AO2_ Gestão de Riscos- PROVA

Prévia do material em texto

05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 1/19
AO2
Entrega 12 dez em 23:59 Pontos 6 Perguntas 10
Disponível 1 dez em 0:00 - 12 dez em 23:59 12 dias Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 180 minutos 1,2 de 6
 As respostas corretas estarão disponíveis em 13 dez em 0:00.
Pontuação deste teste: 1,2 de 6
Enviado 5 dez em 15:02
Esta tentativa levou 180 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0 / 0,6 ptsPergunta 1IncorretaIncorreta
Leia o texto a seguir:
 
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve
focar nos mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco
inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos –
veja este artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro
ao comprar uma apólice de seguro.
https://famonline.instructure.com/courses/16279/quizzes/62142/history?version=1
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 2/19
- Evitar o risco parando uma atividade que é muito arriscada, ou
realizando-a de modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco
seria maior do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o
mínimo de investimento.
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a
ISO 27001 – 6 etapas básicas. Tradução de Rhand Leal. Disponível
em https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-
iso-27001-6-etapas-basicas/ (https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-
27001-6-etapas-basicas/) . Acesso em: 01 de junho de 2020.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido
pela organização, ocorrerá uma nova iteração no processo de gestão
de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de
controles para evitar, transferir ou mitigar riscos.
 
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 3/19
Esta alternativa está incorreta, pois as asserções I e II são
proposições verdadeiras, e a II é uma justificativa da I.
A asserção I está correta, pois caso o risco esteja acima do nível
de aceitação de riscos estabelecido pela organização, pode ser
necessária nova iteração.
A asserção II está correta, pois riscos residuais são os riscos
restantes após a implantação de controles para evitar, transferir
ou mitigar riscos. Após a implementação de um controle, pode ser
que o risco não tenha sido totalmente
Mitigado e esta diferença é denominada risco residual.
A asserção II é uma justificativa para a asserção I.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
0 / 0,6 ptsPergunta 2IncorretaIncorreta
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se
levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma
de códigos de praticas para a gestão de segurança da informação,
onde podem ser encontradas as melhores práticas para iniciar,
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 4/19
implementar, manter e melhorar a gestão de segurança da
informação (https://www.profissionaisti.com.br/2012/05/seguranca-da-
informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/)
 em uma organização. Para elaboração da política, são necessárias
algumas atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-
da-informacao-definicao-importancia-elaboracao-e-
implementacao/ (https://www.profissionaisti.com.br/politica-de-
seguranca-da-informacao-definicao-importancia-elaboracao-e-
implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações
a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem executados
no momento da realização de um procedimento de segurança. É
importante que exista uma estrutura de registro de que esses
procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que
estão baseadas na visão e na missão da empresa. Essas regras
representam as preocupações da organização sobre a segurança das
informações. 
III. A política de segurança deve considerar os negócios, os objetivos
da organização e sua cultura.
É verdadeiro o que se afirma em:
 I apenas. 
 III apenas. 
 I e III apenas. 
 II e III apenas. 
 I e II apenas. 
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 5/19
Alternativa incorreta. As afirmações I e III estão corretas.
Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem
executados no momento da realização de um procedimento de
segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados. Assim como a política
de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
A afirmação II está incorreta, pois os conjuntos de regras gerais
de nível estratégico que estão baseadas na visão e na missão da
empresa, que representam as preocupações da organização
sobre a segurança das informações, são as Diretrizes e não
normas.
0 / 0,6 ptsPergunta 3IncorretaIncorreta
Leia o texto a seguir:
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua
aplicação na gestão de riscos. Ao buscar o seu significado nos
dicionários, encontra-se, entre outras definições, que contexto é um
substantivo masculino que significa “inter-relação de circunstâncias
que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da
totalidade de circunstâncias que possibilitam, condicionam ou
determinam a realização de um texto, projeto, atividade ou mesmo de
um evento de segurança da informação. Em outras palavras, contexto
é o conjunto de circunstâncias que se relacionam de alguma forma
com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um
determinado assunto.
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 6/19
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de
Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que
envolve o evento em análise.II. São exemplos de escopo e limites: uma aplicação de TI, uma
infraestrutura de TI, um processo de negócio, departamento de TI,
entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade
e nível de risco presente na norma ISO 27005.
 
É correto o que se afirma em:
 II e III, apenas. 
 I, II e III. 
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 7/19
Esta alternativa está incorreta, pois apenas as afirmações I e II
estão corretas.
A afirmação I está correta, a etapa inicial do processo de Gestão
de Riscos é a Definição de Contexto, na qual ocorre a definição
do ambiente, escopo, critérios de avaliação, entre outras
definições. Esta etapa é fundamental para a equipe que realiza a
gestão de risco conhecer todas as informações sobre a
organização.
A afirmação II está correta, escopo é descrição dos limites do
projeto, sua abrangência, seus resultados e entregas. São
exemplos de escopo e limites: Uma aplicação de TI, A
infraestrutura de TI, um processo de negócio, o departamento de
TI, uma filial, o sistema de internet banking de uma instituição
financeira, o serviço de e-mail da organização, o processo de
controle de acesso físico da organização, o datacenter da
organização , o sistema logístico de distribuição de provas de
concurso público nacional, a intranet da organização, entre
outros.
A afirmação III está incorreta, pois a norma não define critérios
padronizados de risco e de criticidade. Os critérios são a forma e
o valor (pesos) com que serão valorados os riscos e os impacto.
 I, apenas. 
 I e II, apenas. 
 I e III, apenas 
0 / 0,6 ptsPergunta 4IncorretaIncorreta
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados
para a informação, leve em consideração as necessidades do negócio
para compartilhar ou restringir a informação bem como os requisitos
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 8/19
legais. Convém que outros ativos além dos ativos de informação
também sejam classificados de acordo com a classificação da
informação armazenada, processada, manuseada ou protegida pelo
ativo.”
Considerando a orientação acima, é perfeitamente possível entender
que a classificação da informação poderá seguir tantos quantos níveis
de classificação a complexidade do negócio exija, mas vias de regra,
os níveis mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as
consequências do acesso não autorizado à esta informação são
severos e, possivelmente, irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas
consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-
noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-
da-teoria-a-pratica/) . Acesso em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso,
assinale a alternativa correta.
 
Base de dados de sistemas e aplicativos não devem receber
classificação de informação.
 O controle de acesso físico só pode ser realizado com senha. 
 
Todas as regras para rotulação foram definidas na norma ISO 27.001. 
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 9/19
Alternativa incorreta.
Não há na norma ISO 27.001 regras de rotulação. A própria
empresa deve criar seus procedimentos.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas
visuais são recomendados, pode também ser inclusa no rodapé
dos documentos ou até mesmo como marca d’água.
 
É possível a rotulação em documentos impressos através de etiquetas,
carimbos e outras marcas visuais.
 Documentos eletrônicos como e-mail não devem ser rotulados. 
0 / 0,6 ptsPergunta 5IncorretaIncorreta
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos
pode ser aplicado na organização como um todo, ou a uma área
específica da organização (...), a qualquer sistema de informações, a
controles já existentes, planejados ou apenas a aspectos particulares
de um controle. Essa norma apresenta também o processo de gestão
de riscos de segurança da informação, descrevendo o funcionamento,
as fases, entradas e saídas de tal processo, assim como os grupos de
atividades previstas para cada subprocesso.
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.
(https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf)
 Acesso em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam
os riscos e determinam as ações necessárias para reduzir o risco a um
nível aceitável pela organização?
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 10/19
 Comunicação do risco. 
 Análise/Avaliação de riscos 
 Definição do contexto. 
 Aceitação do risco. 
 Tratamento do risco. 
Resposta incorreta.
Tratamento do risco é a etapa onde a partir dos resultados
obtidos nas etapas anteriores, são estabelecidos os controles
necessários para o tratamento do risco, sendo assim, as opções
para o tratamento dos riscos são selecionadas e o Plano de
Tratamento do Risco (PTR) é definido.
No entanto Análise/Avaliação de riscos é a etapa na qual se
identificam os riscos e determinam as ações necessárias para
reduzir o risco a um nível aceitável pela organização. É
conveniente que os riscos sejam identificados, quantificados ou
descritos qualitativamente, para então serem priorizados com
base em critérios de avaliação de riscos e dos objetivos
relevantes da organização.
0,6 / 0,6 ptsPergunta 6
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do
Processo Corporativo de Segurança da Informação e tem por objetivo
minimizar a ocorrência de ameaças que podem interferir
(negativamente) no recurso de informação utilizado pela organização
para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um
evento indesejado e da probabilidade de sua ocorrência. O processo
de avaliação de riscos quantifica ou descreve o risco qualitativamente,
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 11/19
e capacita os gestores a priorizar os riscos, de acordo com a sua
gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-
seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seu
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-
da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20o
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto
na disciplina, avalie as afirmações a seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que
possam causar uma perda potencial, evidenciando seu local, razão e
impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como:
informações, processos e sistemas) e, por isso, também as
organizações. Ameaças podem ser de origem natural ou humana, e
podem ser acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar
custos e trabalhos desnecessários, por exemplo, na duplicação de
controles. Além disso, é preciso testar os controles existentes – eles
são testados para assegurar que estão funcionando corretamente
É correto o que se afirma em:.
 I, II e III. 
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 12/19
Alternativa Correta. As afirmações I, II e III estão corretas, pois a
etapa de identificação de riscos é quando são determinados os
eventos que possam causar uma perda potencial, evidenciando
seu local, razão e impactos. Assim como, uma ameaça tem o
potencial de comprometer ativos, como informações, processos e
sistemas, e por isso, podem também comprometer as
organizações, elas podem ser de origem natural ou humana, e
podem ser acidentais ou intencionais. Finalmente, a identificação
de controles existentes é realizada para evitar custos e trabalhos
desnecessários, e tão importante quanto isso, é realizar testes
nos controles existentes, para assegurar que estão funcionando
corretamente.
 II apenas. 
 III apenas. 
 I apenas. 
 I e III apenas. 
0,6 / 0,6 ptsPergunta 7
Segundo a cartilha da Política de gestão de risco da Agência Nacional
de Saúde, considere as seguintes definições:
 
Nível de Risco: o nível de criticidade do risco, assim compreendido o
quanto um risco pode afetar os objetivos, processos de trabalho e
projetos da ANS, a partir de escala pré-definida de criticidades
possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os
riscos identificados, assim como as ações mínimas referentes ao
gerenciamento.
 
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 13/19
paralisação de operações, atividades, projetos, programas ou
processos da ANS, causando IMPACTOS IRREVERSÍVEIS nos
objetivos relacionados ao atendimento de metas, padrões ou à
capacidade de entrega de produtos/serviços às partes interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção
de operações, atividades, projetos, programas ou processos da ANS,
causando IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de
entrega de produtos/serviços às partes interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à
interrupção de operações ou atividades da ANS, de projetos,
programas ou processos, causando IMPACTOS SIGNIFICATIVOS nos
objetivos relacionados ao atendimento de metas, padrões ou à
capacidade de entrega de produtos/serviços às partes interessadas,
porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à
degradação de operações, atividades, projetos, programas ou
processos da ANS, causando IMPACTOS PEQUENOS nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de
entrega de produtos/serviços às partes interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à
degradação de operações, atividades, projetos, programas ou
processos da ANS, porém causando IMPACTOS MÍNIMOS nos
objetivos relacionado ao atendimento de metas, padrões ou à
capacidade de entrega de produtos/serviços às partes interessadas.
 
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institu
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/
gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
 
I. Riscos cujo nível seja extremo gerará impactos que dificilmente
podem ser revertidos nas atividades e nos objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a
probabilidade de ocorrência do evento.
III. Riscos classificados como nível baixo devem ser desconsiderados,
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 14/19
para as próximas etapas do processo de gestão de risco.
 
É correto o que se afirma em:
 I, apenas. 
Alternativa correta.
A afirmação I está correta, pois corresponde à classificação de
Nível de Risco Extremo definida pela ANS.
A afirmação II está incorreta, porque o nível de criticidade no risco
não deve levar em consideração a probabilidade de ocorrência,
que é considerada na Matriz de Risco na etapa de Avaliação do
Risco.
A afirmação III está incorreta, porque para o risco ser
desconsiderado, deve-se ir até a etapa de Tratamento do risco.
 I e III, apenas. 
 III, apenas. 
 I e III, apenas. 
 II, apenas. 
0 / 0,6 ptsPergunta 8IncorretaIncorreta
Leia o texto a seguir:
 
Identificação de riscos
 - Realizada para que se possa conhecer e determinar os possíveis
eventos com potencial de causar perdas, e fazer o levantamento de
como isso pode acontecer.
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 15/19
- Os resultados desta etapa serão os dados de entrada da etapa de
estimativa de riscos.
É importante que qualquer organização identifique as suas fontes de
risco, suas causas e consequências. A finalidade é gerar uma lista
abrangente de riscos baseada em eventos que possuam capacidade
de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos
seus objetivos.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013. p. 42.
Em qual das atividades da Identificação dos riscos que o resultado de
saída com uma lista de todos os controles existentes e planejados, sua
implementação e status de utilização?
 Identificação dos ativos. 
Alternativa incorreta.
Na etapa de Identificação de ativos é saída uma lista dos ativos
considerados sensíveis para a organização, assim como uma lista
dos negócios relacionados a estes ativos.
A resposta correta é atividade de identificação dos controles
existentes, onde o objetivo é identificar no ambiente do escopo os
controles que estão planejados para implementação, e os
controles já implementados e em uso corrente. Na saída dessa
atividade, é gerada uma lista de todos os controles existentes e
planejados, sua implementação e status de utilização.
 Implementação de controles. 
 Identificação dos controles desejados. 
 Identificação dos controles existentes. 
 Identificação de consequências. 
0 / 0,6 ptsPergunta 9IncorretaIncorreta
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 16/19
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de
cada um em relação à segurança dos recursos computacionais que
utiliza e as penalidades às quais está sujeito, caso não a cumpra.
É considerada como um importante mecanismo de segurança, tanto
para as instituições como para os usuários, pois com ela é possível
deixar claro o comportamento esperado de cada um. Desta forma,
casos de mau comportamento, que estejam previstos na política,
podem ser tratados de forma adequada pelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança
para Internet. Disponível em https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
 
I. Uma política de segurança é um documento aprovado pela alta
direção da empresa e que garante a provisão de recursos anuais para
a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de
tecnologia da empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer
de diversas maneiras: por meio de ataques provocados por hackers,
violações provocadas por ataques causados por ex-funcionários de
empresas, violações causadas por pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidas para evitar
as violações, assim como medidas adotadas após a ocorrência dos
fatos indesejáveis.
 
Estão corretas apenas as afirmativas:III e IV. 
https://cartilha.cert.br/mecanismos/
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 17/19
 II e IV. 
 I, II e III. 
Esta alternativa está incorreta, pois apenas as afirmativas I, III e
IV.
A afirmativa I está correta, pois, segundo a NBR ISO/IEC
27002:2005, o objetivo da política de segurança da informação é
prover uma orientação e apoio da diretoria para a segurança de
informação conforme os requisitos do negócio e as leis e
regulamentações aplicáveis.
A afirmativa II está incorreta, pois a política de segurança deve
ser divulgada em todas as áreas da empresa, sendo válida
também para terceiros que utilizem informações da empresa.
A afirmativa III está correta, pois violações podem ocorrer de
diversas maneiras: por meio de ataques provocados por hackers,
violações provocadas por ataques causados por ex-funcionários
de empresas, violações causadas por pessoa mal-intencionadas.
A afirmativa IV está correta, porque a política também precisa
definir responsabilidade e penalidades adequadas no caso de
infrações e a forma como ocorrerá a implementação.
 I, III e IV. 
 II, III e IV. 
0 / 0,6 ptsPergunta 10IncorretaIncorreta
Leia o texto a seguir:
 
Estabelecimento de uma Política de Segurança da Informação
Para construir as políticas de segurança da organização, o comitê
deve tomar como base os padrões e normas apresentados
anteriormente, sendo que dentre eles, os mais recomendados para
esta finalidade são: A BS7799/ISO17799 e as RFC´s de número 2196
(1997) e 2828 (2000).
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 18/19
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um
documento que deve descrever as recomendações, as regras, as
responsabilidades e as práticas de segurança. Entretanto, sabe-se que
não existe uma "Política de Segurança Modelo" que possa ser
implementada em toda e qualquer organização, pois a Política deverá
ser moldada à especificidade de cada caso. Portanto, elaborar uma
Política de Segurança é uma tarefa complexa e que necessita ser
constantemente monitorada, revisada e atualizada. Além disso, os
seus resultados normalmente só poderão ser notados a médio e longo
prazo. É fundamental a existência de uma política de segurança que
seja realmente referência para os colaboradores da organização,
possibilitando a garantia dos três princípios básicos da segurança da
informação: integridade, disponibilidade e confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da
informação, portanto, normalmente, este grupo propõe as políticas
necessárias para gestão da segurança da informação e seus recursos.
Buscando realizar a implantação, acompanhamento e revisões
periódicas.
 
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para
implantação de um Sistema de Gestão de Segurança da Informação.
JISTEM J.Inf.Syst. Technol. Manag. (Online) São Paulo, v. 2, n. 2, p.
121-136, 2005. pp. 128-129. Disponível em:
http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807-
17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de
2020.
Considerando as informações apresentadas, avalie as asserções a
seguir e a relação entre elas:
 
I. Por meio da Política de Segurança da Informação (PSI), a empresa
formaliza suas estratégias e abordagens para a preservação de seus
ativos.
PORQUE
II. A política de segurança da informação deve definir responsabilidade
e penalidades adequadas no caso de infrações e a forma como
ocorrerá a implementação.
 
A respeito dessas asserções, assinale a opção correta.
05/12/2021 15:03 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 19/19
 A asserção I e II são proposições falsas. 
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
Alternativa incorreta, pois as asserções I e II são proposições
verdadeiras, mas a II não é uma justificativa da I.
A asserção I está correta, pois, segundo NBR ISO/IEC
27002:2005, o objetivo da política de segurança da informação é
prover uma orientação e apoio da diretoria para a segurança de
informação conforme os requisitos do negócio e as leis e
regulamentações aplicáveis.
A asserção II também é correta, pois ao elaborar a PSI é
necessário: Entender e definir claramente o processo de
desenvolvimento, estabelecer uma forma de obter dados da
organização, definir responsabilidade e penalidades adequadas.
A asserção II não é uma justificativa da asserção I, é uma
complementação.
Pontuação do teste: 1,2 de 6