Baixe o app para aproveitar ainda mais
Prévia do material em texto
601) Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024 https://www.tecconcursos.com.br/s/Q3Jnon Ordenação: Por Matéria e Assunto (data) www.tecconcursos.com.br/questoes/194917 IADES - Ana TA (SUDAM)/SUDAM/Analista em Tecnologia da Informação/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Se uma organização aceita conscientemente o risco, sem a preocupação de implementar controles adicionais, ela está praticando, de acordo com a norma ABNT NBR ISO/IEC 27005, a seguinte opção de tratamento do risco: a) redução do risco. b) retenção do risco. c) suspensão do risco. d) transferência do risco. e) comunicação do risco. www.tecconcursos.com.br/questoes/205398 CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013 https://www.tecconcursos.com.br/s/Q3Jnon https://www.tecconcursos.com.br/questoes/194917 https://www.tecconcursos.com.br/questoes/205398 602) 603) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue os item a seguir. Para uma efetiva gestão de riscos, deve-se alinhar a gestão de TI ao sistema de gestão de riscos da organização. Certo Errado www.tecconcursos.com.br/questoes/205399 CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue os item a seguir. Na avaliação de riscos, abordam-se os riscos externos e os internos, avaliando-os por meio de métodos qualitativos e quantitativos, ao passo que, no estabelecimento do contexto do risco, a definição deve se ater apenas ao contexto interno. Certo Errado www.tecconcursos.com.br/questoes/205400 https://www.tecconcursos.com.br/questoes/205399 https://www.tecconcursos.com.br/questoes/205400 604) 605) CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue os item a seguir. No processo de gestão de risco, a análise de risco abrange, entre outras, a atividade de identificação de riscos, de estimativa de riscos, de avaliação de riscos e, caso necessário, a atividade de aceitação de riscos. Certo Errado www.tecconcursos.com.br/questoes/206077 FCC - AJ TRT18/TRT 18/Apoio Especializado/Tecnologia da Informação/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Considere a figura abaixo que mostra o Sistema de Gestão de Riscos da Norma NBR ISO/IEC 27005: 2008. https://www.tecconcursos.com.br/questoes/206077 A Análise/Avaliação de Riscos é composta das etapas I, II e III mostradas na figura acima, que se referem, respectivamente, a: a) Classificação de Riscos − Priorização de Riscos − Encaminhamento de Riscos. b) Identificação de Riscos − Estimativa de Riscos − Avaliação de Riscos. 606) 607) c) Reter o Risco − Evitar o Risco − Transferir o Risco. d) Identificação do Risco − Análise de Vunerabilidade − Definição de Ações de Mitigação do Risco. e) Classificar o Risco − Priorizar o Risco − Mitigar o Risco. www.tecconcursos.com.br/questoes/206623 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Desenvolvimento de Sistemas da Informação/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, a respeito de segurança da informação. Radiação, furto e fenômeno sísmico são, respectivamente, exemplos de vulnerabilidades dos tipos acidente, intencional e natural, e podem constar no gerenciamento e no tratamento de risco. Certo Errado www.tecconcursos.com.br/questoes/206787 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. A definição do plano de tratamento de riscos e avaliação de riscos deve ser realizada na fase de execução do SGSI. https://www.tecconcursos.com.br/questoes/206623 https://www.tecconcursos.com.br/questoes/206787 608) 609) Certo Errado www.tecconcursos.com.br/questoes/206788 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. Caso o SGSI já esteja aprovado, a definição do contexto na gestão de riscos é opcional, pois, no SGSI, o propósito da gestão de risco inclui as diretrizes para implementação dos controles. Certo Errado www.tecconcursos.com.br/questoes/206789 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. Para possibilitar a comparação entre organizações de mesmo ramo de atividade, a organização deve utilizar, na gestão de riscos, a escala de níveis de aceitação de riscos descrita na norma, limitando-se, a, no máximo, um limite por nível de risco. Certo https://www.tecconcursos.com.br/questoes/206788 https://www.tecconcursos.com.br/questoes/206789 610) 611) Errado www.tecconcursos.com.br/questoes/206790 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. Na análise e avaliação de riscos, faz-se a combinação da probabilidade com o impacto da ocorrência indesejada, de modo que os riscos e as ameaças sejam ordenados de acordo com sua gravidade percebida pelo valor ativo para a organização. Certo Errado www.tecconcursos.com.br/questoes/206796 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. Na estimativa de risco, atribuem-se valores às probabilidades e também às consequências de um risco. Certo Errado https://www.tecconcursos.com.br/questoes/206790 https://www.tecconcursos.com.br/questoes/206796 612) 613) www.tecconcursos.com.br/questoes/206797 CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008. No tratamento de risco, há opção de se reduzir ou de se transferir o risco. Na primeira opção, são tomadas ações para reduzir a probabilidade ou consequências negativas associadas a um risco, ao passo que, na segunda, pode-se compartilhar o benefício do ganho associado a determinado risco. Certo Errado www.tecconcursos.com.br/questoes/345624 CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item que se segue, com relação à gerência de riscos. Em uma análise de riscos, quando os riscos identificados recebem ações para o tratamento e, ainda assim, permanecem riscos considerados menores, estes últimos são considerados riscos residuais. Certo Errado www.tecconcursos.com.br/questoes/345628 https://www.tecconcursos.com.br/questoes/206797 https://www.tecconcursos.com.br/questoes/345624 https://www.tecconcursos.com.br/questoes/345628 614) 615) CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2013TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item que se segue, com relação à gerência de riscos. Processos de análise de riscos que avaliam, em valores monetários, o impacto com a concretização do risco são considerados como análise qualitativa de riscos. Certo Errado www.tecconcursos.com.br/questoes/436762 CEBRASPE (CESPE) - Ana (SERPRO)/SERPRO/Desenvolvimento de Sistemas/2013 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito de gerência de riscos, julgue o item que se segue. A avaliação de risco limita-se a compreender a avaliação de ameaças, impactos e vulnerabilidades da informação assim como das instalações de processamento da informação. Certo Errado www.tecconcursos.com.br/questoes/649172 FGV - Ana Sist (AL MT)/AL MT/Administração de Redes e Segurança/2013 https://www.tecconcursos.com.br/questoes/436762 https://www.tecconcursos.com.br/questoes/649172 616) 617) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com relação à Gestão da Segurança da Informação, assinale a alternativa que indica a norma especificamente destinada a fornecer orientação para o gerenciamento de risco da segurança da informação. a) ISO/IEC 27001 b) ISO/IEC 27002 c) ISO/IEC 27005 d) ISO/IEC 27006 e) ISO/IEC 27010 www.tecconcursos.com.br/questoes/77393 FEMPERJ - ACE (TCE RJ)/TCE RJ/Organizacional/Tecnologia da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A ISO 27005 é uma norma referente à segurança da informação, porém com foco em aspectos de: a) análise quantitativa de riscos de segurança da informação; b) metodologia de execução de uma análise/avaliação de riscos durante a execução do SGSI; c) métodos para retenção de riscos, após implantação de controles no SGSI; d) redução de riscos na implantação do SGSI; e) análise, tratamento e aceitação de riscos, relacionados à fase de planejamento do SGSI. www.tecconcursos.com.br/questoes/77454 https://www.tecconcursos.com.br/questoes/77393 https://www.tecconcursos.com.br/questoes/77454 618) 619) FEMPERJ - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A gestão de riscos envolve diversas atividades. Segundo a norma ISO 27005, faz parte da atividade chamada análise/ avaliação de riscos: a) a definição de contexto; b) a estimativa de riscos; c) o tratamento do risco; d) a comunicação do risco; e) a aceitação do risco. www.tecconcursos.com.br/questoes/77455 FEMPERJ - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação De acordo com a norma ISO 27005, a retenção de riscos: a) analisa apenas atos intencionais que possam produzir violações de segurança; b) trata apenas fragilidades em ativos de informação, as chamadas ameaças; c) considera somente consequências negativas (perdas); d) procura eliminar uma atividade ou processo através da mudança na forma de sua ocorrência; e) compara o risco estimado com critérios de risco predefinidos para determinar a sua importância. https://www.tecconcursos.com.br/questoes/77455 620) 621) www.tecconcursos.com.br/questoes/80635 CEBRASPE (CESPE) - AJ TRE RJ/TRE RJ/Apoio Especializado/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de riscos, julgue o próximo item. São consideradas entradas para o processo de análise/avaliação de riscos de segurança da informação os critérios básicos, o escopo, os limites e a organização do processo de gestão de riscos de segurança da informação. Certo Errado www.tecconcursos.com.br/questoes/80636 CEBRASPE (CESPE) - AJ TRE RJ/TRE RJ/Apoio Especializado/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de riscos, julgue o próximo item. São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo. Certo Errado www.tecconcursos.com.br/questoes/90287 FCC - AJ TST/TST/Apoio Especializado/Tecnologia da Informação/2012 https://www.tecconcursos.com.br/questoes/80635 https://www.tecconcursos.com.br/questoes/80636 https://www.tecconcursos.com.br/questoes/90287 622) 623) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em a) elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes. b) minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes. c) registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar problemas semelhantes no futuro. d) detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a execução de um projeto de TI. e) elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco, dentro do plano de contingência. www.tecconcursos.com.br/questoes/143971 CEBRASPE (CESPE) - ACE (TCE ES)/TCE ES/Tecnologia da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Acerca da gestão de riscos e da continuidade de negócio, julgue o item subsequente, com base no que dispõem as normas NBR ISO/IEC 15999 e 27005. A contratação de seguro para uma atividade/produto pode representar uma das formas elementares de se transferirem riscos relacionados à atividade/produto assegurados. https://www.tecconcursos.com.br/questoes/143971 624) 625) Certo Errado www.tecconcursos.com.br/questoes/143972 CEBRASPE (CESPE) - ACE (TCE ES)/TCE ES/Tecnologia da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Acerca da gestão de riscos e da continuidade de negócio, julgue o item subsequente, com base no que dispõem as normas NBR ISO/IEC 15999 e 27005. A retenção de riscos compreende medidas realizadas para evitar a ocorrência de determinada condição que leve ao risco. Certo Errado www.tecconcursos.com.br/questoes/222236 CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A política de proteção da informação espelha as decisões da empresa com respeito à manipulação e à proteção da informação. Um dos pontos chaves dessa política é que a) a proteção está limitada à área de tecnologia da informação (TI). https://www.tecconcursos.com.br/questoes/143972 https://www.tecconcursos.com.br/questoes/222236 626) b) a empresa deve declarar que a informação é um ativo da empresa e é propriedade da organização. c) o processo de classificação da informação é um processo técnico que dispensa o papel ativo do setor gerencial da empresa. d) um processo ou sistema específico deve ser interrompido diante de um risco residual conhecido. e) as reavaliações periódicas da política devem ser evitadas para impedir a distorção das decisões originalmente tomadas pela empresa. www.tecconcursos.com.br/questoes/401030 AOCP - Aud CE (TCE-PA)/TCE PA/Informática/Analista de Segurança/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A norma técnica NBR 27005 trata a) da gestão de riscos de segurança da Informação. b) das normas do código de práticas para a gestão da Tecnologia deInformação. c) dos requisitos de sistemas de gestão de segurança da informação. d) da especificação do gerenciamento de serviços. e) do código de prática do gerenciamento de serviços. www.tecconcursos.com.br/questoes/550957 CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação https://www.tecconcursos.com.br/questoes/401030 https://www.tecconcursos.com.br/questoes/550957 627) 628) A respeito de plano de continuidade de negócios, planejamento do sistema de gestão de riscos, processo de gestão de risco e etapa de identificação de controles, julgue o seguinte item. A identificação do ativo, que representa elemento com valor para o empreendimento que necessita de proteção, é uma etapa fundamental ao processo de gestão de riscos. Certo Errado www.tecconcursos.com.br/questoes/550959 CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999- 1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente. No âmbito da gestão de riscos, a estimativa de riscos atribui valores à probabilidade e às consequências de um risco. Certo Errado www.tecconcursos.com.br/questoes/550960 CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação https://www.tecconcursos.com.br/questoes/550959 https://www.tecconcursos.com.br/questoes/550960 629) 630) Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999- 1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente. As consequências de riscos na saúde ou na vida dos envolvidos estão excluídas das referidas normas, já que envolvem processos afetos ao Ministério da Saúde e ao Ministério do Trabalho e Emprego acerca da segurança e do bem-estar no ambiente de trabalho. Certo Errado www.tecconcursos.com.br/questoes/550961 CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999- 1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente. Segundo a gestão de riscos, entende-se que vulnerabilidade é o evento ou incidente, ao passo que ameaça é a fragilidade que será explorada para que a vulnerabilidade se torne concreta. Certo Errado www.tecconcursos.com.br/questoes/560044 CEBRASPE (CESPE) - AJ (TJ AL)/TJ AL/Apoio Especializado/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação https://www.tecconcursos.com.br/questoes/550961 https://www.tecconcursos.com.br/questoes/560044 631) 632) De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do risco de segurança da informação correspondem a a) planejamento, identificação, mitigação e eliminação do risco. b) redução, retenção, prevenção e transferência do risco. c) identificação, redução, mitigação e eliminação do risco. d) retenção, redução, mitigação e transferência do risco. e) prevenção, identificação, redução e eliminação do risco. www.tecconcursos.com.br/questoes/611032 CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item. A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma atividade-chave. Certo Errado www.tecconcursos.com.br/questoes/611036 CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação https://www.tecconcursos.com.br/questoes/611032 https://www.tecconcursos.com.br/questoes/611036 633) 634) 635) A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item. Um exemplo de aceitação de risco consiste na contratação de seguro para cobrir eventuais perdas ou danos. Certo Errado www.tecconcursos.com.br/questoes/611039 CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item. A realização de uma mudança em um processo, como a troca de aquecedores a óleo combustível por equivalentes alimentados por eletricidade, representa tanto eliminação de risco do vazamento ou derramamento de óleo quanto redução de risco de incêndio. Certo Errado www.tecconcursos.com.br/questoes/611043 CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item. https://www.tecconcursos.com.br/questoes/611039 https://www.tecconcursos.com.br/questoes/611043 636) Quando uma organização opta por se expor, até o máximo de risco, para conseguir atingir seus objetivos, esse risco é denominado risco aceitável. Certo Errado www.tecconcursos.com.br/questoes/836568 FADESP - Tec (MPE PA)/MPE PA/Analista de Sistemas/Modelagem de Sistemas/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Dada a amplitude e a complexidade do papel de Segurança da Informação, dispõem-se os desafios em um modelo conceitual em camadas ou fases, particionando o trabalho, para tornar mais claro o entendimento de cada camada. Essas camadas constituem as chamadas barreiras de segurança. A última barreira de segurança do modelo conceitual encarregada da análise de riscos (em que são considerados aspectos tecnológicos, físicos e humanos e as necessidades específicas dos processos de negócios da empresa) é a) desencorajar as ameaças aos ativos da empresa. b) diagnosticar os riscos que as ameaças representam para os ativos da empresa. c) dificultar o acesso indevido aos ativos da empresa. d) deter a ameaça para que não atinja os ativos da empresa. www.tecconcursos.com.br/questoes/836663 https://www.tecconcursos.com.br/questoes/836568 https://www.tecconcursos.com.br/questoes/836663 637) FADESP - Tec (MPE PA)/MPE PA/Analista de Sistemas/Suporte a Rede de Computadores/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Considerando os padrões da família ISO (International Organization for Standardization) / IEC (International Electrotechnical Commision) e as normas da ABNT (Associação Brasileira de Normas Técnicas), analise as afirmações a seguir. I. O padrão ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação). Esse padrão serve para fins de certificação da organização. II. O padrão ISO/IEC 27002 apresenta o código de melhores práticas para a Gestão de Segurança da Informação. III. O padrão ISO/IEC 27005 fornece diretrizes para o gerenciamento de riscos de segurança da informação. IV. A ABNT estabeleceu a norma NBR ISO/IEC 27001, que segue o padrão ISO/IEC 27001. Quantas dessas afirmações estão corretas? a) 1. b) 2. c) 3. d) 4. 638) 639) www.tecconcursos.com.br/questoes/1316272 CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação De acordocom a NBR ISO/IEC 27005, julgue o próximo item. A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado. Certo Errado www.tecconcursos.com.br/questoes/1316279 CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação De acordo com a NBR ISO/IEC 27005, julgue o próximo item. Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer. Certo Errado https://www.tecconcursos.com.br/questoes/1316272 https://www.tecconcursos.com.br/questoes/1316279 640) 641) www.tecconcursos.com.br/questoes/1316280 CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da Informação/2012 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação De acordo com a NBR ISO/IEC 27005, julgue o próximo item. A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação. Certo Errado www.tecconcursos.com.br/questoes/108826 CEBRASPE (CESPE) - AA (PREVIC)/PREVIC/Tecnologia da Informação/2011 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue o próximo item. De acordo com a norma NBR/ISO/IEC 27005, a comunicação de riscos visa assegurar que as informações sobre os riscos sejam compartilhadas entre os tomadores de decisão e outros stakeholders, buscando-se, assim, alcançar um entendimento de todos sobre como os riscos serão gerenciados. Certo Errado https://www.tecconcursos.com.br/questoes/1316280 https://www.tecconcursos.com.br/questoes/108826 642) 643) www.tecconcursos.com.br/questoes/108830 CEBRASPE (CESPE) - AA (PREVIC)/PREVIC/Tecnologia da Informação/2011 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito de planejamento, identificação e análise de riscos, julgue o item subsecutivo. A transferência de riscos envolve a decisão de transferir o ônus de determinados riscos para terceiros, deixando a cargo destes a atividade de monitoração dos riscos transferidos. Certo Errado www.tecconcursos.com.br/questoes/1160440 CEBRASPE (CESPE) - Ana Leg (ALECE)/ALECE/Informática/2011 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito da gestão de riscos, julgue o item subsequente. De acordo com a norma ISO 27005, a análise de risco trata, entre outros aspectos, da identificação de vulnerabilidades e da implementação de controles para todas as vulnerabilidades encontradas. Certo Errado www.tecconcursos.com.br/questoes/40021 ESAF - APO (MPO)/MPO/Tecnologia da Informação/"Sem Especialidade"/2010 https://www.tecconcursos.com.br/questoes/108830 https://www.tecconcursos.com.br/questoes/1160440 https://www.tecconcursos.com.br/questoes/40021 644) 645) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação O Fluxo de Análise das ameaças e riscos, na ordem apresentada, consiste de a) diversificação das ameaças, minimização das probabilidades dos riscos, redução dos pesos dos riscos, controle do risco, eliminação dos riscos prioritários, adoção de medidas de proteção lógica. b) determinação das probabilidades dos riscos, quantificação dos riscos, avaliação do risco, proteção de ativos, eliminação dos riscos. c) restrição das ameaças, planejamento das probabilidades dos riscos, determinação da hierarquia dos riscos, aquisição de software, estabelecimento de propriedades, redimensionamento. d) identificação das medidas de proteção, determinação das probabilidades de ameaças, determinação das prioridades dos pesos dos riscos, vinculação de ameaças a riscos, realocação de pessoal. e) identificação das ameaças, determinação das probabilidades dos riscos, determinação dos pesos dos riscos, avaliação do risco, estabelecimento de prioridades de proteção, adoção de medidas de proteção. www.tecconcursos.com.br/questoes/48313 CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da Informação/2010 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item subsequente, relativo às Normas NBR ISO/IEC 15999 e 27005. https://www.tecconcursos.com.br/questoes/48313 646) A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando- se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes. Certo Errado www.tecconcursos.com.br/questoes/149794 CEBRASPE (CESPE) - AA (ANEEL)/ANEEL/Área 3/2010 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999. Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da intranet na organização. Certo Errado www.tecconcursos.com.br/questoes/149798 CEBRASPE (CESPE) - AA (ANEEL)/ANEEL/Área 3/2010 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação https://www.tecconcursos.com.br/questoes/149794 https://www.tecconcursos.com.br/questoes/149798 647) 648) Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999. Um dos resultados da avaliação de riscos é a produção de uma declaração de atividades críticas. Certo Errado www.tecconcursos.com.br/questoes/580911 CEBRASPE (CESPE) - AJ TRT21/TRT 21/Apoio Especializado/Tecnologia da Informação/2010 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Com referência às normas NBR ISO/IEC 15999 e 27005 e a respeito de gestão de riscos, julgue o item a seguir. Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de riscos e avaliação de riscos. Certo Errado www.tecconcursos.com.br/questoes/6381 CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da Informação/2009 https://www.tecconcursos.com.br/questoes/580911 https://www.tecconcursos.com.br/questoes/6381 649) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue o próximo item. Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade. Certo Errado www.tecconcursos.com.br/questoes/6383 https://www.tecconcursos.com.br/questoes/6383 650) CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da Informação/2009 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue o próximo item. A altagestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de identificação de riscos, de definição do contexto e de análise crítica de riscos. Certo Errado 651) www.tecconcursos.com.br/questoes/6384 CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da Informação/2009 TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue o item. No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005. Certo Errado www.tecconcursos.com.br/questoes/2682207 CESGRANRIO - Ana Sis (TERMOAÇU)/TERMOAÇU/2008 https://www.tecconcursos.com.br/questoes/6384 https://www.tecconcursos.com.br/questoes/2682207 652) 653) TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da Informação Em Segurança da Informação, uma distinção entre análise de risco - AR e gerência de risco – GR é que na a) AR é estabelecida uma política de gerência de risco, na GR são estabelecidos critérios de aceitação do risco. b) AR são definidas a metodologia e as ferramentas para a análise, na GR são estabelecidos critérios de aceitação do Risco. c) AR é escolhida a equipe de segurança e na GR a equipe estabelece as ferramentas de análise. d) AR é definido o escopo do projeto, na GR é estabelecida a equipe de segurança. e) GR é feita a identificação e avaliação dos ativos e na AR é estabelecida uma Política de Gerência de Risco. www.tecconcursos.com.br/questoes/2322688 Instituto Consulplan - Ana MP (MPE MG)/MPE MG/Tecnologia da Informação/Segurança de TI/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Gerenciamento de riscos é o processo de planejar, organizar, conduzir e controlar as atividades de uma organização visando minimizar os efeitos do risco sobre o capital e o lucro de uma organização. Riscos podem surgir da incerteza do mercado financeiro, de falhas de projeto, de responsabilidades legais, de risco de crédito, de acidentes, de causas naturais e desastres, bem como de ataques deliberados de adversários. (HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002. Brasport, 2018.) https://www.tecconcursos.com.br/questoes/2322688 654) De acordo com os conceitos relacionados à identificação, análise e tratamento de riscos, assim como o seu gerenciamento, assinale a afirmativa INCORRETA. a) Quando riscos são identificados, após a sua avaliação, uma decisão de tratamento deve ser tomada para cada um dos riscos. b) Em grandes organizações, ISO ou CISO são pessoas responsáveis pelo processo de gerenciamento de risco, sendo considerado um processo contínuo. c) É possível realizar uma análise de riscos puramente quantitativa com o objetivo de calcular, com base no impacto do risco, o nível do prejuízo financeiro e a probabilidade de uma ameaça se tornar um incidente. d) A avaliação do risco deve incluir uma abordagem sistemática para estimar a magnitude dos riscos (análise do risco) e o processo de comparar o risco estimado em relação a um critério, a fim de determinar a importância do risco (estimativa do risco). www.tecconcursos.com.br/questoes/2338867 CEBRASPE (CESPE) - Per Crim (POLC AL)/POLC AL/Análise de Sistemas, Ciências da Computação, Informática. Processamento de Dados ou Sistemas da Informação/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item. A análise qualitativa de riscos utiliza a valoração financeira dos ativos, para gerar a escala de probabilidade de ocorrência de determinado risco. Certo Errado https://www.tecconcursos.com.br/questoes/2338867 655) 656) www.tecconcursos.com.br/questoes/2338872 CEBRASPE (CESPE) - Per Crim (POLC AL)/POLC AL/Análise de Sistemas, Ciências da Computação, Informática. Processamento de Dados ou Sistemas da Informação/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue o próximo item. No contexto da prevenção de incidentes relacionados a vulnerabilidades e ataques a sistemas computacionais, é na etapa de avaliação de riscos que são tomadas as decisões para gerenciamento do risco, mediante controles de prevenção e detecção. Certo Errado www.tecconcursos.com.br/questoes/2367789 COCP IFMT - Tec Lab (IF MT)/IF MT/Informática/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas As sentenças abaixo são inspiradas no texto de Ramos (2006) sobre Segurança da Informação: I. Evento que tem potencial em si próprio para comprometer os objetivos da organização e pode trazer danos diretos aos ativos, ou prejuízos decorrentes de situações inesperadas. II. Ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existentes. https://www.tecconcursos.com.br/questoes/2338872 https://www.tecconcursos.com.br/questoes/2367789 657) III. Medida indicativa de probabilidade de uma ocorrência que possa comprometer os objetivos da organização, combinada com os impactos que ela trará. Fonte: (RAMOS, Anderson. Security Officer - 1: guia oficial para formação de gestores em segurança da informação. Porto Alegre: Zouk, 2006.) Tais sentenças descrevem, respectivamente, as definições de: a) Ameaça, Vulnerabilidade e Risco. b) Vulnerabilidade, Ameaça e Impacto. c) Ameaça, Risco e Prejuízo. d) Impacto, Ameaça e Prejuízo. e) Risco, Vulnerabilidade e Impacto. www.tecconcursos.com.br/questoes/2460914 FGV - AJ (TJ RN)/TJ RN/Apoio Especializado/Análise de Sistemas/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas O COLABORA é um sistema que apoia atividades da gestão de recursos humanos de uma empresa e, por isso, mantém alguns dados sensíveis sobre pessoas. O COLABORA faz uso do módulo pgcrypto do PostgreSQL para criptografar colunas que armazenam os dados sensíveis. Com base no OWASP Top Tem, a solução de criptografia adotada pelo COLABORA apresenta uma vulnerabilidade categorizada como: a) A01:2021 – Data Exposure; b) A02:2021 – Cryptographic Failures; c) A03:2021 – Broken or Risky Crypto Algorithm; https://www.tecconcursos.com.br/questoes/2460914 658) 659) d) A05:2021 – Security Misconfiguration; e) A08:2021 – Software and Data Integrity Failures. www.tecconcursos.com.br/questoes/2509511 Instituto AOCP - Ana (MPE MS)/MPE MS/Informação e Tecnologia/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Um relatório de vulnerabilidades identificou uma CVE classificada com criticidade alta. De acordo com a pontuação estabelecida pelo CVSS v3.0, qual seria a faixa de valor atribuído a esse nível de criticidade? a) Entre 4.0 e 4.9. b) Entre 5.0 e 6.9. c) Entre 7.0 e 8.9. d) Entre 9.0 e 9.5. e) Entre 9.6 e 100. www.tecconcursos.com.br/questoes/2581014 Instituto Verbena - Tecnl (UFG)/UFG/Segurança Institucional/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Como se chama um possível evento que pode ter um efeito prejudicial sobre a confiabilidade da informação levando em consideração os perigos ao qual está exposto? a) Vulnerabilidade. b) Dependência. c) Ameaça. https://www.tecconcursos.com.br/questoes/2509511 https://www.tecconcursos.com.br/questoes/2581014 660) 661) d) Risco. www.tecconcursos.com.br/questoes/2632924 VUNESP - ATI (UFABC)/UFABC/2023 TI - Segurança da Informação - Conceitos de Riscos e OutrasNormas Algumas políticas de senhas requerem que os usuários alterem sua senha periodicamente, por exemplo, a cada 90 dias. Uma desvantagem dessa prática é que a) a troca de uma senha em um banco de dados de uma aplicação consome muitos recursos computacionais devido ao cálculo de seu hash. b) ela encoraja o usuário a anotar a nova senha em papéis ou notas do tipo post-it, podendo deixá-la exposta. c) ela não é compatível com o uso de autenticação por múltiplos fatores. d) ela impõe que a senha seja armazenada no banco de dados da aplicação em texto claro, sem uso de hash ou encriptação. e) ela não é compatível com a imposição de um número mínimo de caracteres na senha, o que poderia garantir um certo nível de segurança. www.tecconcursos.com.br/questoes/2642013 CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas A respeito de proteção contra softwares maliciosos, sistemas de detecção de intrusão, segurança de servidores e sistemas operacionais, certificação digital, assinatura digital e gestão de riscos, julgue o item a seguir. https://www.tecconcursos.com.br/questoes/2632924 https://www.tecconcursos.com.br/questoes/2642013 662) 663) Gerenciamento de riscos é um processo contínuo que se aplica a todas as fases operacionais em que consequências de um risco específico são aceitas. Certo Errado www.tecconcursos.com.br/questoes/2642017 CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, julgue o item a seguir. Na avaliação de desempenho, em desempenho deficitário, não devem ser incluídos não conformidades, quase acidentes e alarmes falsos. Certo Errado www.tecconcursos.com.br/questoes/2695482 CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança Cibernética e da Informação/2023 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Na NBR ISO 29134:2020, é recomendada a elaboração de um instrumento para avaliar os potenciais impactos de um processo, de um sistema de informação, de um programa, de um módulo de software, de um dispositivo ou de outra iniciativa que trate dados pessoais na privacidade. Além disso, é recomendada, também, a consulta às partes interessadas, para tomar ações necessárias para tratar os riscos à privacidade. A partir desse instrumento, é possível elaborar um relatório incluindo uma https://www.tecconcursos.com.br/questoes/2642017 https://www.tecconcursos.com.br/questoes/2695482 664) documentação sobre medidas tomadas para o tratamento de riscos. De acordo com essa norma, esse relatório é o de a) DP b) PIA c) P&D d) R&D e) SGSI www.tecconcursos.com.br/questoes/1925952 CETREDE - Tec (UFC)/UFC/Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Marque a alternativa correta referente ao gerenciamento de riscos. a) O objetivo central da segurança da informação é disseminar a informação e aumentar os riscos. b) É possível reduzir todos os riscos a zero (eliminando-os), minimizando assim seus impactos. c) O gerenciamento dos riscos está relacionado ao que é indesejável, ao que é factível e ao que é economicamente inaceitável. d) Gerenciamento de riscos é o processo pelo qual são identificados os riscos a que estão sujeitos os dados, sistemas de informação e redes de comunicação que lhes dão suporte, realizando ações que minimizem seus efeitos. www.tecconcursos.com.br/questoes/1925954 CETREDE - Tec (UFC)/UFC/Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/1925952 https://www.tecconcursos.com.br/questoes/1925954 665) 666) Marque a alternativa correta, de acordo com o Manual de Gestão de Riscos do Tribunal de Contas da União (TCU), 2ª edição. a) O estabelecimento do contexto busca identificar contingências a serem consideradas no processo de gestão de riscos. b) A análise do risco não contempla a compreensão sobre o risco e a determinação do nível do risco. c) A autoridade e responsabilidade do gestor de risco para gerenciar um risco são inexistentes. d) Tratamento de riscos compreende o planejamento e a realização de ações para modificar o nível do risco, por meio de medidas de resposta ao risco que mitiguem, transfiram ou evitem esses riscos. www.tecconcursos.com.br/questoes/1970862 CEBRASPE (CESPE) - AAAJ (DP DF)/DP DF/Informática Desenvolvimento de Sistemas/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Julgue o próximo item, a respeito da conformidade e gestão de riscos. O risco é o efeito da incerteza sobre os objetivos, muitas vezes identificado a partir a análise da probabilidade e do impacto de um evento ocorrer. Certo Errado www.tecconcursos.com.br/questoes/1972741 CEBRASPE (CESPE) - Esp GT (TELEBRAS)/TELEBRAS/Analista de Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/1970862 https://www.tecconcursos.com.br/questoes/1972741 667) 668) Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da informação, julgue o item seguinte. Tendo em vista que organizações de telecomunicações enfrentam influências e fatores externos e internos que tornam incerto o alcance de seus objetivos, e que a estrutura e o processo de gestão de riscos devem ser personalizados e proporcionais aos contextos externo e interno dessas organizações, bem como aos seus objetivos, é correto afirmar que, em uma organização de telecomunicação, um modelo de gestão de riscos deverá ser adotado quando houver necessidade de implementar controles não previstos nos projetos. Nesse sentido, deve-se considerar que, para ocorrer, o risco tem de ser conhecido ou já haver sido tratado mediante a adoção de controles internos simples ou complexos. Certo Errado www.tecconcursos.com.br/questoes/2013531 CEBRASPE (CESPE) - ACE (TCE RJ)/TCE RJ/Organizacional/Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em aplicações web. Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating Methodology e consiste em estimar, para cada categoria do Top 10, o risco peculiar que cada falha introduz em uma aplicação web típica e, posteriormente, ordenar o Top 10 de acordo com as falhas que tipicamente introduzem o risco mais significativo para uma aplicação. Certo Errado https://www.tecconcursos.com.br/questoes/2013531 669) 670) www.tecconcursos.com.br/questoes/2036104 CEBRASPE (CESPE) - Tec (FUB)/FUB/Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Julgue o item subsecutivo, relativos a gerenciamento de riscos de TI. O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários, controles e a eficácia da identificação. Certo Errado www.tecconcursos.com.br/questoes/2065564 FGV - ES (SEMSA Manaus)/Pref Manaus/Analista de Suporte de Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Durante um processo de análise de risco, uma organização detectou que o uso de laptops fora da organização trazia um risco inaceitável de acesso não autorizado a sistemas internos. Por esse motivo, resolveu adotar uma ação de evitar esse risco. Para isso, a organização decidiu a) implementar uma autenticação de dois fatores nos laptops. b) distribuir laptops apenas para diretoria executiva. c) contratar um seguro para o caso de furto/roubodos laptops. https://www.tecconcursos.com.br/questoes/2036104 https://www.tecconcursos.com.br/questoes/2065564 671) d) Só permitir o uso de laptops fora da organização com criptografia de disco e uso de VPN. e) proibir o uso dos laptops fora da organização. www.tecconcursos.com.br/questoes/2150280 IDECAN - Ana (UNILAB)/UNILAB/Tecnologia da Informação/Infraestrutura e Tecnologia da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Segundo a Norma ISO 27002, “para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Possíveis opções para o tratamento do risco, incluem” I. aplicar controles apropriados para reduzir os riscos. II. conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação de risco. III. conhecer os riscos, permitindo ações que possam causar a ocorrência de riscos. IV. transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Assinale a) se somente os itens II e III estiverem corretos. b) se somente os itens I e III estiverem corretos. c) se somente os itens I, II e IV estiverem corretos. d) se todos os itens estiverem corretos. https://www.tecconcursos.com.br/questoes/2150280 672) 673) www.tecconcursos.com.br/questoes/2157912 CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou Engenharia/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Acerca da gestão dos riscos de segurança da informação, julgue o item que se segue. O tratamento do risco limita-se a reduzir os riscos e definir o plano de tratamento do risco. Certo Errado www.tecconcursos.com.br/questoes/2157916 CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou Engenharia/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Julgue o seguinte item, a respeito de segurança da informação. Tecnologias, processos e pessoas são os níveis considerados para a implementação da gestão de riscos. Certo Errado www.tecconcursos.com.br/questoes/2165810 https://www.tecconcursos.com.br/questoes/2157912 https://www.tecconcursos.com.br/questoes/2157916 https://www.tecconcursos.com.br/questoes/2165810 674) CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da Informação e Comunicação/Segurança da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são I garantir a adequação técnica necessária ao tratamento adequado dos riscos; II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma sistemática; e III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar a reduzi-los e controlá-los. No texto precedente, os itens I, II e III apresentam as funções, respectivamente, dos níveis a) ativos, ameaças e impactos. b) hardwares, softwares e dados. c) tecnologias, processos e pessoas. d) de importância, grau de severidade das perdas e custos envolvidos. www.tecconcursos.com.br/questoes/2165813 CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da Informação e Comunicação/Segurança da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/2165813 675) 676) Assinale a opção que corresponde ao processo de identificação, classificação e tratamento das vulnerabilidades, em que o tratamento consiste ou na correção da vulnerabilidade e aplicação de controles para minimizar a probabilidade de exploração ou o impacto, ou na aceitação do risco. a) gestão de vulnerabilidades b) gestão de incidentes de segurança da informação c) scanner de vulnerabilidades d) auditoria de sistemas de informação www.tecconcursos.com.br/questoes/2165818 CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da Informação e Comunicação/Segurança da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas No tratamento de riscos, as medidas de segurança são classificadas em a) corretivas e preventivas, apenas. b) preventivas, orientativas e informativas. c) orientativas e informativas, apenas. d) corretivas, preventivas e orientativas. www.tecconcursos.com.br/questoes/2165833 CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da Informação e Comunicação/Segurança da Informação/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/2165818 https://www.tecconcursos.com.br/questoes/2165833 677) 678) Em relação a controles de segurança em uma organização, assinale o requisito aderente a uma arquitetura de zero trust. a) Os acessos concedidos devem ser registrados e revisados em intervalo mínimo de seis meses. b) As comunicações de maior criticidade devem ser identificadas, para que seja implementada a proteção na comunicação exclusivamente dessa rede objetivando melhor eficiência. c) Os acessos a recursos empresariais individuais devem ser feitos com o mínimo de privilégios e concedidos por sessão. d) Os privilégios de acesso a recursos podem ser feitos com base em modelos previamente definidos ou replicados das permissões de outros usuários já existentes. www.tecconcursos.com.br/questoes/2216465 CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos, julgue o item subsequente. Na situação hipotética apresentada, os fabricantes e os clientes são considerados partes interessadas. Certo Errado www.tecconcursos.com.br/questoes/2216467 CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/2216465 https://www.tecconcursos.com.br/questoes/2216467 679) 680) Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos, julgue o item subsequente. Uma ameaça conhecida e amplamente divulgada é considerada uma avaliação de riscos. Certo Errado www.tecconcursos.com.br/questoes/2216468 CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos, julgue o item subsequente. Constitui exemplo de critério de risco o fato de um fabricante de determinada tecnologia da informação desenvolver uma correção para eliminar a possibilidade de impacto de uma fragilidade informada previamente aos seus clientes. Certo Errado www.tecconcursos.com.br/questoes/2267286 FCM - CEFETMINAS - PEBTT (IF AM)/IF AM/Informática/2022 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/2216468 https://www.tecconcursos.com.br/questoes/2267286 681) 682) O risco à segurança da informação está associado ao potencial de ameaças explorarem vulnerabilidades de um ativo e, desse modo, causarem danos a uma organização. Avalie as afirmações sobre ativos.I - Podem incluir informações na forma de documentos, base de dados, contratos, documentação de sistemas, procedimentos, manuais, logs de sistemas, planos e guias. II - Podem incluir programas de computador, tais como programas do sistema, programas do usuário e programas de desenvolvimento. III - Podem incluir mídias como CD-ROMs, pen drives, HDs externos etc.. IV- Podem incluir pessoas, habilidades, experiência e coisas intangíveis. Está correto apenas o que se afirma em a) II. b) II e III. c) I e IV. d) I, II e III. e) I, II, III e IV. www.tecconcursos.com.br/questoes/1628752 CEBRASPE (CESPE) - Ana (SERPRO)/SERPRO/Desenvolvimento de Sistemas/2021 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas No que se refere a autenticação e riscos de segurança, julgue o item a seguir. https://www.tecconcursos.com.br/questoes/1628752 683) 684) Quanto aos riscos de segurança derivados da exposição de dados sensíveis contidos na lista OWASP Top 10, é recomendável que o tráfego de dados confidenciais seja criptografado e que o seu armazenamento interno seja feito sem criptografia, de modo a viabilizar as funções de auditoria dos sistemas. Certo Errado www.tecconcursos.com.br/questoes/1704686 CEBRASPE (CESPE) - AJ (PGDF)/PG DF/Analista de Sistema/Desenvolvimento de Sistema/2021 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir. As expectativas e percepções das partes interessadas, a imagem e a reputação da organização devem ser consideradas no desenvolvimento dos critérios de avaliação dos riscos de segurança da informação. Certo Errado www.tecconcursos.com.br/questoes/1738903 CEBRASPE (CESPE) - Tec Ban III (BANESE)/BANESE/Informática/Desenvolvimento/2021 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas A respeito da criptografia, da NBR ISO/IEC n.º 27002:2013 e da ABNT NBR ISO/IEC n.º 27017:2016, julgue o item a seguir. https://www.tecconcursos.com.br/questoes/1704686 https://www.tecconcursos.com.br/questoes/1738903 685) 686) Implementando-se um conjunto adequado de controles, de forma coordenada e coerente com os riscos associados a uma visão holística da organização, alcança-se a segurança da informação. Certo Errado www.tecconcursos.com.br/questoes/1119686 CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Desenvolvimento/2020 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas O efeito da incerteza sobre os objetivos consiste em a) ameaça. b) vulnerabilidade. c) consequência. d) risco. e) probabilidade. www.tecconcursos.com.br/questoes/1119694 CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Desenvolvimento/2020 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a definição dos critérios de avaliação de riscos é realizada na atividade a) definição do contexto. b) identificação de riscos. https://www.tecconcursos.com.br/questoes/1119686 https://www.tecconcursos.com.br/questoes/1119694 687) 688) c) análise de riscos. d) avaliação de riscos. e) tratamento do risco. www.tecconcursos.com.br/questoes/1120348 CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Suporte/2020 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Em relação aos conceitos, processos e metodologias utilizadas na gestão de risco, é correto afirmar que, para o cálculo de risco de a) interrupção de energia de um datacenter, é indicada a análise quantitativa, que utiliza uma escala de valores baseados em séries históricas. b) interrupção de energia de um datacenter, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em séries históricas. c) ataque cibernético, é indicada a análise quantitativa, que utiliza uma escala de valores baseados em opiniões subjetivas das partes interessadas. d) ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em séries históricas. e) ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em opiniões subjetivas das partes interessadas e em séries históricas. www.tecconcursos.com.br/questoes/1120360 CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Suporte/2020 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Texto 4A04-III https://www.tecconcursos.com.br/questoes/1120348 https://www.tecconcursos.com.br/questoes/1120360 Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas, promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo de identificação, mensuração e tratamento do risco, com intuito de atender a população de forma ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de negócio, tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações (TIC) o plano de recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks, geradores, equipamentos de refrigeração e sistema de supressão de incêndio de alta disponibilidade. Estima-se em torno 15 dias a recuperação do ambiente a partir do zero, o que significa reconfigurar todos os servidores e posteriormente recuperar os becapes. A restauração dos serviços críticos para um ambiente secundário, no qual já estejam configurados os servidores, mas necessitam de sincronização dos dados, leva em torno de dois dias. O tempo total de recuperação de negócio dos serviços críticos de TIC do tribunal não pode exceder três dias. Outro ponto de interesse é o cenário de restrição econômica do país, refletido no tribunal. A partir das informações apresentadas no texto 4A04-III, e após a análise de risco dos sítios principais e redundantes, o gestor de TIC optou por colocar toda a infraestrutura na nuvem, tendo estabelecido níveis de acordos de serviços rígidos e com redundância. Nesse caso, com relação ao risco associado à disponibilidade e à recuperação dos serviços críticos de TIC, o tratamento adotado foi a) aceitar. b) evitar. c) transferir. d) explorar. e) mitigar. 689) www.tecconcursos.com.br/questoes/877696 FCC - Aud Fisc (SEFAZ BA)/SEFAZ BA/Tecnologia da Informação/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma atividade que teve como um dos resultados a lista a seguir: − um Auditor Tributário não estava usando crachá; − o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2; − um curto-circuito ocorreu no estabilizador naquela tarde; − fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado; − a chave da sala de servidores havia sumido; − faltou energia na sala da cobertura do prédio ontem; − o alarme de detecção de intrusos estava quebrado. Essa lista a) é resultante da etapa de Levantamento de Ativos de Informação, que pode empregar técnicas como entrevistas e brainstorm. b) faz parte da etapa de Identificação de Controles Existentes e Planejados, efetuada depois da Identificação de Vulnerabilidades e após a Identificação de Riscos. c) é obtida a partir da etapa de Identificação de Vulnerabilidades. Uma vulnerabilidade é uma causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a organização. https://www.tecconcursos.com.br/questoes/877696 690) 691) d) resulta da etapa de Identificação de Riscos, que lista os riscos, ou seja, as fragilidades de um ativo ou grupo de ativos que podemser exploradas por uma ou mais ameaças. e) é resultante da etapa de Análise de Eventos. A compreensão dos eventos que ocorrem no ambiente da organização é essencial para que os riscos sejam avaliados com maior precisão. www.tecconcursos.com.br/questoes/882319 FCC - ATTIFM (Manaus)/Pref Manaus/Suporte/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Em segurança da informação a Técnica dos Incidentes Críticos (TIC) é utilizada para a) a análise de riscos. b) o controle do risco. c) a continuidade dos serviços. d) o resgate da operação da organização. e) a recuperação pós falhas. www.tecconcursos.com.br/questoes/1010822 Instituto AOCP - AC (IBGE)/IBGE/Análise de Sistemas/Suporte a Comunicações e Rede/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Uma vulnerabilidade é uma falha ou fraqueza em um sistema, a qual pode ser explorada comprometendo a segurança desse sistema. Quando encontradas, são associadas a um número de registro, para serem conhecidas publicamente como falhas de segurança já identificadas. Qual das alternativas a seguir apresenta um registro de vulnerabilidades conhecidas? a) CFD – Computer Flaws Database. https://www.tecconcursos.com.br/questoes/882319 https://www.tecconcursos.com.br/questoes/1010822 692) 693) b) KSE – Known Security Exploitation. c) STR – Security Threat Registry. d) TNR – Threat Number Registry. e) CVE – Common Vulnerabilities and Exposures. www.tecconcursos.com.br/questoes/1011395 Instituto AOCP - AC (IBGE)/IBGE/Análise de Sistemas/Suporte Operacional e de Tecnologia/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Irineu pretende testar a segurança da informação de uma empresa através de testes realizados dentro da sua rede de internet. Ele pretende contratar uma empresa para encontrar potenciais vulnerabilidades de acesso aos dados que são coletados e armazenados na sua organização através da aplicação de sistemas de detecção de intrusão. Qual dos seguintes tipos de testes essa aplicação realiza? a) ISSAF. b) OWASP. c) DDoS. d) Pentest. e) Red Team. www.tecconcursos.com.br/questoes/1012942 Instituto AOCP - AC (IBGE)/IBGE/Planejamento e Gestão/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Em uma organização do porte do IBGE, são realizadas inúmeras atividades operacionais, sujeitas às legislações e normativas, envolvendo tecnologia da informação e ativos tangíveis e intangíveis. Como https://www.tecconcursos.com.br/questoes/1011395 https://www.tecconcursos.com.br/questoes/1012942 694) deve se posicionar a gestão dos riscos de fraude e corrupção em relação a essas atividades e recursos? a) A gestão de risco de fraude e corrupção deve ser realizada à parte das atividades e recursos, em uma visão fiscalizadora da possibilidade de ocorrência de riscos de fraude e corrupção, considerando as possíveis diferentes ações de fraudadores e corruptores internos e externos para evitar a sua ocorrência. b) A gestão de risco de fraude e corrupção deve estar empoderada junto aos principais dirigentes da organização, tendo em vista que as atividades e recursos que representam maiores valores aplicados são de responsabilidade desses dirigentes que, então, estarão protegidos da prática de fraudes e corrupção na gestão. c) A gestão de risco de fraude e corrupção deve estar vinculada a organismos independentes e autônomos que tenham acesso livre e pleno a todas as atividades e recursos, em uma visão totalitária relevante que considere os riscos de diferentes naturezas e ajustem os controles internos e externos existentes para analisar os riscos. d) A gestão de risco de fraude e corrupção deve estar subordinada aos principais administradores das atividades e recursos, para atuarem em conjunto com os subordinados na prevenção dos riscos mais relevantes da organização, considerando os inter-relacionamentos pessoais para eliminar a ocorrência de fraudes. e) A gestão de risco de fraude e corrupção deve estar integrada a todas as atividades e recursos, em uma visão sistêmica dos riscos mais relevantes a que a organização está submetida, considerando as possíveis interseções a outros riscos de diferentes naturezas e aproveitar os controles existentes para mitigar os riscos. www.tecconcursos.com.br/questoes/1438025 FUNDATEC - Tec (Pref São Borja)/Pref São Borja/Informática/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Risco residual é: https://www.tecconcursos.com.br/questoes/1438025 695) a) Uma métrica na gestão de processos. b) Uma forma de avaliar o andamento dos projetos na ISO 17001. c) Um risco que continua após as respostas a riscos terem sido implementadas. d) Um risco que não se mede. e) Um risco que não é possível de se prever. www.tecconcursos.com.br/questoes/1483093 OBJETIVA CONCURSOS - Tec (Pref Carazinho)/Pref Carazinho/Informática/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considerando-se a organização para gestão de riscos de segurança da informação, analisar os itens abaixo: I. Estabelecimento das relações necessárias entre a organização e as partes interessadas, das interfaces com as funções de alto nível de gestão de riscos da organização (por exemplo: a gestão de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes é uma das responsabilidade dessa organização. II. Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas. a) Somente o item I está correto. b) Somente o item II está correto. c) Os itens I e II estão corretos. d) Os itens I e II estão incorretos. https://www.tecconcursos.com.br/questoes/1483093 696) 697) www.tecconcursos.com.br/questoes/1740173 PROGEPE UFPE - Ana (UFPE)/UFPE/Tecnologia da Informação/Suporte e Rede/2019 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Diante das definições estabelecidas na norma ISO/IEC Guide 73:2002, identifique qual (quais) dos tópico(s) citado(s) a seguir corresponde(m) às etapas envolvidas no gerenciamento de riscos. 1) Avaliação de riscos 2) Tratamento do risco 3) Aceitação do risco Está(ão) envolvida(s) no gerenciamento de riscos a(s) etapa(s): a) 3, apenas. b) 1, 2 e 3. c) 1 e 2, apenas. d) 2, apenas. e) 1, apenas. www.tecconcursos.com.br/questoes/618575 FCC - AJ TRT6/TRT 6/Apoio Especializado/Tecnologia da Informação/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considere a situação abaixo. O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em 10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos https://www.tecconcursos.com.br/questoes/1740173 https://www.tecconcursos.com.br/questoes/618575 698) (RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao fornecimento de informações mostram que o departamento de RH pode não fornecer as informações necessárias a tempo para o desenvolvimento e entrega do software. Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco, causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é: a) o RH pode ou não entregar a tempo as informações necessárias para o desenvolvimento do software. b) o software não será entregue em 10/08/2018 porque o RH está com intenso volume de trabalho. c) devido às incertezas relacionadas ao fornecimento de informações, o RH pode não ter pessoal livre para fornecer as informações necessárias a tempo. d) o departamento de TI é o responsável por entregar um software de Folha de Pagamento em 10/08/2018, independente dos requisitos que serão coletados no RH. e) a data de entrega do projeto é muito próxima, se consideradasas dificuldades envolvidas em todo o processo de desenvolvimento do software. www.tecconcursos.com.br/questoes/624837 VUNESP - AnaS (CM Indaiatuba)/CM Indaiatuba/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas O tratamento de riscos, parte integrante da segurança da informação, envolve algumas opções, sendo correto que, na opção https://www.tecconcursos.com.br/questoes/624837 699) a) de retenção de um risco, um determinado risco é compartilhado com outra entidade que seja capaz de gerenciar tal risco. b) de modificação de um risco, são incluídos, excluídos ou alterados controles, tal que o risco residual possa ser considerado aceitável. c) que compreende a ação de evitar um risco, um determinado risco é compartilhado com outra entidade que seja capaz de gerenciar tal risco. d) de compartilhamento de um risco, não há necessidade de tomadas adicionais de ação, tendo como base a avaliação dos riscos. e) de compartilhamento de um risco, são incluídos, excluídos ou alterados controles, tal que o risco residual possa ser considerado aceitável. www.tecconcursos.com.br/questoes/668420 FGV - Ana (MPE AL)/MPE AL/Administrador de Banco de Dados/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas A Gerência de Riscos avalia os riscos de uma determinada organização, com o propósito de identificar ameaças e vulnerabilidades nos seus ativos. Em geral, a avaliação de riscos deve ser a) imediata e irrestrita. b) pública e privada. c) manual e automática. d) qualitativa e quantitativa. e) total e local. https://www.tecconcursos.com.br/questoes/668420 700) www.tecconcursos.com.br/questoes/690941 FAURGS - Tec TI (BANRISUL)/BANRISUL/Gestão de TI/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Numere a segunda coluna de acordo com a primeira, associando os tipos de fatores de risco em TI às suas respectivas definições. (1) Risco de Desempenho (2) Risco de Custo (3) Risco de Suporte (4) Risco de Cronograma ( ) É o grau de incerteza de que o cronograma de projeto será mantido e de que o produto será entregue dentro do prazo. ( ) É o grau de incerteza de que o orçamento do projeto será mantido. ( ) É o grau de incerteza de que o produto resultante será fácil de corrigir, adaptar e melhorar. ( ) É o grau de incerteza de que o produto atenderá aos requisitos e será adequado para o uso que se pretende. A sequência correta de preenchimento dos parênteses da segunda coluna, de cima para baixo, é a) 3 – 2 – 1 – 4. https://www.tecconcursos.com.br/questoes/690941 701) b) 4 – 1 – 2 – 3. c) 1 – 4 – 2 – 3. d) 2 – 1 – 3 – 4. e) 4 – 2 – 3 – 1. www.tecconcursos.com.br/questoes/708234 IBADE - Ana Prev (IPM JP)/IPM JP/Analista de Informática/Analista de Sistemas e Programação/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas No âmbito da gestão de riscos, o remanescente, após o tratamento de riscos, é conhecido como risco: a) tratado. b) residual. c) final. d) intratável. e) desconsiderado. www.tecconcursos.com.br/questoes/749524 FADESP - Tec Info (BANPARÁ)/BANPARÁ/Suporte/2018 https://www.tecconcursos.com.br/questoes/708234 https://www.tecconcursos.com.br/questoes/749524 702) 703) TI - Segurança da Informação - Conceitos de Riscos e Outras Normas O comitê de segurança da informação tem como função divulgar e estabelecer os procedimentos de segurança, por exemplo, de uma empresa, com o objetivo de manter a segurança em todas as suas áreas. Não é/são função(ões) do comitê de segurança da informação a) a aprovação das políticas, normas e procedimentos de segurança da informação. b) a aprovação de novos controles de segurança para melhoria contínua das medidas de proteção. c) a definição das tecnologias a serem implantadas para minimização dos riscos de segurança da informação. d) a deliberação sobre temas ou ações não definidas em normas já publicadas. e) a designação, a definição ou a alteração das responsabilidades da área de segurança da informação. www.tecconcursos.com.br/questoes/785950 SELECON - TAdE (SECITEC MT)/SECITEC MT/Informática/2018 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas No que diz respeito à Gestão de Segurança da Informação, a Gestão de Riscos consiste em direcionar, controlar e levar o risco relacionado à Segurança da Informação aos níveis aceitáveis para a organização. Neste contexto, observe a figura abaixo, que representa um processo de gestão de riscos. https://www.tecconcursos.com.br/questoes/785950 As etapas TRATAMENTO DE RISCOS, ANÁLISE DE RISCOS, IDENTIFICAÇÃO DE RISCOS e AVALIAÇÃO DE RISCOS correspondem na figura, respectivamente, aos seguintes identificadores: a) IV, II, I e III b) III, IV, II e I c) II, I, III e IV d) I, III, IV e II www.tecconcursos.com.br/questoes/965938 COPS UFLA - Ana TI (UFLA)/UFLA/2018 https://www.tecconcursos.com.br/questoes/965938 704) TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Analise as proposições abaixo sobre avaliação de riscos de Segurança da Informação: I. Um risco é uma fraqueza em um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. II. Uma vulnerabilidade é a causa potencial de um incidente indesejável, que pode resultar em dano para um sistema ou organização. III. Uma ameaça é qualquer evento que pode atrapalhar ou impedir um ativo de prover níveis adequados dos serviços de segurança fundamentais. IV. As fontes de ameaças naturais clássicas são denominadas casos de força maior e incluem danos causados por fogo, inundação, tempestade, terremoto e outros eventos naturais. Assinale a alternativa CORRETA: a) Somente as proposições I e III estão corretas. b) Somente as proposições III e IV estão corretas. c) Somente as proposições I, II e III estão corretas. d) Somente as proposições I, II e IV estão corretas. www.tecconcursos.com.br/questoes/464727 CEBRASPE (CESPE) - GPPGE (SEDF)/SEDF/Tecnologia da Informação/2017 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas https://www.tecconcursos.com.br/questoes/464727 705) 706) A respeito de segurança da informação, julgue o item seguinte de acordo com a norma NBR ISO/IEC 17799. Independentemente de eventuais custos para sua mitigação, todos os riscos relativos à segurança da informação devem ser tratados e aceitos, devendo o custo disso fazer parte da avaliação econômica de qualquer projeto. Certo Errado www.tecconcursos.com.br/questoes/469850 CONSULPLAN - AJ TRF2/TRF 2/Apoio Especializado/Informática - Infraestrutura/2017 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos – Princípios e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas a riscos, e mesmo que esses riscos possam ser gerenciados de alguma forma, esta norma visa estabelecer um número de princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz. Como definição de risco, a Norma 31.000:2009 apresenta como “efeito da incerteza nos objetivos”. Nesta norma estão relacionados os princípios da gestão de riscos, a estrutura e os respectivos processos. Tomada ou aumento do risco na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e alteração das consequências são ações/atividades de um desses Processos. Assinale a alternativa correta que apresenta corretamente o respectivo processo: a) Análise de riscos. b) Avaliação de riscos. c) Tratamento de riscos. https://www.tecconcursos.com.br/questoes/469850 707) d) Identificação de riscos. www.tecconcursos.com.br/questoes/584388 FCC - AJ TST/TST/Apoio Especializado/Tecnologia da Informação/2017 TI - Segurança da Informação - Conceitos de Riscos e Outras Normas Considere a tabela abaixo. Fator Consequência (determina o nível de consequência caso o risco ocorra.) Fator Exposição ao Risco (determina a frequência com que esse risco
Compartilhar