Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão Assinale a opção correta acerca da análise de vulnerabilidades e riscos de segurança da informação, de acordo com a ABNT NBR ISO/IEC 27005. O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco. As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana. Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança. A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido. As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos Respondido em 27/05/2020 18:35:16 Explicação: O ativo que tem o maior risco de disponibilidade, ou seja, aquele que tem maior acessibilidade, por conseguinte é também aquele que tem a maior possibilidade de risco. 2a Questão Segundo a Norma ABNT NBR ISO/IEC 27002:2005 ¿ Código de Prática para a Gestão de Segurança da Informação, para cada um dos riscos identificados, seguindo a análise/avaliação de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. As alternativas abaixo apresentam possíveis opções para o tratamento do risco, exceto: Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco. Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos. Aplicar controles apropriados para reduzir os riscos. Identificar os riscos de segurança presentes. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. Respondido em 27/05/2020 18:35:18 Explicação: Identificar os riscos de segurança presentes.===> FALSO. Não só presentes como existentes em qualquer situação. Aplicar controles apropriados para reduzir os riscos.===> VERDADE Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da organização e aos critérios para a aceitação do risco.===> VERDADE Evitar riscos, não permitindo ações que poderiam causar a ocorrência de riscos.===> VERDADE Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores. ===> VERDADE 3a Questão Qual o nome do processo malicioso que tem o intuito de infectar uma ou várias máquinas e utilizá-las posteriormente como máquinas para destinar um ataque que seja o alvo do atacante ? Rootkit Spammer Phishing Bot/Botnet Spyware Respondido em 27/05/2020 18:26:16 4a Questão Qual das opções abaixo representa o tipo de Método utilizado para a análise e avaliação dos riscos onde são utilizados termos numéricos para os componentes associados ao risco. Método Qualitativo Método Numérico. Método Quantitativo Método Classificatório Método Exploratório. Respondido em 27/05/2020 18:35:22 5a Questão Você trabalha na área de gestão de risco da sua organização. Após a fase de análise de risco, você irá realizar a etapa de tratamento de risco através da implementação de controles que irão reduzir a probabilidade de ameaças se concretizarem, assim como a diminuição do grau de vulnerabilidade do ambiente de produção. Neste caso a medida de proteção implementada foi: Medidas de controles Medidas reativas Métodos detectivos Medidas corretivas Medidas preventivas Respondido em 27/05/2020 18:35:43 6a Questão Qual das opções abaixo descreve melhor conceito de ¿Risco¿ quando relacionado com a Segurança da Informação: Probabilidade de um incidente ocorrer mais vezes. Probabilidade de um ativo explorar uma ameaça. Probabilidade de um ativo explorar uma vulnerabilidade. Probabilidade de uma ameaça explorar um incidente. Probabilidade de uma ameaça explorar uma vulnerabilidade Respondido em 27/05/2020 18:28:11 7a Questão Em relação à análise de risco, analise as afirmativas abaixo: I-Essa análise não é de grande relevância para que as organizações decidam quais os riscos exigirão maior atenção e investimentos. II-Uma organização não gastará tempo e investimentos para solucionar riscos que possuem uma chance pequena de ocorrer ou que provocará danos mínimos a organização. III-Após a coleta das informações e da inserção no registrador de riscos, a próxima etapa será realizar a análise e identificação dos riscos com a finalidade de classificá-los. Assinale apenas a opção com afirmações corretas: Apenas II e III Apenas I e II I, II e III Apenas III Apenas I Respondido em 27/05/2020 18:31:20 Explicação: A afirmativa I é falsa 8a Questão Sobre a Gestão de Riscos, leia as afirmações e, a seguir, assinale a correta: I. O risco tem duas dimensões: a probabilidade de ocorrência e o impacto sobre o projeto. II. Dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado. III. A gestão de riscos só visa o monitoramento para detecção de ameaças. Somente a afirmação I está correta Somente as afirmações I e III estão corretas Somente as afirmações I e II estão corretas Somente a afirmação II está correta Somente a afirmação III está correta Respondido em 27/05/2020 18:28:55 Explicação: Em função do monitoramento contínuo do ambiente organizacional externo e interno, a gestão de riscos pode detectar oportunidades e determinar como aproveitá-las. Portanto, o foco é minimizar o impacto de potenciais eventos negativos e obter plena vantagem de oportunidades com vistas a melhoramentos. O risco tem duas dimensões: a probabilidade de sua ocorrência e o impacto sobre o projeto. Portanto, é necessário compreender dimensões para que se possa administrar o risco. Importante ressaltar que dificilmente as chances de um risco podem ser eliminadas totalmente sem que o projeto seja reformulado. 1a Questão Qual o nome do ataque que o objetivo de "forjar" uma página falsa de um site verdadeiro com o intuito de obter informações pessoais de usuários de sites da Internet ou site corporativo? Spyware Rootkit Backdoor Phishing Defacement Respondido em 27/05/2020 18:36:34 2a Questão É essencial determinar o propósito da gestão de riscos a ser implementada na organização, pois ele afeta o processo em geral e a definição do contexto em particular. Qual das opções abaixo não representa um destes propósitos? Preparação de um plano de respostas a incidentes. Descrição dos requisitos de segurança da informação para um produto. Preparação de um plano para aceitar todos os Riscos Preparação de um plano de continuidade de negócios. Conformidade Legal e a evidência da realização dos procedimentos corretos Respondido em 27/05/2020 18:45:27 3a Questão Em relação à avaliação de riscos, analise as afirmações abaixo: I-A primeira etapa do processo será de avaliar e dimensionar os riscos. II-Essa avaliação possui como foco determinar a extensão dos potenciais de ameaças e quais são os riscos associados. III-O resultado dessa análise não promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos. Assinale apenas a opção com afirmações corretas: Apenas II e III I , II e III Apenas I e II Apenas III Apenas I e III Respondido em 27/05/2020 18:45:09 Explicação: o certo será: III-O resultado dessa análise promoverá viabilidade a gestão de riscos e assim será possível identificar maneiras para controlar e/ou minimizar os riscos. 4a Questão O gerenciamentode riscos é um processo que tem como objetivo dar suporte à organização para realizar suas funções vitais, em relação ao gerenciamento de risco analise as afirmativas abaixo: I-A gestão de riscos, consiste em processos sistemáticos de identificação, análise e avaliação dos riscos e monitoramento dos riscos. II-É um processo que identifica, avalia, prioriza e enfrenta os riscos. As organizações devem utilizar essa gestão em processos contínuos. III-Uma empresa organizada e com boa gerencia, possui planos que estabelecem um enfretamento para os riscos antes que os eventos associados a eles ocorram. Assinale apenas a opção com afirmações corretas: Apenas III Apenas I e III Apenas I I, II e III Apenas II Respondido em 27/05/2020 18:45:05 Explicação: Todas são verdadeiras 5a Questão A segurança da informação deve ser vista como algo estratégico dentro da organização. E a organização deve saber como ela está exposta sobre riscos. Dessa forma, uma maneira da organização criar um plano de gestão voltado para riscos é criando um Plano de Gestão de Risco (PGI). O PGI é composto por 4 fases, quais são elas? Análise de impacto; Mapeamento de vulnerabilidades; Tratamento das vulnerabilidades; Comunicação do impacto Análise e avaliação do risco; Tratamento do risco; Aceitação do risco; Comunicação do risco Análise de risco, Análise de impacto; Aceitação de impacto; Comunicação do risco Mapeamento do risco; Analise de vulnerabilidades; Comunicação do risco e Aceitação do risco Mapeamento de ameaças; Mapeamento de ativos; Mapeamento de vulnerabilidades; Mapeamento de impacto Respondido em 27/05/2020 18:44:08 6a Questão Você trabalha na área de segurança da sua empresa e com objetivo de reduzir os riscos na área de Banco de Dados, pretende instalar dispositivos de autenticação de acesso físico, que será implementado através de dispositivo biométrico. Neste caso que tipo de barreira você está implementando? Detectar Deter Discriminar Dificultar Desencorajar Respondido em 27/05/2020 18:44:19 7a Questão Qual das opções abaixo não representa uma das etapas da Gestão de Risco: Identificar e avaliar os riscos. Verificar e analisar criticamente os riscos. Selecionar, implementar e operar controles para tratar os riscos. Manter e melhorar os controles Manter e melhorar os riscos identificados nos ativos Respondido em 27/05/2020 18:42:22 8a Questão Qual das opções abaixo não representa um benefício proveniente de uma Gestão de Risco: Eliminar os riscos completamente e não precisar mais tratá-los Melhorar a efetividade das decisões para controlar os riscos Entender os riscos associados ao negócio e a gestão da informação Manter a reputação e imagem da organização Melhorar a eficácia no controle de riscos 1a Questão Um grupo específico de medidas preventivas é chamado de barreiras de segurança, uma barreira corresponde a qualquer obstáculo para prevenir um ataque podendo ser física, lógica ou mesmo uma combinação de ambas. Neste sentido podemos definir a barreira "Deter": Esta barreira trata como importante se cercar de recursos que permitam identificar e gerir os acessos, definindo perfis e autorizando permissões. Esta barreira deve munir a solução de segurança de dispositivos que sinalizem, alertem e instrumentem os gestores da segurança na detecção de situações de risco. Esta é a primeira das barreiras de segurança e cumpre o papel importante de desencorajar as ameaças. Esta barreira representa o objetivo de impedir que a ameaça atinja os ativos que suportam o negócio. Esta barreira tem um sentido especial de representar a continuidade do processo de gestão de segurança da informação. Respondido em 27/05/2020 18:56:49 3a Questão Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco real; Risco tratado; Risco percebido; Risco residual; Risco verdadeiro; Respondido em 27/05/2020 19:02:37 4a Questão O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: I. Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados; II. Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio; III. Impossibilitar os gestores de equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio. Após a leitura, assinale a alternativa correta. Somente as afirmações I e III estão corretas Somente a II está correta Somente a I está correta Somente as afirmações I e II estão corretas Somente a III está correta Respondido em 27/05/2020 19:02:16 Explicação: O ciclo de vida do negócio, tendo em vista os aspectos de tecnologia, depende de um bom entendimento do processo de Gerenciamento de Riscos do Negócio. O estágio de ¿análise de requisitos e definição de estratégias¿ é responsável por definir como a organização reagirá a uma interrupção do negócio ou desastre e os custos associados. Esse estágio tem processos de avaliação de risco e análise de impacto no negócio, comuns do ciclo contínuo de gerenciamento de riscos. Portanto, o gerenciamento de riscos é um processo que tem como objetivo dar subsídios à organização para realizar sua missão institucional, de forma a: - Possibilitar a segurança efetiva dos sistemas de Tecnologias de Informação e Comunicação, responsáveis pelo processamento, armazenagem e transmissão de dados; - Criar uma base sólida para as tomadas de decisão, principalmente no que se relaciona com execução coerente do orçamento e no investimento em tecnologias necessárias para minimizar riscos de impacto ou potencial impacto para o negócio; - Permitir aos gestores equilibrarem seus custos de proteção e desempenho dos sistemas de informação vitais para o negócio. 5a Questão Tratando-se da segurança da informação, há diversos tipos de ataque, um deles afeta especificamente um dos três elementos da tríade da segurança da informação. Qual é o ataque? Spyware DoS/DDoS Adware Backdoor 0day Respondido em 27/05/2020 19:02:09 6a Questão Referente ao processo de Gestão de incidentes, quais é a sequência que compõem o processo de gestão de incidentes sequencialmente? Ameaça, impacto, incidente e recuperação Incidente, recuperação, impacto e ameaça Ameaça, incidente, impacto e recuperação Incidente, impacto, ameaça e recuperação Impacto, ameaça, incidente e recuperação Respondido em 27/05/2020 18:50:43 7a Questão Referente ao processo de Gestão de incidentes, qual é a sequência na ordem que compõem o processo de gestão de incidentes? Incidente, impacto, ameaça e recuperaçãoAmeaça, incidente, impacto e recuperação Incidente, recuperação, impacto e ameaça Ameaça, impacto, incidente e recuperação Impacto, ameaça, incidente e recuperação
Compartilhar