Avaliação da Disciplina Gestão da Segurança da Informação

Prévia do material em texto

28/09/2023, 1 Avaliação da Disciplina 
Alterar modo de visualizagao 
Peso da Avaliagdo 10,00 
Prova 71705066 
Qtd. de Questoes 20 
Nota 10,00 
1 
O risco é compreendido pela combinagdo dos seguintes elementos: consequéncia e probabilidade 
(OLIVEIRA, 2001). É importante ressaltar que inimeros fatores influenciam no processo de 
mensuragdo do risco, devendo ser considerado os controles e as medidas de seguranga que atuam de 
modo direto no aumento ou na redução do risco (OLIVEIRA, 2001; FONTES, 2006). 
Fonte: FONTES, Edson. Seguranga da Informagéo: o usuário faz a diferenga. São Paulo: Saraiva, 
2006. 
Fonte: OLIVEIRA, W. Seguranga da informação: técnicas e solugdes. São Paulo: Atlas, 2001. 
Considerando a definição de riscos, assinale a alternativa CORRETA: 
A compreensdo do ambiente e das atividades de negócios é outro ponto fundamental no estudo do 
AÀ risco, ameagas e vulnerabilidades, uma vez que a profundidade da analise estara diretamente 
relacionada com essas duas variaveis. 
Os riscos naturais oriundas de agdes com objetivo de resultar em danos. Alguns fatores precisam 
ser considerados, sendo: situagdo do sistema de controle interno; mercado competitivo, 
informagao de alto poder estratégico, entre outros. 
O risco é compreendido como algo que cria oportunidades ou produz perdas. Com relação a 
seguranga, os riscos são compreendidos como condigdes que criam ou aumentam o potencial de 
danos e perdas. 
Os riscos intencionais são resultantes de agdes intencionais, ou seja, ligadas com vulnerabilidades 
humanas, fisicas, de hardware, de software, bem como, dos meios de armazenamento e das 
comunicagdes. 
2 
A seguranga da informagéo integrada combina inúmeras tecnologias de seguranga com 
compatibilidade de politicas, gerenciamento, servigo e suporte, e pesquisa para proteger as 
informagdes. Deste modo, uma das medidas para garantir a seguranga da informagéo é a 
implementagao dos controles fisicos e logicos para barrar acessos nao autorizados (MAZIERO, 
2019). 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Parana. UFBR: 2019. 
Considerando a seguranga integrada das informagdes, assinale a alternativa CORRETA: 
A Firewall: identifica o acesso não autorizado e dispara alertas e relatérios. 
Framework de detecção de intrusos: identifica o acesso não autorizado e dispara alertas e 
relatorios. 
Filtragem de firewall: controla todo o trafego de dados verificando as informagdes que entram e 
saem da rede assegurando para ocorrer acessos nao autorizados. 
about:blank 
28/09/2023, 15:02 Avaliação da Disciplina 
Rede privadas virtuais (VPN): permitem as conexões, além do perímetro da rede local, 
assegurando que redes locais se comuniquem com segurança por meio da Internet. 
3 
As invasões a sistemas, bem como, os ataques cibernéticos geralmente utilizam a engenharia social 
para conseguir informações e dados das organizações ou usuários que serão vítimas. A 
conscientização é um processo longo e constante, que pretende criar uma consciência de uso seguro 
da internet, principalmente das redes sociais, que ganham milhares de novos adeptos todos os dias. 
(FONTES, 2006). 
FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 2006. 
Considerando os modos de obter informações, assinale a alternativa CORRETA: 
O e-mail e as trocas de mensagens por meio de dispositivos móveis são considerados essenciais 
A nas atividades diárias. Nesta modalidade o hacker envia mensagens com keyloggers de arquivos 
tentadores conseguindo acessar os dados dos passivos necessarias para o ataque. 
O hacker se passa por alguém em busca de dados ou até representando falsamente ser 
vendedores, faxineiro e até funcionario da organizagdo para obter dados. 
O principal meio de explorar determinado alvo é garantir sua confianga, e investigando suas 
principais anomalias, ou seja, ¢ uma etapa denominada de DO” ou engajamento. 
O hacker usa telefones publicos para dificultar o rastreio, coletando assim, o maximo de 
informagdes e adquirindo dados sobre a vitima ou para confirmar se as informagdes obtidas são 
verdadeiras. 
4 
No Brasil, a LGPD (Lei Geral de Proteção dos Dados Pessoais) ¢ importante marco legislativo 
brasileiro que altera significativamente o atual modelo de coleta e tratamento indiscriminado de dados 
pessoais para o modelo em que se passara a coletar e trata somente o necessario (STELZER et al, 
2019). 
Fonte: STELZER, J. et al. A lei geral de protegdo de dados pessoais e os desafios das institui¢des de 
ensino superior para a adequação. UFSC: Florianopdlis. 2019. 
Considerando a LGPD (Lei Geral de Proteção dos Dados Pessoais (LEI N° 13.709, DE 14 DE 
AGOSTO DE 2018), assinale a alternativa CORRETA: 
O dado pessoa sensivel e qualquer dado relacionado a pessoa natural diretamente identificada 
ou identificavel. 
B O dado pessoal corresponde ao dado genético, biométrico, de saúde, vida e orientagdo sexual, 
origem racial ou étnica; de convicgdo politica, sindical, filosofica ou religiosa. 
A LGPD aporta consigo os fundamentos que frisam a protegao de direitos e garantias da pessoa 
natural, tais como o respeito a privacidade, a autodeterminagao informativa, a liberdade de 
expressao, a inviolabilidade da intimidade, e respeitos aos direitos humanos, para citar alguns. 
O tratamento de dados representa qualquer operação que possa ser realizada nas informagdes 
fornecidas pelos usuarios. 
about:blank 
28/09/2023, 15: Avaliação da Disciplina 
O gerenciamento do risco ¢ um processo continuo de anélise, avaliação, priorização e implementagao 
de recomendagdes de seguranga conforme o grau de criticidade do risco. Esse processo garante que o 
gestor de seguranga faga de modo adequado o balanceamento do custo operacional e econdmico das 
medidas de defesa, obtendo com isso, ganhos protegendo os sistemas de TI, dados e informagdes da 
organizagdo (FONTES, 2006). Fonte: 
FONTES, E. Seguranga da informagao. São Paulo: Editora Saraiva. 2006 
Considerando os processos do gerenciamento de riscos, assinale a alternativa CORRETA: 
Analise do risco determina a extensdo da ameaga potencial e o risco associado a um sistema de 
TL. 
A mitigação do risco é extremamente necessaria em virtude do dinamismo com que os 
B acontecimentos se sucedem em uma organizagdo, que vão influenciar no nivel de seguranga 
estabelecido. 
A avaliagdo e analise engloba a priorizagdo, avaliagao e implementagao dos controles 
necessarios para o tratamento do risco. 
D A mitigagdo do risco desenvolve um circulo continuo que realimenta o processo de analise de 
risco 
O Facilitated Risk Analysis Process (FRAAP) é considerada uma metodologia de analise e avaliação 
de riscos que objetiva identificar o ativo, verificar o risco, determinar a probabilidade e identificar a 
ação ou medida corretiva de um sistema, aplicagdo ou processo de negocio por vez 
(MASCARENHAS NETO, 2019). Fonte: MASCARENHAS NETO, P. T. Seguranga da informagéo. 
São Jodo Pessoa: UFPB, 2019. 
Considerando o Facilitated Risk Analysis Process (FRAAP), assinale a alternativa CORRETA: 
O método FRAAP é executado por especialistas da propria organizagao, por meio de uma 
reunido mediada cujo objetivo é de identificar os riscos, as medidas e as agdes de controle que 
podem minimiza-los, identificar os stakholders e atribuir os ativos sobre suas responsabilidades 
O proposito do método FRAAP é identificar as ameagas e vulnerabilidades em potencial que 
podem acarretar impactos positivos para a integridade, confidencialidade e disponibilidade das 
informagdes. 
O método FRAAP tem por objetivo analisar um sistema, aplicação ou segmento de uma 
organização em um longo periodo, para isso, ¢ realizada uma sessdo de brainstorming com uma 
equipe composta por especialistas, gerentes do negocio e um grupo de apoio técnico. 
O método FRAAP utiliza métodos quantitativos e vem sendo usado por se apresentar eficiente 
para assegurar que os riscos sejamidentificados, examinados e documentados e suas 
responsabilidades e estabelecer datas para executar as agdes oriundas de seu plano de ação. 
É preciso avaliar se todas as informagdes são valiosas a organizagdo, ou melhor, cada organizagdo 
precisa definir quais informagdes são ativos intelectuais e baseadas em conhecimento. Geralmente, os 
ativos intelectuais e baseados no conhecimento são segmentados em duas categorias, sendo elas: 
conhecimento explicito e conhecimento tacito (DANTAS, 2011). 
Fonte: DANTAS, L.M. Seguranga da Informação: uma abordagem focada em gestdo de riscos. 
Olinda. Livro Rapido, 2011. 
Considerando as caracteristicas da gestdo do conhecimento, assinale a alternativa CORRETA: 
about:blank 
28/09/2023, 15: Avaliação da Disciplina 
. A gestão do conhecimento consiste na administração dos ativos de conhecimento de uma 
organização. 
B O conceito de gestão do conhecimento surgiu no início da década de 1970, definido não mais 
como uma moda da eficiência operacional, mas sim como uma parte estratégica das organizações. 
O conceito abrange um conjunto de metodologias e tecnologias que visam criar condições para 
identificar, integrar, capturar, recuperar e compartilhar os dados existentes nas organizações. 
A gestão do conhecimento é um processo aleatorio de identificação, criação, renovagao e 
aplicação dos conhecimentos estratégicos na vida de uma companhia. 
Todos os dias circulam na internet milhares de bits e bytes de informagao, tais como, noticias, 
produtos, blogs, tutoriais, lives. A nossa sociedade nunca teve ao longo da histéria tanto acesso de 
informagdes, mas toda essa disponibilidade pode acarretar problemas de seguranga da informagao. 
Nesse sentido, o sistema operacional utiliza diversas técnicas complementares para manter a 
seguranga de um sistema operacional, sendo que, essas técnicas estdo classificadas nas em grandes 
areas (MAZIERO, 2019). 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Parana. UFBR: 2019. 
Considerando as técnicas para garantir a seguranga do sistema, assinale a alternativa CORRETA: 
. A autenticação usa técnicas para identificar usuarios e recursos em um determinado sistema. 
Para o controle de acesso são utilizadas técnicas para assegurar um registro confiavel das 
atividades realizadas no sistema para contabilizar o uso dos recursos. 
C Auditoria são regras definidas que detalham as agdes que são permitidas no sistema. 
p A auditoria emprega técnicas para definir quais ações sdo autorizadas e quais são negadas no 
sistema. 
As vulnerabilidades são falhas que sozinhas não acarretam incidentes, ja que sdo elementos passivos 
dependentes de um determinado agente causador que utilize as ameagas para prejudicar a seguranga 
da organizagdo (DANTAS, 2011). 
Fonte: DANTAS, L.M. Seguranga da Informagao: uma Abordagem Focada em gestão de Riscos. 
Olinda. Livro Rapido, 2011. 
Considerando a defini¢do de vulnerabilidades, assinale a alternativa CORRETA: 
A norma ISO/NBR 27005:2009 classifica as vulnerabilidades quanto ao tipo de ativo secundario 
AÀ ao qual ela se aplica, a saber: vulnerabilidades de hardware, de softwares, de rede, de pessoal, de 
instalagdes e da estrutura organizacional. 
A vulnerabilidade ¢ uma caracteristica que determinado recurso assume quando esta suscetivel a 
um ataque, ou seja, é uma condigdo encontrada em um passivo que o dota de fragilidades que 
podem ser exploradas com ameagas que podem resultar em danos de ordens diversas. 
A vulnerabilidade é definida como a fragilidade de um passivo que pode ser explorada por 
inúmeros tipos de ameagas que permitem a ocorréncia de um incidente de seguranga, afetando 
negativamente um ou mais principios da seguranga da informagao. 
about:blank 
28/09/2023, 1 Avaliação da Disciplina 
As vulnerabilidades são fragilidades presentes ou associadas a ativos que manipulam e/ou 
processam informagdes que, ao serem exploradas por ameagas, permitem a ocorréncia de um 
incidente de seguranga, afetando negativamente um ou mais principios da seguranga da 
informagao. 
10 
CORAS ¢ um método que integra diversas técnicas para avaliação de risco com base em Unified 
Modeling Language (UML). O projeto foi iniciado em 2001 por quatro paises da Unido Europeia 
(Grécia, Alemanha, Noruega e Reino Unido), com apoio de empresas de TI (Intracom, Solinet e 
Telenor) e de sete institutos (CTI, FORTH, IFE, NCT, NR, RAL e Sintef), além da universidade 
QMUL, no Reino Unido (MARTINS, 2014). 
Fonte: MARTINS, A. B. Desenvolvimento de uma metodologia para gestao de risco com base no 
método coras e avaliagdo quantitativa para aplicagdo em plantas de saneamento. Tese apresentada a 
Escola Politécnica da Universidade de São Paulo para obtenção do titulo de Doutora em Ciéncias. 
São Paulo, 2014. 
Considerando as etapas do método CORAS (The Coras Method), assinale a alternativa CORRETA: 
N A etapa do refinamento corresponde a definição dos alvos de avaliagdo, dos ativos mais valiosos, 
dos cenarios de ameagas, vulnerabilidades e riscos. 
B A ctapada identificagdo dos riscos define os critérios da andlise de risco que serdo usados nas 
etapas seguintes. 
A avaliagdo dos riscos identifica o tratamento, bem como a analise custo/beneficio dos 
tratamentos. 
A estimativa dos riscos ¢ constituida de um brainstorming multidisciplinar destinado as pessoas 
com experiéncia no objeto analisado. 
1 
A biometria representa um exemplo de autenticagdo baseada em caracteristica fisica. Entdo, tipo de 
autenticagdo tem-se garantia que o individuo esteja presente no ponto de autenticagéo. A biometria 
possibilita autentificar o usuário definindo categorias de credenciais usadas nos processos de 
autenticagdo, ou seja, algo que ¢ inerente ao usudrio e que corresponde a sua identidade (DANTAS, 
2011). 
Fonte: DANTAS, L.M. Seguranga da Informação: uma Abordagem Focada em gestão de Riscos. 
Olinda. Livro Rapido, 2011. 
Considerando as caracteristicas da biometria, assinale a alternativa CORRETA: 
Leitores biométricos fisiologicos são aqueles que leem as caracteristicas comportamentais dos 
individuos em alguma situação especifica 
A biometria pode ser compreendida como uma ciéncia baseada em mecanismos mecénicos de 
B analise de aspectos humanos que tem como objetivo realizar o reconhecimento de um individuo 
ou diferencia-lo de seus semelhantes com base em caracteristicas fisiologicas e comportamentais. 
O termo biometria pode ser compreendido, em um sentido amplo, como o estudo ou a medição 
de caracteristicas inerentes aos seres vivos, entretanto essa defini¢do é muito genérica. 
Leitores biométricos comportamentais são aqueles que leem as caracteristicas fisicas dos 
individuos, comparando-as com o banco de dados. 
about:blank 
28/09/2023, 15:02 Avaliação da Disciplina 
O risco é considerado como algo que pode ou não acontecer, mas se acontecer terá impactos 
negativos ao projeto em relação aos custos, prazos, qualidade, tempo ou satisfação do usuário. Um 
risco pode ter uma causa definida ou várias causas e, se acontecer, pode gerar um ou vários impactos 
(FONTES, 2006). 
Fonte: FONTES, E. Segurança da informação. São Paulo: Editora Saraiva. 2006. 
Considerando a gestão de risco de segurança da informação, assinale a alternativa CORRETA: 
O gerenciamento de riscos é o processo de identificação, análise e avaliação do risco, para uma 
determinada tomada de decisão. 
A gestão de riscos analisa de modo aleatório os riscos específicos de cada atividade, com o 
objetivo de obter uma vantagem sustentada em cada atividade individual e no conjunto de todas 
as atividades. 
O gerenciamento de riscos determina o caminho e o contexto adequado para o desenvolvimento 
e a implantação de filtragem de conteúdo. 
O gerenciamento do risco é um processo específico e pontual de análise, avaliação, priorização e 
implementação de recomendações de segurança conforme o grau de criticidade do risco. 
Um dos desafios do processo deimplantação da política de segurança da informação é a falta de 
planejamento das ações a serem colocadas em prática. Para que tudo ocorra do modo planejado, é 
preciso que haja o envolvimento de toda a equipe ao longo do processo, já que eles serão os 
executores do plano de trabalho (CARVALHO, 2017). 
Fonte: CARVALHO, E. T. R. DE. Criação de um Guia de Boas Práticas para Desenvolvimento 
Seguro. Monografia submetida ao curso de graduação em Engenharia de Software da Universidade de 
Brasília, como requisito parcial para obtenção do Título de Bacharel em Engenharia de Software. 
Brasília, 2017. 
Considerando as etapas de implantação da política de segurança da informação, assinale a alternativa 
CORRETA: 
A —Aimplementação delimita as fronteiras da segurança na organização. 
A divulgação e o treinamento documentam e estebelecem procedimentos que garantam a 
efetividade e o cumprimento das ações de segurança na organização. 
A manutenção realiza uma ampla divulgação da Política de Segurança da Informação dentro da 
organização e treinamentos com todos os seus funcionários. 
. A abrangência corresponde a definição dos limites e as fronteiras da Política de Segurança da 
Informação. 
O ato de estabelecer ou confirmar algo é chamado de autenticação, para segurança da informação, 
esse processo pode ter várias camadas. Sabendo disso, existem vários mecanismos de autenticação 
que compõem o processo estes são os principais: senhas, impressão digital, padrão de voz, assinatura, 
token, biometria, padrão ocular, PIN. O Número de Identificação Pessoal (PIN) está ligado a 
parâmetros secretos armazenados pelo usuário, bem como, pela entidade autenticadora 
(ALBUQUERQUE, 2020). 
about:blank 
28/09/2023, 15:02 Avaliação da Disciplina 
Fonte: ALBUQUERQUE, S. L. Protocolo de autenticação contínua multimodal com uso de 
eletrocardiografia para ambientes de computação móvel em nuvem. Distrito Federal, 2020. 
Considerando as características do PIN, assinale a alternativa CORRETA: 
A O processo de autenticação pode apresentar muitos problemas observados no processo baseado 
em usuario e IP também ocorrem na autenticagdo que tem como base a utilização do PIN. 
. O PIN mistura credenciais de conhecimento e de propriedade, sendo usado para a autenticação 
de equipamentos perante servidores de acesso a redes de comunicações. 
Os parâmetros encontram-se em um dispositivo fixo (SIM-card) que fica com o usuário e em um 
elemento da rede celular (tipicamente o centro de autenticação). 
Nesse método, o usuário compartilha parâmetros não confidenciais com a rede de comunicação 
móvel celular. 
Segurança da informação é o conjunto de orientações, normas, procedimentos, políticas e demais 
ações que tem por objetivo proteger o recurso informação, possibilitando que o negócio da 
organização seja realizado e sua missão seja alcançada (FONTES, 2006). 
Fonte: FONTES, Edson. Segurança da Informação: o usuário faz a diferença. São Paulo: Saraiva, 
2006. 
Considerando o conceito de segurança da informação, assinale a alternativa CORRETA: 
. A segurança da informação é uma área de conhecimento voltada à proteção da informação e dos 
ativos associados contra indisponibilidade, alterações indevidas e acessos não autorizados. 
Pode-se dizer que a preocupação com a segurança da informação teve início na atualidade, com o 
surgimento da internet, sobretudo no que se refere ao aspecto da confidencialidade da 
informação. 
Um sistema informático compreende inúmeros fatores além do sistema operacional, ou seja, a em 
si manutenção das propriedades de segurança estão relacionadas ao funcionamento adequado de 
todos os elementos do sistema (software). 
A segurança da informação é utilizada para ajudar a organização a compreender e identificar qual 
é o grau de vulnerabilidade dos dados que serão compartilhadas. 
As informações, ou seja, os ativos de informação de uma organização, possuem um valor que precisa 
ser classificado e valorado. De modo geral, um ativo é definido como qualquer elemento de valor 
para uma organização, isso pode ser tanto humano quanto tecnológico (MAZIERO, 2019). 
Fonte: MAZIERO, C. Sistemas Operacionais: Conceitos e Mecanismos. Universidade Federal do 
Paraná. UFBR: 2019. 
Considerando as características da informação, assinale a alternativa CORRETA: 
a — Disponibilidade: garantia de que os indivíduos que acessaram a informação são exatamente os 
que possuem acesso à informação, e que ela não foi modificada após o seu envio ou validação. . 
Legalidade: os documentos eletrônicos confidenciais precisam ter dispositivos como mensagens 
de rodapé que assegurem que a classificação da informação sobreviverá à passagem de seu 
conteúdo do meio digital para o meio físico impresso 
c Confidencialidade: exatidão das informações para assegurar que os dados e as informações 
processadas e transmitidas pelos sistemas de informação são íntegros. 
about:blank 
28/09/2023, 1 Avaliação da Disciplina 
Confidencialidade: acesso a individuos com autorizagdo. Isso significa que a informagao sera 
divulgada com prévia autorização, entdo, é preciso adotar métodos que assegurem a 
confidencialidade das informagdes. 
O principal objetivo de um firewall é garantir que todos os dados que trafeguem de uma rede para 
outra passem obrigatoriamente por ele. Para isso ¢ aconselhavel realizar uma avaliagdo da arquitetura 
no qual o sistema será implantado, assim como o grau de seguranga exigido, podendo ser utilizado 
quantos niveis de acesso forem necessarios para adequar esse sistema (WEIGERT; CASTILHO 
JUNIOR, 2017, p. 28). 
Fonte: WEIGERT, A.; CASTILHO JUNIOR, G. O. Aplicagdo de seguranga e ferramentas gerenciais. 
Trabalho de conclusão de curso Universidade Tecnologica Federal do Parana Departamento 
Académico de Eletronica Curso Superior de Tecnologia em Sistemas e Telecomunicagdes. Curitiba 
2017. 
Considerando as tecnologias mais usuais de firewalls, assinale a alternativa CORRETA: 
A Os filtros de pacote implementam gateway de aplicagéo e, conforme o seu funcionamento são 
chamados de proxies de aplicagdo, ou ainda, proxies em nivel de aplicagdo. 
Os proxies firewall disponibilizam um recurso de avaliação de pacotes de modo independente, 
ou seja, cada pacote que ¢ filtrado pelo firewall ¢ avaliado pelas regras do proprio administrador, 
sendo uma conexdo nova ou ja existente. 
Os gateway de aplicação são utilizados por inimeros motivos, como para filtrar o contetido da 
Web, restringir os bloqueios de pais, rastrear downloads e uploads e fornecer anonimamente ao 
navegar na Internet. 
Os filtros de pacote são filtros que permitem ou negam pacotes conforme regras. As regras 
podem ser elaboradas inserindo os endereços de rede origem e destino com as portas protocolos 
de controle de conexao. 
A ameaga ¢ um evento indesejavel que pode danificar um ativo, causando impacto nos resultados do 
negócio. Deste modo, quando um determinado ativo da informagéo é atacado ocorre, entdo, uma 
ameaça. O ataque a uma organizagdo pode ocorrer tanto internamente quanto externamente 
(SANTOS e SOARES, 2019). 
Fonte: SANTOS, E. E. dos e SOARES, T. M. M. K. Riscos, ameagas e vulnerabilidades: o impacto 
da seguranga da informação nas organizagoes. Revista Tecnologica da Fatec Americana, vol. 07, n. 
02, abril/setembro de 2019. 
Considerando as caracteristicas de uma ameaga, assinale a alternativa CORRETA: 
Para classificar as ameacas, é possivel fazer uma analise coletiva do que podera realizar a ação 
da ameaga, e por fim, o resultado da ação. 
Uma ameaga ¢ um potencial causa de um incidente indesejado, podendo acarretar danos a um 
sistema ou organizagio, entdo, uma ameaga conta com um individuo que se aproveita de uma 
vulnerabilidade. 
O levantamento de uma lista de ameagas correspondente a cada passivo do processo 
organizacional é fundamental para a defini¢do de vulnerabilidades, e, consequentemente, para 
analise de risco. 
about:blank 
28/09/2023, 1 Avaliação da DisciplinaPara cada tipo de ameaga identificada é possivel existir estruturas no sistema operacional que 
viabilizem o incidente. 
19 
O método CRAMM — CCTA Risk Analysis and Management Method - foi originalmente 
desenvolvido pela Central Computer and Telecommunications Agency (CCTA) ou Agéncia Central 
de Computadores e Telecomunicagdes do governo britanico. Vem sendo aperfeigoado pela empresa 
britanica Insight Consulting, uma divisao da Siemens Enterprise Communications Ltd. Essa 
metodologia ¢ utilizada por muitas organizagdes por oferecer suporte a implementagdo da ISO/IEC 
27001, que ¢ amplamente aceita pelas organizagoes (MASCARENHAS NETO, 2019). 
Fonte: MASCARENHAS NETO, P. T. Segurança da informagdo. São Jodo Pessoa: UFPB, 2019. 
Considerando o método CRAMM (CCTA Risk Analysis and Management Method), assinale a 
alternativa CORRETA: 
O método CRAMM possibilita que seus usuarios realizem as atividades em diversos niveis de 
A complexidade, já que usa uma abordagem que identifica as ameagas aos ativos, bem como, as 
vulnerabilidades para gerir o risco e propor medidas mitigadoras. 
O problema do método CRAMM é a aplicagdo de inimeras etapas e recomendagdes para 
defini¢ao do escopo do estudo. 
O beneficio do método CRAMM ¢ que não requer conhecimento especializado sobre o tema e 
pode ser usado em conjunto com a ferramenta CRAMM express. 
O problema do método CRAMM é que não pode ser ajustada conforme a realidade da 
0rganizagao e que seu processo não ¢ automatizado. 
20 
A hierarquia de uma instituição é considerada uma ferramenta importante de comunicação para os 
tomadores de decisões, gerentes de negócio, desenvolvedores, auditores e outros, para explicar quais 
documentos estão disponíveis e quais são aplicáveis a cada caso (CARVALHO, 2017). 
Fonte: CARVALHO, E. T. R. DE. Criação de um Guia de Boas Práticas para Desenvolvimento 
Seguro. Monografia submetida ao curso de graduação em Engenharia de Software da Universidade de 
Brasília, como requisito parcial para obtenção do Título de Bacharel em Engenharia de Software. 
Brasília, 2017. 
Considerando a arquitetura de segurança da informação, assinale a alternativa CORRETA: 
A A conformidade considera o tempo de restabelecimento do negócio, em caso de contingência ou 
de desastres. 
A gestão de acesso aos dados usa programas e de produtos que atendam à necessidade de 
segurança da organização. 
Produtos de segurança contemplam as regras para liberar e, posteriormente, cancelar o acesso às 
informações. 
A gestão de usuário assegura que os controles adequados à gestão dos usuários, desde sua 
admissão até o pós-desligamento. 
about:blank