Atividade 3 de Gestao de Risco Not 10_240315_115113

Prévia do material em texto

14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 1/9
Atividade 3
Iniciado: 14 mar em 11:27
Instruções do teste

Pergunta 1 0,2 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Leia o texto a seguir:
 
Os benefícios do monitoramento para a segurança de uma empresa
 
Mas quais são exatamente esses benefícios que um bom monitoramento de segurança da
informação traz para uma empresa? Listamos as vantagens que vão muito além da simples proteção
de dados:
 
Confiabilidade e disponibilidade
Dados seguros significam um sistema mais confiável. Essa máxima já foi experimentada e aprovada
em diversos negócios que investiram em segurança da informação e receberam em troca processos
mais estáveis, disponibilidade facilitada de dados e informações sensíveis e a capacidade de
trabalho remoto com total controle de acesso, visualização e edição de arquivos sem riscos para a
empresa.
 
Aumento da produtividade
E esse é o motivador principal para a otimização do trabalho dentro da empresa. Sim, segurança
também gera produtividade! Isso acontece porque um bom monitoramento do sistema garante
menos vulnerabilidades que, por consequência, significa menos tempo indisponível para
manutenção ou recuperação de desastres.
 
Além disso, o controle de acesso através do monitoramento reduz a perda de tempo com o mau uso
da internet por funcionários, que muitas vezes perdem o foco navegando em sites não pertinentes ao
negócio e redes sociais.
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 2/9
 
Ajustes estratégicos
Além de facilitar o trabalho dos funcionários, a segurança da informação bem monitorada é também
uma ferramenta para o gerente de TI e o resto da diretoria.
 
Quanto melhor o monitoramento, melhor é a estratégia de prevenção e mais rápida é a resposta a
ameaças. É ainda a base para implementar um processo de melhoria continuada, como o famoso
PDCA (Plan, Do, Check, Act). Garantir um ciclo de iteração é uma forma de estar sempre à frente
das ameaças.
 
Redução de custos
Por fim, o aumento da produtividade, simplificação de processos e mais tempo de sistema disponível
resultam em economia para qualquer empresa. Por um lado, gasta-se menos com estrutura e
combate a incêndios, por outro, aumenta-se a eficiência da operação.
 
Esse dinheiro a mais, inclusive, pode ser reinvestido na própria segurança da informação, como na
compra de novos equipamentos ou na contratação de empresas especializadas. Assim, cria-se um
ciclo virtuoso de monitoramento para uma empresa ainda mais competitiva.
 
 
Fonte: Importância de monitorar a segurança da informação para sua gestão. Strong security.
19/09/2017. Disponível em: https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-
seguranca-da-informacao-para-sua-gestao/
(https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-
gestao/) . Acesso em: 29 de maio de 2020.
Para o planejamento da etapa de monitoração de riscos, considere as seguintes atividades.
 
I. Incluir novos ativos no escopo da gestão de riscos.
 
II. Avaliar a eficiência da redução de riscos.
 
III. Elaborar o Plano de tratamento do risco e dos riscos residuais.
 
A+
A
A-
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
https://www.strongsecurity.com.br/blog/importancia-de-monitorar-a-seguranca-da-informacao-para-sua-gestao/
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 3/9

Pergunta 2 0,2 pts
IV. Calcular as probabilidades dos cenários de incidentes no método quantitativo ou qualitativo.
 
Assinale a alternativa com atividades da etapa de monitoramento de riscos, apenas.
I, II e III.
I e II.
III e IV.
II e III.
I e IV.
Leia o texto a seguir:
 
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 4/9
A figura a seguir apresenta graficamente a localização das atividades no processo de gestão de
riscos:
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013.
Existem duas atividades que devem ocorrer a todo o tempo: acompanhamento do dinamismo dos
riscos e ameaças deve ser feito através do monitoramento dos ativos, vulnerabilidades e
probabilidades. A partir disso, avalie as asserções a seguir e a relação entre elas:
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 5/9

Pergunta 3 0,2 pts
 
I. As fases de Comunicação do risco e Monitoramento e análise crítica são permanentes e
desenvolvidas simultaneamente com as demais fases do processo de gestão de riscos.
 
PORQUE
 
II. Com o monitoramento, a organização verifica se todos os recursos necessários à gestão e
tratamento do risco estão disponíveis, e a verificação da necessidade de mudanças nos critérios, na
metodologia ou nas ferramentas utilizada e, através da comunicação, as informações sobre o
desenvolvimento das atividades e os resultados alcançados são transmitidas.
 
A respeito dessas asserções, assinale a opção correta:
As asserções I e II são proposições falsas.
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
Leia o texto a seguir:
 
PSR = Probabilidade x Severidade x Relevância - os fatores da Probabilidade e Severidade são
pontuados durante as análises técnicas e a Relevância pontuada no processo de levantamento dos
ativos, considerando-se a importância do ativo para o negócio ou serviço. Assim, o valor do risco de
um ativo é obtido pelo somatório dos produtos dos três fatores (P x S x R) calculado cada uma das
ameaças ao ativo em análise.
 
A tabela 7 a seguir demonstra a distribuição dos possíveis valores de Risco (PSR):
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 6/9
Da tabela anterior são identificadas e definidas as faixas para os níveis de risco que irão orientar a
priorização da faze de tratamento dos riscos, priorizando o tratamento dos riscos mais altos,
conforme a Tabela 8 a seguir.
 
Como risco aceitável, o Ministério da Saúde considera os níveis que apresentarem PSR Baixo ou
Muito Baixo. Portanto, deverão ser tratados os riscos Muito Alto, Alto e Médio, cabendo ao Gestor da
área analisar os casos especiais, nos quais a aceitação do risco é justificável. Podem ser entendidos
como casos especiais, dentre outros, as atividades temporárias ou de curto prazo; a implantação de
controles cujo custo supera o valor da consequência causada pela ocorrência do evento.
 
Fonte: BRASIL. Ministério Da Saúde. Metodologia De Gestão De Riscos De Segurança Da
Informação e Comunicações Do Ministério Da Saúde. Brasília, 2015. Disponível em:
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-
Riscos_v20141105.pdf (https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-
de-Gesto-de-Riscos_v20141105.pdf) . Acesso em: 29 de maio de 2020. Adaptado.
Considerando a metodologia de gestão de risco adotadono Ministério da Saúde, assinale a
alternativa correta.
A+
A
A-
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
https://datasus.saude.gov.br/wp-content/uploads/2019/12/MS-Metodologia-de-Gesto-de-Riscos_v20141105.pdf
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 7/9

Pergunta 4 0,2 pts
Para uma ameaça de queima da fonte das estações de trabalho, cujo PSR = 8, é necessário o tratamento desse
risco, com o compra de nobreak para todas as estações de trabalho.
A Avaliação de controle de riscos é de 2015, período anterior à pandemia do Corona Vírus e, portanto, não é mais
válida.
Para uma ameaça de acesso indevido, cujo PSR = 75, é necessário o tratamento desse risco através de controle
biométrico ou certificados digitais.
Para uma ameaça de sobrecarga de energia no servidor WEB, cujo PSR = 50, não é necessário a realização de
tratamento desse risco, pois PSR=50 corresponde a nível de risco baixo.
Para uma ameaça de ataques de Hackers, cujo PSR = 40, não é necessário a realização de tratamento desse
risco, pois os hackers não vão atacar o Ministério da Saúde.
Leia o texto a seguir:
 
À medida que desenvolver estratégia de risco, você deverá entender as respostas mais comuns.
Você pode reduzi-los, transferi-los, aceitá-los ou evitá-los.
Atenuação (redução) de risco – Esta abordagem usa diversos controles para atenuar ou reduzir
riscos identificados. Esses controles podem ser administrativos, técnicos ou físicos.
 
Fonte: KIM, D. SOLOMON, M. G. Fundamentos da Segurança de Informação. Rio de Janeiro:
LTC: 2014, p. 198.
Aponte a alternativa que possui uma estratégia de modificação do risco.
 
Utilização de software antivírus e de firewall para reduzir a infecção nos computadores da empresa e na rede.
Um médico compra um seguro contra negligência médica e aceita risco residual de perda igual à franquia.
Restaurante contrata uma empresa terceirizada para administrar as áreas de estacionamento.
Não abrir uma filial em um país que seja alvo de tumulto político ou movimentos sociais frequentes.
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 8/9

Pergunta 5 0,2 pts
Empresa exportadora que deseja especular o valor do dólar para daqui 1 ano.
Leia o texto a seguir:
 
Os riscos existem e estão a nossa volta o tempo todo. Dificilmente vamos eliminá-los. Podemos
minimizá-los, mas para isso, a busca por conformidade, confiabilidade, eficiência, eficácia,
governança e qualquer outro adjetivo que suporte as informações e a manutenção das organizações
será bem-vinda, pois a busca pela continuidade dos negócios e pela boa prática de governança
corporativa deve ser inserida em todas as atividades empresariais, para as pequenas, médias e
grandes companhias.
O bom senso e o conhecimento de negócio auxiliam na busca por essa tão falada conformidade e
devemos atentar que, em muitos casos, as regras parecem impossíveis de serem aplicadas, mas
devemos avaliar até que ponto devemos colocá-las em prática sem causar danos à organização.
Ninguém está obrigado a fazer nada desde que possa justificar a sua atitude. A busca pelos
controles internos e contábeis e pela gestão de riscos vai de encontro ao apetite de risco da
organização e como minimizar o risco corporativo.
 Portanto, minimizar riscos é conhecer, prevenir e monitorá-los sempre que possível, pois eles não
são evidenciados somente nas fraudes. Erros e negligência também fazem parte. É bom avaliar
sempre isso.
 
Fonte: ASSI, M. Gestão De Riscos Com Controles Internos: Como vencer os desafios e manter a
eficiência dos negócios. 1. ed. São Paulo: Saint Paul Editora, 2012, p. 142.
Considerando as informações apresentadas, analise as afirmações a seguir:
 
I. Após a etapa de Tratamento do Risco, ocorre a decisão de a aceitação ou retenção de riscos, ação
de evitar outros riscos ou a transferência de alguns desses riscos a outros agentes.
II. A eliminação do risco depende de um complexo diagrama de controles de risco.
III. Caso o risco residual for maior que o risco máximo aceitável, a empresa terá uma implementação
ineficiente do processo de gestão de riscos.
 
É correto o que se afirma em:
A+
A
A-
14/03/2024, 11:32 Teste: Atividade 3
https://famonline.instructure.com/courses/35546/quizzes/175523/take 9/9
Nenhum dado novo para salvar. Última verificação às 11:32 
II e III, apenas.
I e II, apenas.
I e III, apenas.
I, apenas.
II, apenas.
Enviar teste
A+
A
A-