Gestão de RiscosQuestionáriosAO2_Nota10

Prévia do material em texto

AO2 (DP/ADAP Junho)
Iniciado: 21 jun em 22:32
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 ptsPergunta 1
Leia o texto a seguir:
 
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve focar nos
mais importantes, os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco
inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este
artigo Visão geral do Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao
comprar uma apólice de seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de
modo completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior
do que o próprio dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de
investimento.
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001 –
6 etapas básicas. Tradução de Rhand Leal. Disponível em
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-
tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
(https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
de-riscos-segundo-a-iso-27001-6-etapas-basicas/) . Acesso em: 01 de junho de
2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela
organização, ocorrerá uma nova iteração no processo de gestão de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de controles para
evitar, transferir ou mitigar riscos.
 
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 2
Leia o texto a seguir:
 
Identificação de riscos
 - Realizada para que se possa conhecer e determinar os possíveis eventos com
potencial de causar perdas, e fazer o levantamento de como isso pode acontecer.
- Os resultados desta etapa serão os dados de entrada da etapa de estimativa de
riscos.
É importante que qualquer organização identifique as suas fontes de risco, suas
causas e consequências. A finalidade é gerar uma lista abrangente de riscos
baseada em eventos que possuam capacidade de criar, aumentar, evitar, reduzir,
acelerar ou atrasar a conquista dos seus objetivos.
A+
A
A-
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
Identificação dos controles existentes.
Identificação dos ativos.
Identificação de consequências.
Identificação dos controles desejados.
Implementação de controles.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 42.
Em qual das atividades da Identificação dos riscos que o resultado de saída com
uma lista de todos os controles existentes e planejados, sua implementação e
status de utilização?
0,6 ptsPergunta 3
Segundo a cartilha da Política de gestão de risco da Agência Nacional de Saúde,
considere as seguintes definições:
 
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto um
risco pode afetar os objetivos, processos de trabalho e projetos da ANS, a partir
de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos
identificados, assim como as ações mínimas referentes ao gerenciamento.
 
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS IRREVERSÍVEIS nos objetivos relacionados ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços
às partes interessadas.
A+
A
A-
I, apenas.
II, apenas.
I e III, apenas.
I e III, apenas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de
operações ou atividades da ANS, de projetos, programas ou processos,
causando IMPACTOS SIGNIFICATIVOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços
às partes interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de
operações, atividades, projetos, programas ou processos da ANS, causando
IMPACTOS PEQUENOS nos objetivos relacionados ao atendimento de metas,
padrões ou à capacidade de entrega de produtos/serviços às partes interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação de
operações, atividades, projetos, programas ou processos da ANS, porém
causando IMPACTOS MÍNIMOS nos objetivos relacionado ao atendimento de
metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
 
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/ges
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_
gestao-de-riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
 
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser
revertidos nas atividades e nos objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a
probabilidade de ocorrência do evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as
próximas etapas do processo de gestão de risco.
 
É correto o que se afirma em:
A+
A
A-
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
III, apenas.
0,6 ptsPergunta 4
O quadro a seguir representa as opções de tratamento de risco da Agência
Nacional de Petróleo (ANP).
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2. Agosto/2019. p.
16. Disponível em: http://www.anp.gov.br/arquivos/gestao-
riscos/metodologia-gestao-riscos-anp.pdf
(http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf) .
Acesso em: 01 de junho de 2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os custos
para a implementação de controles excedem seus benefícios, o risco deve ser
100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as
consequências da ocorrência de um incidente de segurança da informação.
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
I e II, apenas.
II e III, apenas.
I e III, apenas.
I, II e III.
II, apenas.
III. A retenção do risco representa a aceitação do risco de uma perda, isto é,
aceita-se “correr o risco”.
 
É correto o que se afirma em:
0,6 ptsPergunta 5
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se levar em
consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de
praticaspara a gestão de segurança da informação, onde podem ser encontradas
as melhores práticas para iniciar, implementar, manter e melhorar a gestão
de segurança da informação
(https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-
boas-praticas-para-manter-seus-dados-seguros/) em uma organização. Para
elaboração da política, são necessárias algumas atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/
(https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-
importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
 
Considerando o texto acima e o conteúdo visto, analise as afirmações a seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar
atividades e instruções operacionais relacionadas à segurança. Representam
comandos operacionais a serem executados no momento da realização de um
A+
A
A-
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
I apenas.
I e III apenas.
III apenas.
I e II apenas.
II e III apenas.
procedimento de segurança. É importante que exista uma estrutura de registro de
que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa. Essas regras representam as
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
É verdadeiro o que se afirma em:
0,6 ptsPergunta 6
Leia o texto a seguir:
 
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras,
de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis
(tais como estratégico, em toda a organização, de projeto, de produto e de
processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos
potenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso em
termos de uma combinação de consequências de um evento (incluindo
mudanças nas circunstâncias) e a probabilidade (likelihood) associada de
ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu conhecimento,
A+
A
A-
As asserções I e II são proposições falsas.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o potencial de
que ameaças possam explorar vulnerabilidades de um ativo de informação ou
grupo de ativos de informação e, consequentemente, causar dano a uma
organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da
Informação.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. A organização e seus ativos apresentam vulnerabilidades que pode ser
explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos objetivos
de negócios.
 
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 7
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de cada um em
relação à segurança dos recursos computacionais que utiliza e as penalidades às
A+
A
A-
I, III e IV.
I, II e III.
II e IV.
II, III e IV.
III e IV.
quais está sujeito, caso não a cumpra.
É considerada como um importante mecanismo de segurança, tanto para as
instituições como para os usuários, pois com ela é possível deixar claro o
comportamento esperado de cada um. Desta forma, casos de mau
comportamento, que estejam previstos na política, podem ser tratados de forma
adequada pelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para
Internet. Disponível em https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
 
I. Uma política de segurança é um documento aprovado pela alta direção da
empresa e que garante a provisão de recursos anuais para a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de tecnologia da
empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas
maneiras: por meio de ataques provocados por hackers, violações provocadas
por ataques causados por ex-funcionários de empresas, violações causadas por
pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidas para evitar as
violações, assim como medidas adotadas após a ocorrência dos fatos
indesejáveis.
 
Estão corretas apenas as afirmativas:
0,6 ptsPergunta 8
A+
A
A-
https://cartilha.cert.br/mecanismos/
III apenas.
I, II e III.
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo
Corporativo de Segurança da Informação e tem por objetivo minimizar a
ocorrência de ameaças que podem interferir (negativamente) no recurso de
informação utilizado pela organização para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um evento
indesejado e da probabilidade de sua ocorrência. O processo de avaliação de
riscos quantifica ou descreve o risco qualitativamente, e capacita os gestores a
priorizar os riscos, de acordo com a sua gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-
da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20obje
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-
informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%2
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto na
disciplina, avalie as afirmações a seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que possam
causar uma perda potencial, evidenciando seu local, razão e impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações,
processos e sistemas) e, por isso, também as organizações. Ameaças podem ser
de origem natural ou humana, e podem ser acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar custos e
trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, é
preciso testar os controles existentes – eles são testados para assegurar que
estão funcionando corretamente
É correto o que se afirma em:.
A+
A
A-
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
I apenas.
I e III apenas.
II apenas.
0,6 ptsPergunta 9
Correção
Recuperação
Prevenção
Detecção
Conscientização
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de
controles, de forma que o risco residual possa ser reduzido e, por conseguinte,
aceito. Os controles selecionados devem satisfazer os critérios para aceitação do
risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
custos, prazos, interação com outroscontroles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso
em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam reparar
qualquer anormalidade. Qual é este tipo de controle?
0,6 ptsPergunta 10
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança
da informação (SI) e dá sustentação aos conceitos especificados na ISO
27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar
sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto
pelas seguintes atividades:
 
A+
A
A-
Salvo em 22:47 
Identificação de ameaças, controles, vulnerabilidades e consequências.
Instalar antivírus, antispam, firewall e proxy eficientes para proteção.
Monitoramento, análise e melhoria dos processos de prevenção ao risco.
Modificação, retenção, ação de evitar e compartilhamento do risco.
Definição do contexto, identificação, análise e aceitação dos riscos.
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos
de segurança da informação. QSP. Disponível em:
https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
Enviar teste
A+
A
A-
https://www.qsp.org.br/artigo_27005.shtml