1 1-Segurança e Auditoria de Sistemas - Atividade 2

Prévia do material em texto

AMB Fácil - Educação 
· Entrar   
· 
Parte superior do formulário
Parte inferior do formulário
· Navegação 
· Fóruns 
· Leaderboard 
· Atividades 
· Todas Atividades 
· Página Inicial 
· MATERIAL DE ESTUDO 
· ATIVIDADES 
· SEGURANÇA NO AMBIENTE WEB 
· 
Entre para seguir isso   
SEGURANÇA NO AMBIENTE WEB 
Criado por Visitante, September 20, 2020
10 posts neste tópico
· 1
· 2
· Próxima
· 
· Página 1 de 2   
Parte superior do formulário
Visitante 
· 
· Visitantes
Postado September 20, 2020 
  
  
	  
	10 em 10 pontos  
  
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Normas como a ISO 27001 e 27002 visão definir padrões e boas práticas. Tais medidas formam extraídas de uma série de observações de organizações e seus resultados. Em resumo, é como se aprendêssemos com os erros dos outros. Isso pode garantir uma maior assertividade em relação a tomadas de decisão sobre uma ameaça.
Quando o negócio de uma organização é bastante crítica e não há opção de aceitar uma ameaça deve-se pelo menos mitiga-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o texto anterior escolha a medida de proteção que melhor se enquadre: 
	
	
	
	
		Resposta Selecionada: 
	  
Seguro 
	Resposta Correta: 
	  
Seguro 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta a medida de proteção segura é efetiva quando os eventos não são totalmente previsíveis e não se tem a opção de aceitá-los. Para isso deve pelo menos mitigá-los (reduzir) o impacto. Por exemplo, realizar um seguro da instalação contra eventos da natureza. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	 Um agente ameaçador pode aproveitar de vulnerabilidades de uma organização para realizar uma série de ataques. Realizar contramedidas adequadas auxiliam a organização e minimizar tais danos.
Um evento anormal pode disparar um incidente, que consequentemente pode gerar uma ameaça. Essas ameaças podem ser originadas a partir de vários fatores, como exemplo de um ex-empregado que estava insatisfeito com seu salário ou falta de reconhecimento.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base nos motivos de agentes ameaçadores tentarem invadir/roubar/etc uma organização escolha a opção que pode ser uma de suas intenções/estratégias: 
	
	
	
	
		Resposta Selecionada: 
	  
Notoriedade 
	Resposta Correta: 
	  
Notoriedade 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta, pois a notoriedade pode ser um dos motivos que levam a agentes ameaçadores a invadirem/roubar informações. Quanto mais der repercussão na mídia/mercado mais o nome do agente será respeitado em relação a outros agentes. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	Vimos os conceitos de evento e incidente e eles podem confundir a princípio, mas perceba que um pode iniciar o outro até chegar em um dano, ocasionando prejuízos a uma organização. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, onde pode-se abrir oportunidades para ataques.
Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo (algo importante/tem valor da organização). Em consequência um incidente pode ocorrer pelo gatilho de um ou mais eventos.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base no texto anterior e no material de estudo escolha a opção abaixo que melhor descreve o conceito de “incidente não desejado”. 
	
	
	
	
		Resposta Selecionada: 
	  
Ameaça 
	Resposta Correta: 
	  
Ameaça 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta, A ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, toda ameaça deve ser classificada e visto o seu grau de impacto nas operações da organização, desta forma podemos traçar estratégias de contenção em casos de ameaças críticas.. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Uma vez conhecido o risco, priorizado e medido deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco.
Quando se identifica um risco temos que definir uma contramedida. Nem sempre é que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco. Logo, tornando a contramedida inviável.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nesse contexto escolha a alternativa abaixo que apresenta as estratégias estudadas: 
	
	
	
	
		Resposta Selecionada: 
	  
Tolerância, redução e prevenção 
	Resposta Correta: 
	  
Tolerância, redução e prevenção 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta, pois  uma vez identificado o risco devemos tomar um contramedida e basicamente podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). A escolha está associada ao custo e tempo despendidos para a contramedida. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Sempre ouvimos a palavra risco associada ao nosso cotidiano. Por exemplo, aquela pessoa está se arriscando muito, ela corre risco de morte, etc. Percebemos que o risco está associado a perigo e desde cedo (criança) já nos preocupamos com ele, evitando ficar expostos a situações perigosas.
O risco para Segurança da Informação também possui o mesmo sentido. É algo que devemos nos preocupar para garantir uma maior segurança para uma organização. Não é à toa que existem diversos processos para se gerenciar um risco. Consequentemente, o gerenciamento ajuda a conhecer o risco.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com a definição da palavra risco para a Segurança da Informação, escolha a opção que melhor a descreva: 
	
	
	
	
		Resposta Selecionada: 
	  
 Probabilidade que algo ruim aconteça a um ativo, ou o efeito causado por sua exposição. 
	Resposta Correta: 
	  
 Probabilidade que algo ruim aconteça a um ativo, ou o efeito causado por sua exposição. 
	Feedback da resposta: 
	Respostas correta: A alternativa está correta, pois o risco está associado e probabilidade da ocorrência de um evento ruim aos ativos de uma organização. O seu dano pode variar, sendo pouco ou causando grandes prejuízo, geralmente este tipo de medição depende da descoberta dos impactos gerados nos ativos e tempo de inoperância. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	Sabe que a prevenção é uma ótima medida para evitar incidentes indesejados dentro de uma organização. Isso é possível, pois existem processos de gerenciamento de risco que podem observar a prioridade e seu grau de dano. Uma vez identificado o risco pode-se prevenir criando contramedidas apropriadas e que resultem em um menor dano.
Sabe que durante a análise de risco é possível determinar os principais ativos da organização, tipos de prejuízo, custos relacionados a contramedidas e prioridade. Logo, uma medida adequada reduzirá os custos e seus impactos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com as medidas de proteção assinale a alternativa que visa apenas identificar quando um incidente ocorre. 
	
	
	
	
		Resposta Selecionada: 
	  
Detecção 
	Resposta Correta: 
	  
Detecção 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta, pois a medida de detecção visa identificar quando há a ocorrência de um incidente. Tal medida é aceitável quando o incidente não causa muitos danos a organização. Softwares de monitoramento de rede podem ser um exemplo disso. Uma vez detectado, alguém realiza uma série de medidas para a proteção. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	 Infelizmente, uma ameaça está presente em todas as organizações. E ignorá-las é um erro muito comum dentro de uma organização.Ou por desconhecimento ou simplesmente por contenção de despesas. Isso é aceitável, pois a aplicação de normas e boas práticas requer tempo e investimento, coisas que nem todas as organizações estão dispostas a gastar.
Uma das opções de medida de proteção mais simples é a que usa a detecção. Aqui, sabe-se da ameaça e por meio de um software de monitoramento é possível saber o momento que ela acontece. Uma vez detectada toma-se medidas para resolvê-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Apesar de a medida de detecção ser bastante utilizada existe uma outra medida que também está relacionada com as demais. Seu principal objetivo é solucionar/reduzir o dano causado pelo incidente. Marque a alternativa que melhor descreva essa medida. 
	
	
	
	
		Resposta Selecionada: 
	  
Repressão 
	Resposta Correta: 
	  
Repressão 
	Feedback da resposta: 
	Resposta Correta: A alternativa está correta, pois a medida de repressão é executada quando uma ameaça é detectada e deve-se resolver/reduzir os danos causados pelo incidente. Se houve a detecção de uma invasão a uma rede da organização deve-se o mais rápido possível realizar medidas de repressão para reduzir o dano causado. Com essa medida pode-se apenas invadir, mas com ações adequadas pode-se bloquear o agente causador antes de obter qualquer informação. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Uma medida de repressão é bastante útil quando se identifica uma ameaça. Deve-se criar estratégias eficientes para bloquear/reduzir os prejuízos causados pelo incidente. Isso não é uma tarefa fácil, deve-se conhecer muito bem as vulnerabilidades contidas dentro de uma organização. Pois, no momento de um incidente não se pode improvisar.
Sem dúvida, prevenir contra uma ameaça é a melhor opção, mas infelizmente nem tudo sai como esperado. Outra opção é a detecção que pode usar a repressão como parceira. Onde, um identifica um incidente e o outro toma medidas para minimizar o dano.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Ainda sobre medidas de proteção escolha a opção que é mais adequada após uma repressão. 
	
	
	
	
		Resposta Selecionada: 
	  
Correção 
	Resposta Correta: 
	  
Correção 
	Feedback da resposta: 
	Resposta correta: A alternativa está correta, A correção está diretamente relacionada à repressão,  em uma repressão ineficiente necessitará de medidas corretivas maiores, todas as correções acabam gerando gastos muito maiores, tendo em vista que o risco já ocorreu e os danos já foram causados, houve perdas e as ações devem corrigir e reverter os prejuízos causados neste ocorrência do risco real. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Uma organização sem o conhecimento de seus riscos nunca estará segura. Pois, poderá estar vulnerável a qualquer tipo de ameaça.
Sabe-se que para realizar uma avaliação de risco adequada devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e por fim as regras de negócios.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base na avaliação de risco estudada indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos
~Resposta correta: A alternativa está correta, pois quando avaliamos os riscos estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. E partir daí pode-se medi-los para uma efetiva contramedida, sem a identificação destes riscos levaríamos muito tempo em recuperação e operacionalização dos processos internos, consequentemente aumentando os danos iniciais, por isso a importância correta da identificação e mitigação destes riscos identificados. 
	
	
	
	
		Resposta Selecionada: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	
	
	
  
· Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira.
Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique as principais formas de se medir um risco:
~Resposta correta: A alternativa está correta, pois para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. 
	
	
	
	
		Resposta Selecionada: 
	  
Quantitativa e qualitativa 
	Resposta Correta: 
	  
Quantitativa e qualitativa 
	
	
	
0 
Visitante 
· 
· Visitantes
Postado September 21, 2020 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
“Com um gerenciamento de risco bem definido em uma organização, com base em normas e padrões é possível identificar e priorizar os principais ativos de uma organização. A partir daí de acordo com os recursos (tempo, dinheiro, pessoal etc.) são definidas contramedidas apropriadas para cada tipo de ameaça identificada. Ao longo do tempo o servidor que hospeda o site não conseguirá atender tantas requisições e deixará de oferecer o serviço, ficando off-line.”
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança da informação . São Paulo: LTC, 2014.
 
Neste sentido, assinale a alternativa que melhor descreva a definição tratada no excerto apresentado: 
	
	
	
	
		Resposta Selecionada: 
	  
Negação de serviço (DoS – Denial of Service). 
	Resposta Correta: 
	  
Negação de serviço (DoS – Denial of Service). 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois a negação de serviço visa deixar indisponível as operações oferecidas. Por meio de inúmeras requisições é possível sobrecarregar o servidor e desligá-lo ou torná-lo tão lento que não é viável operá-lo. Assim, existe uma variante dele que é a negação de serviço distribuído, a sua diferença é que com esse ataque usa-se milhares de computadores sequestrados. 
	
	
	
  
· Pergunta 2 
0 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
“A Internet é sem dúvida uma das maiores invenções desenvolvidas pela humanidade. Por meio dela é possível se comunicar com qualquer parte do mundo, compartilhar informações, fechar negócios e até mesmo comunicar-se com o espaço (satélites, estações espaciais etc.).”
 
CLARKE, R. A; KNAKE, R. K. Guerra cibernética : a próxima ameaça à segurança e o que fazer. São Paulo: Brasport, 2015.
 
Com base no contexto anterior, e com base no material estudado, indique a sentença que melhor descreva a impunidade sobre crimes virtuais. 
	
	
	
	
		Resposta Selecionada: 
	  
Todos são punidos, mas como são poucos os casos, quase não se têm notícias das punições. 
	Resposta Correta: 
	  
Existem poucas leis sobre os crimes da Internet, gerando poucas punições. 
	Feedback da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois, por ser um ambiente virtual globalizado, internet não possui uma única lei regulamentar unificada, por isso, a grande dificuldade em punir seus criminosos. Um país não consegue processar esses criminosos, pois não sabem exatamente onde encontrá-los. Mas, isso não quer dizer que nunca haverá punição, as punições são a minoria e, geralmente, com pouco cobertura da mídia mundial, e a mesma premissa vale para os crimes virtuais, em que na sua maior parte causam grandes prejuízos às organizações.· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	O principal objetivo do servidor proxy é possibilitar que os dispositivos conectados a uma rede privada possam acessar a rede pública, isto é, a internet. E que para isso esses dispositivos não tenham que realizar uma ligação direta com a internet. Em vez disso, o servidor proxy é instalado em um dispositivo que tenha esse acesso direto à internet, assim, as demais aplicações devem fazer solicitações para acesso a internet pelo dispositivo em que o servidor proxy está instalado.
 
Nesse contexto, assinale a alternativa que indique corretamente como funciona um servidor proxy e qual a sua justificativa. 
	
	
	
	
		Resposta Selecionada: 
	  
Procurador, pois é um sistema que faz solicitações em nome de outras aplicações. 
	Resposta Correta: 
	  
Procurador, pois é um sistema que faz solicitações em nome de outras aplicações. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois o proxy funciona como um intermediário que atua como um caminho controlado entre um servidor de aplicação e a aplicação solicitante, assim, podemos fazer uma analogia entre um atendente dos correios que vai entregar uma encomenda que você solicitou e precisa retirar na agencia dos correios, o atendente só lhe traz o pacote após validar algumas informações do solicitante. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
Quando estamos realizando um determinado cadastro, no momento da senha, é muito comum o programa pedir uma senha maior e que contenha caracteres especiais, números e letras maiúsculas/minúsculas. Visto que, ao se identificar uma senha em um local os outros acessos estarão protegidos. Porém, existe um tipo de ataque de realiza uma série de comparações/combinações, a fim de descobrir qual a senha verdadeira.
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação . São Paulo: LTC, 2014.
 
Neste sentido, assinale a alternativa que melhor descreva o conceito apresentado no excerto. 
	
	
	
	
		Resposta Selecionada: 
	  
Ataque por força bruta. 
	Resposta Correta: 
	  
Ataque por força bruta. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois o ataque por força bruta visa criar uma série de combinações de senha para encontrar a verdadeira. Atualmente, é plausível que se identifique senhas por força bruta. Nesse sentido, a computação paralela é capaz de realizar milhares de instruções de uma só vez. Logo, medidas de segurança são criadas para barrá-las, como errar no máximo 3 vezes. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
“Todas as pessoas que desejam praticar algum mal (vandalismo, roubo de dados, propriedade intelectual ou até terrorismo) contra um indivíduo ou organização é tida como um agente ameaçador. Sabe-se que as há um grande equívoco quando se discute o conceito de agente ameaçadores. As nomenclaturas de tais agentes, principalmente na televisão, em sua grande maioria, trazem os conceitos errados. Logo, saber diferenciá-los é um fator importante, pois para cada um tem-se diferentes tipos de ameaças.”
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança da informação . São Paulo: LTC, 2014.
 
De acordo com a nomenclatura/conceito dos agentes ameaçadores, selecione a alternativa que melhor descreva o agente que visa, unicamente, destruir, roubar ou causar dano a um indivíduo/organização e que possui um grande conhecimento sobre o assunto: 
	
	
	
	
		Resposta Selecionada: 
	  
Cracker. 
	Resposta Correta: 
	  
Cracker. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois o termo cracker está diretamente ligado a pessoas que possuem um alto conhecimento da área e seu objetivo (político, religioso, vandalismo) é estritamente de causar danos e prejuízos a uma organização ou um indivíduo. Nos noticiários, encontramos esse termo relacionado aos hackers. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	O administrador de rede pode utilizar o serviço de proxy para configurar a autenticação e o controle de acesso a servidores internos e, assim, dizer quais usuários podem acessar determinados servidores. Ao implementar um proxy reverso, esse processo de autenticação e de direitos de acesso de cada usuário a determinados servidores na empresa pode ser controlado por meio de apenas um computador. Isso facilita a configuração da segurança da intranet.
 
Neste sentido, assinale a alternativa que indique a atuação do protocolo reverso: 
	
	
	
	
		Resposta Selecionada: 
	  
Único acesso aos diversos servidores. 
	Resposta Correta: 
	  
Único acesso aos diversos servidores. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois quando um proxy reverso é estabelecido e configurado, o processo de autenticar e de atribuir direitos de acesso aos servidores da organização podem ser controlados através de um único computador, facilitando essa configuração da segurança das informações organizacionais. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
“Uma organização deve conhecer bem as suas ameaças. Por meio da identificação das mesmas é possível definir contramedidas que podem resolver, amenizar ou simplesmente aceitar tal dano. Ao se observá-los é possível eliminar uma grande quantidade de ataques aos mesmos (pelo menos os mais usados). Um já conhecemos que são os de infraestrutura de TI e rede (usuário, estação de trabalho, LAN, LAN para WAN, WAN, sistemas e acesso remoto).”
 
KIM, D.; SOLOMON, M. G. Fundamentos de segurança da informação . São Paulo: LTC, 2014.
De acordo com os principais ativos de uma organização assinale a alternativa correta: 
	
	
	
	
		Resposta Selecionada: 
	  
Propriedade intelectual, dados financeiros e disponibilidade. 
	Resposta Correta: 
	  
Propriedade intelectual, dados financeiros e disponibilidade. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois os principais ativos de uma organização são a infraestrutura de TI e rede, propriedade intelectual, dados financeiros e disponibilidade. Cada organização deve gerenciar os riscos, a fim de priorizar seus riscos para a definição apropriada de contramedidas. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
“Um dos ataques mais utilizados na Internet é o de negação de serviço (DoS – Denial of Service), por meio dele é possível enviar milhares de requisições (solicitação) a um determinado serviço até que o mesmo não consiga atender. Um outro tipo de ameaça e que está ligada diretamente a uma organização é a não definição de políticas de acesso a recursos internos e uso da Internet. .
 
 
HINTZBERGEN, J. et al . Fundamentos de segurança da informação . São Paulo: Brasport, 2018.
 
De acordo com o texto apresentado, escolha a alternativa que represente o conceito corretamente: 
	
	
	
	
		Resposta Selecionada: 
	  
Política segura de navegação. 
	Resposta Correta: 
	  
Política segura de navegação. 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois em uma organização deve definir políticas para indicar quem deve ter acesso a determinados tipos de recursos. Isso impossibilita que pessoas não autorizadas tenham acesso a arquivos confidenciais da organização. Aqui, também são definidos quais conteúdos os empregados podem acessar na rede, limitando os tipos de sites, como: sites pornográficos, que pratiquem pirataria, etc. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Leia o excerto a seguir:
 
“Uma variante do ataque de negação de serviço é o ataque de negação de serviço distribuído. Ele possui o mesmo tipo de ação, mas o que diferencia é seu grande poder de ataque. Em contrapartida, existe um tipo de ataque que ou explora alguma vulnerabilidade não intencional no sistema (uma falha) ou uma brecha intencional deixa no software (desenvolvedor). Um agente ameaçador poderá aproveitar de ambas para obter informações ou causar inúmeros danos.”
 
HINTZBERGEN, J.et al . Fundamentos de segurança da informação . São Paulo: Brasport, 2018.
 
De acordo com o excerto apresentado, assinale a alternativa que melhor descreva o conceito apresentado: 
	
	
	
	
		Resposta Selecionada: 
	  
Portas dos fundos (backdoor). 
	Resposta Correta: 
	  
Portas dos fundos (backdoor). 
	Feedback da resposta: 
	Resposta correta. A alternativa está correta, pois esse ataque é o de portas dos fundos. Enquanto a negação de serviço tenta “bater na porta” inúmeras vezes, esse ataque visa entrar em uma porta (brecha) que ninguém está acostumado a entrar. Por exemplo, se no login de um site o desenvolvedor programou que ao se digitar um símbolo especial no e-mail o mesmo não precisará da senha e será administrador no site. 
	
	
	
  
· Pergunta 10 
0 em 1 pontos 
	  
	  
	  
	O potencial aumento de todas as áreas, sejam elas em organizações, em comércios, em domicílio ou, até mesmo, enquanto andamos na rua e estamos nos transportando para algum lugar em um carro, ônibus ou avião, como passageiros, provoca um enorme tráfego para acesso à internet. Consequentemente, isso significa que cada vez mais dados precisam ser transferidos pela rede.
 
Para tentar amenizar esse tráfego, um servidor proxy pode ser configurado na rede. Sobre ele, analise as afirmativas a seguir:
 
I. Um servidor proxy trabalha como um representante de uma aplicação cliente.
II. O proxy é um serviço intermediário entre o usuário e o servidor remoto, em que os dados serão buscados.
III. Um servidor proxy pode armazenar informações de uma requisição anterior, funcionando como cache.
IV. O servidor proxy serve também para autenticação de usuários e filtragem de conteúdo.
 
Está correto o que se afirma em: 
	
	
	
	
		Resposta Selecionada: 
	  
I, III e IV, apenas. 
	Resposta Correta: 
	  
I, II, III e IV. 
	Feedback da resposta: 
	Sua resposta está incorreta. A alternativa está incorreta, pois os proxys são responsáveis por intermediar solicitações de usuários com os servidores, por isso, todos os itens listados até o item IV estão corretos, pois as políticas de acesso nas organizações são implementadas via proxy, onde cada organização pode inibir até certo ponto o acesso aos sites proibidos e sem autorização para acesso a determinado tipo de assunto, que transgride a política de segurança da informação da organização. 
	
	
	
0 
Visitante 
· 
· Visitantes
Postado September 30, 2020 
Pergunta 1 
Requer avaliação 
	  
	  
	  
	Conhecemos um pouco a segurança no ambiente web, vimos e conhecemos os princípios da segurança da informação e entendemos os princípios básicos da segurança da informação, que são: confidencialidade, integridade e disponibilidade. 
A partir de uma prévia de uma análise de risco dos ativos de uma organização, é possível determinar controles efetivos que reduzam os riscos identificados. Conforme Hintzbergen et al. (2018, p. 20): 
[...] o nível de segurança requerido para executar esses princípios é diferente para cada empresa, pois cada uma tem sua própria combinação de objetivos e requisitos de negócio e de segurança. 
Todos os controles de segurança, mecanismos e proteções são implementados para prover um ou mais desses princípios, e todos os riscos, ameaças e vulnerabilidades são medidos pela sua capacidade potencial de comprometer um ou todos os princípios da Tríade CID. 
 Com base no trecho acima, elabore um texto dissertativo que: 
1. Descreva a importância de cada princípio – confidencialidade, integridade e disponibilidade – para implementar a segurança no ambiente web, tendo como cenário um ambiente corporativo. 
  
  
(HINTZBERGEN, J. et al. Fundamentos de segurança da Informação: com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018.). 
  
  
	
	
	
	
		Resposta Selecionada: 
	Apesar de parecer um assunto bastante monótono, os três princípios da segurança da informação ainda se posicionam em destaque quando o assunto é alcançar altos níveis no mundo do negócio. Começando pelo início, mesmo que os riscos sejam menores, é necessária uma avaliação e para manter a confidencialidade, o acesso de arquivos da empresa deve ser dirigido apenas por pessoas autorizadas, com os riscos de vazamentos avaliados de forma predeterminada. Este princípio restringe informações confidenciais e cruciais da empresa, garantindo a segurança por completo de todo um projeto designado visando o futuro de um trabalho árduo, que só pode ser garantido com a preservação de decisões internas, como interesses pessoais da empresa. E no caso de invasão, todo o dinheiro que foi investido, o tempo perdido, os dados que deveriam ter sido protegidos de fora minuciosa, serão jogados no lixo de forma grotesca, por um simples ato que poderia ter sido observado de antemão. A confidencialidade é a prevenção de riscos que podem se tornar crises. 
  
Outro contexto que deve se unir à confidencialidade e até completá-la é a integridade, afinal, não adianta proteger os arquivos e suas confidências empresariais, se a informação contida está corrompida, é a mesma arrogância de puxar uma carroça vazia nos ombros carregando lixo para todo lugar. O fato é que isto é possível, afinal, os dados não permanecem parados, eles são transferidos, regras novas serão criadas, portanto deve haver uma comunicação na empresa para que não haja arquivos e dados corrompidos. Cada informação tem de ser avaliada e até mesmo corrigida. Informação sem uma completa integridade se considera perda de dinheiro, visto que o tempo da verificação de integridade poderia ter sido substituído por outra tarefa. 
  
Até aqui já existem a segurança e a integridade, mas e se o servidor cair? Ficar off-line? Ter prazo para ser acessado? O princípio da disponibilidade garante que todos os dados sejam acessados a qualquer momento, todo tipo de informação. Com o acesso indisponível, a direção da empresa perde números e a prioridade, afinal, não dá para utilizar um serviço que se encontra indisponível, com tarefas paradas e informações desligadas, é aqui que a perda de dinheiro se concretiza de forma mais pesada. A disponibilidade destaca a instituição e pode alavancar sucesso, caso seja bem implementada, possuindo estabilidade de informação em tempo integral. 
  
	Resposta Correta: 
	[Nenhuma] 
	Feedback da resposta: 
	[Sem Resposta] 
	
	
	
0 
Lear 
· Expert
· 
· 
· Usuários
· 39 
· 40 posts
Postado December 2, 2020 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Sempre ouvimos a palavra risco associada ao nosso cotidiano. Por exemplo, aquela pessoa está se arriscando muito, ela corre risco de morte, etc. Percebemos que o risco está associado a perigo e desde cedo (criança) já nos preocupamos com ele, evitando ficar expostos a situações perigosas.
O risco para Segurança da Informação também possui o mesmo sentido. É algo que devemos nos preocupar para garantir uma maior segurança para uma organização. Não é à toa que existem diversos processos para se gerenciar um risco. Consequentemente, o gerenciamento ajuda a conhecer o risco.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com a definição da palavra risco para a Segurança da Informação, escolha a opção que melhor a descreva 
	
	
	
	
		Resposta Selecionada: 
	  
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição. 
	Resposta Correta: 
	  
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição. 
	Feedback da resposta: 
	Respostas correta:  o risco está associado e probabilidade da ocorrência de um evento ruim aos ativos de uma organização. O seu dano pode variar, sendo pouco ou causando grandes prejuízos. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Se fosse tão fácil se precaver de riscos poderíamos obter os riscos de outras organizações e aplicá-las a nossa realidade. Porém, sabe-se que isso não é verdade, cada organização possui uma prioridade diferente para lidar comos riscos.
Conhecer os riscos que mais nos afeta é sem dúvida um passo importante para a destinação de recursos, como tempo e dinheiro. Por meio da avaliação de riscos podemos priorizar e conhecê-los.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
De acordo com os requisitos básicos que uma organização deve considerar para se identificar os riscos de maneira efetiva são: 
	
	
	
	
		Resposta Selecionada: 
	  
Objetivos e estratégias, leis e regras de negócio 
	Resposta Correta: 
	  
Objetivos e estratégias, leis e regras de negócio 
	Feedback da resposta: 
	Resposta correta:  para se conhecer e levantar bem os riscos de uma organização deve-se considerar pelo menos os três requisitos básicos, que são: estratégia, visão e objetivos; leis/regulamentos e por fim regras de negócio/manipulação de dados. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	 Um agente ameaçador pode aproveitar de vulnerabilidades de uma organização para realizar uma série de ataques. Realizar contramedidas adequadas auxiliam a organização e minimizar tais danos.
Um evento anormal pode disparar um incidente, que consequentemente pode gerar uma ameaça. Essas ameaças podem ser originadas a partir de vários fatores, como exemplo de um ex-empregado que estava insatisfeito com seu salário ou falta de reconhecimento.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base nos motivos de agentes ameaçadores tentarem invadir/roubar/etc uma organização escolha a opção que pode ser uma de suas intenções/estratégias 
	
	
	
	
		Resposta Selecionada: 
	  
Notoriedade 
	Resposta Correta: 
	  
Notoriedade 
	Feedback da resposta: 
	Resposta correta:  a notoriedade pode ser um dos motivos que levam a agentes ameaçadores a invadirem/roubar informações. Quanto mais der repercussão na mídia/mercado mais o nome do agente será respeitado em relação a outros agentes. 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	A análise de riscos é sem dúvida a principal atividade a se fazer para conhecer de fato quais são os riscos de uma organização. Com base nos objetivos, leis/regulamentos e regras de negócios é possível ponderar e priorizar os principais riscos.
Um risco é conhecido a partir da análise de toda uma organização. Através de seus objetivos é possível conhecer os ativos mais importantes. Em consequência, deve-se criar contramedidas adequadas para se possível eliminar tais vulnerabilidades.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com as estratégias utilizadas sobre um risco aponte uma delas a qual não se faz nada. Ou seja, deixa o risco como está assumindo a possiblidade de dano. 
	
	
	
	
		Resposta Selecionada: 
	  
Tolerância 
	Resposta Correta: 
	  
Tolerância 
	Feedback da resposta: 
	Resposta correta:  a tolerância ou simplesmente a aceitação é quando aceita-se o risco como está. Ou por ter um custo mais elevado para se criar uma contramedida ou simplesmente pelo risco não apresentar um dano tão severo. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira.
Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique as principais formas de se medir um risco: 
	
	
	
	
		Resposta Selecionada: 
	  
Quantitativa e qualitativa 
	Resposta Correta: 
	  
Quantitativa e qualitativa 
	Feedback da resposta: 
	Resposta correta: Para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	Uma organização por menor que seja está sujeita a riscos. Um exemplo disso pode ser eventos da natureza, como enchentes, tempestades, etc. Eventos esses que podem disparar incidentes e causar enormes danos a uma organização.
Para conhecer e se preparar melhor para o risco existem uma série de processos que visam avaliar o risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado cite alguns exemplos de processos de gerenciamento de risco. 
	
	
	
	
		Resposta Selecionada: 
	  
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Resposta Correta: 
	  
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Feedback da resposta: 
	Resposta correta: as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Por meio dessas boas práticas pode-se gerenciar melhor o risco. 
	
	
	
  
· Pergunta 7 
0 em 1 pontos 
	  
	  
	  
	 Uma organização pode levantar suas ameaças com base em normas e boas práticas. De acordo com o objetivo de uma organização essas ameaças podem receber prioridades diferentes do que em outras organizações. Logo, deve-se conhece-as e tomar medidas necessárias envolvendo custo e prazo.
As ameaças são oriundas de incidentes não desejados. Eles podem tanto trazer grandes prejuízos como não. Onde, é importante saber quais são os principais tipos de ameaça existente.
 
Goodrich, M. T. e Tamassia, R. Introdução à Segurança de Computadores. Editora Bookman, 2013.
 
Com base nos tipos de ameaça escolha a opção que melhor a descreva 
	
	
	
	
		Resposta Selecionada: 
	  
Redutivas e preventivas 
	Resposta Correta: 
	  
Humanas e não-humanas 
	Feedback da resposta: 
	Sua resposta está errada:  os tipos de ameaça estão relacionados a criação de incidentes não desejados. Releia seu material e compreenda melhor o tema abordado. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	 Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não.
Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Escolha a opção abaixo que melhor a descreva: 
	
	
	
	
		Resposta Selecionada: 
	  
Aceitação 
	Resposta Correta: 
	  
Aceitação 
	Feedback da resposta: 
	Resposta correta: quando uma ameaça não causa tanto dano uma boa opção é aceita-las. Assim, mesmo que ocorra o prejuízo é baixo. Às vezes uma contramedida pode ser mais cara que o próprio risco em si. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Uma vez conhecido o risco, priorizado e medido deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco.
Quando se identifica um risco temos que definir uma contramedida. Nem sempre é que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco. Logo, tornando a contramedida inviável.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nesse contexto escolha a alternativa abaixo que apresentaas estratégias estudadas: 
	
	
	
	
		Resposta Selecionada: 
	  
Tolerância, redução e prevenção 
	Resposta Correta: 
	  
Tolerância, redução e prevenção 
	Feedback da resposta: 
	Resposta correta:  uma vez identificado o risco devemos tomar um contramedida e basicamente podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). A escolha está associada ao custo e tempo despendidos para a contramedida. 
	
	
	
  
· Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Uma organização sem o conhecimento de seus riscos nunca estará segura. Pois, poderá estar vulnerável a qualquer tipo de ameaça.
Sabe-se que para realizar uma avalição de risco adequada devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e por fim as regras de negócios.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base na avaliação de risco estudada indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos 
	
	
	
	
		Resposta Selecionada: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	Feedback da resposta: 
	Resposta correta:  quando avaliamos os riscos estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. E partir daí pode-se medi-los para uma efetiva contramedida. 
	
	
	
1 
far. 
· Membro
· 
· 
· Usuários
· 18 
· 16 posts
Postado February 16, 2021 
· Pergunta 1 
1 em 1 pontos 
	  
	  
	  
	Quando se tem uma vulnerabilidade abre-se espaço para agentes ameaçadores. Em consequência, pode-se resultar em incidentes que podem causar inúmeros prejuízos a uma organização.
Para evitar uma ameaça deve-se tomar contramedidas específicas e eficientes que podem minimizar o impacto, resultando em uma melhor proteção da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nas medidas de proteção escolha a opção abaixo que melhor represente uma ação tomada antes da ocorrência de um incidente. 
	
	
	
	
		Resposta Selecionada: 
	  
Preventiva 
	Resposta Correta: 
	  
Preventiva 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, pois uma medida preventiva visa antecipar um incidente. Por exemplo, sabe-se que o número de furtos a carro é bastante elevado no Brasil e uma pessoa precavida faz um seguro, além disso colocam medidas de segurança como alarmes e rastreadores. 
	
	
	
  
· Pergunta 2 
1 em 1 pontos 
	  
	  
	  
	Uma organização sem o conhecimento de seus riscos nunca estará segura. Pois, poderá estar vulnerável a qualquer tipo de ameaça.
Sabe-se que para realizar uma avaliação de risco adequada devemos considerar os três requisitos básicos de segurança, que são: estratégia/objetivos, regulamentos e leis e por fim as regras de negócios.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base na avaliação de risco estudada indique quais são os benefícios encontrados ao se utilizar a avaliação de riscos
~Resposta correta: A alternativa está correta, pois quando avaliamos os riscos estamos identificando-os de uma melhor forma e ainda priorizando-os de acordo com sua gravidade. E partir daí pode-se medi-los para uma efetiva contramedida, sem a identificação destes riscos levaríamos muito tempo em recuperação e operacionalização dos processos internos, consequentemente aumentando os danos iniciais, por isso a importância correta da identificação e mitigação destes riscos identificados. 
	
	
	
	
		Resposta Selecionada: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	Resposta Correta: 
	  
Pode-se identificar, priorizar e medir os riscos. 
	
	
	
  
· Pergunta 3 
1 em 1 pontos 
	  
	  
	  
	Nem sempre é fácil identificar um risco e muito menos saber sua dimensão. Eles podem estar as vezes explícitos, bem como implícitos, dificultando dimensionar seu dano real. Um exemplo é como identificar o dano/prejuízo causado sobre um conjunto de dados de uma instituição financeira.
Na avaliação de riscos, independentemente do modelo de processo utilizado temos que saber a dimensão do risco. A partir dele podemos definir custos e estratégias apropriadas.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique as principais formas de se medir um risco:
~Resposta correta: A alternativa está correta, pois para se medir um risco utilização duas formas básicas, a análise quantitativa (considera-se números tangíveis, como custos, quantidade de acesso...). Por outro lado, o qualitativo não considera números, mas sim cálculos sobre a probabilidade da ocorrência do risco. 
	
	
	
	
		Resposta Selecionada: 
	  
Quantitativa e qualitativa 
	Resposta Correta: 
	  
Quantitativa e qualitativa 
	
	
	
  
· Pergunta 4 
1 em 1 pontos 
	  
	  
	  
	Sabe que a prevenção é uma ótima medida para evitar incidentes indesejados dentro de uma organização. Isso é possível, pois existem processos de gerenciamento de risco que podem observar a prioridade e seu grau de dano. Uma vez identificado o risco pode-se prevenir criando contramedidas apropriadas e que resultem em um menor dano.
Sabe que durante a análise de risco é possível determinar os principais ativos da organização, tipos de prejuízo, custos relacionados a contramedidas e prioridade. Logo, uma medida adequada reduzirá os custos e seus impactos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com as medidas de proteção assinale a alternativa que visa apenas identificar quando um incidente ocorre. 
	
	
	
	
		Resposta Selecionada: 
	  
Detecção 
	Resposta Correta: 
	  
Detecção 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, pois a medida de detecção visa identificar quando há a ocorrência de um incidente. Tal medida é aceitável quando o incidente não causa muitos danos a organização. Softwares de monitoramento de rede podem ser um exemplo disso. Uma vez detectado, alguém realiza uma série de medidas para a proteção. 
	
	
	
  
· Pergunta 5 
1 em 1 pontos 
	  
	  
	  
	Normas como a ISO 27001 e 27002 visão definir padrões e boas práticas. Tais medidas formam extraídas de uma série de observações de organizações e seus resultados. Em resumo, é como se aprendêssemos com os erros dos outros. Isso pode garantir uma maior assertividade em relação a tomadas de decisão sobre uma ameaça.
Quando o negócio de uma organização é bastante crítica e não há opção de aceitar uma ameaça deve-se pelo menos mitiga-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o texto anterior escolha a medida de proteção que melhor se enquadre: 
	
	
	
	
		Resposta Selecionada: 
	  
Seguro 
	Resposta Correta: 
	  
Seguro 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta a medida de proteção segura é efetiva quando os eventos não são totalmente previsíveis e não se tem a opção de aceitá-los. Para isso deve pelo menos mitigá-los (reduzir) o impacto. Por exemplo, realizar um seguro da instalação contra eventos da natureza. 
	
	
	
  
· Pergunta 6 
1 em 1 pontos 
	  
	  
	  
	 Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não.
Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos.
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.Escolha a opção abaixo que melhor a descreva: 
	
	
	
	
		Resposta Selecionada: 
	  
Aceitação 
	Resposta Correta: 
	  
Aceitação 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, Quando uma ameaça não causa tanto dano uma boa opção é aceitá-las. Assim, mesmo que ocorra o prejuízo é baixo. Às vezes uma contramedida pode ser mais cara que o próprio risco em si, toda vez que o controle e correção for mais alto seu custo a melhor opção é aceitar o risco, mas o mesmo deve estar dentro de um parâmetro de danos mínimos e não impactantes.. 
	
	
	
  
· Pergunta 7 
1 em 1 pontos 
	  
	  
	  
	Uma organização que reconhece suas vulnerabilidades é capaz de se prevenir contra as possíveis ameaças e minimizar seus prejuízos. Porém, não é um trabalho fácil é necessário medir o risco para posteriormente, definir prioridade e custo de contramedida.
Analisar um risco permite que possamos ponderar seu nível de dano e consequentemente determinar custos para minimizar tal incidente. Nem sempre é possível minimizar um risco, pois seu valor de contramedida pode exceder o próprio dano em si.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o seu material estudado, em particular a análise qualitativa de risco escolha a alternativa que apresente uma técnica de levantamento: 
	
	
	
	
		Resposta Selecionada: 
	  
Brainstorming 
	Resposta Correta: 
	  
Brainstorming 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, as principais técnicas utilizadas na análise qualitativa são: brainstorming, Delphi, entrevistas, discussões, etc. Observa-se aqui que são exploradas técnicas que envolvem um grupo de pessoas, essas pessoas devem conhecer a organização em seus setores e contribuir para uma solução real, viável e sustentável, ser possível de implementar sem onerar em demasia as medidas de contenção. 
	
	
	
  
· Pergunta 8 
1 em 1 pontos 
	  
	  
	  
	Vimos os conceitos de evento e incidente e eles podem confundir a princípio, mas perceba que um pode iniciar o outro até chegar em um dano, ocasionando prejuízos a uma organização. Por exemplo, um empregado pode gerar um erro no sistema criando um incidente não desejado, onde pode-se abrir oportunidades para ataques.
Vimos que um evento é algo relacionado a um comportamento inesperado de um ativo (algo importante/tem valor da organização). Em consequência um incidente pode ocorrer pelo gatilho de um ou mais eventos.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base no texto anterior e no material de estudo escolha a opção abaixo que melhor descreve o conceito de “incidente não desejado”. 
	
	
	
	
		Resposta Selecionada: 
	  
Ameaça 
	Resposta Correta: 
	  
Ameaça 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, A ameaça é quando um incidente não desejável é iniciado. O evento (comportamento irregular do ativo) poderá disparar um incidente, toda ameaça deve ser classificada e visto o seu grau de impacto nas operações da organização, desta forma podemos traçar estratégias de contenção em casos de ameaças críticas.. 
	
	
	
  
· Pergunta 9 
1 em 1 pontos 
	  
	  
	  
	Uma análise de risco bem estrutura garantirá um melhor sucesso para a organização. De acordo com ele pode-se minimizar as vulnerabilidades e consequentemente de possíveis ameaças
Por meio de um processo adequado de gerenciamento de riscos da organização pode-se realizar uma melhor análise do risco. Basicamente, quando consideramos os riscos temos quatro objetivos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o material estudado identifique os objetivos principais da análise de risco: 
	
	
	
	
		Resposta Selecionada: 
	  
Mapear ativos, identificar vulnerabilidades/ameaças, ponderar estatisticamente o risco e equilibra custos. 
	Resposta Correta: 
	  
Mapear ativos, identificar vulnerabilidades/ameaças, ponderar estatisticamente o risco e equilibra custos. 
	Comentário da resposta: 
	Resposta correta: A alternativa, pois os quatros objetivos principais da análise de risco são: mapear os ativos e o grau de importância, conhecer as vulnerabilidades e ameaças, estatisticamente conhecer a probabilidade que o mesmo ocorra e por fim equilibrar o custo do incidente versus contramedida. 
	
	
	
  
· Pergunta 10 
1 em 1 pontos 
	  
	  
	  
	Uma organização por menor que seja está sujeita a riscos. Um exemplo disso pode ser eventos da natureza, como enchentes, tempestades, etc. Eventos esses que podem disparar incidentes e causar enormes danos a uma organização.
Para conhecer e se preparar melhor para o risco existem uma série de processos que visam avaliar o risco. Com base em um gerenciamento, pode-se priorizá-los e verificar seus custos de acordo com o grau de importância da organização.
 Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 De acordo com o material estudado cite alguns exemplos de processos de gerenciamento de risco. 
	
	
	
	
		Resposta Selecionada: 
	  
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Resposta Correta: 
	  
Pode-se utilizar normas específicas da ISO e boas prática do PMI (Project Management Institute). 
	Comentário da resposta: 
	Resposta correta: A alternativa está correta, pois as referências para o gerenciamento de riscos são as ISOs 27001 e 27002, bem como o PMBOK da PMI. Por meio dessas boas práticas pode-se gerenciar melhor o risco. Essas normas são a base de referência na especificação dos riscos, ISO 27001 e 27002 atribuem as especificações dos riscos dentro dos ativos corporativos e no guia da melhores práticas de projetos PMBOK, encontramos as melhores práticas de gerenciamento dos riscos em projetos reais, abrangendo toda área de desenvolvimento.