Gestão de Riscos e Segurança da Informação

Prévia do material em texto

Questão 1/5 - Segurança em Sistemas de Informação
A gestão de riscos é um processo de suma importância para a segurança da informação. Pode-se 
considerar quatro atividades essenciais a esse processo, dispostas de forma sequencial e executadas
maneira cíclica, com base no modelo PDCA (Plan, Do, Check, Act ou seja, planejar, fazer, avaliar, 
corrigir).
 
Com relação ao processo de gestão de riscos é correto afirmar que:
 
Nota: 20.0
A Impacto é a medida do resultado que um
incidente pode produzir nos negócios da
organização.
 
B A matriz P x I – Probabilidade x Impacto é uma
ferramenta da Análise Qualitativa de riscos, e
auxilia no cálculo do ROI – return of investiment.
 
C Reduzir o risco implica na utilização de medidas
que impeçam a ocorrência do risco pela eliminação
de vulnerabilidades ou tratamento contra as
ameaças.
 
D Transferir o risco significa utilizar controles que
reduzam a probabilidade ou o impacto do risco.
 
E Aceitar o risco é a melhor forma de preparar a
organização contra as ameaças, pois mesmo
aplicando um tratamento aos riscos é improvável
que se consiga eliminá-los totalmente.
 
Questão 2/5 - Segurança em Sistemas de Informação
A segurança da informação é a área de conhecimento humano que tem por finalidade planejar e oper
processos, técnicas, ferramentas e mecanismos que possam prover a devida proteção à informação, 
não somente isso: devem preservar seu valor.
 
Você acertou!
Conteúdo apresentado no tema Fundamentos
de Segurança da Informação, Aula 1, páginas de
12 a 14 da Rota de Aprendizagem (versão
impressa).
No que se refere à definição de segurança da informação, é correto afirmar que:
 
Nota: 20.0
A A segurança da informação pode ser traduzida do
termo security da língua inglesa, que refere-se aos
sistemas confiáveis, construídos para reagir
perante as falhas do software, do hardware ou dos
usuários.
 
B Intrusões, ataques, perda e roubo de informações
são abordados pela segurança da informação,
tradução do termo reliability, em inglês.
 
C A área do conhecimento humano designada como
segurança da informação não abrange a utilização
correta da informação, desde que essa informação
seja adequada aos propósitos específicos para os
quais se destina.
 
D Problemas causados aos negócios, ao meio
ambiente, à infraestrutura ou até mesmo
acidentes que tenham impacto nas pessoas ou
representem risco à vida referem-se às
questões de segurança (em inglês, safety)
abrangidos pela segurança da informação.
 
E De acordo com a norma ABNT NBR ISO/IEC
27002:2103 a segurança da informação implica em
controlar a tecnologia da informação para
estabelecer, implementar, monitorar, analisar
criticamente e melhorar, quando necessário, os
objetivos do negócio.
 
Questão 3/5 - Segurança em Sistemas de Informação
Para tornar efetiva a PSI e estabelecer os controles corretos é necessário conhecer e adequar a 
organização às estratégias de segurança da informação e de defesa. Essas estratégias, ou grande pa
Você acertou!
Conteúdo apresentado no tema Fundamentos
de Segurança da Informação, Aula 1, páginas 5
e 6 da Rota de Aprendizagem (versão
impressa).
 
delas, são oriundas de estratégias militares de defesa e foram validadas por sua aplicação por milhar
de vezes no decorrer da história da humanidade.
 
Avalie as afirmações a seguir, que tratam das estratégias de segurança e defesa:
 
( ) O cancelamento ou estorno de uma operação que requer a aprovação de um superior é um caso d
aplicação do princípio do menor privilégio.
 
( ) Os princípios da diversidade da defesa e da defesa em profundidade são equivalentes pois semp
atuam em um mesmo nível de proteção.
 
( ) Simplicidade e obscuridade são estratégias opostas, uma vez que para reforçar a obscuridade é 
necessário utilizar mecanismos muito complexos.
 
( ) Uma white list é uma relação de proibições ou restrições, isto é, do que não pode. Já o oposto, a b
list, é a lista sem restrições ou com as permissões, isto é, do que pode¸ normalmente aplicada quando
universo de possibilidades é difícil de se dimensionar
 
Assinale a única alternativa que classifica corretamente (com F para as Falsas e V para as Verdadeira
as afirmativas, de acordo com o conteúdo apresentado no material e em aula:
 
Nota: 20.0
A V-F-F-F
 
B F-V-V-F
 
C F-F-V-V
 
D F-V-V-V
 
E V-V-V-F
 
Questão 4/5 - Segurança em Sistemas de Informação
Você acertou!
Conteúdo apresentado no tema Organização da
Segurança da Informação, Aula 2, páginas 9 a
12 da Rota de Aprendizagem (versão impressa).
 
Durante o seu ciclo de vida a informação está exposta a riscos que, uma vez transformados em 
ocorrências, podem causar impactos indesejados em suas características. Quanto à essas caracterís
pode-se afirmar que:
 
I – A confidencialidade refere-se à manutenção do valor e das características originais da informação
 
II - Uma informação integra é aquela que jamais sofreu qualquer tipo de alteração durante o seu ciclo 
vida.
 
III – A disponibilidade da informação é o oposto da confidencialidade, já que qualquer informação 
disponível não é confidencial.
 
IV – A legalidade, a privacidade e a auditabilidade são também características da informação ligad
segurança da informação, segundo alguns autores.
 
V – A autenticidade, e a irretratabilidade ou não repúdio são características da informação 
indispensáveis ao uso atual da tecnologia da informação, como no caso do comércio por intermédio d
Internet.
 
Assinale a única alternativa que confere com o que foi apresentado na aula:
 
Nota: 20.0
A Somente as afirmações I e II estão corretas.
 
B Somente as afirmações IV e V estão corretas.
C Somente as afirmações III e IV estão corretas.
 
D Todas as afirmações são corretas.
 
E Nenhuma das afirmações é correta.
 
Questão 5/5 - Segurança em Sistemas de Informação
Você acertou!
Conteúdo apresentado no tema Fundamentos
de Segurança da Informação, Aula 1, páginas 6
e 7 da Rota de Aprendizagem (versão
impressa).
 
A informação necessita de meios – os ativos da informação ou da tecnologia da informação – para qu
possa ser empregada adequadamente pelos processos da organização. Tais ativos estão expostos a 
falhas de segurança da informação, possuindo pontos fracos que podem vir a ser explorados ou 
apresentarem comportamento incompatível.
 
Analise as afirmativas a seguir, relativas a este aspecto da informação:
 
I – Chamam-se vulnerabilidades os pontos fracos nos ativos da informação que podem ser explorado
apresentar falhas, gerando incidentes de segurança da informação.
 
II – Um ativo está sujeito a incidentes que podem influenciar na segurança da informação, seja pelo s
uso intenso, por se tratar de uma nova tecnologia cuja efetividade na segurança da informação ainda 
foi comprovada, seja por haver interesses escusos devido ao alto valor.
 
III – Em se tratando da segurança da informação, o risco pode ser definido como uma combinação en
ameaças, vulnerabilidades e ativos da informação ou da tecnologia da informação.
 
IV – A análise de risco parte do ROI – return of investment para calcular quanto pode ser dispendido e
recursos financeiros para a proteção dos ativos e redução das ameaças.
 
V – As análises qualitativa e quantitativa dos riscos são processos executados de forma sequencial e 
executadas de maneira cíclica, com base no modelo PDCA para auxiliar na tomada de decisão, e são
elaboradas à partir de uma matriz PxI – Probabilidade x Impacto.
 
Assinale a única alternativa que está de acordo com o material e com o que foi apresentado na aula:
 
Nota: 20.0
A Somente as afirmações I e III são corretas.
 
B Somente as afirmações II e IV são corretas.
 
C Somente as afirmações III e IV são corretas.
 
D Somente as afirmações IV e V são incorretas.Você acertou!
Conteúdo apresentado no tema Fundamentos
de Segurança da Informação, Aula 1, páginas de
9 a 13 da Rota de Aprendizagem (versão
impressa).
 
E Todas as afirmações são corretas.