Gestão de RiscosQuestionáriosAtividade Objetiva 2_Nota10

Prévia do material em texto

Atividade Objetiva 2 (DP/ADAP Junho)
Entrega 4 jul em 23:59 Pontos 1,5 Perguntas 5
Disponível até 4 jul em 23:59 Limite de tempo Nenhum
Tentativas permitidas 2
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 2 minutos 1,5 de 1,5
Pontuação desta tentativa: 1,5 de 1,5
Enviado 21 jun em 22:27
Esta tentativa levou 2 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Fazer o teste novamente
0,3 / 0,3 ptsPergunta 1
Leia o texto a seguir:
 
Os benefícios do monitoramento para a segurança de uma
empresa
 
Mas quais são exatamente esses benefícios que um bom
monitoramento de segurança da informação traz para uma empresa?
Listamos as vantagens que vão muito além da simples proteção de
dados:
A+
A
A-
https://famonline.instructure.com/courses/27650/quizzes/134268/history?version=1
https://famonline.instructure.com/courses/27650/quizzes/134268/take?user_id=57195
 
Confiabilidade e disponibilidade
Dados seguros significam um sistema mais confiável. Essa máxima já
foi experimentada e aprovada em diversos negócios que investiram em
segurança da informação e receberam em troca processos mais
estáveis, disponibilidade facilitada de dados e informações sensíveis e
a capacidade de trabalho remoto com total controle de acesso,
visualização e edição de arquivos sem riscos para a empresa.
 
Aumento da produtividade
E esse é o motivador principal para a otimização do trabalho dentro da
empresa. Sim, segurança também gera produtividade! Isso acontece
porque um bom monitoramento do sistema garante menos
vulnerabilidades que, por consequência, significa menos tempo
indisponível para manutenção ou recuperação de desastres.
 
Além disso, o controle de acesso através do monitoramento reduz a
perda de tempo com o mau uso da internet por funcionários, que
muitas vezes perdem o foco navegando em sites não pertinentes ao
negócio e redes sociais.
 
Ajustes estratégicos
Além de facilitar o trabalho dos funcionários, a segurança da
informação bem monitorada é também uma ferramenta para o gerente
de TI e o resto da diretoria.
 
Quanto melhor o monitoramento, melhor é a estratégia de prevenção e
mais rápida é a resposta a ameaças. É ainda a base para implementar
um processo de melhoria continuada, como o famoso PDCA (Plan, Do,
Check, Act). Garantir um ciclo de iteração é uma forma de estar
sempre à frente das ameaças.
 
Redução de custos
Por fim, o aumento da produtividade, simplificação de processos e
mais tempo de sistema disponível resultam em economia para
A+
A
A-
qualquer empresa. Por um lado, gasta-se menos com estrutura e
combate a incêndios, por outro, aumenta-se a eficiência da operação.
 
Esse dinheiro a mais, inclusive, pode ser reinvestido na própria
segurança da informação, como na compra de novos equipamentos ou
na contratação de empresas especializadas. Assim, cria-se um ciclo
virtuoso de monitoramento para uma empresa ainda mais competitiva.
 
 
Fonte: Importância de monitorar a segurança da informação para sua
gestão. Strong security. 19/09/2017. Disponível em:
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-
a-seguranca-da-informacao-para-sua-gestao/
(https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-
seguranca-da-informacao-para-sua-gestao/) . Acesso em: 29 de maio de
2020.
Para o planejamento da etapa de monitoração de riscos, considere as
seguintes atividades.
 
I. Incluir novos ativos no escopo da gestão de riscos.
 
II. Avaliar a eficiência da redução de riscos.
 
III. Elaborar o Plano de tratamento do risco e dos riscos residuais.
 
IV. Calcular as probabilidades dos cenários de incidentes no método
quantitativo ou qualitativo.
 
Assinale a alternativa com atividades da etapa de monitoramento de
riscos, apenas.
 II e III. 
 I e IV. 
A+
A
A-
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
 I, II e III. 
 III e IV. 
 I e II. Correto!Correto!
O monitoramento é a atividade de identificar e de assegurar o
controle do risco, monitorando riscos residuais e identificando
novas ameaças e vulnerabilidades, assegurando a execução dos
planos de tratamento do risco e avaliando sua eficiência e eficácia
na redução dos riscos. Assim, as atividades “Incluir novos ativos
no escopo da gestão de riscos” (I) e “Avaliar a eficiência da
redução de riscos são parte da monitoração de risco” (II).
A atividade “Elaborar o Plano de tratamento do risco e dos riscos
residuais” (III) ocorre na etapa de Tratamento do Risco e não
monitoramento. A atividade “Calcular as probabilidades dos
cenários de incidentes no método quantitativo ou qualitativo” (IV)
ocorre na etapa de Avaliação do Risco.
Assim, somente as atividades I e II ocorrem na etapa de
Monitoração de Riscos.
0,3 / 0,3 ptsPergunta 2
Leia o texto a seguir:
 
PSR = Probabilidade x Severidade x Relevância - os fatores da
Probabilidade e Severidade são pontuados durante as análises
técnicas e a Relevância pontuada no processo de levantamento dos
ativos, considerando-se a importância do ativo para o negócio ou
serviço. Assim, o valor do risco de um ativo é obtido pelo somatório
dos produtos dos três fatores (P x S x R) calculado cada uma das
ameaças ao ativo em análise.
 
A tabela 7 a seguir demonstra a distribuição dos possíveis valores de
Risco (PSR):
A+
A
A-
Da tabela anterior são identificadas e definidas as faixas para os níveis
de risco que irão orientar a priorização da faze de tratamento dos
riscos, priorizando o tratamento dos riscos mais altos, conforme a
Tabela 8 a seguir.
 
Como risco aceitável, o Ministério da Saúde considera os níveis que
apresentarem PSR Baixo ou Muito Baixo. Portanto, deverão ser
tratados os riscos Muito Alto, Alto e Médio, cabendo ao Gestor da área
analisar os casos especiais, nos quais a aceitação do risco é
justificável. Podem ser entendidos como casos especiais, dentre
outros, as atividades temporárias ou de curto prazo; a implantação de
controles cujo custo supera o valor da consequência causada pela
ocorrência do evento.
 
Fonte: BRASIL. Ministério Da Saúde. Metodologia De Gestão De
Riscos De Segurança Da Informação e Comunicações Do
Ministério Da Saúde. Brasília, 2015. Disponível em:
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-
Metodologia-de-Gesto-de-Riscos_v20141105.pdf
(https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-
Metodologia-de-Gesto-de-Riscos_v20141105.pdf) . Acesso em: 29 de
maio de 2020. Adaptado.
A+
A
A-
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
Considerando a metodologia de gestão de risco adotado no Ministério
da Saúde, assinale a alternativa correta.
 
Para uma ameaça de sobrecarga de energia no servidor WEB, cujo
PSR = 50, não é necessário a realização de tratamento desse risco,
pois PSR=50 corresponde a nível de risco baixo.
 
Para uma ameaça de queima da fonte das estações de trabalho, cujo
PSR = 8, é necessário o tratamento desse risco, com o compra de
nobreak para todas as estações de trabalho.
 
A Avaliação de controle de riscos é de 2015, período anterior à
pandemia do Corona Vírus e, portanto, não é mais válida.
 
Para uma ameaça de ataques de Hackers, cujo PSR = 40, não é
necessário a realização de tratamento desse risco, pois os hackers não
vão atacar o Ministério da Saúde.
 
Para uma ameaça de acesso indevido, cujo PSR = 75, é necessário o
tratamento desse risco através de controle biométrico ou certificados
digitais.
Correto!Correto!
Alternativa correta.
Para um indicador PSR = 75, pela tabela 8, opera-se com um
nível de risco muito alto. Para esse nível de risco, é necessário o
tratamento do risco. Como a ameaça é de acesso indevido, o uso
de controle biométrico e/ou certificados digitais pode ser um
tratamento para esse risco.
0,3 / 0,3 ptsPergunta 3
Leia o texto a seguir:A+
A
A-
 
À medida que desenvolver estratégia de risco, você deverá entender
as respostas mais comuns. Você pode reduzi-los, transferi-los, aceitá-
los ou evitá-los.
Atenuação (redução) de risco – Esta abordagem usa diversos
controles para atenuar ou reduzir riscos identificados. Esses
controles podem ser administrativos, técnicos ou físicos.
 
Fonte: KIM, D. SOLOMON, M. G. Fundamentos da Segurança de
Informação. Rio de Janeiro: LTC: 2014, p. 198.
Aponte a alternativa que possui uma estratégia de modificação do
risco.
 
 
Não abrir uma filial em um país que seja alvo de tumulto político ou
movimentos sociais frequentes.
 
Utilização de software antivírus e de firewall para reduzir a infecção nos
computadores da empresa e na rede.
Correto!Correto!
Alternativa correta.
A Utilização de software antivírus e de firewall são ações que
contribuem para reduzir a infecção nos computadores da empresa
e na rede, diminuindo o risco de segurança da informação da
empresa.
 
Um médico compra um seguro contra negligência médica e aceita risco
residual de perda igual à franquia.
 
Restaurante contrata uma empresa terceirizada para administrar as
áreas de estacionamento.
A+
A
A-
 
Empresa exportadora que deseja especular o valor do dólar para daqui
1 ano.
0,3 / 0,3 ptsPergunta 4
Leia o texto a seguir:
 
Os riscos existem e estão a nossa volta o tempo todo. Dificilmente
vamos eliminá-los. Podemos minimizá-los, mas para isso, a busca por
conformidade, confiabilidade, eficiência, eficácia, governança e
qualquer outro adjetivo que suporte as informações e a manutenção
das organizações será bem-vinda, pois a busca pela continuidade dos
negócios e pela boa prática de governança corporativa deve ser
inserida em todas as atividades empresariais, para as pequenas,
médias e grandes companhias.
O bom senso e o conhecimento de negócio auxiliam na busca por
essa tão falada conformidade e devemos atentar que, em muitos
casos, as regras parecem impossíveis de serem aplicadas, mas
devemos avaliar até que ponto devemos colocá-las em prática sem
causar danos à organização.
Ninguém está obrigado a fazer nada desde que possa justificar a sua
atitude. A busca pelos controles internos e contábeis e pela gestão de
riscos vai de encontro ao apetite de risco da organização e como
minimizar o risco corporativo.
 Portanto, minimizar riscos é conhecer, prevenir e monitorá-los sempre
que possível, pois eles não são evidenciados somente nas fraudes.
Erros e negligência também fazem parte. É bom avaliar sempre isso.
 
Fonte: ASSI, M. Gestão De Riscos Com Controles Internos: Como
vencer os desafios e manter a eficiência dos negócios. 1. ed. São
Paulo: Saint Paul Editora, 2012, p. 142.
Considerando as informações apresentadas, analise as afirmações a
seguir:
 
A+
A
A-
I. Após a etapa de Tratamento do Risco, ocorre a decisão de a
aceitação ou retenção de riscos, ação de evitar outros riscos ou a
transferência de alguns desses riscos a outros agentes.
II. A eliminação do risco depende de um complexo diagrama de
controles de risco.
III. Caso o risco residual for maior que o risco máximo aceitável, a
empresa terá uma implementação ineficiente do processo de gestão
de riscos.
 
É correto o que se afirma em:
 I, apenas. Correto!Correto!
A afirmação I está correta, pois a etapa de Tratamento do Risco
proporciona 4 ações: Retenção, Aceitação, Compartilhamento e
Impedimento do Risco.
A afirmação II está incorreta, pois o risco não pode ser eliminado,
mas gerenciado, fato abordado no texto.
A afirmação III está incorreta, pois caso o risco residual fique
maior que o máximo risco aceitável, será realizada mais uma
iteração do processo de gestão de risco, partindo da definição de
contexto.
Assim, somente afirmação I está correta.
 II e III, apenas. 
 II, apenas. 
 I e III, apenas. 
 I e II, apenas. 
0,3 / 0,3 ptsPergunta 5
Leia o texto a seguir:
A+
A
A-
 
A figura a seguir apresenta graficamente a localização das atividades
no processo de gestão de riscos:
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013.
Existem duas atividades que devem ocorrer a todo o tempo:
acompanhamento do dinamismo dos riscos e ameaças deve ser feito
através do monitoramento dos ativos, vulnerabilidades e
probabilidades. A partir disso, avalie as asserções a seguir e a relação
entre elas:
 
A+
A
A-
I. As fases de Comunicação do risco e Monitoramento e análise crítica
são permanentes e desenvolvidas simultaneamente com as demais
fases do processo de gestão de riscos.
 
PORQUE
 
II. Com o monitoramento, a organização verifica se todos os recursos
necessários à gestão e tratamento do risco estão disponíveis, e a
verificação da necessidade de mudanças nos critérios, na metodologia
ou nas ferramentas utilizada e, através da comunicação, as
informações sobre o desenvolvimento das atividades e os resultados
alcançados são transmitidas.
 
A respeito dessas asserções, assinale a opção correta:
 
A asserção I é uma proposição falsa, e a II é uma proposição
verdadeira.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
 As asserções I e II são proposições falsas. 
 
As asserções I e II são proposições verdadeiras, e a II é uma
justificativa da I.
Correto!Correto!
A+
A
A-
Alternativa correta.
A asserção I está correta, pois algumas atividades como a
Definição de Contexto, Identificação de Risco, Análise de Riscos,
Avaliação de Riscos, Tratamento de riscos e Aceitação de Riscos
possuem momentos de realização bem definidos, pois as
entradas necessárias por estas são estão disponíveis quando a
etapa anterior é finalizada. Enquanto as etapas de Comunicação
e Monitoramento ocorrem durante todo o processo.
A asserção II está correta, pois o monitoramento é a observação
contínua e o registro regular das atividades e ações da gestão de
riscos. O monitoramento O monitoramento deve ser feito para
garantir que tratamento do risco está sendo implementado
conforme planejados, novos ativos foram incluídos no escopo da
gestão de riscos e os controles selecionados como de resposta
ao risco ainda estão eficazes. A comunicação do risco também
deve ocorrer forma contínua, pois através dela que são
transmitidas informações sobre o desenvolvimento das atividades
e os resultados alcançados.
Assim, a asserção II justifica a asserção I.
 
A asserção I é uma proposição verdadeira, e a II é uma proposição
falsa.
Pontuação do teste: 1,5 de 1,5
A+
A
A-