Gerenciamento de Riscos em Segurança da Informação

Prévia do material em texto

Prova Impressa
GABARITO | Avaliação I - Individual (Cod.:739512)
Peso da Avaliação 1,50
Prova 47104430
Qtd. de Questões 10
Acertos/Erros 9/0
Canceladas 1
Nota 10,00
A avaliação de risco é o processo de comparação dos resultados da análise de risco com 
critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável 
(ISO/IEC 27005, 2018). A avaliação de riscos é um componente essencial de um processo de 
gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de 
gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com 
base no exposto, classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Definição do contexto. 
( ) Probabilidade de risco. 
( ) Análise/Avaliação de riscos. 
( ) Impacto do risco. 
Assinale a alternativa que apresenta a sequência CORRETA: 
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: 
https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2021. 
NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - 
Information Security. 2012. Disponível em: 
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 
2021.
A V - V - V - F.
B V - F - F - V.
C F - V - V - F.
D V - F - V - F.
A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança 
corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do inglês 
PDCA. Visando identificar esta sigla, analise as opções a seguir: 
I- PLAN. 
II- DO. 
III- ALL. 
IV- CHECK. 
Assinale a alternativa CORRETA:
A As opções I, II e IV estão corretas.
 VOLTAR
A+ Alterar modo de visualização
1
2
B As opções III e IV estão corretas.
C Somente a opção III está correta.
D Somente a opção I está correta.
A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) 
estabelece as condições necessárias para estabelecer, implementar, manter e melhorar continuamente 
um sistema de gestão de segurança da informação. Com base nas principais normas da série ISO/IEC 
27000, classifique V para as opções verdadeiras e F para as falsas: 
( ) ISO/IEC 27002. 
( ) ISO/IEC 27004. 
( ) ISO/IEC 27006. 
( ) ISO/IEC 27007. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V - F.
B V - F - V - F.
C V - V - V - F.
D F - F - F - V.
O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois 
desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI) consideramos 
isto através da aplicação de métodos neste sentido. Com base no exposto, assinale a alternativa 
CORRETA:
A Gerenciamento de riscos.
B Tríade de segurança da informação.
C Risco comercial.
D Gestão de Segurança da Informação.
A avaliação de risco é o processo de comparação dos resultados da análise de risco com 
critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não aceitável 
(ISO/IEC 27005, 2018). Trata-se de um componente essencial de um processo de gerenciamento de 
riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do processo de gerenciamento de 
riscos pela norma ISO/IEC 27005 tem seis grupos principais de atividades. Com base nesses grupos, 
analise as opções a seguir: 
I- Tratamento do risco. 
3
4
5
II- Aceitação do risco. 
III- Comunicação do risco. 
IV- Transmissão do risco. 
Assinale a alternativa CORRETA: 
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em: 
https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2020. 
NIST (National Institute of Standards and Technology). Guide for Conducting Risk Assessments - 
Information Security. 2012. Disponível em: 
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 
2021.
A As opções I, II e III estão corretas.
B Somente a opção I está correta.
C As opções I e IV estão corretas.
D Somente a opção II está correta.
Em segurança da informação, antes de executar o tratamento do risco, é necessário que sejam 
avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar 
uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto 
de práticas orientadas para a gestão da segurança da informação. Com base nessas decisões, 
classifique V para as sentenças verdadeiras e F para as falsas: 
( ) Não deixar sem resposta o risco. 
( ) Aplicar controles para reduzir os riscos. 
( ) Não permitir ações que podem causar risco. 
( ) Avaliar as formas de geração do risco. 
Assinale a alternativa que apresenta a sequência CORRETA:
A V - F - V - V.
B V - F - F - V.
C F - V - V - F.
D F - V - V - V.
Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida avaliando 
a perda em termos de integridade (exemplo: o recurso afetado foi alterado ou destruído), 
confidencialidade (exemplo: o recurso se torna conhecido pelo atacante) e disponibilidade (exemplo: 
acesso ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores de risco para cada 
um dos itens de segurança da informação. Com base nessa escala, classifique V para as opções 
verdadeiras e F para as falsas: 
( ) Risco nulo. 
( ) Risco baixo. 
6
7
( ) Risco médio. 
( ) Risco alto. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - F - V - F.
B F - V - V - V.
C F - F - F - V.
D V - V - V - F.
O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é compatível 
com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do processo de 
gerenciamento de risco definido pela norma SP (do inglês, Special Publication) 800-30 do Nist, 
classifique V para as opções verdadeiras e F para as falsas: 
( ) Estruturação. 
( ) Processamento. 
( ) Avaliação. 
( ) Monitoramento. 
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - V.
B V - F - F - F.
C V - F - V - V.
D F - V - V - F.
A segurança da informação é obtida com a implementação de controles, que deverão ser 
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos objetivos do 
negócio, mitigando os riscos e garantindo os preceitos de segurança da organização: 
confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da informação 
(SÊMOLA, 2014). Com relação às respectivas definições dos chamados "três pilares da segurança da 
informação", assinale a alternativa INCORRETA: 
FONTE: SÊMOLA, M. Gestão da segurança da informação - uma visão executiva. Rio de Janeiro. 
Editora Elsevier. 2. ed. 2014.
A
As informações precisam estar sempre disponíveis para consultas dos colaboradores, pois
qualquer ausência pode dificultar ou mesmo inviabilizar decisões, contratos, vendas, além de
prejudicar a relação com o cliente.
B O objetivo da segurança da informação, nesse caso, é garantir que as informações se mantenham
livres de qualquer alteração, conforme foram criadas.
C As empresas já entenderam que os dados são verdadeiros ativos, por isso estão cada vez mais
preocupadas com os pilares da segurança da informação.
8
9
D O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, comoespionagem e ciberataques, exponham qualquer conteúdo confidencial.
Atenção: Esta questão foi cancelada, porém a pontuação foi considerada.
A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization) 
preconiza as condições necessárias para estabelecer, implementar, manter e melhorar continuamente 
um sistema de gestão de segurança da informação. Com base no exposto, analise as sentenças a 
seguir: 
I- ISO/IEC 27000 - apresenta uma visão geral das normas e vocabulário. 
II- ISO/IEC 27002 - apresenta um conjunto de controles e objetivos de controle de segurançada 
informação. 
III- ISO/IEC 27006 - apresenta recomendações para o processo de auditoria e certificação em 
segurança da informação. 
IV- ISO/IEC 27020 - apresenta linhas gerais para a implementação do sistema de gestão de segurança 
da informação. 
Assinale a alternativa CORRETA:
A As sentenças II e V estão corretas.
B As sentenças I, II e III estão corretas.
C As sentenças II, IV e V estão corretas.
D As sentenças I, II e V estão corretas.
10
Imprimir