Baixe o app para aproveitar ainda mais
Prévia do material em texto
GESTÃO DE SEGURANÇA DA INFORMAÇÃO Exercício: CCT0059_EX_A6_201301842711 Voltar Aluno(a): MARSAL CAMPOS BATISTA Matrícula: 201301842711 Data: 07/11/2014 16:05:17 (Finalizada) 1a Questão (Ref.: 201302172160) Você trabalha na gestão de risco de sua empresa e verificou que o custo de proteção contra um determinado risco está muito além das possibilidades da organização e portanto não vale a pena tratá-lo. Neste caso você: Ignora o risco Comunica o risco Rejeita o risco Aceita o risco Trata o risco a qualquer custo 2a Questão (Ref.: 201301985961) Qual das opções abaixo representa o tipo de ação quando observamos que o custo de proteção contra um determinado risco não vale a pena ser aplicado: Garantia do Risco Comunicação do Risco Aceitação do Risco Monitoramento do Risco Recusar o Risco 3a Questão (Ref.: 201302192714) Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles (soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método "quantitativo" na Análise e Avaliação dos Riscos: Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos componentes do risco que foram levantados. Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou sua capacidade de gerar efeitos adversos na organização. Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com menções mais subjetivas como alto, médio e baixo. Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco.O risco é representando em termos de possíveis perdas financeiras. BDQ Prova file:///D:/Meus Documentos/Faculdade/Simulados/Segurança Online/Seg... 1 de 2 25/11/2014 18:55 4a Questão (Ref.: 201302160870) Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Identificar os riscos de segurança presentes. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Aplicar controles apropriados para reduzir os riscos. 5a Questão (Ref.: 201302155604) Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Detectar": Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem , alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. 6a Questão (Ref.: 201301985957) Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Quantitativo Método Exploratório. Método Qualitativo Método Numérico. Método Classificatório Voltar BDQ Prova file:///D:/Meus Documentos/Faculdade/Simulados/Segurança Online/Seg... 2 de 2 25/11/2014 18:55
Compartilhar