Prova de Continuidade de Negócios

Prévia do material em texto

Pergunta 1 
A seguinte equação: 
Ameaça x vulnerabilidade x valor do ativo = risco 
 Consolida o valor da ameaça. 
 Pode ser utilizada para representar o que é risco. 
 Qualifica um tipo de risco em relação ao seu grau de prioridade. 
 É sugerida pela ISO 27037 para definir risco. 
 Não tem relação com a análise de risco. 
 
Pergunta 2 
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma 
corporação? 
 Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. 
 
Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente 
identificar se existe algum tipo de controle já implementado na corporação avaliada. 
 
Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da 
Informação para tecnologias, pessoas e processos. 
 Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. 
 
Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão 
implementados na corporação. 
 
 
Pergunta 3 
As metodologias destinadas à análise de risco podem ser divididas em dois tipos: 
 Qualitativas e quantitativas. 
 Construtivas e avaliativas. 
 Quantitativas e avaliativas. 
 Qualitativas e avaliativas 
 Construtivas e qualitativas 
 
 
Pergunta 4 
Fazer análise e gerenciamento de risco 
 Sustenta o processo de análise de impacto. 
 É fundamental para a política de segurança. 
 
Não é possível se não se pensar em outros processos importantes para a segurança da informação 
como, por exemplo, Plano de Continuidade de Negócios (PCN). 
 Não é possível se não houver análise de vulnerabilidade. 
 É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. 
 
 
Pergunta 5 
Sobre os seguintes pontos: 
• Identificação e classificação dos processos e negócios; 
• Identificação e classificação dos ativos; 
• Análise de ameaças e danos; 
• Análise de vulnerabilidade; 
• Análise de risco. 
Pode-se afirmar que 
 
São processos importantes e que, se isolados, podem representar poucos avanços; mas se 
devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão 
para elevar o grau de segurança da informação de uma organização. 
 Não têm relação com análise de risco. 
 São processos opcionais para a implementação de uma política de segurança. 
 
São partes importantes do processo de segurança de redes de uma organização, mas cada processo 
citado é independente. 
 São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando 
a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética. 
 
 
Pergunta 6 
Assinale a alternativa que apresenta uma metodologia de análise de risco qualitativa: 
 Matriz de GUT. 
 ALE. 
 OWASP. 
 SLE. 
 Análise de vulnerabilidade. 
 
 
Pergunta 7 
Como se calcula o Single Loss Expectancy (SLE)? 
 EF x ARO. 
 SLE x EF. 
 SLE x ARO. 
 AV x EF. 
 ARO x AV. 
 
 
Pergunta 8 
Qual é a sigla para a métrica de expectativa de perda única? 
 EF. 
 ALE. 
 ARO. 
 SLE. 
 AV. 
 
 
Pergunta 9 
Assinale a alternativa que apresenta uma metodologia de análise de risco quantitativa? 
 Matriz de GUT. 
 OWASP. 
 SLE e ALE. 
 Análise de vulnerabilidade. 
 ROI e ROSI. 
 
 
Pergunta 10 
Qual é a sigla para a métrica de taxa de ocorrência anual? 
 AV. 
 ARO 
 EF. 
 ALE. 
 SLE. 
 
 
Pergunta 11 
BIA é a sigla em inglês para o processo de Business 
 Impact Analysis. 
 Impact Analytic. 
 Impact Advanced. 
 Intelligence Analytic. 
 Intelligence Analysis. 
 
 
Pergunta 12 
Assinale a alternativa que apresenta o termo atribuído a qualquer evento adverso, confirmado ou sob 
suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores: 
 Política de segurança. 
 Incidente de segurança. 
 Acaso. 
 Risco. 
 Dano. 
 
 
Pergunta 13 
Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente? 
 Detectivas. 
 Preventivas. 
 Corretivas. 
 Adivinhativas. 
 Repressivas. 
 
 
Pergunta 14 
Quais são, NA ORDEM DE OCORRÊNCIA, as quatro etapas do ciclo de vida do incidente de 
segurança da informação? 
 Incidente, ameaça, dano, recuperação. 
 Ameaça, incidente, dano, recuperação. 
 Incidente, recuperação, dano, ameaça. 
 Incidente, dano, ameaça, recuperação. 
 Ameaça, dano, incidente, recuperação. 
 
 
Pergunta 15 
É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental 
para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos 
críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo 
cuja sigla é 
 PCN. 
 ROSI. 
 ROI. 
 ALE. 
 TCO. 
 
 
Pergunta 16 
Considerando o conceito de Vulnerabilidade, como se pode definir “Grau de exposição”? 
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente 
durante o período pré-determinado. 
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. 
 
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece 
condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um 
determinado ativo. 
 
 
 
Pergunta 17 
Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”? 
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente 
durante o período pré-determinado. 
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um 
determinado 
ativo. 
 
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece 
condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 
 
 
Pergunta 18 
Um incidente pode ser definido como? 
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente 
 durante o período pré-determinado. 
 
É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece 
condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um 
Determinado ativo. 
 
 
Pergunta 19 
Uma vulnerabilidade pode ser definida como? 
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um 
determinado ativo. 
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente 
 durante o período pré-determinado. 
 
É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece 
condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 Pode ser definida como a concretização de uma ameaça. 
 Uma fraqueza deum ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. 
 
 
Pergunta 20 
I - Danos são consequências de um incidente e podem ser diretos e indiretos; 
II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados 
durante o lapso 
de tempo logo depois de um incidente; 
III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um 
incidente. 
Sobre o conceito de Dano, está correto apenas o que se afirma em: 
 I. 
 II e III. 
 I, II e III. 
 III. 
 I e II.