades da Identificação dos riscos que o resultado de saída com uma lista de todos os controles existentes e planejados, sua implementação e status de utilização? Identificação dos controles existentes. Na atividade de identificação dos controles existentes o objetivo é identificar no ambiente do escopo os controles que estão planejados para implementação, e os controles já implementados e em uso corrente. Na saída dessa atividade, é gerada uma lista de todos os controles existentes e planejados, sua implementação e status de utilização. Identificação de consequências. Identificação dos ativos. Implementação de controles. Identificação dos controles desejados. 0 / 0,6 ptsPergunta 3IncorretaIncorreta Leia o texto a seguir: Política de segurança A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 5/18 Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para Internet. Disponível em https://cartilha.cert.br/mecanismos/ (https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020. Sobre uma Política de Segurança, considere as seguintes afirmações: I. Uma política de segurança é um documento aprovado pela alta direção da empresa e que garante a provisão de recursos anuais para a área de segurança. II. A política de segurança deve ser divulgada apenas na área de tecnologia da empresa. III. As violações são as quebras de segurança. Estas podem ocorrer de diversas maneiras: por meio de ataques provocados por hackers, violações provocadas por ataques causados por ex-funcionários de empresas, violações causadas por pessoa mal-intencionadas. IV. As políticas de segurança devem prever contramedidas para evitar as violações, assim como medidas adotadas após a ocorrência dos fatos indesejáveis. Estão corretas apenas as afirmativas: I, II e III. II, III e IV. A+ A A- https://cartilha.cert.br/mecanismos/ 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 6/18 Esta alternativa está incorreta, pois apenas as afirmativas I, III e IV. A afirmativa I está correta, pois, segundo a NBR ISO/IEC 27002:2005, o objetivo da política de segurança da informação é prover uma orientação e apoio da diretoria para a segurança de informação conforme os requisitos do negócio e as leis e regulamentações aplicáveis. A afirmativa II está incorreta, pois a política de segurança deve ser divulgada em todas as áreas da empresa, sendo válida também para terceiros que utilizem informações da empresa. A afirmativa III está correta, pois violações podem ocorrer de diversas maneiras: por meio de ataques provocados por hackers, violações provocadas por ataques causados por ex-funcionários de empresas, violações causadas por pessoa mal-intencionadas. A afirmativa IV está correta, porque a política também precisa definir responsabilidadee penalidades adequadas no caso de infrações e a forma como ocorrerá a implementação. II e IV. I, III e IV. III e IV. 0,6 / 0,6 ptsPergunta 4 Leia o texto a seguir: Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000, que são respectivamente as certificações internacionais de gestão da qualidade e gestão ambiental para empresas. As marcas que conquistam essas normas costumam expor selos que informam a todos os públicos o fato de estarem adequadas a normas e práticas internacionais. Clientes, fornecedores, colaboradores e futuros clientes valorizam negócios que estejam nesse patamar. Afinal, são sinônimo de preocupação com a qualidade, a inovação e com o meio ambiente. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 7/18 Existe também uma certificação internacional que trata da segurança da informação em empresas. É a ISO 27000, focada no Sistema de Gestão de Segurança da Informação (SGSI), e tem como normas mais conhecidas as ISO 27001 e ISO 27002. Todo o seu conceito está relacionado a segurança da informação nos mais variados formatos. Foi projetada para ser aplicável a todos os tipos e tamanhos de empresas, desde multinacionais até os pequenos e médios empreendimentos. (...) Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de certificações – ou, como é comum ouvir, uma família. Dessa maneira, cada membro da família recebe uma denominação única e objetivos específicos. Existem mais de 40 normas, que foram desenvolvidas com base em procedimentos para a implementação nas empresas, havendo algumas também dedicadas exclusivamente a determinados segmentos de mercado. Um exemplo é a ISO 27011, que aborda a gestão da segurança da informação para empresas de telecomunicações, enquanto a ISO 27015 é dedicada a negócios do ramo de serviços financeiros. Existem outros focados em tópicos específicos da tecnologia da informação, como controles para cloud computing (ISO 27017) e segurança de redes (ISO 27033). (...) Fonte: ISO 27000: as vantagens da certificação de segurança da informação para o seu negócio. OSTEC. Disponível em: https://ostec.blog/geral/iso-27000-vantagens-certificacao- seguranca/ (https://ostec.blog/geral/iso-27000-vantagens-certificacao- seguranca/) . Acesso em: 09 de março de 2021. São diversas as normas que tratam de segurança da informação. Qual a resposta descreve corretamente uma norma da série ISO 27000 que pode ser usada em uma empresa que deseja fazer uma adequada Gestão de Riscos de Segurança da Informação? É uma norma que estabelece princípios e diretrizes genéricas de tratamento de riscos para qualquer indústria ou setor. A+ A A- https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/ 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 8/18 É uma norma que determina as condições de bom funcionamento para um SGSI. É uma norma que apresenta diretrizes de administração dos perigos na segurança da informação. A resposta está correta, contendo a descrição da norma ISO 27005, que trata de gestão de riscos com foco em segurança da informação, sendo, atualmente, uma norma muito usada na área, por ser bastante completa. É uma norma que descreve as boas práticas de gestão de segurança da informação. É uma norma que define como as empresas do ramo alimentício devem analisar seus riscos. 0,6 / 0,6 ptsPergunta 5 Leia o texto e analise a figura a seguir: A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão. De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades: A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 9/18 Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos de segurança da informação. QSP. Disponível em: https://www.qsp.org.br/artigo_27005.shtml (https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021. Qual alternativa indica corretamente as etapas de tratamento do risco? Monitoramento, análise e melhoria dos processos de prevenção ao risco. A+ A A- https://www.qsp.org.br/artigo_27005.shtml 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 10/18 Modificação, retenção, ação de evitar e compartilhamento do risco. As etapas do tratamento de risco são modificação, retenção, ação de evitar e compartilhamento do risco: A modificação ocorre através da implementação de controles específicos; O compartilhamento ocorre através da transferência do risco para terceiros; A retenção é a aceitação do risco, onde se toma conhecimento do mesmo, mas sem adoção de medidas de controle; A ação de evitar é a eliminação de atividade ou condição que dá origem a um determinado risco. Definição do contexto, identificação, análise e aceitação dos riscos. Identificação de ameaças, controles, vulnerabilidades e consequências. Instalar antivírus, antispam, firewall e proxy eficientes para proteção. 0,6 / 0,6 ptsPergunta 6 Leia o texto a seguir: Estabelecimento de uma Política de Segurança da Informação Para construir as políticas de segurança da organização, o comitê deve tomar como base os padrões e normas apresentados anteriormente, sendo que dentre eles, os mais recomendados para esta finalidade são: A BS7799/ISO17799 e as RFC´s de número 2196 (1997) e 2828 (2000). Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento que deve descrever as recomendações, as regras, as responsabilidades e as práticas de segurança. Entretanto, sabe-se que A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 11/18 não existe uma "Política de Segurança Modelo" que possa ser implementada em toda e qualquer organização, pois a Política deverá ser moldada à especificidade de cada caso. Portanto, elaborar uma Política de Segurança é uma tarefa complexa e que necessita ser constantemente monitorada, revisada e atualizada. Além disso, os seus resultados normalmente só poderão ser notados a médio e longo prazo. É fundamental a existência de uma política de segurança que seja realmente referência para os colaboradores da organização, possibilitando a garantia dos três princípios básicos da segurança da informação: integridade, disponibilidade e confiabilidade. O comitê criado deverá ser responsável pela gestão da segurança da informação, portanto, normalmente, este grupo propõe as políticas necessárias para gestão da segurança da informação e seus recursos. Buscando realizar a implantação, acompanhamento e revisões periódicas. Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação. JISTEM J.Inf.Syst. Technol. Manag. (Online) São Paulo, v. 2, n. 2, p. 121-136, 2005. pp. 128-129. Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807- 17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de 2020. Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas: I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. PORQUE II. A política de segurança da informação deve definir responsabilidade e penalidades adequadas no caso de infrações e a forma como ocorrerá a implementação. A respeito dessas asserções, assinale a opção correta. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 12/18 A asserção I é uma proposição falsa, e a asserção II é uma proposiçãoverdadeira. A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. Alternativa correta. A asserção I está correta, pois, segundo NBR ISO/IEC 27002:2005, o objetivo da política de segurança da informação é prover uma orientação e apoio da diretoria para a segurança de informação conforme os requisitos do negócio e as leis e regulamentações aplicáveis. A asserção II também é correta, pois ao elaborar a PSI é necessário: Entender e definir claramente o processo de desenvolvimento, estabelecer uma forma de obter dados da organização, definir responsabilidade e penalidades adequadas. A asserção II não é uma justificativa da asserção I, é uma complementação. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I e II são proposições falsas. 0,6 / 0,6 ptsPergunta 7 Leia o Texto: A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 13/18 O risco pode ser modificado por meio da inclusão, exclusão ou alteração de controles, de forma que o risco residual possa ser reduzido e, por conseguinte, aceito. Os controles selecionados devem satisfazer os critérios para aceitação do risco e os requisitos legais, regulatórios e contratuais. Devem considerar também custos, prazos, interação com outros controles, aspectos técnicos, culturais e ambientais, e demais restrições que possam afetar sua implementação. Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989. (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso em 27/10/2020 Dentre os tipos de proteção que os controles podem oferecer, há um que é descrito como sendo as atividades que implementam controles que visam reparar qualquer anormalidade. Qual é este tipo de controle? Conscientização Recuperação Correção Resposta correta, pois no tipo de controle de correção, as atividades implementarão controles que visem corrigir qualquer anormalidade. Prevenção Detecção 0,6 / 0,6 ptsPergunta 8 A+ A A- https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 14/18 Leia o texto: A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser aplicado na organização como um todo, ou a uma área específica da organização (...), a qualquer sistema de informações, a controles já existentes, planejados ou apenas a aspectos particulares de um controle. Essa norma apresenta também o processo de gestão de riscos de segurança da informação, descrevendo o funcionamento, as fases, entradas e saídas de tal processo, assim como os grupos de atividades previstas para cada subprocesso. Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743. (https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf) Acesso em 27/10/2020. Qual das alternativas abaixo se refere a etapa em que se identificam os riscos e determinam as ações necessárias para reduzir o risco a um nível aceitável pela organização? Definição do contexto. Aceitação do risco. Tratamento do risco. Comunicação do risco. Análise/Avaliação de riscos Resposta Correta. Análise/Avaliação de riscos é a etapa na qual se identificam os riscos e determinam as ações necessárias para reduzir o risco a um nível aceitável pela organização. É conveniente que os riscos sejam identificados, quantificados ou descritos qualitativamente, para então serem priorizados com base em critérios de avaliação de riscos e dos objetivos relevantes da organização. A+ A A- https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 15/18 0,6 / 0,6 ptsPergunta 9 Leia o texto a seguir: De acordo com a ISO 27002:2013: “Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.” Considerando a orientação acima, é perfeitamente possível entender que a classificação da informação poderá seguir tantos quantos níveis de classificação a complexidade do negócio exija, mas vias de regra, os níveis mais comuns de Classificação da Informação são: CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do acesso não autorizado à esta informação são severos e, possivelmente, irreversíveis. RESTRITO: impacto menor, mas consequências relevantes. USO INTERNO: constrangimento é maior que o impacto e suas consequências. PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou consequências ao negócio. Fonte: TELLES, W. Classificação da Informação: da teoria à prática. 06/07/2018. Disponível em https://cryptoid.com.br/banco-de- noticias/classificacao-da-informacao-da-teoria-a-pratica/ (https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao- da-teoria-a-pratica/) . Acesso em: 01 de junho de 2020. Em relação aos mecanismos de rotulação e controle de acesso, assinale a alternativa correta. A+ A A- https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/ 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 16/18 Base de dados de sistemas e aplicativos não devem receber classificação de informação. É possível a rotulação em documentos impressos através de etiquetas, carimbos e outras marcas visuais. Alternativa correta. Para rotular papéis o uso de etiquetas, carimbos e outras marcas visuais são recomendados, pode também ser inclusa no rodapé dos documentos ou até mesmo como marca d’água. Todas as regras para rotulação foram definidas na norma ISO 27.001. O controle de acesso físico só pode ser realizado com senha. Documentos eletrônicos como e-mail não devem ser rotulados. 0,6 / 0,6 ptsPergunta 10 Leia o texto a seguir: Risco: efeito da incerteza nos objetivos. NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 17/18 NOTA 4 O risco em segurança da informação é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (likelihood) associada de ocorrência. NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade. NOTA 6 O risco de segurança da informação está associado com o potencial de que ameaças possam explorar vulnerabilidades de um ativo de informação ou grupo de ativos de informação e, consequentemente, causar dano a uma organização. Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação. Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas: I. A organização e seus ativos apresentam vulnerabilidades que pode ser explorada por uma ameaça. PORQUE II. O risco de segurança da informação contém uma estimativa das consequências de eventos de segurança que produzem impactos nos objetivos de negócios.A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. A+ A A- 15/06/2022 19:03 AO2: Gestão de Riscos https://famonline.instructure.com/courses/20444/quizzes/90381 18/18 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é verdadeira, pois uma Ameaça é a “causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização” (ISO/IEC, 2004) e a Vulnerabilidade é uma “fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças”. A asserção II também é verdadeira, pois o risco de segurança de informação contém os efeitos de Evento de Segurança da Informação, que representa a ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança. Entretanto, não existe uma relação de causalidade que justifica a asserção I em função da asserção II. As asserções I e II são proposições falsas. Pontuação do teste: 5,4 de 6 A+ A A-
Compartilhar