analise e gestao de riscos quetionario da unidade II nota 2,5 10 acetos unip

Prévia do material em texto

· 
	Há uma série de termos relacionados com a análise de risco. Marque a alternativa que melhor explica o que vem a ser o “critério de risco”.
		Resposta Selecionada:
	b. 
Termo de referência pelo qual a relevância do risco é avaliada.
	Respostas:
	a. 
Um evento que resulta em prejuízo.
	
	b. 
Termo de referência pelo qual a relevância do risco é avaliada.
	
	c. 
Um parâmetro usado para validar um controle de segurança.
	
	d. 
Um parâmetro usado para validar o desempenho de um sistema exposto ao risco.
	
	e. 
Um parâmetro concreto usado para avaliar custos e gastos.
	Comentário da resposta:
	Resposta: B
Comentário: É muito importante que a relevância de um risco seja bem conhecida. Isso é feito por meio de critérios bem escolhidos.
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Em uma análise de risco, quem é o stakeholder?
	
	
	
	
		Resposta Selecionada:
	a. 
Aquele indivíduo ou empresa que afeta ou é afetado pelo risco.
	Respostas:
	a. 
Aquele indivíduo ou empresa que afeta ou é afetado pelo risco.
	
	b. 
A empresa ou indivíduo que assume seus próprios riscos.
	
	c. 
O indivíduo ou empresa que calcula o risco dentro da empresa.
	
	d. 
Um terceiro que não está envolvido diretamente no risco estudado.
	
	e. 
O diretor da empresa que está passando por uma análise de risco.
	Comentário da resposta:
	Resposta: A
Comentário: Aquele envolvido com o risco é o stakeholder.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Há várias entradas que devem ser consideradas em um método para definição e cálculo do nível de risco. Assinale a alternativa que traz uma entrada que não precisa ser considerada na definição do nível de risco.
	
	
	
	
		Resposta Selecionada:
	c. 
Tempo que a análise leva para ser concluída.
	Respostas:
	a. 
Probabilidade de uma ameaça ou vulnerabilidade acontecer.
	
	b. 
Controles de segurança.
	
	c. 
Tempo que a análise leva para ser concluída.
	
	d. 
Impacto das ameaças.
	
	e. 
O ativo que passa por análise de risco.
	Comentário da resposta:
	Resposta: C
Comentário: O tempo de análise não precisa ser levado em conta.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O que a norma ISO Guide 73 define como evasão do risco?
	
	
	
	
		Resposta Selecionada:
	c. 
Decisão de não se envolver, ou ação de fuga de uma situação de risco.
	Respostas:
	a. 
Ação tomada quando a análise de risco não gera resultados.
	
	b. 
Ação tomada quando a análise de risco gera resultados.
	
	c. 
Decisão de não se envolver, ou ação de fuga de uma situação de risco.
	
	d. 
É o risco que sobra após o tratamento.
	
	e. 
Ocorre quando todo o risco é eliminado.
	Comentário da resposta:
	Resposta: C
Comentário: É um desvio ou alteração de processo que tem por objetivo evitar uma situação de risco. O risco continua, mas a opção foi de se afastar dele.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	No contexto da segurança da informação a ameaça é algo normalmente externo ao ativo que se deseja proteger. É algo com potencial de causar um prejuízo, mas ainda não causou. Marque a alternativa que não traz uma ameaça.
	
	
	
	
		Resposta Selecionada:
	d. 
Uma falha.
	Respostas:
	a. 
Vírus cibernético.
	
	b. 
Falha de energia.
	
	c. 
Ataque cibernético.
	
	d. 
Uma falha.
	
	e. 
Um incêndio.
	Comentário da resposta:
	Resposta: D
Comentário: Uma falha é uma vulnerabilidade, não uma ameaça.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Há um certo relacionamento entre os termos associados aos riscos da segurança da informação. Marque a alternativa que retrata corretamente a sequência desse relacionamento.
	
	
	
	
		Resposta Selecionada:
	a. 
Agente (provoca) Ameaça (explorada) Vulnerabilidade (produz) Ataque (causa) Incidente (gera) Impacto.
	Respostas:
	a. 
Agente (provoca) Ameaça (explorada) Vulnerabilidade (produz) Ataque (causa) Incidente (gera) Impacto.
	
	b. 
Ameaça (cria) Agente (provoca) Ataque (causa) Vulnerabilidade (produz) Incidente (gera) Impacto.
	
	c. 
Impacto (gera) Ameaça (explorada) Agente (provoca) Vulnerabilidade (produz) Ataque (causa) Incidente.
	
	d. 
Impacto (gera) Ameaça (explorada) Ataque (causa) Incidente (cria) Agente (provoca) Vulnerabilidade.
	
	e. 
Agente (provoca) Ataque (causa) Incidente (gera) Ameaça (explorada) Vulnerabilidade (produz) Impacto.
	Comentário da resposta:
	Resposta: A
Comentário: O agente é o atacante que explora uma ameaça por meio de uma vulnerabilidade causando incidentes com impactos nocivos.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Há algumas ameaças que impactam diretamente alguns serviços de segurança. Assinale a alternativa que mostra de maneira errada a associação entre ameaças e os serviços de confidencialidade, integridade e disponibilidade.
	
	
	
	
		Resposta Selecionada:
	e. 
Falha humana afeta a confidencialidade dos dados, mas não afeta a integridade e a disponibilidade.
	Respostas:
	a. 
Vírus cibernéticos têm impacto na integridade e na disponibilidade. Porém, não geram impactos na confidencialidade.
	
	b. 
Código malicioso escondido em programas impactam a confidencialidade, a integridade e a disponibilidade.
	
	c. 
Furtos impactam a confidencialidade e a disponibilidade, mas não afetam a integridade dos dados.
	
	d. 
Ataques cibernéticos afetam a confidencialidade, a integridade e a disponibilidade dos dados.
	
	e. 
Falha humana afeta a confidencialidade dos dados, mas não afeta a integridade e a disponibilidade.
	Comentário da resposta:
	Resposta: E
Comentário: As consequências das falhas humanas podem se estender para todos os serviços de segurança.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Qual a função da etapa de “estabelecimento de contexto” da gestão de riscos?
	
	
	
	
		Resposta Selecionada:
	d. 
Serve para avaliação do risco.
	Respostas:
	a. 
Serve para definir e calcular o risco.
	
	b. 
Serve para avaliação do risco.
	
	c. 
Serve para definir a forma de tratamento do risco.
	
	d. 
Serve para definir o ativo que vai ser analisado pelo gerenciamento de risco.
	
	e. 
Serve para analisar o impacto dos riscos.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Muitas classificações estão disponíveis para as medidas de proteção a serem utilizadas para reduzir os riscos de segurança da informação. Marque a alternativa errada a respeito destas classificações.
	
	
	
	
		Resposta Selecionada:
	e. 
Medidas de aceitação: recuperam o que se perdeu em um ataque.
	Respostas:
	a. 
Medidas reativas: são medidas tomadas durante ou após a ocorrência do evento e que reduzem o impacto de um incidente.
	
	b. 
Medidas preventivas: controles que diminuem a probabilidade de uma ameaça ocorrer.
	
	c. 
Métodos detectivos: detectam ameaças quando acontecem e disparam medidas reativas para contenção.
	
	d. 
Medidas conectivas: são medidas tomadas durante ou após a ocorrência do evento e que reduzem o impacto de um incidente.
	
	e. 
Medidas de aceitação: recuperam o que se perdeu em um ataque.
	Comentário da resposta:
	Resposta: E
Comentário: Existem apenas medidas reativas (também chamadas de conectivas), preventivas e métodos detectivos. Não existem medidas de aceitação.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	As ferramentas de análise e avaliação de riscos possuem algumas classificações. Anote a alternativa correta em relação a essas classificações.
	
	
	
	
		Resposta Selecionada:
	d. 
Quanto ao resultado: quantitativa e qualitativa. Quanto à análise: em árvores e em planilhas.
	Respostas:
	a. 
Quanto à análise: em árvores e em gráficos. Quanto ao resultado: sistemática e analítica.
	
	b. 
Quanto à qualidade: causal e com nexo. Quanto ao resultado: cadeia e árvore de eventos.
	
	c. 
Quanto ao resultado: relevância e falha. Quanto à análise: qualitativa e quantitativa.
	
	d. 
Quanto ao resultado: quantitativa e qualitativa. Quanto à análise: em árvores e em planilhas.
	
	e. 
Quanto ao resultado: falhas e operabilidade. Quanto à análise: sistemática e técnica.
	Comentário da resposta:
	Resposta: D
Comentário: Quanto à análise, as ferramentas deanálise de risco estão sempre baseadas em árvores ou em planilhas. Cada uma delas pode ser classificada em qualitativa e quantitativa.