Baixe o app para aproveitar ainda mais
Prévia do material em texto
AO2 (DP/ADAP Junho) Iniciado: 21 jun em 22:32 Instruções do teste Importante: Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no final da página. 0,6 ptsPergunta 1 Leia o texto a seguir: Implementação do tratamento de riscos: Claro que nem todos os riscos são criados de forma igual – você deve focar nos mais importantes, os assim chamados ‘riscos inaceitáveis’. Existem quatro opções que você pode escolher para mitigar cada risco inaceitável: - Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do Anexo A da ISO 27001:2013. - Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao comprar uma apólice de seguro. - Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de modo completamente diferente. - Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior do que o próprio dano. Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de investimento. Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas. Tradução de Rhand Leal. Disponível em https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e- tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/ (https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento- A+ A A- https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/ As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. As asserções I e II são proposições falsas. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. de-riscos-segundo-a-iso-27001-6-etapas-basicas/) . Acesso em: 01 de junho de 2020. Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas: I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela organização, ocorrerá uma nova iteração no processo de gestão de riscos. PORQUE II. Riscos residuais são aqueles que restam após a implantação de controles para evitar, transferir ou mitigar riscos. A respeito dessas asserções, assinale a opção correta. 0,6 ptsPergunta 2 Leia o texto a seguir: Identificação de riscos - Realizada para que se possa conhecer e determinar os possíveis eventos com potencial de causar perdas, e fazer o levantamento de como isso pode acontecer. - Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos. É importante que qualquer organização identifique as suas fontes de risco, suas causas e consequências. A finalidade é gerar uma lista abrangente de riscos baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus objetivos. A+ A A- https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/ Identificação dos controles existentes. Identificação dos ativos. Identificação de consequências. Identificação dos controles desejados. Implementação de controles. Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p. 42. Em qual das atividades da Identificação dos riscos que o resultado de saída com uma lista de todos os controles existentes e planejados, sua implementação e status de utilização? 0,6 ptsPergunta 3 Segundo a cartilha da Política de gestão de risco da Agência Nacional de Saúde, considere as seguintes definições: Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto um risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a partir de escala pré-definida de criticidades possíveis. Mapa de riscos: registro formal através do qual o gestor insere os riscos identificados, assim como as ações mínimas referentes ao gerenciamento. Níveis de Risco Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de operações, atividades, projetos, programas ou processos da ANS, causando IMPACTOS IRREVERSÍVEIS nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas. Nível Alto: Aqueles caracterizados por riscos associados à interrupção de operações, atividades, projetos, programas ou processos da ANS, causando IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas. A+ A A- I, apenas. II, apenas. I e III, apenas. I e III, apenas. Nível Médio: Aqueles caracterizados por riscos associados à interrupção de operações ou atividades da ANS, de projetos, programas ou processos, causando IMPACTOS SIGNIFICATIVOS nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas, porém recuperáveis. Nível Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos, programas ou processos da ANS, causando IMPACTOS PEQUENOS nos objetivos relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas. Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos, programas ou processos da ANS, porém causando IMPACTOS MÍNIMOS nos objetivos relacionado ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas. Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/ges gestao-de-riscos.pdf (http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_ gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado. Dadas essas definições, considere as seguintes afirmações: I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser revertidos nas atividades e nos objetivos da instituição. II. A classificação proposta não pode ser utilizada pois não considera a probabilidade de ocorrência do evento. III. Riscos classificados como nível baixo devem ser desconsiderados, para as próximas etapas do processo de gestão de risco. É correto o que se afirma em: A+ A A- http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf III, apenas. 0,6 ptsPergunta 4 O quadro a seguir representa as opções de tratamento de risco da Agência Nacional de Petróleo (ANP). Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2. Agosto/2019. p. 16. Disponível em: http://www.anp.gov.br/arquivos/gestao- riscos/metodologia-gestao-riscos-anp.pdf (http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf) . Acesso em: 01 de junho de 2020. Em relação ao Tratamento de riscos, considere as seguintes afirmações: I. Quando são identificados riscos extremamente elevados, em que os custos para a implementação de controles excedem seus benefícios, o risco deve ser 100% evitado. II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as consequências da ocorrência de um incidente de segurança da informação. A+ A A- http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf I e II, apenas. II e III, apenas. I e III, apenas. I, II e III. II, apenas. III. A retenção do risco representa a aceitação do risco de uma perda, isto é, aceita-se “correr o risco”. É correto o que se afirma em: 0,6 ptsPergunta 5 Leia o texto: Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de praticaspara a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação (https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de- boas-praticas-para-manter-seus-dados-seguros/) em uma organização. Para elaboração da política, são necessárias algumas atividades básicas. Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da- informacao-definicao-importancia-elaboracao-e-implementacao/ (https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao- importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020 Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. I. Procedimentos e Instruções são um conjunto de orientações para realizar atividades e instruções operacionais relacionadas à segurança. Representam comandos operacionais a serem executados no momento da realização de um A+ A A- https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/ https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/ I apenas. I e III apenas. III apenas. I e II apenas. II e III apenas. procedimento de segurança. É importante que exista uma estrutura de registro de que esses procedimentos são executados. II. Normas são conjuntos de regras gerais de nível estratégico que estão baseadas na visão e na missão da empresa. Essas regras representam as preocupações da organização sobre a segurança das informações. III. A política de segurança deve considerar os negócios, os objetivos da organização e sua cultura. É verdadeiro o que se afirma em: 0,6 ptsPergunta 6 Leia o texto a seguir: Risco: efeito da incerteza nos objetivos. NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes. NOTA 4 O risco em segurança da informação é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (likelihood) associada de ocorrência. NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, seu conhecimento, A+ A A- As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. sua consequência ou sua probabilidade. NOTA 6 O risco de segurança da informação está associado com o potencial de que ameaças possam explorar vulnerabilidades de um ativo de informação ou grupo de ativos de informação e, consequentemente, causar dano a uma organização. Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação. Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas: I. A organização e seus ativos apresentam vulnerabilidades que pode ser explorada por uma ameaça. PORQUE II. O risco de segurança da informação contém uma estimativa das consequências de eventos de segurança que produzem impactos nos objetivos de negócios. A respeito dessas asserções, assinale a opção correta. 0,6 ptsPergunta 7 Leia o texto a seguir: Política de segurança A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às A+ A A- I, III e IV. I, II e III. II e IV. II, III e IV. III e IV. quais está sujeito, caso não a cumpra. É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas. Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para Internet. Disponível em https://cartilha.cert.br/mecanismos/ (https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020. Sobre uma Política de Segurança, considere as seguintes afirmações: I. Uma política de segurança é um documento aprovado pela alta direção da empresa e que garante a provisão de recursos anuais para a área de segurança. II. A política de segurança deve ser divulgada apenas na área de tecnologia da empresa. III. As violações são as quebras de segurança. Estas podem ocorrer de diversas maneiras: por meio de ataques provocados por hackers, violações provocadas por ataques causados por ex-funcionários de empresas, violações causadas por pessoa mal-intencionadas. IV. As políticas de segurança devem prever contramedidas para evitar as violações, assim como medidas adotadas após a ocorrência dos fatos indesejáveis. Estão corretas apenas as afirmativas: 0,6 ptsPergunta 8 A+ A A- https://cartilha.cert.br/mecanismos/ III apenas. I, II e III. Leia o texto: A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente) no recurso de informação utilizado pela organização para atingir os seus objetivos Um risco combina as consequências originadas da ocorrência de um evento indesejado e da probabilidade de sua ocorrência. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente, e capacita os gestores a priorizar os riscos, de acordo com a sua gravidade percebida. Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca- da-informacao-como-fazer-uma- avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20obje (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da- informacao-como-fazer-uma- avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%2 Acesso em: 27//210/2020. Considerando o exposto no texto acima, assim como o conteúdo visto na disciplina, avalie as afirmações a seguir. I. A etapa de identificação de riscos é a determinação dos eventos que possam causar uma perda potencial, evidenciando seu local, razão e impactos. II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações, processos e sistemas) e, por isso, também as organizações. Ameaças podem ser de origem natural ou humana, e podem ser acidentais ou intencionais. III. A identificação dos controles existentes é realizada para evitar custos e trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, é preciso testar os controles existentes – eles são testados para assegurar que estão funcionando corretamente É correto o que se afirma em:. A+ A A- https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar I apenas. I e III apenas. II apenas. 0,6 ptsPergunta 9 Correção Recuperação Prevenção Detecção Conscientização Leia o Texto: O risco pode ser modificado por meio da inclusão, exclusão ou alteração de controles, de forma que o risco residual possa ser reduzido e, por conseguinte, aceito. Os controles selecionados devem satisfazer os critérios para aceitação do risco e os requisitos legais, regulatórios e contratuais. Devem considerar também custos, prazos, interação com outroscontroles, aspectos técnicos, culturais e ambientais, e demais restrições que possam afetar sua implementação. Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso em 27/10/2020 Dentre os tipos de proteção que os controles podem oferecer, há um que é descrito como sendo as atividades que implementam controles que visam reparar qualquer anormalidade. Qual é este tipo de controle? 0,6 ptsPergunta 10 A+ A A- https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf Leia o texto e analise a figura a seguir: A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão. De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades: A+ A A- Salvo em 22:47 Identificação de ameaças, controles, vulnerabilidades e consequências. Instalar antivírus, antispam, firewall e proxy eficientes para proteção. Monitoramento, análise e melhoria dos processos de prevenção ao risco. Modificação, retenção, ação de evitar e compartilhamento do risco. Definição do contexto, identificação, análise e aceitação dos riscos. Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos de segurança da informação. QSP. Disponível em: https://www.qsp.org.br/artigo_27005.shtml (https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021. Qual alternativa indica corretamente as etapas de tratamento do risco? Enviar teste A+ A A- https://www.qsp.org.br/artigo_27005.shtml
Compartilhar