AV 27-04 INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO 1

Prévia do material em texto

Exercício: EEX0007_EX_A6_202003418889_V4 27/04/2020 
 
 
 1a Questão 
 
 
Em relaçãoà analise de risco, analise as afirmativas abaixo: 
I-Essa análise não é de grande relevância para que as organizações decidam quais os 
riscos exigirão maior atenção e investimentosuos. 
II-Uma organização não gastará tempo e investimentos para solucionar riscos que 
possuem uma chance pequena de ocorrer ou que provocará danos mínimos a 
organização. 
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa 
será realizar a análise e identificação dos riscos com a finalidade de classificá-los. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I e II 
 
Apenas I 
 
Apenas III 
 
I, II e III 
 Apenas II e III 
Respondido em 27/04/2020 17:16:55 
 
 
Explicação: 
A afirmativa I é falsa 
 
 
 2a Questão 
 
 
Qual o nome é "dado" para uma vulnerabilidade descoberta e não pública no momento da descoberta ? 
 
 0day 
 
Rootkit 
 
Spam 
 
Backdoor 
 
Adware 
Respondido em 27/04/2020 17:17:07 
 
 
 
 3a Questão 
 
 
Gerenciar riscos é um dos passos mais importantes no alcance da governança e da gestão de TI. Os riscos 
de operação dos serviços de TI estão diretamente relacionados às operações de negócios, e a mitigação 
destes riscos é fator crítico na gestão corporativa e de TI. Gerenciar os riscos de TI e de Segurança da 
Informação significa reconhecer as vulnerabilidades e ameaças do ambiente, avaliá-las e propor controles 
(soluções e ferramentas) que mitiguem os riscos aos níveis aceitáveis. Como podemos definir o método 
"quantitativo" na Análise e Avaliação dos Riscos: 
 
 A métrica é feita através de uma metodologia na qual tentamos quantificar em termos numéricos 
os componentes associados ao risco.O risco é representando em termos de possíveis perdas 
financeiras. 
 
Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, 
reduzi-lo ou impedir que se repita. 
 
Controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de 
vulnerabilidade do ambiente/ativo;sistema, reduzindo assim a probabilidade de um ataque e/ou 
sua capacidade de gerar efeitos adversos na organização. 
 
Os resultados dependem muito do conhecimento do profissional que atribuiu notas aos 
componentes do risco que foram levantados. 
 
Em vez de usarmos valores numéricos para estimar os componentes do risco, trabalhamos com 
menções mais subjetivas como alto, médio e baixo. 
Respondido em 27/04/2020 17:17:25 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
 
Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá 
realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a 
probabilidade de ameaças se concretizarem , assim como a diminuição do grau de vulnerabilidade do 
ambiente de produção. Neste caso a medida de proteção implementada foi: 
 
 
Medidas reativas 
 
Métodos detectivos 
 
Medidas de controles 
 
Medidas corretivas 
 Medidas preventivas 
Respondido em 27/04/2020 17:17:45 
 
 
 
 5a Questão 
 
 
Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da 
Informação: 
 
 
Probabilidade de um incidente ocorrer mais vezes. 
 
Probabilidade de uma ameaça explorar um incidente. 
 
Probabilidade de um ativo explorar uma vulnerabilidade. 
 Probabilidade de uma ameaça explorar uma vulnerabilidade 
 
Probabilidade de um ativo explorar uma ameaça. 
Respondido em 27/04/2020 17:17:42 
 
 
 
 6a Questão 
 
 
Qual das opções abaixo Não representa um benefício proveniente de uma Gestão de Risco: 
 
 
Melhorar a eficácia no controle de riscos 
 
Melhorar a efetividade das decisões para controlar os riscos 
 Eliminar os riscos completamente e não precisar mais tratá-los 
 
Entender os riscos associados ao negócio e a gestão da informação 
 
Manter a reputação e imagem da organização 
Respondido em 27/04/2020 17:18:49 
 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
 
A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização 
deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano 
de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, 
quais são elas? 
 
 
Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; 
Mapeamento de impacto 
 Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco 
 
Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco 
 
Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco 
 
Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; 
Comunicação do impacto 
Respondido em 27/04/2020 17:18:12 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
 
Qual das opções abaixo descreve melhor conceito de "Ameaça" quando relacionado com a Segurança da 
Informação: 
 
 
Tudo aquilo que tem a necessidade de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem percepção de causar algum tipo de dano aos ativos 
 
Tudo aquilo que tem origem para causar algum tipo de erro nos ativos 
 
Tudo aquilo que tem potencial de causar algum tipo de falha aos incidentes. 
 Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos