Importância da Análise de Riscos

Prévia do material em texto

08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 1/8
Atividade 3
Iniciado: 8 abr em 10:48
Instruções do teste

Pergunta 1 0,2 pts

Pergunta 2 0,2 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Leia o trecho abaixo: 
A análise de riscos de segurança da informação é um método de identificação de riscos e avaliação
dos possíveis danos que podem ser causados, a fim de justificar os controles de segurança. A
análise de risco da informação possui três objetivos principais: identificar riscos, quantificar o impacto
de possíveis ameaças e conseguir um equilíbrio financeiro entre o impacto do risco e o custo da
contramedida.
Um dos desafios da área de Segurança da Informação, ou até mesmo do departamento de
Tecnologia da Informação, é integrar os objetivos do programa de segurança aos objetivos e
requisitos de negócios. Para que todos os requisitos de negócios sejam atendidos, a empresa deve
alinhar os objetivos de segurança com os objetivos de negócios. Apenas dessa forma o programa de
segurança será bem sucedido [...].
(Fonte: BATORI. Análise de Risco de Segurança da Informação. Disponível em: https://www.batori.com.br/analise-de-risco-de-
seguranca-da-informacao. Acesso em: 13 abr 2021.)
Considerando que a análise de risco é essencial para a tecnologia da informação, dentre descrições
apresentados a seguir, qual é a que representa a vulnerabilidade?
Pode ser todo elemento que agregue valor ao negócio, seja qual for o tipo e porte deste.
É a limitação do acesso à informação tão somente às entidades legítimas.
É a garantia de que a informação esteja sempre disponível para o uso legítimo.
É uma fraqueza que permite a um invasor reduzir a segurança das informações do sistema.
É a ordenação e organização dos dados de forma a transmitir significado.
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 2/8
Analise as informações abaixo: 
Abordagem top-down
Método utilizado no projeto de redes de computadores que inicia o seu desenvolvimento por meio
da camada mais alta do modelo de referência OSI (Open Systems Interconnection), enfocando o
levantamento das aplicações, os fluxos de dados e os tipos de serviços necessários para o
transporte de dados, em detrimento da seleção dos equipamentos (switches, roteadores, firewalls,
balanceadores de carga, entre outros) e das tecnologias de cabeamento e interconexão que serão
usadas:
 
A abordagem top-down explora a estrutura organizacional do cliente para se determinar quais
pessoas serão usuárias diretas ou indiretas da infraestrutura de redes que será concebida, com o
objetivo de identificar informações que contribuirão para o sucesso do projeto. É importante
observar o uso genérico do termo cliente, indicando tanto as áreas internas da empresa para as
quais o projeto será desenvolvido quanto às pessoas externas à corporação.
(Fonte: DEVMEDIA. Projeto de redes de computadores: abordagem top-down. Disponível em:
https://www.devmedia.com.br/projeto-de-redes-de-computadores-abordagem-top-down-revista-infra-magazine-8/26300. Acesso
em: 13 abr. 2020.)
Considerando as informações apresentadas, avalie as afirmações abaixo:
I. A largura da banda é a capacidade de transferência que o sistema consegue transferir, é
calculado em Mbps. Na metodologia top-down é necessário realizar testes para otimizar a rede.
II. O Modelo OSI foi criado para definição de padrões nacionais, visando a conectividade e
interoperabilidade. Identificar as necessidades e metas dos clientes é crucial na metodologia top-
down.
III. Na metodologia top-down, os processos do gerenciamento de redes deverão seguir uma
estrutura mais ou menos hierárquica. Configurar os aspectos físicos da rede faz parte da
metodologia top-down.
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 3/8

Pergunta 3 0,2 pts
É correto o que se afirma em:
III, apenas.
I e III, apenas.
II, apenas.
II e III, apenas.
I e II, apenas.
Leia o texto abaixo: 
A Matriz de Riscos ou Matriz de Probabilidade e Impacto é uma ferramenta de gerenciamento de
riscos que permite de forma visual identificar quais são os riscos que devem receber mais atenção.
Por se tratar de uma ferramenta para priorização de riscos, ela pode ser aplicada na etapa de
avaliação de riscos. Dessa forma, a identificação dos riscos é uma etapa que deve ser feita antes da
aplicação da ferramenta. O grande diferencial da Matriz de Riscos é a facilidade que ela proporciona
para visualizar informações sobre um determinado conjunto de riscos. Por se tratar de uma
ferramenta gráfica, se torna fácil identificar quais riscos irão afetar menos ou mais a organização,
possibilitando a tomada de decisões e a realização de medidas preventivas para trata-los. Além
disso, por ser uma ferramenta de fácil entendimento e por dispor informações de forma clara e
precisa, colabora com engajamento da equipe no processo de gestão de riscos.
A matriz de risco consiste em uma matriz (tabela) orientada por duas dimensões: probabilidade e
impacto. Por meio dessas duas dimensões, é possível calcular e visualizar a classificação do risco,
que consiste na avaliação do impacto versus a probabilidade.
O resultado da classificação do risco indica em qual célula da matriz o risco se encaixa. Como pode
ser visto na Figura 1, há cores diferenciadas entre as células e essas cores indicam o quão alta é a
classificação do risco, ou seja, o quão crítico um determinado risco é. Por exemplo, os riscos que
resultaram em uma classificação alta (cor vermelha na matriz) devem receber maior atenção do que
os riscos classificados como moderados ou médios (cor amarela na matriz) e, consequentemente, os
riscos classificados como baixo (cor verde na matriz) podem ter menor atenção que os moderados e
altos.
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 4/8
(Fonte: NAPOLEÃO, Bianca Minetto. Matriz de Riscos (Matriz de Probabilidade e Impacto). 2019. Disponível em:
https://ferramentasdaqualidade.org/matriz-de-riscos-matriz-de-probabilidade-e-impacto/. Acesso em: 15 abr. 2021)
Considerando o texto sobre a matriz de riscos, avalie as seguintes asserções e a relação proposta
entre elas.
 
I. As funções da área de gestão de riscos são equivalentes à área de governança, pois os riscos são
classificados em níveis de priorização de acordo com a combinação entre sua acessibilidade e
vulnerabilidade.
 
PORQUE
 
II. Um evento que apresenta chances abaixo de 5% de ocorrer é considerado um evento raro, pois
eventos de gravidade baixa tem custo de conserto reduzido e causam ferimentos que necessitam de
primeiros socorros.
 
Com base nas asserções, assinale a opção correta:
As asserções I e II são proposições falsas.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 5/8

Pergunta 4 0,2 pts
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
Leia os textos abaixo: 
Texto I:
Por que pensar em Modelagem de Ameaças? Bom, durante o processo de desenvolvimento de
software, algumas etapas devem ser observadas para que o resultado final seja uma aplicação
segura e que consiga alcançar todos os requisitos estabelecidos.
Novas leis e normativas estão sendo criadas para que os donos dos dados tenham a garantia de
que suas informações estejam protegidas, e que as melhores medidas foram tomadas para garantir
isso.
Privacidade passou a ser um termo valorizado quando o assunto é a garantiada segurança de um
software. No caso da perda ou comprometimento destes dados, novas leis surgiram para garantir
que seus donos possam receber a atenção e as respostas necessárias para cada evento.
Neste cenário precisamos entender que os modelos atuais de desenvolvimento – e aqui não
queremos limitar este termo nem aos modelos ágeis, nem aos mais tradicionais – precisam voltar a
ser observados, entendidos e seguidos em suas melhores práticas para que o resultado final seja
um software desenvolvido de maneira cada vez mais segura [...].
(Fonte: MAUÉS, Rodrigo. O que é modelagem de ameaças. Disponível em: https://blog.convisoappsec.com/o-que-e-modelagem-de-
ameacas/. Acesso em: 6 abr. 2021.)
Texto II: 
O processo de modelagem consiste dos seguintes passos:
Identificar os bens
O primeiro passo consiste em identificar os recursos valiosos a serem protegidos pelo sistema.
Esses recursos são itens que o atacante deseja acessar, controlar ou até mesmo destruir [...].
Criar um resumo da arquitetura
Nesse passo deve-se documentar tudo o que a aplicação faz, os recursos que utiliza e como são
acessados, todo o seu funcionamento. Deve-se documentar os seus casos de uso e toda tecnologia
implementada e desenvolver diagramas de toda a estrutura da aplicação.
Decompor a aplicação
[...] Analisa-se pequenas partes da aplicação de modo a identificar limites de confiança, de fluxo de
dados, pontos de entradas e saídas. Na identificação do limite de confiança analisa-se se os dados
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 6/8

Pergunta 5 0,2 pts
realmente funcionam e se as entradas de usuários são confiáveis. No fluxo de dados observa-se de
onde vem os dados e para onde irão. Pontos de entrada e saída incluem a rede principal e projeto
de infraestrutura de rede.
Identificar as ameaças
[...] Nesse passo documenta-se cada ameaça usando um modelo comum de ameaça que defina um
conjunto principal de atributos para cada ameaça, levando em conta o alvo, as técnicas utilizadas em
um ataque e as medidas que resolva os problemas.
Estimar as ameaças
Estima-se as ameaças para priorizar e tratar primeiro as mais significativas e que representam o
maior risco. O processo de estimativa mede a probabilidade da ameaça contra os danos que
poderiam ocorrer caso um ataque ocorra. Deve-se prever que certas ameaças não garantem
nenhuma ação quando se compara o risco apresentado pela ameaça com os custos resultantes de
redução.
(Fonte: WIKIPEDIA. Modelagem de ameaças. Disponível em: https://pt.wikipedia.org/wiki/Modelagem_de_amea%C3%A7as. Acesso
em: 05 maio 2021.)
Considerando as informações apresentadas acima, assinale a opção correta.
Assim como na metodologia top-down, deve-se analisar o todo quando consideramos a modelagem de ameaças.
Decompor a arquitetura da aplicação resulta na criação de um perfil de segurança para a mesma.
Uma equipe de modelagem de ameaças deve ser composta somente por integrantes da equipe de segurança da
informação.
Documentar as ameaças consiste na fase de priorizar e tratar primeiro as mais significativas e que representam o
maior risco.
Existem formas bem estabelecidas para medir a qualidade de um modelo de ameaças finalizado.
Leia o trecho abaixo: 
Quando falamos em Segurança nas redes de computadores, atualmente, fazemos uma grande
referência à Internet, pois é nessa rede mundial onde os ataques aos nossos computadores ocorrem
com maior frequência. Mas antes de desenvolvermos o tema, temos que nos responder: o que vem
a ser “segurança”?
Basicamente, dizemos que uma casa está segura, quando as vulnerabilidades dela foram
minimizadas. Mas... e vulnerabilidade? Segundo a ISO (International Standardization Organization -
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 7/8
Organização Internacional para Padronização), no contexto da computação, é qualquer fraqueza que
pode ser explorada para se violar um sistema ou as informações que nele contém.
Dessa forma, temos várias possíveis violações de segurança em um sistema, ou seja, temos várias
ameaças, dentre as quais destacamos:
– Destruição de informação
– Modificação ou deturpação da informação
– Roubo, remoção ou perda de informação / recursos
– Interrupção de serviços
(Fonte: PERCÍLIA, Eliene. Segurança em Redes de Computadores. Disponível em:
https://brasilescola.uol.com.br/informatica/seguranca-redes.htm. Acesso em: 16 abr. 2021)
Considerando que a segurança de redes é parte das Políticas de Segurança da Informação em
empresas, analise as abaixo: 
I. Dentre as camadas de proteção em redes, podemos destacar o monitoramento de acessos e
segurança de aplicativos, pois o uso de protocolos de comunicação para internet é crucial em uma
Política de Segurança da Informação.
II. Uma Política de Segurança da Informação consiste na definição de diretrizes para o acesso à
informação de profissionais e times de TI, pois a aprovação do setor de Rh é a fase de criação das
normas relativas ao uso de programas.
III. Soluções relacionadas à proteção de e-mails corporativos são parte da segurança de redes, pois
a modificação da informação é um tipo de ataque externo que é a concretização efetiva de uma
ameaça de forma intencional.
IV. O surgimento de novas tecnologias invalida o conjunto de processos criados em uma política,
pois a implantação de uma Política de Segurança da Informação deve ser mantida em segredo dos
colaboradores e público em geral.
É correto o que se afirma apenas em:
II e III , apenas.
II e IV , apenas.
I e III, apenas.
I e II, apenas.
III e IV , apenas.
A+
A
A-
08/04/2024, 11:13 Teste: Atividade 3
https://famonline.instructure.com/courses/35870/quizzes/177296/take 8/8
Salvo em 11:13 Enviar teste
A+
A
A-