Avaliação Geral da Disciplina_ CONTINUIDADE DE NEGÓCIOS

Prévia do material em texto

26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 1/16
Avaliação Geral da Disciplina
Entrega Sem prazo Pontos 10 Perguntas 20
Disponível 20 mar em 0:00 - 1 abr em 1:00 12 dias Limite de tempo Nenhum
Tentativas permitidas 3
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 28 minutos 8 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 8 de 10
Enviado 26 mar em 3:13
Esta tentativa levou 28 minutos.
Fazer o teste novamente
0,5 / 0,5 ptsPergunta 1
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
 
São partes importantes do processo de segurança de redes de uma
organização, mas cada processo citado é independente.
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=1
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/take?user_id=24124
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 2/16
 
São processos importantes e que, se isolados, podem representar
poucos avanços; mas se devidamente combinados, podem apontar o
caminho a seguir, sustentando tomadas de decisão para elevar o grau
de segurança da informação de uma organização.
 Não têm relação com análise de risco. 
 
São processos importantes para a gestão de vulnerabilidades em uma
organização, possibilitando a tomada de decisão exclusiva na
aquisição de tecnologias para segurança cibernética.
 
São processos opcionais para a implementação de uma política de
segurança.
A segurança da informação tem sua maturidade ou grau
elevado a partir da combinação dos vários processos coligados.
Assim, se um processo for implementado de forma isolada,
pode até promover alguma melhoria, mas a partir da ótica do
negócio seria uma ação pouco eficiente.
0,5 / 0,5 ptsPergunta 2
Considere as seguintes afirmativas:
I A análise de risco deve ser realizada sempre antecedendo a um
investimento.
II O processo de análise de risco deve ser conduzido por um
especialista em risco, mas também com expertise para entender o
negócio.
III O processo de análise de risco está vinculado exclusivamente à
ameaça não humana.
É VERDADEIRO o que se afirmar em
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 3/16
 I, II e III. 
 I e III, apenas. 
 I e II, apenas. 
 I, apenas. 
 II, apenas. 
A análise de risco deve ser realizada sempre antecedendo a um
investimento, tendo uma visão atrelada ao negócio para que
seja possível mapear riscos de forma correta.
0,5 / 0,5 ptsPergunta 3
Qual mecanismo pode ser utilizado para avaliar a maturidade de
segurança da informação de uma corporação?
 
Realização de uma análise de risco baseada em metodologias
qualitativas e avaliativas.
 
Criação de um checklist baseado nos controles sugeridos pela ISO
27002, buscando inicialmente identificar se existe algum tipo de
controle já implementado na corporação avaliada.
 
Uso de metodologias baseadas na OSSTMM para identificar todos os
controles de segurança da informação para tecnologias, pessoas e
processos.
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 4/16
 
Utilização do Cobit para avaliar todos os controles de segurança da
informação que já estão implementados na corporação.
 
Realização de um processo de auditoria tendo como base
metodologias como OSSTMM, Issaf, Owasp.
Para qualquer norma a metodologia determina um checklist
para identificar quais controles recomendados estão
implementados, de modo que é interessante para que seja
possível mensurar a maturidade da empresa em relação à
norma. Dessa forma, isso se aplicaria não somente
considerando a ISO 27002.
0 / 0,5 ptsPergunta 4IncorretaIncorreta
Norma é
 
Qualquer documento de boa prática que sugere procedimentos para
organizar ações dentro de uma organização.
 
Um documento que define a política de segurança da empresa,
estabelecendo as regras que deverão ser seguidas pelos
colaboradores e fornecedores da organização.
 
A construção de processos que ajudam gestores na tomada de decisão
para a aquisição de tecnologias.
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 5/16
 
Um documento que fornece recomendações para a gestão da
segurança da informação, sugerindo controles importantes que devem
ser implementados.
 
Uma metodologia que define a forma como a corporação deve adquirir
e implementar determinada tecnologia.
Além do fato de uma norma ser elaborada a partir de conselho
de profissionais dentro de um processo rígido para a sua
validação; em muitos casos, tem tanta qualidade que acaba
recebendo aceitação internacional, o que ratifica ainda mais seu
valor.
0,5 / 0,5 ptsPergunta 5
As metodologias destinadas à análise de risco podem ser divididas em
dois tipos:
 Construtivas e avaliativas. 
 Construtivas e qualitativas 
 Qualitativas e quantitativas. 
 Qualitativas e avaliativas 
 Quantitativas e avaliativas. 
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 6/16
A análise de risco é executada utilizando metodologias
qualitativas, que possibilitam uma visão de criticidade de risco;
e metodologias quantitativas, que possibilitam mensurar
monetariamente o risco.
0,5 / 0,5 ptsPergunta 6
Como se calcula o Single Loss Expectancy (SLE)?
 SLE x EF. 
 SLE x ARO. 
 ARO x AV. 
 EF x ARO. 
 AV x EF. 
O valor do SLE pode ser definido a partir do produto de Asset
Value (AV) por Exposure Factor (EF).
0,5 / 0,5 ptsPergunta 7
Assinale a alternativa que apresenta uma metodologia de análise de
risco quantitativa?
 Análise de vulnerabilidade. 
 Matriz de GUT. 
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 7/16
 SLE e ALE. 
 OWASP. 
 ROI e ROSI. 
Single Loss Expectancy (SLE) é uma métrica quantitativa para
mensurar o valor de perda motivado por um determinado risco.
Annualized Loss Expectancy (ALE) é a métrica para mensurar o
valor do risco dentro de uma janela de tempo, normalmente um
ano.
0,5 / 0,5 ptsPergunta 8
Como se calcula o Annualized Loss Expectancy (ALE)?
 EF x ARO. 
 AV x EF. 
 ARO x AV. 
 SLE x EF. 
 SLE x ARO. 
O valor do ALE pode ser definido a partir do produto de Single
Loss Expectancy (SLE) por Annualized Rate of Occurrence
(ARO).
0,5 / 0,5 ptsPergunta 9
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 8/16
Qual é a sigla para a métrica de expectativa de perda única?
 EF. 
 ARO. 
 ALE. 
 AV. 
 SLE. 
É uma métrica quantitativa para mensurar o valor de perda
motivado por um determinado risco.
0 / 0,5 ptsPergunta 10IncorretaIncorreta
Qual é a sigla para a métrica de taxa de ocorrência anual?
 ARO 
 EF. 
 SLE. 
 AV. 
 ALE. 
Sigla que define a métrica de taxa de ocorrência anual.
0 / 0,5 ptsPergunta 11IncorretaIncorreta
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 9/16
Qual é o processo que deve ser implementado para mitigar o impacto
de risco previamente mapeado pelo processo de análise de risco e
devidamente avaliado no processo de Análise de Impacto ao Negócio
(BIA)?
 ROI. 
 TCO. 
 ROSI. 
 ALE. 
 PCN. 
Plano de Continuidade de Negócios (PCN) é definido a partir da
possibilidade de impacto/desastre previamente mapeado, ou
seja, a conceituação de um PCN é específica e deve-seconsiderar sempre o “pior cenário possível” em sua elaboração.
0,5 / 0,5 ptsPergunta 12
Como são chamadas as medidas de segurança que visam restaurar o
ambiente após um incidente?
 Corretivas. 
 Repressivas. 
 Detectivas. 
 Preventivas. 
 Adivinhativas. 
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 10/16
Medidas que são definidas para restaurar um ambiente após a
ocorrência de um incidente.
0,5 / 0,5 ptsPergunta 13
É assumido que o processo de elaboração da Análise de Impacto ao
Negócio (BIA) é fundamental para que seja possível mapear os
impactos que podem motivar interrupção de um ou mais processos
críticos ao negócio. Dessa forma, a elaboração também é importante
para dar suporte ao processo cuja sigla é
 TCO. 
 ROSI. 
 ROI. 
 ALE. 
 PCN. 
Plano de Continuidade de Negócio (PCN) – importante
processo que define ações para garantir o retorno da operação
diante de uma ameaça concretizada
0,5 / 0,5 ptsPergunta 14
Qual é o propósito da notificação de incidentes de segurança da
informação?
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 11/16
 
Prover uma orientação e apoio da direção para a segurança da
informação, de acordo com os requisitos do negócio e com as leis e
regulamentações pertinentes.
 
Direcionar as atitudes dos colaboradores para que estejam em
conformidade com a conduta esperada pela alta gestão.
 
Assegurar que fragilidades e eventos de segurança da informação
sejam comunicados, permitindo a tomada de ação corretiva em tempo
hábil.
 
Garantir que as mudanças aconteçam de forma planejada e controlada
dentro das organizações.
 Notificar os fornecedores sobre falhas na operação. 
Processo que deve ser definido como parte da gestão de
incidentes, formalizando o canal correto para notificação, a fim
de que seja de conhecimento de todos os colaboradores.
0 / 0,5 ptsPergunta 15IncorretaIncorreta
Considere as seguintes afirmativas sobre o Plano de Continuidade de
Negócio (PCN):
I Responde a um desastre pré-definido.
II Tem a capacidade de responder a todo e qualquer desastre.
III Recomenda-se que durante a elaboração de um PCN seja
considerado o conceito do "pior cenário possível".
É VERDADEIRO o que se afirma em
 I e II, apenas. 
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 12/16
 II e III, apenas. 
 III, apenas. 
 I e III, apenas. 
 I, II e III. 
PCN é definido a partir da possibilidade de impacto/desastre
previamente mapeado, ou seja, a conceituação de um PCN é
específica e deve-se considerar sempre o “pior cenário
possível” em sua elaboração.
0,5 / 0,5 ptsPergunta 16
Considerando o conceito de Vulnerabilidade, como se pode definir
“Grau de exposição”?
 
É uma verificação detalhada do ambiente da instituição, verificando se
o ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado
por uma ou mais ameaças.
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 13/16
 Pode ser definido como a concretização de uma ameaça. 
O grau de exposição também é uma forma de mensurar o
quanto um ativo está suscetível a uma ameaça.
0,5 / 0,5 ptsPergunta 17
Como pode ser definido o processo de Análise de Vulnerabilidade?
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado
por uma ou mais ameaças.
 
É uma verificação detalhada do ambiente da instituição, verificando se
o ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
Essa visão de Análise de Vulnerabilidade não se deve limitar ao
contexto tecnológico, deve-se considerar também processos e
pessoas.
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 14/16
0,5 / 0,5 ptsPergunta 18
I - Ameaça é um possível evento que pode comprometer a
confiabilidade de informação;
II - Uma ameaça de origem humana pode ser intencional e não
intencional;
III - Existem ameaças de origem não humana;
IV - Não existe relação direta entre ameaça e incidente.
Sobre as proposições citadas, pode se afirmar que:
 Nenhumas das respostas anteriores. 
 As afirmativas I, II, III estão corretas. 
 A afirmativa IV está correta. 
 Somente a afirmativa I é certa. 
 Somente as questões II e III estão corretas. 
Uma ameaça se concebe a partir de uma vulnerabilidade. Uma
Vulnerabilidade é uma fraqueza que pode ser também
considerada do ponto de vista tecnológico, do processo e das
pessoas.
0,5 / 0,5 ptsPergunta 19
Um incidente pode ser definido como?
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaças.
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 15/16
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
É uma avaliação detalhada do ambiente da instituição, verificando se o
ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
 Pode ser definido como a concretização de uma ameaça. 
Pode ser definido como a concretização de uma ameaça.
0,5 / 0,5 ptsPergunta 20
Uma vulnerabilidade pode ser definida como?
 
Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada
por uma ou mais ameaças.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 Pode ser definida como a concretização de uma ameaça. 
26/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 16/16
 
É uma reficação detalhada do ambiente da instituição, verificando se o
ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
Vulnerabilidade é uma fraqueza que pode ser também
considerada do ponto de vista tecnológico, dos processos e das
pessoas. Uma ameaça se concebe a partir de uma
vulnerabilidade.
Pontuação do teste: 8 de 10