GESTÃO DE RISCO _ Teste_ AO2

Prévia do material em texto

15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 1/13
AO2
Iniciado: 15 jun em 15:57
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 ptsPergunta 1
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a
informação, leve em consideração as necessidades do negócio para compartilhar
ou restringir a informação bem como os requisitos legais. Convém que outros
ativos além dos ativos de informação também sejam classificados de acordo com
a classificação da informação armazenada, processada, manuseada ou protegida
pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a
classificação da informação poderá seguir tantos quantos níveis de classificação
a complexidade do negócio exija, mas vias de regra, os níveis mais comuns de
Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do
acesso não autorizado à esta informação são severos e, possivelmente,
irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-
noticias/classificacao-da-informacao-da-teoria-a-pratica/
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 2/13
O controle de acesso físico só pode ser realizado com senha.
Documentos eletrônicos como e-mail não devem ser rotulados.
Base de dados de sistemas e aplicativos não devem receber classificação de
informação.
Todas as regras para rotulação foram definidas na norma ISO 27.001.
É possível a rotulação em documentos impressos através de etiquetas, carimbos e
outras marcas visuais.
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-
pratica/) . Acesso em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a
alternativa correta.
0,6 ptsPergunta 2
Leia o texto a seguir:
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua aplicação na
gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre
outras definições, que contexto é um substantivo masculino que significa “inter-
relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade
de circunstâncias que possibilitam, condicionam ou determinam a realização de
um texto, projeto, atividade ou mesmo de um evento de segurança da
informação. Em outras palavras, contexto é o conjunto de circunstâncias que se
relacionam de alguma forma com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um determinado
assunto.
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 3/13
II e III, apenas.
I, apenas.
I e III, apenas
I, II e III.
I e II, apenas.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o
evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de
TI, um processo de negócio, departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de
risco presente na norma ISO 27005.
 
É correto o que se afirma em:
0,6 ptsPergunta 3
Leia o texto a seguir:
 
Identificação de riscos
 - Realizada para que se possa conhecer e determinar os possíveis eventos com
potencial de causar perdas, e fazer o levantamento de como isso pode acontecer.
- Os resultados desta etapa serão os dados de entrada da etapa de estimativa de
riscos.
É importante que qualquer organização identifique as suas fontes de risco, suas
causas e consequências. A finalidade é gerar uma lista abrangente de riscos
A+
A
A-
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 4/13
Implementação de controles.
Identificação dos controles existentes.
Identificação de consequências.
Identificação dos controles desejados.
Identificação dos ativos.
baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir,
acelerar ou atrasar a conquista dos seus objetivos.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 42.
Em qual das atividades da Identificação dos riscos que o resultado de saída com
uma lista de todos os controles existentes e planejados, sua implementação e
status de utilização?
0,6 ptsPergunta 4
Leia o texto a seguir:
 
Com o crescimento exponencial dos ataques realizados por cibercriminosos e a
dependência cada vez maior das empresas pelos recursos tecnológicos, realizar
uma análise de riscos em TI é essencial, não só para se proteger, mas para
seguir sobrevivendo no mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais as
empresas se preocuparem apenas com firewalls e sistemas antivírus. É preciso
criar uma cultura de proatividade em busca das melhores tecnologias e técnicas
para manter os seus dados e os de seus clientes a salvo de pessoas mal-
intencionadas.
A análise de riscos é uma técnica de levantamento de informações acerca de
processos e sistemas utilizados na empresa de modo a melhorar a governança
de ativos de TI em relação às vulnerabilidades que podem ser encontradas,
verificando a probabilidade de ocorrência de determinados eventos e as
consequências que eles podem trazer para a empresa.
A+
A
A-
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 5/13
vulnerabilidades, Impactos e legalidade.
ativos, vulnerabilidades, ameaças e impactos.
Existem diversas formas de se pôr em prática uma análise de risco, mas o mais
importante é entender a fórmula que determina o que é um risco. Ele pode ser
calculado multiplicando a vulnerabilidade de um ativo e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a
empresa ele for, maior é o risco que ele corre. Assim, o investimento para
diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita
periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a fase de coleta
de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a
tecnologia evolui todos os dias, as ações dos cibercriminosos também, e é
preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise de riscos
na empresa estão o encontro das vulnerabilidades que podem ser utilizadas por
hackers para acessar os arquivos da empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para serem
corrigidas, é necessário colocar a atenção nos ativos que tem mais importância
para o negócio da empresa, isto faz como que os investimentos sejam dirigidos
para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a
disponibilidade dos serviços de tecnologia da informação na empresa e causando
prejuízos que poderiam ter sido evitados, existe também a redução de custos
com restaurações e manutenção de sistemas.
 
Fonte: Análisede riscos em TI: o que é, como fazer e mais!. Strong Security,
2018. Disponível em: https://www.strongsecurity.com.br/blog/analise-de-
riscos-em-ti-o-que-e-como-fazer-e-mais/
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-
e-mais/) . Acesso em: 09 de março de 2021.
 
Considerando a importância de se realizar o processo de análise de riscos em
uma empresa, ao se realizar esse processo na empresa deve-se levar em
consideração os aspectos: 
A+
A
A-
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 6/13
confidencialidade, integridade e disponibilidade.
gravidade, urgência, tendência e transferência
pontos fortes, pontos fracos, oportunidades e ameaças
0,6 ptsPergunta 5
Leia o texto a seguir:
 
Estabelecimento de uma Política de Segurança da Informação
Para construir as políticas de segurança da organização, o comitê deve tomar
como base os padrões e normas apresentados anteriormente, sendo que dentre
eles, os mais recomendados para esta finalidade são: A BS7799/ISO17799 e as
RFC´s de número 2196 (1997) e 2828 (2000).
Conforme as RFC´s 2196 e 2828, a Política de Segurança é um documento que
deve descrever as recomendações, as regras, as responsabilidades e as práticas
de segurança. Entretanto, sabe-se que não existe uma "Política de Segurança
Modelo" que possa ser implementada em toda e qualquer organização, pois a
Política deverá ser moldada à especificidade de cada caso. Portanto, elaborar
uma Política de Segurança é uma tarefa complexa e que necessita ser
constantemente monitorada, revisada e atualizada. Além disso, os seus
resultados normalmente só poderão ser notados a médio e longo prazo. É
fundamental a existência de uma política de segurança que seja realmente
referência para os colaboradores da organização, possibilitando a garantia dos
três princípios básicos da segurança da informação: integridade, disponibilidade e
confiabilidade.
O comitê criado deverá ser responsável pela gestão da segurança da informação,
portanto, normalmente, este grupo propõe as políticas necessárias para gestão
da segurança da informação e seus recursos. Buscando realizar a implantação,
acompanhamento e revisões periódicas.
 
Fonte: MARTINS, A. B.; SANTOS, C. A. S. Uma metodologia para implantação de
um Sistema de Gestão de Segurança da Informação. JISTEM J.Inf.Syst.
Technol. Manag. (Online) São Paulo, v. 2, n. 2, p. 121-136, 2005. pp. 128-129.
Disponível em: http://www.scielo.br/scielo.php?script=sci_arttext&pid=S1807-
17752005000200002&lng=en&nrm=iso. Acesso em: 01 de junho de 2020.
A+
A
A-
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 7/13
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I e II são proposições falsas.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. Por meio da Política de Segurança da Informação (PSI), a empresa formaliza
suas estratégias e abordagens para a preservação de seus ativos.
PORQUE
II. A política de segurança da informação deve definir responsabilidade e
penalidades adequadas no caso de infrações e a forma como ocorrerá a
implementação.
 
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 6
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de
praticas para a gestão de segurança da informação, onde podem ser encontradas
as melhores práticas para iniciar, implementar, manter e melhorar a gestão
de segurança da informação
(https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-
boas-praticas-para-manter-seus-dados-seguros/) em uma organização. Para
elaboração da política, são necessárias algumas atividades básicas.
 
A+
A
A-
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 8/13
I e II apenas.
I e III apenas.
III apenas.
I apenas.
II e III apenas.
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/
(https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar
atividades e instruções operacionais relacionadas à segurança. Representam
comandos operacionais a serem executados no momento da realização de um
procedimento de segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa. Essas regras representam as
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
É verdadeiro o que se afirma em:
0,6 ptsPergunta 7
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de cada um em
relação à segurança dos recursos computacionais que utiliza e as penalidades às
quais está sujeito, caso não a cumpra.
A+
A
A-
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 9/13
II, III e IV.
I, III e IV.
I, II e III.
III e IV.
II e IV.
É considerada como um importante mecanismo de segurança, tanto para as
instituições como para os usuários, pois com ela é possível deixar claro o
comportamento esperado de cada um. Desta forma, casos de mau
comportamento, que estejam previstos na política, podem ser tratados de forma
adequada pelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para
Internet. Disponível em https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
 
I. Uma política de segurança é um documento aprovado pela alta direção da
empresa e que garante a provisão de recursos anuais para a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de tecnologia da
empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas
maneiras: por meio de ataques provocados por hackers, violações provocadas
por ataques causados por ex-funcionários de empresas, violações causadas por
pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidas para evitar as
violações, assim como medidas adotadas após a ocorrência dos fatos
indesejáveis.
 
Estão corretas apenas as afirmativas:
0,6 ptsPergunta 8
A+
A
A-
https://cartilha.cert.br/mecanismos/
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 10/13
Aceitação do risco.
Definição do contexto.
Tratamento do risco.
Análise/Avaliação de riscos
Comunicação do risco.
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser
aplicado na organização como um todo, ou a uma área específica da organização
(...), a qualquer sistema de informações, a controles já existentes, planejados ou
apenas a aspectos particularesde um controle. Essa norma apresenta também o
processo de gestão de riscos de segurança da informação, descrevendo o
funcionamento, as fases, entradas e saídas de tal processo, assim como os
grupos de atividades previstas para cada subprocesso.
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf) Acesso
em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam os riscos e
determinam as ações necessárias para reduzir o risco a um nível aceitável pela
organização?
0,6 ptsPergunta 9
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de
controles, de forma que o risco residual possa ser reduzido e, por conseguinte,
aceito. Os controles selecionados devem satisfazer os critérios para aceitação do
risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
custos, prazos, interação com outros controles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua implementação.
 
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 11/13
Prevenção
Detecção
Recuperação
Conscientização
Correção
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso
em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam reparar
qualquer anormalidade. Qual é este tipo de controle?
0,6 ptsPergunta 10
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança
da informação (SI) e dá sustentação aos conceitos especificados na ISO
27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar
sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto
pelas seguintes atividades:
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 12/13
Identificação de ameaças, controles, vulnerabilidades e consequências.
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos
de segurança da informação. QSP. Disponível em:
https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
A+
A
A-
https://www.qsp.org.br/artigo_27005.shtml
15/06/2022 16:55 Teste: AO2
https://famonline.instructure.com/courses/20444/quizzes/90381/take 13/13
Salvo em 16:54 
Monitoramento, análise e melhoria dos processos de prevenção ao risco.
Definição do contexto, identificação, análise e aceitação dos riscos.
Modificação, retenção, ação de evitar e compartilhamento do risco.
Instalar antivírus, antispam, firewall e proxy eficientes para proteção.
Enviar teste
A+
A
A-