Atividade 3 - Gestão de Crises e Continuidade de Negócios 1 0

Prévia do material em texto

Atividade 3
Iniciado: 28 ago em 23:26
Instruções do teste

Pergunta 1 0,2 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Leia o texto abaixo:
 
Um Plano Estratégico de Segurança da Informação (PESI) eleva o nível de capacidade dos
processos de Segurança da Informação quando adota melhores práticas de mercado,
especificamente as normas ISO/IEC 27001, 27002, 27003, 27004, 27005, que tem como objetivo a
criação, manutenção, melhoria, revisão e análise dos Sistemas de Gestão de Segurança da
Informação (SGSI). 
 
Considerando as informações apresentada sobre o as necessidades de um Plano Estratégico de
Segurança da Informação (PESI), avalie as afirmações abaixo sobre ele: 
I. Deve estar alinhado as melhores práticas internacionais e priorizar projetos alinhados à estratégia
da companhia.
II. Procura aumentar os investimentos em Segurança da Informação e mapear os principais riscos
relacionados à Segurança da Informação.
III. Desenvolve ações de alinhadas à necessidade da companhia e mapeia os principais riscos
relacionados à Segurança da Informação.
É correto o que se afirma em: 
II, apenas.
II e III, apenas.
I e III, apenas.
III, apenas.
A+
A
A-
29/08/2025, 00:02 Teste: Atividade 3
https://famonline.instructure.com/courses/48502/quizzes/233533/take 1/5

Pergunta 2 0,2 pts
I, II e III.
Leia o texto abaixo:
 
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para
identificar as necessidades da organização em relação aos requisitos de segurança da informação e
para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que
essa abordagem seja adequada ao ambiente da organização e, em particular, esteja alinhada com
o processo maior de gestão de riscos corporativos. Convém que os esforços de segurança lidem
com os riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém
que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão
de segurança da informação e que seja aplicada tanto à implementação quanto à operação cotidiana
de um SGSI.
 
(Fonte: ABNT NBR ISO/IEC 27005:2011 – Tecnologia da Informação – Técnicas de Segurança -
Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2011.)
 
Refletindo sobre a contribuição da norma ANBT NBR 27005 para a gestão de riscos de segurança
da informação, avalie as seguintes asserções e a relação proposta entre elas.
I. É evidente a necessidade de adaptação da gestão de riscos ao contexto de cada de empresa.
PORQUE
II. Apesar de riscos relacionados a Tecnologia da Informação serem conhecidos e compartilharem
semelhanças em empresas do mesmo segmento, as estratégias de cada negócio mudam, obrigando
também a mudança da classificação, priorização, recursos utilizados. 
A respeito das asserções, assinale a alternativa correta: 
A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
As asserções I e II são ambas proposições falsas.
A+
A
A-
29/08/2025, 00:02 Teste: Atividade 3
https://famonline.instructure.com/courses/48502/quizzes/233533/take 2/5

Pergunta 3 0,2 pts

Pergunta 4 0,2 pts
As asserções I e II são proposições verdadeiras, e a II uma justificativa da I.
Leia o texto abaixo:
 
A redução da possibilidade de expor a companhia a eventos de risco de Tecnologia da Informação é
uma tarefa da área de Segurança da Informação. Sabendo disso, uma gestão de riscos eficiente em
Segurança da Informação cria planos de auditoria em sistemas mais críticos da companhia e os
avalia constantemente para evitar impactos no negócio, minimizando assim, riscos de eventos de
indisponibilidade, acessos indevidos, perda e sequestro de dados.
 
De forma a mitigar os riscos de ocorrência de eventos de crise, quais passos uma auditoria baseada
em riscos pode avaliar respectivamente?
Inventário de Sistemas; Determinar impactos; Avaliar riscos; Classificar e priorizar.
Inventário de Sistemas; Avaliar riscos; Determinar impactos; Classificar e priorizar.
Determinar impactos; Inventário de Sistemas; Classificar e priorizar; Avaliar riscos.
Determinar impactos; Avaliar riscos; Inventário de Sistemas; Classificar e priorizar.
Inventário de Sistemas; Classificar e priorizar; Determinar impactos; Avaliar riscos.
Leia o texto abaixo:
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se
os objetivos de controles, processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.
Um programa de auditoria deve ser planejado levando em consideração a situação e a importância
dos processos e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os
critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção dos auditores e
A+
A
A-
29/08/2025, 00:02 Teste: Atividade 3
https://famonline.instructure.com/courses/48502/quizzes/233533/take 3/5

Pergunta 5 0,2 pts
a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria.
Os auditores não devem auditar seu próprio trabalho.
(Fonte: ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança -
Sistemas de Gestão de Segurança da Informação. Rio de Janeiro: ABNT, 2006.)
 
Referente as classificações a serem considerados em uma auditoria de TI, avalie as afirmações a
seguir:
I. Registros de atividades e o fluxo da informação são classificados como Avaliação de Aplicações ou
Sistemas Aplicativos.
II. Detecção de intrusos e registro de conexões remotas são classificados como Avaliação Física e
de Infraestrutura. 
III. Avaliação objetiva dos dados referente a vulnerabilidade e alteração não autorizada são
classificados como Avaliação de Aplicações ou Sistemas Aplicativos
IV. Suprimento de energia e avaliação física da segurança dos ambientes computacionais são
classificados como Avaliação da Continuidade dos negócios.
É correto o que se afirma em:
I, apenas.
IV, apenas.
I e IV, apenas.
III, apenas.
I e II, apenas.
Leia o texto abaixo:
 
No More Ransom (Sem Mais Resgate)
Sobre o projeto
As agências de polícia e empresas de segurança informática juntaram forças para interromper as
atividades criminosas com ligações ao ransomware.
O website “No More Ransom” é uma iniciativa da Unidade de Crime de Alta Tecnologia da Polícia
Holandesa, do European Cybercrime Centre (EC3) da Europol (Serviço Europeu de Polícia),
A+
A
A-
29/08/2025, 00:02 Teste: Atividade 3
https://famonline.instructure.com/courses/48502/quizzes/233533/take 4/5
Salvo em 0:02 
Kaspersky e McAfee com o objetivo de ajudar as vítimas de ransomware a recuperar os seus
arquivos criptografados sem terem que pagar a criminosos.
Uma vez que é muito mais fácil evitar a ameaça do que lutar contra ela assim que um sistema é
infectado, o projeto também visa educar os utilizadores sobre como é que o ransomware funciona e
quais as medidas que podem ser tomadas para uma prevenção efetiva. Quantos mais parceiros se
juntarem ao projeto, melhores resultados poderão ser obtidos. Esta iniciativa é aberta a parceiros
públicos e privados.
*O conselho principal é não pagar o resgate. Ao enviar dinheiro aos cibercriminosos só está a
confirmar que o modelo do ransomware funciona,
para além de não haver garantia nenhuma que irá recuperar a chave de decifragem necessária para
desbloquear os seus ficheiros.
(Fonte: Disponível em: https://www. nomoreransom.org/pt/about-the-project.html. Acesso em: 20 fev.
2021.)
 
Considerando as informações apresentadasno texto, assinale a opção correta.
Na perspectiva do projeto, a denúncia para unidades anticrime é a primeira ação a ser realizada após o incidente, e
posteriormente o treinamento e recuperação dos dados.
Na perspectiva do projeto, a formação de um plano de ações para prevenir um incidente de segurança é tão
importante quanto recuperar-se do incidente.
Na perspectiva do projeto, primeiramente deve-se tentar recuperar os arquivos criptografados, e posteriormente,
educar os usuários sobre como funcionam incidentes de segurança da informação.
Na perspectiva do projeto, os sistemas sempre serão vulneráveis sendo uma tarefa praticamente impossível lutar
contra cibercriminosos.
Na perspectiva do projeto, é aconselhado não pagar o resgate de antes de tentar utilizar alternativas de
descriptografar os dados.
Enviar teste
A+
A
A-
29/08/2025, 00:02 Teste: Atividade 3
https://famonline.instructure.com/courses/48502/quizzes/233533/take 5/5