AVALIAÇÃO GERAL Continuidade dos negócios

Prévia do material em texto

Pontuação desta tentativa: 9 de 10
Enviado 22 mar em 22:35
Esta tentativa levou 65 minutos.
 
Pergunta 1
0,5 / 0,5 pts
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
 São processos opcionais para a implementação de uma política de segurança. 
 São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente. 
 São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização. 
 Não têm relação com análise de risco. 
 São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética. 
A segurança da informação tem sua maturidade ou grau elevado a partir da combinação dos vários processos coligados. Assim, se um processo for implementado de forma isolada, pode até promover alguma melhoria, mas a partir da ótica do negócio seria uma ação pouco eficiente.
 
Incorreta
Pergunta 2
0 / 0,5 pts
Fazer análise e gerenciamento de risco
 Não é possível se não houver análise de vulnerabilidade. 
 Sustenta o processo de análise de impacto. 
 É fundamental para a política de segurança. 
 É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. 
 Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN). 
Alguns processos de segurança da informação dependem da execução de outros processos. Um bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um gerenciamento de risco.
 
Pergunta 3
0,5 / 0,5 pts
A seguinte equação:
Ameaça x vulnerabilidade x valor do ativo = risco
 É sugerida pela ISO 27037 para definir risco. 
 Qualifica um tipo de risco em relação ao seu grau de prioridade. 
 Consolida o valor da ameaça. 
 Não tem relação com a análise de risco. 
 Pode ser utilizada para representar o que é risco. 
Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor do ativo.
 
Pergunta 4
0,5 / 0,5 pts
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
 É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades. 
 É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes. 
 Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio. 
 É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização. 
 Não é relevante para a gestão organizacional. 
Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o nível de risco que foi definido como aceitável para o negócio.
 
Pergunta 5
0,5 / 0,5 pts
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação?
 Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. 
 Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação. 
 Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. 
 Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada. 
 Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos. 
Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002.
 
Pergunta 6
0,5 / 0,5 pts
Qual é a sigla para a métrica de valor do ativo?
 ALE. 
 AV. 
 SLE. 
 EF. 
 ARO. 
Definição do valor do ativo.
 
Pergunta 7
0,5 / 0,5 pts
Assinale a alternativa que apresenta uma metodologia de análise de risco qualitativa:
 ALE. 
 OWASP. 
 Matriz de GUT. 
 SLE. 
 Análise de vulnerabilidade. 
A matriz de GUT é uma metodologia que vem da Administração e que pode ser usada para qualificar riscos.
 
Pergunta 8
0,5 / 0,5 pts
Como se calcula o Single Loss Expectancy (SLE)?
 AV x EF. 
 EF x ARO. 
 SLE x ARO. 
 ARO x AV. 
 SLE x EF. 
O valor do SLE pode ser definido a partir do produto de Asset Value (AV) por Exposure Factor (EF).
 
Pergunta 9
0,5 / 0,5 pts
Qual é a sigla para a métrica de expectativa de perda única?
 ALE. 
 AV. 
 SLE. 
 ARO. 
 EF. 
É uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco.
 
Não respondida
Pergunta 10
0 / 0,5 pts
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE?
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. 
 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 
Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00.
 
Pergunta 11
0,5 / 0,5 pts
Qual padrão de backup-site tem o menor tempo de RPO, mas, consequentemente, apresenta o maior custo?
 Warm. 
 Red. 
 Hot. 
 Cold. 
 Cold. 
A arquitetura de um backup-site é baseada em tecnologia de tempo de resposta mínimo, dessa forma, o RPO tende a ser o menor possível; consequentemente, porém, o custo desse tipo de backup-site é mais elevado.
 
Pergunta 12
0,5 / 0,5 pts
Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio?
 PCN. 
 BIA. 
 ROSI. 
 ALE. 
 ROI 
Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas de negócio da empresa.
 
Pergunta 13
0,5 / 0,5 pts
Qual é o propósito da notificação de incidentes de segurança da informação?
 Direcionar as atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela alta gestão. 
 Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. 
 Garantir que as mudanças aconteçam de forma planejada e controlada dentro das organizações. 
 Notificar os fornecedores sobre falhas na operação. 
 Assegurar que fragilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. 
Processo que deve ser definido como parte da gestão de incidentes, formalizando o canal correto para notificação, a fim de que seja de conhecimento de todos os colaboradores.
 
Pergunta 14
0,5 / 0,5 pts
Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)?
 ALE. 
 TCO. 
 ROSI. 
 ROI. 
 PCN. 
Plano de Continuidade de Negócios (PCN) édefinido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração.
 
Pergunta 15
0,5 / 0,5 pts
Quais são, NA ORDEM DE OCORRÊNCIA, as quatro etapas do ciclo de vida do incidente de segurança da informação?
 Ameaça, dano, incidente, recuperação. 
 Ameaça, incidente, dano, recuperação. 
 Incidente, recuperação, dano, ameaça. 
 Incidente, dano, ameaça, recuperação. 
 Incidente, ameaça, dano, recuperação. 
Classicamente: ameaça, incidente, dano e recuperação são as quatro etapas de vida de um incidente de segurança.
 
Pergunta 16
0,5 / 0,5 pts
Sobre um incidente de segurança, pode-se considerar que é um incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
Está correto apenas o que se afirma em:
 I, II e III. 
 II e III. 
 I. 
 I e II. 
 III. 
É evento relacionado à segurança que venha gerar um impacto é considerado um evento.
 
Pergunta 17
0,5 / 0,5 pts
Uma vulnerabilidade pode ser definida como?
 Pode ser definida como a concretização de uma ameaça. 
 É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. 
 É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. 
 É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. 
Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, dos processos e das pessoas. Uma ameaça se concebe a partir de uma vulnerabilidade.
 
Pergunta 18
0,5 / 0,5 pts
Como pode ser definido o processo de Análise de Vulnerabilidade?
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. 
 Pode ser definido como a concretização de uma ameaça. 
 É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. 
 É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. 
 É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. 
Essa visão de Análise de Vulnerabilidade não se deve limitar ao contexto tecnológico, deve-se considerar também processos e pessoas.
 
Pergunta 19
0,5 / 0,5 pts
O que é um Impacto?
 Furto de um ativo tangível. 
 É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade. 
 É uma mudança adversa no nível obtido dos objetivos de negócio. 
 É o uso de uma ameaça para conceber uma vulnerabilidade. 
 É uma fraqueza que quando explorada gera uma vulnerabilidade. 
Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a partir da exploração de uma vulnerabilidade. Digite aqui
 
Pergunta 20
0,5 / 0,5 pts
I - Ameaça é um possível evento que pode comprometer a confiabilidade de informação;
II - Uma ameaça de origem humana pode ser intencional e não intencional;
III - Existem ameaças de origem não humana;
IV - Não existe relação direta entre ameaça e incidente.
Sobre as proposições citadas, pode se afirmar que:
 Nenhumas das respostas anteriores. 
 A afirmativa IV está correta. 
 Somente as questões II e III estão corretas. 
 Somente a afirmativa I é certa. 
 As afirmativas I, II, III estão corretas. 
Uma ameaça se concebe a partir de uma vulnerabilidade. Uma Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, do processo e das pessoas.
Pontuação do teste: 9 de 10