analise e gestao de riscos quetionario da unidade I nota 2,5 unip

Prévia do material em texto

Usuário
	mateus.silva286 @aluno.unip.br
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	QUESTIONÁRIO UNIDADE I
	Iniciado
	04/10/23 16:25
	Enviado
	04/10/23 16:36
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	11 minutos
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Estudar o risco é compreender suas origens. Determinar as causas e efeitos é fundamental, pois assim é possível mitigar possíveis danos e como controlá-los. O tratamento e a gestão dos riscos passam por um processo que, resumidamente contempla:
	
	
	
	
		Resposta Selecionada:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	Respostas:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	
	b. 
Acionar o responsável pelo risco – Notificar os gestores – Contatar os órgãos estaduais de riscos.
	
	c. 
Avaliar a economia nacional – Acionar o Sistema Financeiro Nacional – Identificar ameaças e vulnerabilidades.
	
	d. 
Avaliar a parte interessada – Notificar a Alta direção – Implantar sistema informatizado para gestão de riscos.
	
	e. 
Modificar os processos de tomada de decisão – Decidir sobre a melhor forma de tratar o risco – Notificar a Alta direção.
	Comentário da resposta:
	Resposta: A
Comentário: O primeiro passo para o tratamento e gestão dos riscos passa por identificar as ameaças e vulnerabilidades, antes de partir para qualquer tomada de decisão, pois primeiro deve-se conhecer as ameaças e vulnerabilidades às quais há exposição. Uma vez com essa lista, pode-se estimar o risco de cada ameaça e vulnerabilidade para assim decidir e definir a melhor forma de tratar o risco.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A ISO 31000 (2018) apresenta princípios que levam à gestão eficaz dos riscos. Isso porque a intenção da gestão de riscos é a criação e a proteção de valor. Os princípios apresentados na ISO 31000 (2018) devem ser respeitados antes do estabelecimento da estrutura e dos processos que irão suportar a gestão corporativa dos riscos. Considerando o exposto, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	Respostas:
	a. 
A visão integrada tem como foco analisar como o comportamento e cultura interferem nos aspectos da gestão de riscos em cada nível e estágio.
	
	b. 
A visão dinâmica tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	d. 
A visão nos Fatores Humanos e Culturais foca no aprimoramento continuado por meio de aprendizado e experiências.
	
	e. 
A visão Estrutura e abrangente atua na organização das pessoas envolvidas na gestão de riscos.
	Comentário da resposta:
	Resposta: C
Comentário: Manter sempre atualizadas as informações permite conhecer o passado, alia as expectativas futuras que levam a gestão de riscos a considerar as limitações e incertezas ligadas a essas expectativas. Isso é função da visão Baseada na Melhor Informação Disponível.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A estrutura da gestão de riscos tem como propósito apoiar a Organização na integralização da gestão de riscos em atividades relevantes e atribuições. Por esse motivo, o sucesso da gestão de riscos depende da integração com a governança em todas as áreas da Organização. Isso inclui a análise de riscos no processo decisório da Alta Direção. Baseado nisso e considerando a estrutura da gestão de riscos apresentada na ISO 31000 (2018), pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Respostas:
	a. 
A respeito da Liderança e comprometimento, a Alta Direção não é a responsável por gerenciar riscos.
	
	b. 
A respeito da Liderança e comprometimento, a área de Conformidade é a responsável por gerenciar riscos.
	
	c. 
Apenas a Alta Direção deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	d. 
Apenas a área de Conformidade deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Comentário da resposta:
	Resposta: E
Comentário: No que se refere à Liderança e comprometimento é responsabilidade da Alta Direção gerenciar os riscos, e não a área de Conformidade. Sobre a integração de riscos, a gestão de riscos deve ser uma parte do todo e não separada do propósito da organização. Tanto a Alta Direção quanto a área de Conformidade devem demonstrar e articular o seu comprometimento contínuo com a gestão de riscos.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O processo de gestão de riscos é crítico para qualquer organização. Isso pois requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, entre outras. O processo de gestão de riscos aplica-se aos níveis estratégico, operacional, de programa e de projeto. Por isso, pode-se afirmar:
	
	
	
	
		Resposta Selecionada:
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	Respostas:
	a. 
O processo de gestão de riscos muitas vezes não é interativo e sim sequencial.
	
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	
	c. 
A comunicação e consulta não se preocupa em reunir diferentes áreas de especialização, nem fornece informações suficientes para facilitar a supervisão dos riscos.
	
	d. 
A natureza dinâmica e variável do comportamento humano não é considerada ao longo do processo de gestão de riscos.
	
	e. 
O escopo, contexto e critérios têm o mesmo objetivo da comunicação e consulta.
	Comentário da resposta:
	Resposta: B
Comentário: O processo de gestão de riscos é interativo e não sequencial. O objetivo da comunicação é realmente auxiliar todos os interessados e busca conscientizar, entender o risco, além de expor o retorno e informação para ajudar na tomada de decisão. Segundo a ISO 31000 (2018) há várias seções estabelecidas na seção de processos de gestão de riscos, sendo que atividades “Comunicação e consulta” e “Escopo, contexto e critérios” têm objetivos distintos.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Mesmo em meio às incertezas, é possível medir ou estimar o risco. O risco é determinado pela combinação da probabilidade de ocorrência de um evento e sua gravidade, o que leva à análise do risco e determinar a aceitação ou não desse risco. Considerando a medição de risco é possível afirmar:
 
I.  Segundo o princípio do “tão baixo quanto possível”, o risco é sempre inaceitável mesmo depois de todas as medidas de prevenção, mitigação e de transferência terem sido devidamente mapeadas e implantadas.
II.  Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos que se referem aos riscos sempre inaceitáveis.
III.  O princípio “tão baixo quanto possível” parte do pressuposto de que um risco somente é aceitável se todas as medidas de prevenção, mitigação ou transferência estiverem devidamente mapeadas e implantadas.IV. O “princípio da precaução” deve ser devidamente analisado e mapeado para poder subsidiar as decisões sobre a aceitação ou não dos riscos.
Está correto o que se apresenta nas afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
III e IV.
	Respostas:
	a. 
I, apenas.
	
	b. 
I e II.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
III e IV.
	Comentário da resposta:
	Resposta: E
Comentário: Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos próximos e se referem em que o risco deve ser analisado, mapeado e mitigado para poder deliberar sobre sua aceitação ou não, mas não indicam que todos os riscos são inaceitáveis.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	É importante definir a diferença entre perigo e risco, pois essa diferença deve ser bem caracterizada para uma análise de risco eficaz. Considerando que há diferenças entre risco e perigo analise as afirmações a seguir:
 
I.  O risco é a entidade a ser administrada, uma vez que decorre da interação com o perigo.
II.  O risco é proporcional à razão entre o perigo e as medidas de segurança.
III. O perigo é a condição inerente a uma exposição ou atividade capaz de causar danos a ativos.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
I e III, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: Todas as afirmações estão corretas, uma vez que há diferenças entre risco e perigo, mas eles estão relacionados.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Considerando que o Risco é prioritário e que o processo de gestão de riscos é crítico para qualquer organização, pode-se definir um modelo de priorização de riscos, segundo Galante (2015). Por isso pode-se estabelecer que a priorização considera a frequência, severidade e cenários. Baseado nisso, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	Respostas:
	a. 
Baixa severidade e impacto sempre implicam em riscos mínimos.
	
	b. 
Baixa frequência sempre implica em riscos mínimos.
	
	c. 
Alta frequência sempre implica em riscos mínimos.
	
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	
	e. 
Os riscos máximos se encontram na combinação de baixa severidade e impacto com alta frequência.
	Comentário da resposta:
	Resposta: D
Comentário: A combinação entre frequência e severidade e impacto permite concluir a região dos riscos (máximos ou mínimos). Alta frequência de ocorrência, mesmo para riscos de severidade e impacto baixos, os colocam em riscos máximos. O mesmo ocorre para um risco de baixa frequência, mas de alta severidade.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Poder definir os riscos em máximos e mínimos auxilia a futura tomada de decisões na Organização. Uma forma de facilitar a visualização dos riscos se dá com o Mapa de Calor de Riscos. Acerca do Mapa de Calor de Riscos, analise as afirmações a seguir.
 
I.  O Mapa de Calor de Riscos não considera a frequência de ocorrência dos riscos.
II.  O Mapa de Calor de Riscos se baseia na severidade e impacto em conjunto com a frequência e se refere a uma forma diferente de apresentar os resultados da análise de riscos de maneira visual.
III.  O Mapa de Riscos contempla apenas três categorias possíveis: Baixo, Moderado e Alto.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	b. 
II, apenas.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I e II.
	
	e. 
I, II e III.
	Comentário da resposta:
	Resposta: B
Comentário: O Mapa de Calor de Riscos compreende uma forma visual de demonstrar e identificar os riscos. Contudo, as categorias dependem da organização e podem contemplar além de Baixo, Moderado e Alto, categorias intermediárias como Muito Baixo, entre outras.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A gestão de riscos e a segurança da informação estão intrinsecamente ligadas, pois a gestão de riscos leva às ações de segurança da informação a serem aplicadas pelas Organizações. Acerca dos Riscos e a Segurança da Informação, conforme a NBR ISO 27001 (2018), analise as afirmações a seguir.
 
I.  A NBR ISO 27001 (2018) contempla assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados.
II.  Não faz parte do processo de avaliação de riscos de segurança da informação a contínua avaliação dos riscos de segurança da informação.
III.  No processo de avaliação de riscos de segurança da informação deve-se avaliar as consequências da materialização dos riscos avaliando a probabilidade real da ocorrência dos riscos, bem como determinar os níveis de risco.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
I e III.
	Respostas:
	a. 
II, apenas.
	
	b. 
III, apenas.
	
	c. 
I e II.
	
	d. 
I, II e III.
	
	e. 
I e III.
	Comentário da resposta:
	Resposta: E
Comentário: É parte integrante da gestão de riscos alinhada à segurança da informação assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados, a contínua avaliação dos riscos de segurança da informação e avaliar a materialização dos riscos e sua probabilidade de ocorrência.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Considerando a Equação do Risco à Segurança da Informação proposto por Sêmola (2014), analise o risco considerando o cenário a seguir. Uma determinada organização, em uma análise de riscos, identificou 25 vulnerabilidades em seu sistema de atendimento virtual baseado em chatbot. As ameaças estão disponíveis para cada um de seus 50 clientes, contudo, o impacto é baixo e incluído na categoria 4. Há 100 medidas de segurança existentes na Organização capazes de mitigar as vulnerabilidades. Na Organização os riscos acima ou iguais a 50 são considerados altos e devem ser tratados. Além disso, o atendimento virtual baseado em chatbot é de fundamental importância com relação à visibilidade da Organização no mercado. Por esse motivo, é possível afirmar que:
	
	
	
	
		Resposta Selecionada:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	Respostas:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	
	b. 
Como o risco é igual a 50 a Organização deve desconsiderar qualquer tratamento, pois o Risco está abaixo do valor considerado para tratamento pela Organização.
	
	c. 
O risco está abaixo do definido pela empresa para qualquer atuação pelo gerente de segurança.
	
	d. 
O risco está abaixo do definido pela empresa para tratamento, contudo deve ser tratado pelo gerente de segurança.
	
	e. 
O risco é superior a 50, mas não deve ser tratado.
	Comentário da resposta:
	Resposta: A
Comentário: Considerando que, segundo Sêmola (2014), o Risco é a proporção da combinação de vulnerabilidades, ameaças e impacto, em razão das medidas de segurança, conclui-se que o Risco é igual a 50. Na Organização os riscos iguais ou superiores a 50 são considerados altos e devem ser tratados, o que consta na alternativa correta.