Atividade Objetiva 1_ Gestão de Riscos

Prévia do material em texto

27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 1/11
Atividade Objetiva 1
Entrega 21 jun em 23:59 Pontos 1 Perguntas 5
Disponível até 21 jun em 23:59 Limite de tempo Nenhum
Tentativas permitidas 2
Instruções
Este teste foi travado 21 jun em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MANTIDO Tentativa 2 15 minutos 1 de 1
MAIS RECENTE Tentativa 2 15 minutos 1 de 1
Tentativa 1 15.773 minutos 0,4 de 1
Pontuação desta tentativa: 1 de 1
Enviado 15 jun em 12:11
Esta tentativa levou 15 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você
clique em "FAZER O QUESTIONÁRIO", no final da página.
0,2 / 0,2 ptsPergunta 1
Leia o texto a seguir:
Uma das principais necessidades que temos como organização e até como
seres humanos, independentemente do setor no qual nossos negócios são
desenvolvidos (saúde, educação, finanças, governo etc.), é a segurança da
informação, que é parte ativa e fundamental do ecossistema tecnológico
atual.
A segurança da informação vem sendo trabalhada há vários anos em
empresas, tenham elas mais ou menos maturidade. E ao longo do tempo,
novas práticas, regulamentações e até novos conceitos como a própria
segurança cibernética vão sendo introduzidos.
Construir uma estratégia abrangente, peça por peça
A+
A
A-
https://famonline.instructure.com/courses/22973/quizzes/100619/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100619/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100619/history?version=1
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 2/11
A segurança cibernética inclui uma série de estratégias, metodologias e
tecnologias que trabalham juntas para nos proteger contra ameaças
digitais atuais e futuras. No entanto, quando realizamos auditorias de
segurança, tanto internas como externas à TI nas organizações,
descobrimos que a maioria delas não possui uma estratégia real em
termos de implementação de projetos de segurança cibernética e, de fato,
persiste um forte desconhecimento da gestão de riscos, que é a peça
chave no desenvolvimento de qualquer arquitetura tecnológica,
independentemente de onde ela reside (data center, nuvem, terceiros etc.).
Fonte: Oscar Cortes. Cibersegurança entendida como um jogo de quebra-
cabeças. Itforum365. 20/08/2019. Disponível em
https://itforum365.com.br/ciberseguranca-entendida-como-um-jogo-
de-quebra-cabecas/ (https://itforum365.com.br/ciberseguranca-entendida-
como-um-jogo-de-quebra-cabecas/) . Acesso em: 12 de maio 2020.
Com base na reportagem e no processo de gestão de riscos de segurança
da informação, considere as seguintes afirmações:
 
I. Pode-se definir um risco de segurança como um evento que tenha
probabilidade de ocorrência não nula e que incorra em danos a uma
organização.
 
II. Como existe uma quantidade infinita de eventos negativos que podem
ocorrer, devem ser adotados controles de segurança para neutralizar cada
um destes eventos.
 
III. Uma vez feito o processo de identificação de riscos, a empresa não
precisa mais o refazer.
 
É correto o que se afirma em:
 I, apenas. Correto!Correto!
A+
A
A-
https://itforum365.com.br/ciberseguranca-entendida-como-um-jogo-de-quebra-cabecas/
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 3/11
Alternativa correta.
A afirmação I está correta, pois um risco de segurança é evento
hipotético que possui chance de ocorrência futura que não é nula e
que apresenta impacto negativo significante.
A afirmação II está incorreta, já que nem todos os riscos identificados
irão necessitar de proteção, mas há risco que a empresa possa
assumir. Por exemplo, quando a probabilidade de ocorrência é baixa e
o impacto é baixo.
A afirmação III está incorreta, já que o processo de gerenciamento de
riscos é iterativo. Assim, depois de realizada a identificação de novos
riscos, pode ser apontada e a empresa deverá refazer essa etapa do
processo.
Assim, somente a afirmação I está correta.
 I e III, apenas. 
 II, apenas. 
 II e III apenas. 
 III, apenas. 
0,2 / 0,2 ptsPergunta 2
Leia o texto a seguir:
Disponibilidade, integridade e confidencialidade são os três principais
critérios de segurança da informação para uso nas organizações em geral,
sendo também utilizados outros como a autenticidade, o não repúdio, a
contabilização, a confiança e a conformidade. Além dos critérios ou
objetivos citados, a informação também apresenta como critérios de
mensuração de consequências a efetividade e a eficiência, entre outros:
a) [Confidencialidade] “propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou processos não
autorizados” (ABNT, 2006);
b) [Integridade] “propriedade de salvaguarda da exatidão e completeza de
ativos” (ABNT, 2006);]
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 4/11
c) [Disponibilidade] “propriedade de que (um sistema de) informação esteja
acessí vel e utilizável sob demanda por uma entidade autorizada” (ABNT,
2006);]
 
Fonte: FERNANDES, J. H. C. Introdução à gestão de riscos de
segurança da informação. CEGSIC 2009-2011 v1.2. Brasília: UnB, 2009.
Considere a seguintes afirmações:
 
I. O impacto sobre o negócio da organização deve ser avaliado
considerando as consequências de uma violação da segurança da
informação.
 
II. A análise quantitativa é suficiente para identificar os riscos aos quais
uma organização está sujeita.
 
III. Ameaças podem ser acidentais ou intencionais e somente as ameaças
intencionais devem ser identificadas.
 
É correto o que se afirma em:
 
 I, II e III. 
 I e II, apenas. 
 III, apenas. 
 II e III, apenas. 
 I, apenas. Correto!Correto!
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 5/11
A afirmação I está correta, pois os impactos sobre o negócio da
organização, que pode ser causado por incidentes relacionados à
segurança da informação, deve ser avaliado considerando as
consequências de uma violação da segurança da informação, como
por exemplo: a perda da confidencialidade, da integridade ou da
disponibilidade dos ativos.
A afirmação II está incorreta, pois é utilizada tanto a análise
quantitativa quanto a análise qualitativa, pois a análise quantitativa irá
se limitar a eventos já ocorridos.
A afirmação III está incorreta, pois tanto as ameaças intencionais
quanto acidentais devem ser identificadas, para que esses riscos
causados por essas ameaças acidentais possam ser identificados,
avaliados e tratados. Assim, somente a afirmação I está correta.
0,2 / 0,2 ptsPergunta 3
O texto a seguir foi extraído do Manual de gestão de riscos do INPI:
 
Avaliação de a probabilidade de um risco ocorrer, através da escala:
Muito baixa (1) – baixíssima possibilidade de o evento ocorrer, embora
ainda não tenha ocorrido.
Baixa (2) – o evento ocorre raramente.
Média (3) – o evento já ocorreu algumas vezes e pode voltar a ocorrer.
Alta (4) – o evento já ocorreu repetidas vezes e provavelmente voltará a
ocorrer muitas vezes.
Avaliação de impacto na organização, dada a ocorrência do risco, através
da escala:
Muito baixo (1) – consequências insignificantes caso o evento ocorra.
Baixo (2) – consequências menores em atividades ou processos que
não sejam considerados prioritários.
Médio (3) – consequências relevantes em atividades e processos que
não sejam considerados prioritários, ou consequências menores em
atividades e processos prioritários.
Alto (4) – consequências relevantes em atividades e processos
prioritários.
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 6/11
Fonte: BRASIL.Instituto Nacional da Propriedade Industrial. Manual de
gestão de riscos do INPI. Rio de Janeiro: INPI, 2018. pp. 14-15.
 
Para essa empresa, o limite entre riscos aceitáveis ou não, pode ser
visualizado graficamente entre as áreas em laranja e vermelho.
Considere as informações apresentadas, analise as afirmações a seguir:
 
I. A escala de criticidade resulta em uma ordem de priorização. Isso quer
dizer que quanto mais crítico estiver algum risco, maior será sua pontuação
na ordem de priorização, e, portanto, maior prioridade deve ser dada para
tratar e gerenciar determinado risco.
 
II. Avaliando-se as combinações de probabilidade e impacto, é gerada uma
classificação do nível de risco para cada evento identificado.
 
III. Para todos os critérios de identificação de riscos, os dados quantitativos
baseados em histórico com critérios bem estabelecidos é o único critério
obrigatório para realizar essas identificações.
 
É correto o que se afirma em:
 I e II, apenas. Correto!Correto!
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 7/11
Alternativa correta.
A afirmação I está correta, pois são levantados os eventos de nível de
riscos mais alto para empresa, e estes são priorizados para o controle.
A afirmação II está correta, pois a Matriz de probabilidade e impacto
combina tanto a probabilidade de ocorrência de um evento com seu
nível de criticidade.
A afirmação III está incorreta, pois também são utilizados dados de
análises qualitativas com entrevistas com as partes interessadas,
brainstormings a partir de reuniões com uma equipe multidisciplinar,
questionários e consultas a relatórios contendo histórico de lições
aprendidas ou resultantes de trabalho de auditoria, corregedoria e
ouvidoria do órgão (dependendo do tipo de natureza do risco
analisado), e elaboração de diagramas de causa e efeito.
Assim, somente as afirmações I e II estão corretas.
 II e III, apenas. 
 I e III, apenas. 
 I, II e III. 
 I, apenas. 
0,2 / 0,2 ptsPergunta 4
Leia o texto a seguir:
 
A ISO/IEC 27005 define o processo de gestão de risco como atividades
coordenadas para dirigir e controlar o risco de uma organização (LUND;
SOLHAUG; STØLEN, 2010).
Neste contexto, o processo de gestão de riscos é definido por oito
atividades, como pode ser observado na Figura 1.
Para cada atividade da norma são propostas diretrizes para implementação
que serão brevemente descritas a seguir (ABNT NBR ISO/IEC 27005,
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 8/11
2008).
Figura 1: Processo de gestão de riscos de segurança da informação (ABNT
NBR ISO/IEC 27005, 2008).
 
Fonte: KONZEN, M. P. FONTOURA, L. M. NUNES, R. C. Gestão de Riscos
de Segurança da Informação Baseada na Norma ISO/IEC 27005 Usando
Padrões de Segurança. IX SEGet 2012. Resende/RJ, 2012.
Na etapa de Identificação de Riscos do processo de Gestão de Riscos de
Segurança da Informação, a saída gerada é
 
a garantia permanente da relevância do processo de gestão de riscos para
os objetivos de negócio da organização ou a atualização do processo
 
uma lista de riscos priorizados conforme critérios de aceitação previamente
estabelecidos.
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 9/11
 
uma lista dos ativos considerados sensíveis para a organização e uma lista
dos negócios relacionados a estes ativos.
Correto!Correto!
Alternativa correta.
Como resultado da etapa de identificação de riscos, é elaborada uma
lista de cenários de incidentes com suas consequências associadas
aos ativos e processos do negócio.
 
uma lista de riscos aceitos e justificativas para aqueles que não satisfizeram
os critérios definidos.
 
Baseada nos critérios básicos para Gestão de Risco de Segurança da
Informação (GRSI), escopo e limites do Gestão de Risco de Segurança da
Informação (SGRSI).
0,2 / 0,2 ptsPergunta 5
Leia o texto a seguir:
 
A Matriz de Responsabilidade pode fundamentar as estratégias
organizacionais de proteção, pois representa uma justificativa para os
investimentos conforme a influência dos perigos nos resultados da
organização.
A figura a seguir ilustra o grau de probabilidade de ocorrência de riscos e o
impacto desses riscos, na ECT, Empresa Brasileira de Correios e
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 10/11
Telégrafos. 
Figura 1: Matriz de Responsabilidades
 
 
Fonte: SILVA, L. F. C. P. Gestão de riscos em Tecnologia da Informação
como fator crítico de sucesso na Gestão da Segurança da
Informações dos órgãos da Administração Pública Federal: estudo de
caso da Empresa Brasileira de Correios e Telégrafos – ECT. Brasília:
Universidade de Brasília, 2010. p. 86. Adaptado.
 
A análise de impacto considera aspectos de imagem, financeiro, legal,
operacional e social. Malware são softwares maliciosos que podem ser
instalados em equipamentos da empresa ou em sistemas.
Considerando as informações apresentadas, assinale a opção correta.
 
O risco de Furto por ter baixa probabilidade não precisa ser monitorado nem
precisa de controles.
 
O maior risco apontado na matriz são os Malwares, que apresentam alta
probabilidade de ocorrência e impacto severo e necessita de soluções como
firewalls e anti-malwares.
Correto!Correto!
A+
A
A-
27/06/22, 12:03 Atividade Objetiva 1: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100619 11/11
Alternativa correta.
Como apontado na matriz de responsabilidades, os malwares
apresentam grau de probabilidade alta e impacto severo, já que
poderão afetar os sistemas de informação e contaminar diversos
computadores da empresa. Qualquer sistema computacional
interligado em rede está exposto a esse risco, mas existem soluções
de prevenção para esse tipo de ataque como sistemas de prevenção
de instrução (IPS), firewalls, soluções anti-malware e processo de
conscientização de usuários internos.
 
Os erros humanos não precisam ser gerenciados, pois impactos menores
que moderados e esse tipo de erro não tem como ser evitado.
 
Como no Brasil não ocorrem terremotos nem tsunamis, é possível ignorar o
risco de desastre naturais.
 
Somente os riscos que estão no quadrante I devem ser gerenciados,
monitorados e tratados.
Pontuação do teste: 1 de 1
A+
A
A-