Teste_ Atividade Objetiva 3

Prévia do material em texto

15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 1/10
Atividade Objetiva 3
Iniciado: 15 nov em 17:28
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,2 ptsPergunta 1
Empresa exportadora que deseja especular o valor do dólar para daqui 1 ano.
Não abrir uma filial em um país que seja alvo de tumulto político ou movimentos
sociais frequentes.
Um médico compra um seguro contra negligência médica e aceita risco residual de
perda igual à franquia.
Restaurante contrata uma empresa terceirizada para administrar as áreas de
estacionamento.
Utilização de software antivírus e de firewall para reduzir a infecção nos
computadores da empresa e na rede.
Leia o texto a seguir:
 
À medida que desenvolver estratégia de risco, você deverá entender as
respostas mais comuns. Você pode reduzi-los, transferi-los, aceitá-los ou evitá-
los.
Atenuação (redução) de risco – Esta abordagem usa diversos controles para
atenuar ou reduzir riscos identificados. Esses controles podem ser
administrativos, técnicos ou físicos.
 
Fonte: KIM, D. SOLOMON, M. G. Fundamentos da Segurança de Informação.
Rio de Janeiro: LTC: 2014, p. 198.
Aponte a alternativa que possui uma estratégia de modificação do risco.
 
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 2/10
0,2 ptsPergunta 2
Leia o texto a seguir:
 
Os benefícios do monitoramento para a segurança de uma empresa
 
Mas quais são exatamente esses benefícios que um bom monitoramento de
segurança da informação traz para uma empresa? Listamos as vantagens que
vão muito além da simples proteção de dados:
 
Confiabilidade e disponibilidade
Dados seguros significam um sistema mais confiável. Essa máxima já foi
experimentada e aprovada em diversos negócios que investiram em segurança
da informação e receberam em troca processos mais estáveis, disponibilidade
facilitada de dados e informações sensíveis e a capacidade de trabalho remoto
com total controle de acesso, visualização e edição de arquivos sem riscos para a
empresa.
 
Aumento da produtividade
E esse é o motivador principal para a otimização do trabalho dentro da empresa.
Sim, segurança também gera produtividade! Isso acontece porque um bom
monitoramento do sistema garante menos vulnerabilidades que, por
consequência, significa menos tempo indisponível para manutenção ou
recuperação de desastres.
 
Além disso, o controle de acesso através do monitoramento reduz a perda de
tempo com o mau uso da internet por funcionários, que muitas vezes perdem o
foco navegando em sites não pertinentes ao negócio e redes sociais.
 
Ajustes estratégicos
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 3/10
Além de facilitar o trabalho dos funcionários, a segurança da informação bem
monitorada é também uma ferramenta para o gerente de TI e o resto da diretoria.
 
Quanto melhor o monitoramento, melhor é a estratégia de prevenção e mais
rápida é a resposta a ameaças. É ainda a base para implementar um processo de
melhoria continuada, como o famoso PDCA (Plan, Do, Check, Act). Garantir um
ciclo de iteração é uma forma de estar sempre à frente das ameaças.
 
Redução de custos
Por fim, o aumento da produtividade, simplificação de processos e mais tempo de
sistema disponível resultam em economia para qualquer empresa. Por um lado,
gasta-se menos com estrutura e combate a incêndios, por outro, aumenta-se a
eficiência da operação.
 
Esse dinheiro a mais, inclusive, pode ser reinvestido na própria segurança da
informação, como na compra de novos equipamentos ou na contratação de
empresas especializadas. Assim, cria-se um ciclo virtuoso de monitoramento para
uma empresa ainda mais competitiva.
 
 
Fonte: Importância de monitorar a segurança da informação para sua gestão.
Strong security. 19/09/2017. Disponível em:
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-
seguranca-da-informacao-para-sua-gestao/ 
(https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-
informacao-para-sua-gestao/) . Acesso em: 29 de maio de 2020.
Para o planejamento da etapa de monitoração de riscos, considere as seguintes
atividades.
 
I. Incluir novos ativos no escopo da gestão de riscos.
 
II. Avaliar a eficiência da redução de riscos.
 
III. Elaborar o Plano de tratamento do risco e dos riscos residuais.
A+
A
A-
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 4/10
I, II e III.
III e IV.
II e III.
I e II.
I e IV.
 
IV. Calcular as probabilidades dos cenários de incidentes no método quantitativo
ou qualitativo.
 
Assinale a alternativa com atividades da etapa de monitoramento de riscos,
apenas.
0,2 ptsPergunta 3
Leia o texto a seguir:
 
PSR = Probabilidade x Severidade x Relevância - os fatores da Probabilidade e
Severidade são pontuados durante as análises técnicas e a Relevância pontuada
no processo de levantamento dos ativos, considerando-se a importância do ativo
para o negócio ou serviço. Assim, o valor do risco de um ativo é obtido pelo
somatório dos produtos dos três fatores (P x S x R) calculado cada uma das
ameaças ao ativo em análise.
 
A tabela 7 a seguir demonstra a distribuição dos possíveis valores de Risco
(PSR):
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 5/10
Da tabela anterior são identificadas e definidas as faixas para os níveis de risco
que irão orientar a priorização da faze de tratamento dos riscos, priorizando o
tratamento dos riscos mais altos, conforme a Tabela 8 a seguir.
 
Como risco aceitável, o Ministério da Saúde considera os níveis que
apresentarem PSR Baixo ou Muito Baixo. Portanto, deverão ser tratados os
riscos Muito Alto, Alto e Médio, cabendo ao Gestor da área analisar os casos
especiais, nos quais a aceitação do risco é justificável. Podem ser entendidos
como casos especiais, dentre outros, as atividades temporárias ou de curto
prazo; a implantação de controles cujo custo supera o valor da consequência
causada pela ocorrência do evento.
 
Fonte: BRASIL. Ministério Da Saúde. Metodologia De Gestão De Riscos De
Segurança Da Informação e Comunicações Do Ministério Da Saúde. Brasília,
2015. Disponível em: https://datasus.saude.gov.br/wp-
content/uploads/2019/12/MS-Metodologia-de-Gesto-de-
Riscos_v20141105.pdf (https://datasus.saude.gov.br/wp-
content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf) .
Acesso em: 29 de maio de 2020. Adaptado.
Considerando a metodologia de gestão de risco adotado no Ministério da Saúde,
assinale a alternativa correta.
A+
A
A-
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 6/10
Para uma ameaça de sobrecarga de energia no servidor WEB, cujo PSR = 50, não é
necessário a realização de tratamento desse risco, pois PSR=50 corresponde a nível
de risco baixo.
Para uma ameaça de acesso indevido, cujo PSR = 75, é necessário o tratamento
desse risco através de controle biométrico ou certificados digitais.
Para uma ameaça de queima da fonte das estações de trabalho, cujo PSR = 8, é
necessário o tratamento desse risco, com o compra de nobreak para todas as
estações de trabalho.
A Avaliação de controle de riscos é de 2015, período anterior à pandemia do Corona
Vírus e, portanto, não é mais válida.
Para uma ameaça de ataques de Hackers, cujo PSR = 40, não é necessário a
realização de tratamento desse risco, pois oshackers não vão atacar o Ministério da
Saúde.
0,2 ptsPergunta 4
Leia o texto a seguir:
 
A figura a seguir apresenta graficamente a localização das atividades no
processo de gestão de riscos:
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 7/10
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013.
Existem duas atividades que devem ocorrer a todo o tempo: acompanhamento do
dinamismo dos riscos e ameaças deve ser feito através do monitoramento dos
ativos, vulnerabilidades e probabilidades. A partir disso, avalie as asserções a
seguir e a relação entre elas:
 
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 8/10
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
I. As fases de Comunicação do risco e Monitoramento e análise crítica são
permanentes e desenvolvidas simultaneamente com as demais fases do
processo de gestão de riscos.
 
PORQUE
 
II. Com o monitoramento, a organização verifica se todos os recursos necessários
à gestão e tratamento do risco estão disponíveis, e a verificação da necessidade
de mudanças nos critérios, na metodologia ou nas ferramentas utilizada e,
através da comunicação, as informações sobre o desenvolvimento das atividades
e os resultados alcançados são transmitidas.
 
A respeito dessas asserções, assinale a opção correta:
0,2 ptsPergunta 5
Leia o texto a seguir:
 
Os riscos existem e estão a nossa volta o tempo todo. Dificilmente vamos
eliminá-los. Podemos minimizá-los, mas para isso, a busca por conformidade,
confiabilidade, eficiência, eficácia, governança e qualquer outro adjetivo que
suporte as informações e a manutenção das organizações será bem-vinda, pois a
busca pela continuidade dos negócios e pela boa prática de governança
corporativa deve ser inserida em todas as atividades empresariais, para as
pequenas, médias e grandes companhias.
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 9/10
I, apenas.
II e III, apenas.
II, apenas.
I e II, apenas.
I e III, apenas.
O bom senso e o conhecimento de negócio auxiliam na busca por essa tão falada
conformidade e devemos atentar que, em muitos casos, as regras parecem
impossíveis de serem aplicadas, mas devemos avaliar até que ponto devemos
colocá-las em prática sem causar danos à organização.
Ninguém está obrigado a fazer nada desde que possa justificar a sua atitude. A
busca pelos controles internos e contábeis e pela gestão de riscos vai de
encontro ao apetite de risco da organização e como minimizar o risco corporativo.
 Portanto, minimizar riscos é conhecer, prevenir e monitorá-los sempre que
possível, pois eles não são evidenciados somente nas fraudes. Erros e
negligência também fazem parte. É bom avaliar sempre isso.
 
Fonte: ASSI, M. Gestão De Riscos Com Controles Internos: Como vencer os
desafios e manter a eficiência dos negócios. 1. ed. São Paulo: Saint Paul Editora,
2012, p. 142.
Considerando as informações apresentadas, analise as afirmações a seguir:
 
I. Após a etapa de Tratamento do Risco, ocorre a decisão de a aceitação ou
retenção de riscos, ação de evitar outros riscos ou a transferência de alguns
desses riscos a outros agentes.
II. A eliminação do risco depende de um complexo diagrama de controles de
risco.
III. Caso o risco residual for maior que o risco máximo aceitável, a empresa terá
uma implementação ineficiente do processo de gestão de riscos.
 
É correto o que se afirma em:
A+
A
A-
15/11/2022 17:31 Teste: Atividade Objetiva 3
https://famonline.instructure.com/courses/24130/quizzes/107619/take 10/10
Salvo em 17:31 Enviar teste
A+
A
A-