Aula 6 - Teste - GESTÃO DE RISCOS EM SEGURANÇA DA INFORMAÇÃO

Prévia do material em texto

1a Questão
	
	
	
	
	Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005.
		
	 
	O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.
	
	As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.
	
	Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.
	
	A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.
	
	As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos
	Respondido em 27/05/2020 18:35:16
	
Explicação:
O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco.
	
	
	 
	
	 2a Questão
	
	
	
	
	Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto:
		
	
	Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.
	
	Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.
	
	Aplicar controles apropriados para reduzir os riscos.
	 
	Identificar os riscos de segurança presentes.
	
	Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
	Respondido em 27/05/2020 18:35:18
	
Explicação:
Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação.
Aplicar controles apropriados para reduzir os riscos.===> VERDADE
Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE
Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE
Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE
 
	
	
	 3a Questão
	
	
	
	
	Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ?
		
	
	Rootkit
	
	Spammer
	
	Phishing
	 
	Bot/Botnet
	
	Spyware
	Respondido em 27/05/2020 18:26:16
	 
	
	 4a Questão
	
	
	
	
	Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco.
		
	
	Método Qualitativo
	
	Método Numérico.
	 
	Método Quantitativo
	
	Método Classificatório
	
	Método Exploratório.
	Respondido em 27/05/2020 18:35:22
	
	
	 
	
	 5a Questão
	
	
	
	
	Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem, assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi:
		
	
	Medidas de controles
	
	Medidas reativas
	
	Métodos detectivos
	
	Medidas corretivas
	 
	Medidas preventivas
	Respondido em 27/05/2020 18:35:43
	
	
	 
	
	 6a Questão
	
	
	
	
	Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação:
		
	
	Probabilidade de um incidente ocorrer mais vezes.
	
	Probabilidade de um ativo explorar uma ameaça.
	
	Probabilidade de um ativo explorar uma vulnerabilidade.
	
	Probabilidade de uma ameaça explorar um incidente.
	 
	Probabilidade de uma ameaça explorar uma vulnerabilidade
	Respondido em 27/05/2020 18:28:11
	
	
	 
	
	 7a Questão
	
	
	
	
	Em relação à análise de risco, analise as afirmativas abaixo:
I-Essa análise não é de grande relevância para que as organizações decidam quais os riscos exigirão maior atenção e investimentos.     
II-Uma organização não gastará tempo e investimentos para solucionar riscos que possuem uma chance pequena de ocorrer ou que provocará danos mínimos a organização.
III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa será realizar a análise e identificação dos riscos com a finalidade de classificá-los.
 
Assinale apenas a opção com afirmações corretas:
		
	 
	Apenas II e III
	
	Apenas I e II
	
	I, II e III
	
	Apenas III
	
	Apenas I
	Respondido em 27/05/2020 18:31:20
	
Explicação:
A afirmativa I é falsa
	
	
	 
	
	 8a Questão
	
	
	
	
	Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta:
I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto.
II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado.
III. A gestão de riscos só visa o monitoramento para detecção de ameaças.
		
	
	Somente a afirmação I está correta
	
	Somente as afirmações I e III estão corretas
	 
	Somente as afirmações I e II estão corretas
	
	Somente a afirmação II está correta
	
	Somente a afirmação III está correta
	Respondido em 27/05/2020 18:28:55
	
Explicação:
Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos pode detectar oportunidades e determinar como aproveitá-las. Portanto, o foco é minimizar o impacto de potenciais eventos negativos e obter plena vantagem de oportunidades com vistas a melhoramentos. O risco tem duas dimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é necessário compreender dimensões para que se possa administrar o risco. Importante ressaltar que dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado.
	1a Questão
	
	
	
	Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo?
		
	
	Spyware
	
	Rootkit
	
	Backdoor
	 
	Phishing
	
	Defacement
	Respondido em 27/05/2020 18:36:34
	
	
	
	 2a Questão
	
	
	
	
	É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo não representa um destes propósitos?
		
	
	Preparação de um plano de respostas a incidentes.
	
	Descrição dos requisitos de segurança da informação para um produto.
	 
	Preparação de um plano para aceitar todos os Riscos
	
	Preparação de um plano de continuidade de negócios.
	
	Conformidade Legal e a evidência da realização dos procedimentos corretos
	Respondido em 27/05/2020 18:45:27
	
	
	 3a Questão
	
	
	
	
	Em relação à avaliação de riscos, analise as afirmações abaixo:
I-A primeira etapa do processo será de avaliar e dimensionar os riscos.
II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados.
III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
 
Assinale apenas a opção com afirmações corretas:
		
	
	Apenas II e III
	
	I , II e III
	 
	Apenas I e II
	
	Apenas III
	
	Apenas I e III
	Respondido em 27/05/2020 18:45:09
	
Explicação:
o certo será:
III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos.
	
	
	 
	
	 4a Questão
	
	
	
	
	O gerenciamentode riscos é um processo que tem como objetivo dar suporte à organização para realizar suas funções vitais, em relação ao gerenciamento de risco analise as afirmativas abaixo:
I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e avaliação dos riscos e monitoramento dos riscos.
II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações devem utilizar essa gestão em processos contínuos.    
III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um enfretamento para os riscos antes que os eventos associados a eles ocorram.
 
Assinale apenas a opção com afirmações corretas:
		
	
	Apenas III
	
	Apenas I e III
	
	Apenas I
	 
	I, II e III
	
	Apenas II
	Respondido em 27/05/2020 18:45:05
	
Explicação:
Todas são verdadeiras
	
	
	 
	
	 5a Questão
	
	
	
	
	A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas?
		
	
	Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto
	 
	Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco
	
	Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco
	
	Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco
	
	Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto
	Respondido em 27/05/2020 18:44:08
	
	 
	
	 6a Questão
	
	
	
	
	Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando?
		
	
	Detectar
	
	Deter
	
	Discriminar
	 
	Dificultar
	
	Desencorajar
	Respondido em 27/05/2020 18:44:19
	
	
	 
	
	 7a Questão
	
	
	
	
	Qual das opções abaixo não representa uma das etapas da Gestão de Risco:
		
	
	Identificar e avaliar os riscos.
	
	Verificar e analisar criticamente os riscos.
	
	Selecionar, implementar e operar controles para tratar os riscos.
	
	Manter e melhorar os controles
	 
	Manter e melhorar os riscos identificados nos ativos
	Respondido em 27/05/2020 18:42:22
	
	
	 8a Questão
	
	
	
	
	Qual das opções abaixo não representa um benefício proveniente de uma Gestão de Risco:
		
	 
	Eliminar os riscos completamente e não precisar mais tratá-los
	
	Melhorar a efetividade das decisões para controlar os riscos
	
	Entender os riscos associados ao negócio e a gestão da informação
	
	Manter a reputação e imagem da organização
	
	Melhorar a eficácia no controle de riscos
	
	 1a Questão
	
	
	
	
	Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter":
		
	
	Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões.
	
	Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco.
	
	Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças.
	 
	Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio.
	
	Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação.
	Respondido em 27/05/2020 18:56:49
	 3a Questão
	
	
	
	Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco:
		
	
	Risco real;
	
	Risco tratado;
	
	Risco percebido;
	 
	Risco residual;
	
	Risco verdadeiro;
	Respondido em 27/05/2020 19:02:37
	
	
	 
	
	 4a Questão
	
	
	
	
	O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a:
I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados;
II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio;
III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio.
Após a leitura, assinale a alternativa correta.
		
	
	Somente as afirmações I e III estão corretas
	
	Somente a II está correta
	
	Somente a I está correta
	 
	Somente as afirmações I e II estão corretas
	
	Somente a III está correta
	Respondido em 27/05/2020 19:02:16
	
Explicação:
O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a:
- Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados;
- Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio;
- Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio.
	
	
	 
	
	 5a Questão
	
	
	
	
	Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque?
		
	
	Spyware
	 
	DoS/DDoS
	
	Adware
	
	Backdoor
	
	0day
	Respondido em 27/05/2020 19:02:09
	
	
	 6a Questão
	
	
	
	
	Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente?
		
	
	Ameaça, impacto, incidente e recuperação
	
	Incidente, recuperação, impacto e ameaça
	 
	Ameaça, incidente, impacto e recuperação
	
	Incidente, impacto, ameaça e recuperação
	
	Impacto, ameaça, incidente e recuperação
	Respondido em 27/05/2020 18:50:43
	
	
	 7a Questão
	
	
	
	
	Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes?
		
	
	Incidente, impacto, ameaça e recuperaçãoAmeaça, incidente, impacto e recuperação
	
	Incidente, recuperação, impacto e ameaça
	
	Ameaça, impacto, incidente e recuperação
	
	Impacto, ameaça, incidente e recuperação