D514 P-E - Gestão de Riscos 6 6

Prévia do material em texto

AO2
Iniciado: 15 jun em 21:23
Instruções do teste

Pergunta 1 0,6 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Analise a tirinha a seguir:
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 1/14
 
Fonte: Gênio Hacker. Vida de Suporte. Disponível em: https://vidadesuporte.com.br/suporte-a-
serie/genio-hacker/ (https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso em: 09
de março de 2021.
 
Pessoas mal intencionadas causam cada vez mais problemas para as empresas, através de
invasões, disseminação de malwares, deleção de informações críticas, sequestro de ambientes
computacionais, ataque de negação de serviço, entre outros tipos de ataque.
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 2/14
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/

Pergunta 2 0,6 pts
Essas pessoas mal intencionadas, chamadas de invasores ou criminosos virtuais caracterizam um
risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como insider:
Atacante que usa seus conhecimentos para fazer campanhas ativistas de reivindicações diversas, e que atua muito
fortemente divulgando informações das empresas.
Atacante que tem fácil acesso aos sistemas e informações da empresa por ser um funcionário, e que usa esse
acesso e seus conhecimentos com o intuito de prejudicar a empresa.
Indivíduo que já atuou como cibercriminoso e que no momento usa seus conhecimentos técnicos para auxiliar as
empresas, atuando na equipe técnica das mesmas.
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas e avisar as pessoas e empresas dessas
vulnerabilidades, sem o intuito de benefícios próprios.
Atacante que usa técnicas de infecção, invasão e roubo de informações, a fim de causar danos às empresas ou
mesmo ter algum tipo de benefício próprio.
Leia o texto a seguir:
 
Implementação do tratamento de riscos:
Claro que nem todos os riscos são criados de forma igual – você deve focar nos mais importantes,
os assim chamados ‘riscos inaceitáveis’.
Existem quatro opções que você pode escolher para mitigar cada risco inaceitável:
- Aplicar controles de segurança do Anexo A para reduzir os riscos – veja este artigo Visão geral do
Anexo A da ISO 27001:2013.
- Transferir o risco para terceiro – e.g. Para uma companhia de seguro ao comprar uma apólice de
seguro.
- Evitar o risco parando uma atividade que é muito arriscada, ou realizando-a de modo
completamente diferente.
- Aceitar o risco – se, por exemplo, o custo para mitigar aquele risco seria maior do que o próprio
dano.
Aqui é onde você precisa ser criativo – como reduzir os riscos com o mínimo de investimento.
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 3/14

Pergunta 3 0,6 pts
 
Fonte: KOSUTIC, D. Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
Tradução de Rhand Leal. Disponível em https://advisera.com/27001academy/pt-
br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
(https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-
iso-27001-6-etapas-basicas/) . Acesso em: 01 de junho de 2020.
Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas:
 
I. Se o risco estiver acima do nível de aceitação de riscos estabelecido pela organização, ocorrerá
uma nova iteração no processo de gestão de riscos.
PORQUE
II. Riscos residuais são aqueles que restam após a implantação de controles para evitar, transferir ou
mitigar riscos.
 
A respeito dessas asserções, assinale a opção correta.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
As asserções I e II são proposições falsas.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
Leia o texto a seguir:
 
Identificação de riscos
 - Realizada para que se possa conhecer e determinar os possíveis eventos com potencial de causar
perdas, e fazer o levantamento de como isso pode acontecer.
- Os resultados desta etapa serão os dados de entrada da etapa de estimativa de riscos.
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 4/14
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/
https://advisera.com/27001academy/pt-br/knowledgebase/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas/

Pergunta 4 0,6 pts
É importante que qualquer organização identifique as suas fontes de risco, suas causas e
consequências. A finalidade é gerar uma lista abrangente de riscos baseada em eventos que
possuam capacidade de criar, aumentar, evitar, reduzir, acelerar ou atrasar a conquista dos seus
objetivos.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p.
42.
Em qual das atividades da Identificação dos riscos que o resultado de saída com uma lista de todos
os controles existentes e planejados, sua implementação e status de utilização?
Identificação de consequências.
Identificação dos controles desejados.
Implementação de controles.
Identificação dos ativos.
Identificação dos controles existentes.
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à
segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não
a cumpra.
É considerada como um importante mecanismo de segurança, tanto para as instituições como para
os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta
forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de
forma adequada pelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para Internet. Disponível em
https://cartilha.cert.br/mecanismos/ (https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de
junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 5/14
https://cartilha.cert.br/mecanismos/
https://cartilha.cert.br/mecanismos/
https://cartilha.cert.br/mecanismos/

Pergunta 5 0,6 pts
 
I. Uma política de segurança é um documento aprovado pela alta direção da empresa e que garante
a provisão de recursos anuais para a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de tecnologia da empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas maneiras: por meio
de ataques provocados por hackers, violações provocadas por ataques causados por ex-
funcionários de empresas, violações causadas por pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidaspara evitar as violações, assim como
medidas adotadas após a ocorrência dos fatos indesejáveis.
 
Estão corretas apenas as afirmativas:
I, II e III.
II, III e IV.
I, III e IV.
II e IV.
III e IV.
Leia o texto a seguir:
 
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e
segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a
organização, de projeto, de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às
consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso em termos de uma
combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 6/14

Pergunta 6 0,6 pts
probabilidade (likelihood) associada de ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a
um evento, sua compreensão, seu conhecimento, sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o potencial de que ameaças
possam explorar vulnerabilidades de um ativo de informação ou grupo de ativos de informação e,
consequentemente, causar dano a uma organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança da Informação.
Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas:
 
I. A organização e seus ativos apresentam vulnerabilidades que pode ser explorada por uma
ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das consequências de eventos de
segurança que produzem impactos nos objetivos de negócios.
 
A respeito dessas asserções, assinale a opção correta.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
As asserções I e II são proposições falsas.
Leia o texto a seguir:
 
Contexto
 
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 7/14

Pergunta 7 0,6 pts
É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao
buscar o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um
substantivo masculino que significa “inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstâncias
que possibilitam, condicionam ou determinam a realização de um texto, projeto, atividade ou mesmo
de um evento de segurança da informação. Em outras palavras, contexto é o conjunto de
circunstâncias que se relacionam de alguma forma com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um determinado assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p.
22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de TI, um processo de
negócio, departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de risco presente na
norma ISO 27005.
 
É correto o que se afirma em:
I, II e III.
I e III, apenas
II e III, apenas.
I e II, apenas.
I, apenas.
Leia o texto a seguir:
 
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 8/14

Pergunta 8 0,6 pts
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a informação, leve em
consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os
requisitos legais. Convém que outros ativos além dos ativos de informação também sejam
classificados de acordo com a classificação da informação armazenada, processada, manuseada ou
protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a classificação da
informação poderá seguir tantos quantos níveis de classificação a complexidade do negócio exija,
mas vias de regra, os níveis mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do acesso não
autorizado à esta informação são severos e, possivelmente, irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática. 06/07/2018. Disponível em
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/) . Acesso
em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a alternativa correta.
Documentos eletrônicos como e-mail não devem ser rotulados.
Todas as regras para rotulação foram definidas na norma ISO 27.001.
Base de dados de sistemas e aplicativos não devem receber classificação de informação.
O controle de acesso físico só pode ser realizado com senha.
É possível a rotulação em documentos impressos através de etiquetas, carimbos e outras marcas visuais.
Leia o texto a seguir:
 
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 9/14
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
Com o crescimento exponencial dos ataques realizados por cibercriminosos e a dependência cada
vez maior das empresas pelos recursos tecnológicos, realizar uma análise de riscos em TI é
essencial, não só para se proteger, mas para seguir sobrevivendo no mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais as empresas se
preocuparem apenas com firewalls e sistemas antivírus. É preciso criar uma cultura de proatividade
em busca das melhores tecnologias e técnicas para manter os seus dados e os de seus clientes a
salvo de pessoas mal-intencionadas.
A análise de riscos é uma técnica de levantamento de informações acerca de processos e sistemas
utilizados na empresa de modo a melhorar a governança de ativos de TI em relação às
vulnerabilidades que podem ser encontradas, verificando a probabilidade de ocorrência de
determinados eventos e as consequências que eles podem trazer para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco, mas o mais importante é
entender a fórmula que determina o que é um risco. Ele pode ser calculado multiplicando a
vulnerabilidade de um ativo e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a empresa ele for, maior
é o risco que ele corre. Assim, o investimento para diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita periodicamente. Ao
chegar ao final do ciclo, pode-se recomeçar a fase de coletade informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a tecnologia evolui todos
os dias, as ações dos cibercriminosos também, e é preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise de riscos na empresa estão o
encontro das vulnerabilidades que podem ser utilizadas por hackers para acessar os arquivos da
empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para serem corrigidas, é necessário
colocar a atenção nos ativos que tem mais importância para o negócio da empresa, isto faz como
que os investimentos sejam dirigidos para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a disponibilidade dos
serviços de tecnologia da informação na empresa e causando prejuízos que poderiam ter sido
evitados, existe também a redução de custos com restaurações e manutenção de sistemas.
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong Security, 2018. Disponível
em: https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-
mais/ (https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/) .
Acesso em: 09 de março de 2021.
 
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 10/14
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/

Pergunta 9 0,6 pts
Considerando a importância de se realizar o processo de análise de riscos em uma empresa, ao se
realizar esse processo na empresa deve-se levar em consideração os aspectos: 
ativos, vulnerabilidades, ameaças e impactos.
vulnerabilidades, Impactos e legalidade.
confidencialidade, integridade e disponibilidade.
gravidade, urgência, tendência e transferência
pontos fortes, pontos fracos, oportunidades e ameaças
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI)
e dá sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de
sistemas de gestão da SI, além de auxiliar sobremaneira na implementação e certificação de tais
sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes
atividades:
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 11/14
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos de segurança da
informação. QSP. Disponível em: https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 12/14
https://www.qsp.org.br/artigo_27005.shtml
https://www.qsp.org.br/artigo_27005.shtml
https://www.qsp.org.br/artigo_27005.shtml
https://www.qsp.org.br/artigo_27005.shtml

Pergunta 10 0,6 pts
Modificação, retenção, ação de evitar e compartilhamento do risco.
Instalar antivírus, antispam, firewall e proxy eficientes para proteção.
Identificação de ameaças, controles, vulnerabilidades e consequências.
Monitoramento, análise e melhoria dos processos de prevenção ao risco.
Definição do contexto, identificação, análise e aceitação dos riscos.
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de controles, de forma que
o risco residual possa ser reduzido e, por conseguinte, aceito. Os controles selecionados devem
satisfazer os critérios para aceitação do risco e os requisitos legais, regulatórios e contratuais.
Devem considerar também custos, prazos, interação com outros controles, aspectos técnicos,
culturais e ambientais, e demais restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é descrito como sendo as
atividades que implementam controles que visam reparar qualquer anormalidade. Qual é este tipo de
controle?
Prevenção
Recuperação
Conscientização
Correção
Detecção
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 13/14
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
Salvo em 21:38 Enviar teste
A+
A
A-
15/06/2024, 21:38 Teste: AO2
https://famonline.instructure.com/courses/35546/quizzes/175556/take 14/14