AVALIACAO CONTINUIDADE DE NEGOCIOS

Prévia do material em texto

1-
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação?
  
Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos.
 
  
Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação.
 
  
Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp.
 
  
Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas.
 
Correto!
  
Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada.
Pergunta 2
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
  
Não é relevante para a gestão organizacional.
 
  
É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização.
 
  
É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades.
 
Correto!
  
Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio.
 
  
É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes.
 
Pergunta 3
0 / 0,5 pts
Considere as seguintes afirmativas:
I A análise de risco é uma ferramenta importante para possibilitar ao especialista de segurança da informação realizar o gerenciamento de riscos.
II O processo de análise de risco é fundamental para a realização de outros processos de segurança da informação, tais como BIA, PCN e PRD.
III O devido investimento em tecnologias para segurança, como firewall, IDS, antivírus etc.,
bastam para garantir a segurança.
É VERDADEIRO o que se afirmar em
Resposta correta
  
I e II, apenas.
 
  
I, II e III.
 
  
II, apenas.
 
  
I, apenas.
 
Você respondeu
  
I e III, apenas.
 
Pergunta 4
0 / 0,5 pts
Considere as seguintes afirmativas:
I A análise de risco deve ser realizada sempre antecedendo a um investimento.
II O processo de análise de risco deve ser conduzido por um especialista em risco, mas também com expertise para entender o negócio.
III O processo de análise de risco está vinculado exclusivamente à ameaça não humana.
É VERDADEIRO o que se afirmar em
  
I, II e III.
 
  
I e III, apenas.
 
  
I, apenas.
 
  
I e II, apenas.
 
Você respondeu
  
II, apenas.
 
Pergunta 5
0,5 / 0,5 pts
Norma é
  
Um documento que define a política de segurança da empresa, estabelecendo as regras que deverão ser seguidas pelos colaboradores e fornecedores da organização.
 
Correto!
  
Um documento que fornece recomendações para a gestão da segurança da informação, sugerindo controles importantes que devem ser implementados.
 
  
A construção de processos que ajudam gestores na tomada de decisão para a aquisição de tecnologias.
 
  
Uma metodologia que define a forma como a corporação deve adquirir e implementar determinada tecnologia.
 
  
Qualquer documento de boa prática que sugere procedimentos para organizar ações dentro de uma organização.
 
Pergunta 6
0 / 0,5 pts
Qual é a sigla para a métrica de valor do ativo?
Você respondeu
  
SLE.
 
  
ALE.
 
  
AV.
 
  
ARO.
 
  
EF.
 
Pergunta 7
0,5 / 0,5 pts
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE?
  
100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00.
 
Correto!
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00.
 
  
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00.
 
Pergunta 8
0,5 / 0,5 pts
Qual é a sigla para a métrica de fator de exposição?
  
SLE.
 
  
ARO.
 
  
ALE.
 
Correto!
  
EF.
 
  
AV.
 
Pergunta 9
Qual é a sigla para a métrica de expectativa de perda anual?
  
AV.
 
  
EF.
 
  
ALE.
 
Você respondeu
  
ARO.
 
  
SLE.
 
Pergunta 10
0,5 / 0,5 pts
Como se calcula o Single Loss Expectancy (SLE)?
Correto!
  
AV x EF.
 
  
SLE x EF.
 
  
EF x ARO.
 
  
ARO x AV.
 
  
SLE x ARO.
 
Pergunta 11
0,5 / 0,5 pts
Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente?
  
Preventivas.
 
Correto!
  
Corretivas.
 
  
Repressivas.
 
  
Adivinhativas.
 
  
Detectivas.
 
Pergunta 12
0,5 / 0,5 pts
Assinale a alternativa que apresenta o termo atribuído a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores:
  
Risco.
 
  
Acaso.
 
Correto!
  
Incidente de segurança.
 
  
Dano.
 
  
Política de segurança.
 
Pergunta 13
Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio?
  
ROSI.
 
  
BIA.
 
  
ALE.
 
Você respondeu
  
PCN.
 
  
ROI
 
Pergunta 14
0 / 0,5 pts
Qual é o propósito da notificação de incidentes de segurança da informação?
  
Notificar os fornecedores sobre falhas na operação.
 
  
Assegurar que fragilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
 
  
Garantir que as mudanças aconteçam de forma planejada e controlada dentro das organizações.
 
  
Direcionar as atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela alta gestão.
 
Você respondeu
  
Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes.
 
Pergunta 15
0,5 / 0,5 pts
É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é
  
ROSI.
 
  
ALE.
 
  
ROI.
 
  
TCO.
 
Correto!
  
PCN.
 
Pergunta 16
0,5 / 0,5 pts
O que é um Impacto?
  
É uma fraqueza que quando explorada gera uma vulnerabilidade.
 
  
É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade.
 
  
É o uso de uma ameaça para conceber uma vulnerabilidade.
 
  
Furto de um ativo tangível.
 
Correto!
  
É uma mudança adversa no nível obtido dos objetivos de negócio.
 
Pergunta 17
0 / 0,5 pts
Como pode ser definido o processo de Análise de Vulnerabilidade?
Você respondeu
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças.
 
  
Pode ser definido como a concretização de uma ameaça.
 
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
Pergunta 18
0,5 / 0,5 pts
I - Danos são consequências de um incidente e podem ser diretos e indiretos;
II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados durante o lapso de tempo logo depois de um incidente;
III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um incidente.
Sobre o conceito de Dano, está correto apenas o que se afirma em:
  
III.
 
  
II e III.
 
  
I.
 
Correto!
  
I, II e III.
 
  
I e II.
 
Pergunta 19
0 / 0,5 pts
Considerandoo conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”?
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
Você respondeu
  
Pode ser definido como a concretização de uma ameaça.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
 
Pergunta 20
0 / 0,5 pts
Considerando o conceito de Vulnerabilidade, como se pode definir “Grau de exposição”?
Você respondeu
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças.
 
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
Pode ser definido como a concretização de uma ameaça.
 
Resposta correta
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
Pergunta 2/2
Sobre o risco, é CORRETO afirmar que
Você respondeu
  
Pode ser eliminado com a aquisição de tecnologia para segurança da informação.
 
  
Qualitativas e avaliativas.
 
  
Qualitativas e quantitativas.
 
  
Quantitativas e avaliativas.
 
  
Construtivas e qualitativas.
 
Pergunta 3/2
0 / 0,5 pts
Fazer análise e gerenciamento de risco
Você respondeu
  
É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia.
 
  
É fundamental para a política de segurança.
 
  
Não é possível se não houver análise de vulnerabilidade.
 
  
Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN).
 
  
Sustenta o processo de análise de impacto.
 
Pergunta 5/2
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
  
São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente.
 
  
São processos opcionais para a implementação de uma política de segurança.
 
  
Não têm relação com análise de risco.
 
Você respondeu
  
São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética.
 
  
São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização.
Pergunta 8/2
Qual é a sigla para a métrica de taxa de ocorrência anual?
  
EF.
 
  
ARO
 
  
AV.
 
  
SLE.
 
Você respondeu
  
ALE.
 
Pergunta 10/2
0 / 0,5 pts
Qual é a sigla para a métrica de expectativa de perda única?
  
ARO.
 
  
EF.
 
  
SLE.
 
Você respondeu
  
AV.
 
  
ALE.
 
Pergunta 11/2
0,5 / 0,5 pts
Quais são, NA ORDEM DE OCORRÊNCIA, as quatro etapas do ciclo de vida do incidente de segurança da informação?
Correto!
  
Ameaça, incidente, dano, recuperação.
 
  
Ameaça, dano, incidente, recuperação.
 
  
Incidente, recuperação, dano, ameaça.
 
  
Incidente, dano, ameaça, recuperação.
 
  
Incidente, ameaça, dano, recuperação.
 
Pergunta 13/2
Considere as seguintes afirmativas sobre o Plano de Continuidade de Negócio (PCN):
I Responde a um desastre pré-definido.
II Tem a capacidade de responder a todo e qualquer desastre.
III Recomenda-se que durante a elaboração de um PCN seja considerado o conceito do "pior cenário possível".
É VERDADEIRO o que se afirma em
  
II e III, apenas.
 
  
III, apenas.
 
  
I, II e III.
 
  
I e III, apenas.
 
Você respondeu
  
I e II, apenas.
 
Pergunta 14/2
Qual padrão de backup-site tem o menor tempo de RPO, mas, consequentemente, apresenta o maior custo?
Correto!
  
Hot.
 
  
Warm.
 
  
Red.
 
  
Cold.
 
  
Cold.
 
Pergunta 15/2
BIA é a sigla em inglês para o processo de Business
  
Intelligence Analytic.
 
Você respondeu
  
Impact Analytic.
 
  
Intelligence Analysis.
 
  
Impact Advanced.
 
  
Impact Analysis.
 
Pergunta 16/2
O que é um Impacto?
Correto!
  
É uma mudança adversa no nível obtido dos objetivos de negócio.
 
  
É uma fraqueza que quando explorada gera uma vulnerabilidade.
 
  
É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade.
 
  
Furto de um ativo tangível.
 
  
É o uso de uma ameaça para conceber uma vulnerabilidade.
 
Pergunta 17/2
I - Danos são consequências de um incidente e podem ser diretos e indiretos;
II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados durante o lapso de tempo logo depois de um incidente;
III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um incidente.
Sobre o conceito de Dano, está correto apenas o que se afirma em:
  
II e III.
 
  
I e II.
 
  
III.
 
  
I.
 
Correto!
  
I, II e III.
 
Pergunta 18
Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”?
Correto!
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
Pode ser definido como a concretização de uma ameaça.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
 
  
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 Pergunta 19/2
Um incidente pode ser definido como?
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
 
  
É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
Correto!
  
Pode ser definido como a concretização de uma ameaça.
 
Pergunta 20/2
Uma vulnerabilidade pode ser definida como?
Você respondeu
  
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
 
  
É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
 
  
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
 
  
Pode ser definida como a concretização de uma ameaça.
 
  
Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças.