Avaliação Geral da Disciplina_ CONTINUIDADE DE NEGÓCIOS

Prévia do material em texto

27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 1/15
Avaliação Geral da Disciplina
Entrega Sem prazo Pontos 10 Perguntas 20
Disponível 20 mar em 0:00 - 1 abr em 1:00 12 dias Limite de tempo Nenhum
Tentativas permitidas 3
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 28 minutos 9 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 9 de 10
Enviado 27 mar em 16:37
Esta tentativa levou 28 minutos.
Fazer o teste novamente
0,5 / 0,5 ptsPergunta 1
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
 
Pode ser definido como um processo destinado a desenvolver opções
e determinar ações para aumentar as oportunidades a fim de reduzir
as ameaças aos objetivos do projeto e/ou negócio.
 
É o processo definido por medidas de segurança que são tomadas a
fim de que as ameaças sejam eliminadas de forma que não ocorram
incidentes.
 
É um processo definido para realizar a avaliação de impactos que
podem ocorrer em uma organização.
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=1
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/take?user_id=27241
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 2/15
 
É o processo de monitoramento e controle de riscos baseado no
resultado da análise de vulnerabilidades.
 Não é relevante para a gestão organizacional. 
Trata-se de um planejamento de resposta a riscos que tem como
principal meta ajudar a alcançar o nível de risco que foi definido
como aceitável para o negócio.
0,5 / 0,5 ptsPergunta 2
Considere as seguintes afirmativas:
I A análise de risco deve ser realizada sempre antecedendo a um
investimento.
II O processo de análise de risco deve ser conduzido por um especialista
em risco, mas também com expertise para entender o negócio.
III O processo de análise de risco está vinculado exclusivamente à
ameaça não humana.
É VERDADEIRO o que se afirmar em
 I e II, apenas. 
 II, apenas. 
 I, apenas. 
 I, II e III. 
 I e III, apenas. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 3/15
A análise de risco deve ser realizada sempre antecedendo a um
investimento, tendo uma visão atrelada ao negócio para que seja
possível mapear riscos de forma correta.
0,5 / 0,5 ptsPergunta 3
Sobre o risco, é CORRETO afirmar que
 Construtivas e qualitativas. 
 Qualitativas e quantitativas. 
 
Pode ser eliminado com a aquisição de tecnologia para segurança da
informação.
 Quantitativas e avaliativas. 
 Qualitativas e avaliativas. 
A análise de risco é executada utilizando metodologias
qualitativas, que possibilitam uma visão de criticidade de risco; e
metodologias quantitativas, que possibilitam mensurar
monetariamente o risco.
0,5 / 0,5 ptsPergunta 4
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 4/15
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
 
São processos importantes e que, se isolados, podem representar
poucos avanços; mas se devidamente combinados, podem apontar o
caminho a seguir, sustentando tomadas de decisão para elevar o grau
de segurança da informação de uma organização.
 Não têm relação com análise de risco. 
 
São processos importantes para a gestão de vulnerabilidades em uma
organização, possibilitando a tomada de decisão exclusiva na
aquisição de tecnologias para segurança cibernética.
 
São partes importantes do processo de segurança de redes de uma
organização, mas cada processo citado é independente.
 
São processos opcionais para a implementação de uma política de
segurança.
A segurança da informação tem sua maturidade ou grau elevado
a partir da combinação dos vários processos coligados. Assim,
se um processo for implementado de forma isolada, pode até
promover alguma melhoria, mas a partir da ótica do negócio
seria uma ação pouco eficiente.
0 / 0,5 ptsPergunta 5IncorretaIncorreta
Norma é
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 5/15
 
A construção de processos que ajudam gestores na tomada de
decisão para a aquisição de tecnologias.
 
Um documento que fornece recomendações para a gestão da
segurança da informação, sugerindo controles importantes que devem
ser implementados.
 
Qualquer documento de boa prática que sugere procedimentos para
organizar ações dentro de uma organização.
 
Um documento que define a política de segurança da empresa,
estabelecendo as regras que deverão ser seguidas pelos
colaboradores e fornecedores da organização.
 
Uma metodologia que define a forma como a corporação deve adquirir
e implementar determinada tecnologia.
Além do fato de uma norma ser elaborada a partir de conselho de
profissionais dentro de um processo rígido para a sua validação;
em muitos casos, tem tanta qualidade que acaba recebendo
aceitação internacional, o que ratifica ainda mais seu valor.
0,5 / 0,5 ptsPergunta 6
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook
no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para
cada colaborador. Posteriormente, em uma apuração foi identificado
que foram roubados 12 notebooks no último ano, o que, em média,
corresponde à ocorrência de 1 notebook roubado por mês.
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 6/15
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE,
RESPECTIVAMENTE?
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 
 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 
Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse
contexto, de 100%; consequentemente, o valor de SLE também
será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o
valor de ALE será de R$ 48.000,00.
0,5 / 0,5 ptsPergunta 7
Qual é a sigla para a métrica de expectativa de perda única?
 ALE. 
 SLE. 
 EF. 
 AV. 
 ARO. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 7/15
É uma métrica quantitativa para mensurar o valor de perda
motivado por um determinado risco.
0,5 / 0,5 ptsPergunta 8
Qual é a sigla para a métrica de fator de exposição?
 AV. 
 ALE. 
 ARO. 
 EF. 
 SLE. 
Métrica percentual que define o fator de exposição de um ativo.
0,5 / 0,5 ptsPergunta 9
Qual é a sigla para a métrica de taxa de ocorrência anual?
 ARO 
 EF. 
 ALE. 
 AV. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 8/15
 SLE. 
Sigla que define a métrica de taxa de ocorrência anual.
0,5 / 0,5 ptsPergunta 10
Como se calcula o Annualized Loss Expectancy (ALE)?
 ARO x AV. 
 SLE x EF. 
 AV x EF. 
 EF x ARO. 
 SLE x ARO. 
O valor do ALE pode ser definido a partir do produto de Single
Loss Expectancy (SLE) por Annualized Rate of Occurrence
(ARO).
0,5 / 0,5 ptsPergunta 11
BIA é a sigla em inglês para o processo de Business
 Impact Analytic. 
 Intelligence Analysis. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 9/15
 Impact Analysis. 
 Impact Advanced. 
 Intelligence Analytic. 
BIA é a sigla em inglês para Business Impact Analysis, ou seja,
processo de análise de impacto de negócio.0,5 / 0,5 ptsPergunta 12
Qual é o propósito da notificação de incidentes de segurança da
informação?
 
Garantir que as mudanças aconteçam de forma planejada e
controlada dentro das organizações.
 
Prover uma orientação e apoio da direção para a segurança da
informação, de acordo com os requisitos do negócio e com as leis e
regulamentações pertinentes.
 Notificar os fornecedores sobre falhas na operação. 
 
Assegurar que fragilidades e eventos de segurança da informação
sejam comunicados, permitindo a tomada de ação corretiva em tempo
hábil.
 
Direcionar as atitudes dos colaboradores para que estejam em
conformidade com a conduta esperada pela alta gestão.
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 10/15
Processo que deve ser definido como parte da gestão de
incidentes, formalizando o canal correto para notificação, a fim de
que seja de conhecimento de todos os colaboradores.
0 / 0,5 ptsPergunta 13IncorretaIncorreta
Considere as seguintes afirmativas sobre o Plano de Continuidade de
Negócio (PCN):
I Responde a um desastre pré-definido.
II Tem a capacidade de responder a todo e qualquer desastre.
III Recomenda-se que durante a elaboração de um PCN seja
considerado o conceito do "pior cenário possível".
É VERDADEIRO o que se afirma em
 I, II e III. 
 I e III, apenas. 
 II e III, apenas. 
 III, apenas. 
 I e II, apenas. 
PCN é definido a partir da possibilidade de impacto/desastre
previamente mapeado, ou seja, a conceituação de um PCN é
específica e deve-se considerar sempre o “pior cenário possível”
em sua elaboração.
0,5 / 0,5 ptsPergunta 14
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 11/15
Qual padrão de backup-site tem o menor tempo de RPO, mas,
consequentemente, apresenta o maior custo?
 Cold. 
 Red. 
 Hot. 
 Cold. 
 Warm. 
A arquitetura de um backup-site é baseada em tecnologia de
tempo de resposta mínimo, dessa forma, o RPO tende a ser o
menor possível; consequentemente, porém, o custo desse tipo de
backup-site é mais elevado.
0,5 / 0,5 ptsPergunta 15
Qual é o processo que deve ser implementado para mitigar o impacto
de risco previamente mapeado pelo processo de análise de risco e
devidamente avaliado no processo de Análise de Impacto ao Negócio
(BIA)?
 ALE. 
 ROSI. 
 TCO. 
 PCN. 
 ROI. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 12/15
Plano de Continuidade de Negócios (PCN) é definido a partir da
possibilidade de impacto/desastre previamente mapeado, ou
seja, a conceituação de um PCN é específica e deve-se
considerar sempre o “pior cenário possível” em sua elaboração.
0,5 / 0,5 ptsPergunta 16
I - Danos são consequências de um incidente e podem ser diretos e
indiretos;
II - Um dano indireto refere-se aos bens e serviços que deixam de ser
produzidos ou prestados durante o lapso de tempo logo depois de um
incidente;
III - Danos diretos são aqueles sofridos pelos ativos imobilizados,
destruídos ou danificados em um incidente.
Sobre o conceito de Dano, está correto apenas o que se afirma em:
 I, II e III. 
 I e II. 
 I. 
 II e III. 
 III. 
Danos é a consequência tangível motivada por um incidente,
esse dano pode ser ao patrimônio quando de trata de uma ativo
mensurável, ou a marca quando se trata de um ativo não
mensurável como a reputação.
0,5 / 0,5 ptsPergunta 17
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 13/15
Um risco pode ser definido como?
 
É a probabilidade de que uma ameaça em potencial explore uma
vulnerabilidade.
 
Um evento ou condição incerta que se ocorrer motivará danos ao
negócio.
 É o uso de uma ameaça para conceber uma vulnerabilidade. 
 É uma fraqueza que quando explorada gera uma vulnerabilidade. 
 Furto de um ativo tangível. 
Um Risco é considerado um evento ou condição incerta que
quando ocorrer motiva danos ao negócio, dessa forma a Análise
de Risco é importante para possibilitar o Gerenciamento de
Risco.
0,5 / 0,5 ptsPergunta 18
Um incidente pode ser definido como?
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaças.
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 14/15
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 Pode ser definido como a concretização de uma ameaça. 
 
É uma avaliação detalhada do ambiente da instituição, verificando se
o ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
Pode ser definido como a concretização de uma ameaça.
0,5 / 0,5 ptsPergunta 19
Sobre um incidente de segurança, pode-se considerar que é um
incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
Está correto apenas o que se afirma em:
 I. 
 II e III. 
 III. 
 I e II. 
 I, II e III. 
27/03/2020 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558 15/15
É evento relacionado à segurança que venha gerar um impacto é
considerado um evento.
0,5 / 0,5 ptsPergunta 20
Considerando o conceito de Vulnerabilidade, como se pode definir
“Grau de exposição”?
 
É uma verificação detalhada do ambiente da instituição, verificando se
o ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 Pode ser definido como a concretização de uma ameaça. 
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado
por uma ou mais ameaças.
O grau de exposição também é uma forma de mensurar o quanto
um ativo está suscetível a uma ameaça.
Pontuação do teste: 9 de 10