Atividade Objetiva 2_ Gestão de Riscos

Prévia do material em texto

27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 1/12
Atividade Objetiva 2
Entrega 21 jun em 23:59 Pontos 1,5 Perguntas 5
Disponível até 21 jun em 23:59 Limite de tempo Nenhum
Tentativas permitidas 2
Instruções
Este teste foi travado 21 jun em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MANTIDO Tentativa 2 17 minutos 1,5 de 1,5
MAIS RECENTE Tentativa 2 17 minutos 1,5 de 1,5
Tentativa 1 2 minutos 0,9 de 1,5
Pontuação desta tentativa: 1,5 de 1,5
Enviado 15 jun em 16:50
Esta tentativa levou 17 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você
clique em "FAZER O QUESTIONÁRIO", no final da página.
0,3 / 0,3 ptsPergunta 1
Leia o texto a seguir:
 
Os riscos existem e estão a nossa volta o tempo todo. Dificilmente vamos
eliminá-los. Podemos minimizá-los, mas para isso, a busca por
conformidade, confiabilidade, eficiência, eficácia, governança e qualquer
outro adjetivo que suporte as informações e a manutenção das
organizações será bem-vinda, pois a busca pela continuidade dos negócios
e pela boa prática de governança corporativa deve ser inserida em todas
as atividades empresariais, para as pequenas, médias e grandes
companhias.
A+
A
A-
https://famonline.instructure.com/courses/22973/quizzes/100632/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100632/history?version=2
https://famonline.instructure.com/courses/22973/quizzes/100632/history?version=1
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 2/12
O bom senso e o conhecimento de negócio auxiliam na busca por essa tão
falada conformidade e devemos atentar que, em muitos casos, as regras
parecem impossíveis de serem aplicadas, mas devemos avaliar até que
ponto devemos colocá-las em prática sem causar danos à organização.
Ninguém está obrigado a fazer nada desde que possa justificar a sua
atitude. A busca pelos controles internos e contábeis e pela gestão de
riscos vai de encontro ao apetite de risco da organização e como minimizar
o risco corporativo.
 Portanto, minimizar riscos é conhecer, prevenir e monitorá-los sempre que
possível, pois eles não são evidenciados somente nas fraudes. Erros e
negligência também fazem parte. É bom avaliar sempre isso.
 
Fonte: ASSI, M. Gestão De Riscos Com Controles Internos: Como
vencer os desafios e manter a eficiência dos negócios. 1. ed. São Paulo:
Saint Paul Editora, 2012, p. 142.
Considerando as informações apresentadas, analise as afirmações a
seguir:
 
I. Após a etapa de Tratamento do Risco, ocorre a decisão de a aceitação
ou retenção de riscos, ação de evitar outros riscos ou a transferência de
alguns desses riscos a outros agentes.
II. A eliminação do risco depende de um complexo diagrama de controles
de risco.
III. Caso o risco residual for maior que o risco máximo aceitável, a empresa
terá uma implementação ineficiente do processo de gestão de riscos.
 
É correto o que se afirma em:
 I e III, apenas. 
 II, apenas. 
 I e II, apenas. 
 II e III, apenas. 
 I, apenas. Correto!Correto!
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 3/12
A afirmação I está correta, pois a etapa de Tratamento do Risco
proporciona 4 ações: Retenção, Aceitação, Compartilhamento e
Impedimento do Risco.
A afirmação II está incorreta, pois o risco não pode ser eliminado, mas
gerenciado, fato abordado no texto.
A afirmação III está incorreta, pois caso o risco residual fique maior
que o máximo risco aceitável, será realizada mais uma iteração do
processo de gestão de risco, partindo da definição de contexto.
Assim, somente afirmação I está correta.
0,3 / 0,3 ptsPergunta 2
Leia o texto a seguir:
 
À medida que desenvolver estratégia de risco, você deverá entender as
respostas mais comuns. Você pode reduzi-los, transferi-los, aceitá-los ou
evitá-los.
Atenuação (redução) de risco – Esta abordagem usa diversos controles
para atenuar ou reduzir riscos identificados. Esses controles podem ser
administrativos, técnicos ou físicos.
 
Fonte: KIM, D. SOLOMON, M. G. Fundamentos da Segurança de
Informação. Rio de Janeiro: LTC: 2014, p. 198.
Aponte a alternativa que possui uma estratégia de modificação do risco.
 
 
Empresa exportadora que deseja especular o valor do dólar para daqui 1
ano.
 
Restaurante contrata uma empresa terceirizada para administrar as áreas
de estacionamento.
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 4/12
 
Utilização de software antivírus e de firewall para reduzir a infecção nos
computadores da empresa e na rede.
Correto!Correto!
Alternativa correta.
A Utilização de software antivírus e de firewall são ações que
contribuem para reduzir a infecção nos computadores da empresa e
na rede, diminuindo o risco de segurança da informação da empresa.
 
Um médico compra um seguro contra negligência médica e aceita risco
residual de perda igual à franquia.
 
Não abrir uma filial em um país que seja alvo de tumulto político ou
movimentos sociais frequentes.
0,3 / 0,3 ptsPergunta 3
Leia o texto a seguir:
 
A figura a seguir apresenta graficamente a localização das atividades no
processo de gestão de riscos:
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 5/12
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013.
Existem duas atividades que devem ocorrer a todo o tempo:
acompanhamento do dinamismo dos riscos e ameaças deve ser feito
através do monitoramento dos ativos, vulnerabilidades e probabilidades. A
partir disso, avalie as asserções a seguir e a relação entre elas:
 
I. As fases de Comunicação do risco e Monitoramento e análise crítica são
permanentes e desenvolvidas simultaneamente com as demais fases do
processo de gestão de riscos.
 
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 6/12
PORQUE
 
II. Com o monitoramento, a organização verifica se todos os recursos
necessários à gestão e tratamento do risco estão disponíveis, e a
verificação da necessidade de mudanças nos critérios, na metodologia ou
nas ferramentas utilizada e, através da comunicação, as informações sobre
o desenvolvimento das atividades e os resultados alcançados são
transmitidas.
 
A respeito dessas asserções, assinale a opção correta:
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da
I.
Correto!Correto!
Alternativa correta.
A asserção I está correta, pois algumas atividades como a Definição
de Contexto, Identificação de Risco, Análise de Riscos, Avaliação de
Riscos, Tratamento de riscos e Aceitação de Riscos possuem
momentos de realização bem definidos, pois as entradas necessárias
por estas são estão disponíveis quando a etapa anterior é finalizada.
Enquanto as etapas de Comunicação e Monitoramento ocorrem
durante todo o processo.
A asserção II está correta, pois o monitoramento é a observação
contínua e o registro regular das atividades e ações da gestão de
riscos. O monitoramento O monitoramento deve ser feito para garantir
que tratamento do risco está sendo implementado conforme
planejados, novos ativos foram incluídos no escopo da gestão de
riscos e os controles selecionados como de resposta ao risco ainda
estão eficazes. A comunicação do risco também deve ocorrer forma
contínua, pois através dela que são transmitidas informações sobre o
desenvolvimento das atividades e os resultados alcançados.
Assim, a asserção II justifica a asserção I.
 
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
 As asserções I eII são proposições falsas. 
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 7/12
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
0,3 / 0,3 ptsPergunta 4
Leia o texto a seguir:
 
Os benefícios do monitoramento para a segurança de uma empresa
 
Mas quais são exatamente esses benefícios que um bom monitoramento
de segurança da informação traz para uma empresa? Listamos as
vantagens que vão muito além da simples proteção de dados:
 
Confiabilidade e disponibilidade
Dados seguros significam um sistema mais confiável. Essa máxima já foi
experimentada e aprovada em diversos negócios que investiram em
segurança da informação e receberam em troca processos mais estáveis,
disponibilidade facilitada de dados e informações sensíveis e a capacidade
de trabalho remoto com total controle de acesso, visualização e edição de
arquivos sem riscos para a empresa.
 
Aumento da produtividade
E esse é o motivador principal para a otimização do trabalho dentro da
empresa. Sim, segurança também gera produtividade! Isso acontece
porque um bom monitoramento do sistema garante menos vulnerabilidades
que, por consequência, significa menos tempo indisponível para
manutenção ou recuperação de desastres.
 
Além disso, o controle de acesso através do monitoramento reduz a perda
de tempo com o mau uso da internet por funcionários, que muitas vezes
perdem o foco navegando em sites não pertinentes ao negócio e redes
sociais.
 
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 8/12
Ajustes estratégicos
Além de facilitar o trabalho dos funcionários, a segurança da informação
bem monitorada é também uma ferramenta para o gerente de TI e o resto
da diretoria.
 
Quanto melhor o monitoramento, melhor é a estratégia de prevenção e
mais rápida é a resposta a ameaças. É ainda a base para implementar um
processo de melhoria continuada, como o famoso PDCA (Plan, Do, Check,
Act). Garantir um ciclo de iteração é uma forma de estar sempre à frente
das ameaças.
 
Redução de custos
Por fim, o aumento da produtividade, simplificação de processos e mais
tempo de sistema disponível resultam em economia para qualquer
empresa. Por um lado, gasta-se menos com estrutura e combate a
incêndios, por outro, aumenta-se a eficiência da operação.
 
Esse dinheiro a mais, inclusive, pode ser reinvestido na própria segurança
da informação, como na compra de novos equipamentos ou na contratação
de empresas especializadas. Assim, cria-se um ciclo virtuoso de
monitoramento para uma empresa ainda mais competitiva.
 
 
Fonte: Importância de monitorar a segurança da informação para sua
gestão. Strong security. 19/09/2017. Disponível em:
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-
seguranca-da-informacao-para-sua-gestao/
(https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-
seguranca-da-informacao-para-sua-gestao/) . Acesso em: 29 de maio de
2020.
Para o planejamento da etapa de monitoração de riscos, considere as
seguintes atividades.
 
I. Incluir novos ativos no escopo da gestão de riscos.
 
II. Avaliar a eficiência da redução de riscos.
 
A+
A
A-
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 9/12
III. Elaborar o Plano de tratamento do risco e dos riscos residuais.
 
IV. Calcular as probabilidades dos cenários de incidentes no método
quantitativo ou qualitativo.
 
Assinale a alternativa com atividades da etapa de monitoramento de riscos,
apenas.
 I e II. Correto!Correto!
O monitoramento é a atividade de identificar e de assegurar o controle
do risco, monitorando riscos residuais e identificando novas ameaças e
vulnerabilidades, assegurando a execução dos planos de tratamento
do risco e avaliando sua eficiência e eficácia na redução dos riscos.
Assim, as atividades “Incluir novos ativos no escopo da gestão de
riscos” (I) e “Avaliar a eficiência da redução de riscos são parte da
monitoração de risco” (II).
A atividade “Elaborar o Plano de tratamento do risco e dos riscos
residuais” (III) ocorre na etapa de Tratamento do Risco e não
monitoramento. A atividade “Calcular as probabilidades dos cenários
de incidentes no método quantitativo ou qualitativo” (IV) ocorre na
etapa de Avaliação do Risco.
Assim, somente as atividades I e II ocorrem na etapa de Monitoração
de Riscos.
 III e IV. 
 II e III. 
 I, II e III. 
 I e IV. 
0,3 / 0,3 ptsPergunta 5
Leia o texto a seguir:
 
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 10/12
PSR = Probabilidade x Severidade x Relevância - os fatores da
Probabilidade e Severidade são pontuados durante as análises técnicas e
a Relevância pontuada no processo de levantamento dos ativos,
considerando-se a importância do ativo para o negócio ou serviço. Assim, o
valor do risco de um ativo é obtido pelo somatório dos produtos dos três
fatores (P x S x R) calculado cada uma das ameaças ao ativo em análise.
 
A tabela 7 a seguir demonstra a distribuição dos possíveis valores de Risco
(PSR):
Da tabela anterior são identificadas e definidas as faixas para os níveis de
risco que irão orientar a priorização da faze de tratamento dos riscos,
priorizando o tratamento dos riscos mais altos, conforme a Tabela 8 a
seguir.
 
Como risco aceitável, o Ministério da Saúde considera os níveis que
apresentarem PSR Baixo ou Muito Baixo. Portanto, deverão ser tratados os
riscos Muito Alto, Alto e Médio, cabendo ao Gestor da área analisar os
casos especiais, nos quais a aceitação do risco é justificável. Podem ser
entendidos como casos especiais, dentre outros, as atividades temporárias
ou de curto prazo; a implantação de controles cujo custo supera o valor da
consequência causada pela ocorrência do evento.
 
A+
A
A-
27/06/22, 12:06 Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 11/12
Fonte: BRASIL. Ministério Da Saúde. Metodologia De Gestão De Riscos
De Segurança Da Informação e Comunicações Do Ministério Da
Saúde. Brasília, 2015. Disponível em: https://datasus.saude.gov.br/wp-
content/uploads/2019/12/MS-Metodologia-de-Gesto-de-
Riscos_v20141105.pdf (https://datasus.saude.gov.br/wp-
content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf)
. Acesso em: 29 de maio de 2020. Adaptado.
Considerando a metodologia de gestão de risco adotado no Ministério da
Saúde, assinale a alternativa correta.
 
Para uma ameaça de queima da fonte das estações de trabalho, cujo PSR =
8, é necessário o tratamento desse risco, com o compra de nobreak para
todas as estações de trabalho.
 
Para uma ameaça de ataques de Hackers, cujo PSR = 40, não é necessário
a realização de tratamento desse risco, pois os hackers não vão atacar o
Ministério da Saúde.
 
Para uma ameaça de acesso indevido, cujo PSR = 75, é necessário o
tratamento desse risco através de controle biométrico ou certificados
digitais.
Correto!Correto!
Alternativa correta.
Para um indicador PSR = 75, pela tabela 8, opera-se com um nível de
risco muito alto. Para esse nível de risco, é necessário o tratamento do
risco. Como a ameaça é de acesso indevido, o uso de controle
biométrico e/ou certificados digitais pode ser um tratamento para esse
risco.
 
A Avaliação de controle de riscos é de 2015, período anterior à pandemia do
Corona Vírus e, portanto, não é mais válida.
 
Para uma ameaça de sobrecarga de energia no servidor WEB, cujo PSR =
50, não é necessário a realização de tratamento desse risco, pois PSR=50
corresponde a nível de risco baixo.
A+
A
A-
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
27/06/22, 12:06Atividade Objetiva 2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100632 12/12
Pontuação do teste: 1,5 de 1,5
A+
A
A-