prova%20principios%202

Prévia do material em texto

Usuário
	CRISTOPHER PIMENTEL RAINERI
	Curso
	GRA0540 PRINCÍPIOS DE SEGURANÇA DA INFORMAÇÃO GR2506202 - 202020.ead-29774746.06
	Teste
	ATIVIDADE 2 (A2)
	Iniciado
	10/11/20 18:12
	Enviado
	10/11/20 18:39
	Status
	Completada
	Resultado da tentativa
	6 em 10 pontos  
	Tempo decorrido
	27 minutos
	Resultados exibidos
	Respostas enviadas, Respostas corretas, Comentários
· Pergunta 1
1 em 1 pontos
	
	
	
	Quando se tem uma vulnerabilidade abre-se espaço para agentes ameaçadores. Em consequência, pode-se resultar em incidentes que podem causar inúmeros prejuízos a uma organização.
Para evitar uma ameaça deve-se tomar contramedidas específicas e eficientes que podem minimizar o impacto, resultando em uma melhor proteção da organização.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nas medidas de proteção escolha a opção abaixo que melhor represente uma ação tomada antes da ocorrência de um incidente.
	
	
	
	
		Resposta Selecionada:
	 
Preventiva
	Resposta Correta:
	 
Preventiva
	Feedback da resposta:
	Resposta correta:  uma medida preventiva visa antecipar um incidente. Por exemplo, sabe-se que o número de furtos a carro é bastante elevado no Brasil e uma pessoa precavida faz um seguro, além disso colocam medidas de segurança como alarmes e rastreadores.
	
	
	
· Pergunta 2
0 em 1 pontos
	
	
	
	Gerenciar o risco é imprescindível para mapeamento os ativos de uma organização. Em consequência, pode-se identificar as vulnerabilidades, ponderá-los estatisticamente e equilibrar seus os custos.
A tolerância ao risco (aceitar) é uma das estratégias mais simples para contramedidas. Por meio delas podemos simplesmente aceitar o risco como ele é. É chegado a essa conclusão porque ou a contramedida é tão inviável (financeiramente/tempo) que é melhor aceitar o dano ou simplesmente o dano causado não causa grandes prejuízos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
 
Com base nas estratégias de contramedidas de risco marque a alternativa que melhor descreva a estratégia que visa neutralizar um risco.
	
	
	
	
		Resposta Selecionada:
	 
Redução
	Resposta Correta:
	 
Prevenção
	Feedback da resposta:
	Sua resposta está errada:  apesar de ambas serem estratégias para as contramedidas. A sua escolha não está de acordo com o enunciado. Leia novamente o seu material e compreenda o conceito.
	
	
	
· Pergunta 3
1 em 1 pontos
	
	
	
	Sempre ouvimos a palavra risco associada ao nosso cotidiano. Por exemplo, aquela pessoa está se arriscando muito, ela corre risco de morte, etc. Percebemos que o risco está associado a perigo e desde cedo (criança) já nos preocupamos com ele, evitando ficar expostos a situações perigosas.
O risco para Segurança da Informação também possui o mesmo sentido. É algo que devemos nos preocupar para garantir uma maior segurança para uma organização. Não é à toa que existem diversos processos para se gerenciar um risco. Consequentemente, o gerenciamento ajuda a conhecer o risco.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com a definição da palavra risco para a Segurança da Informação, escolha a opção que melhor a descreva
	
	
	
	
		Resposta Selecionada:
	 
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição.
	Resposta Correta:
	 
Probabilidade que algo de ruim aconteça com um ativo (algo importante), bem como o efeito causado por sua exposição.
	Feedback da resposta:
	Respostas correta:  o risco está associado e probabilidade da ocorrência de um evento ruim aos ativos de uma organização. O seu dano pode variar, sendo pouco ou causando grandes prejuízos.
	
	
	
· Pergunta 4
1 em 1 pontos
	
	
	
	 Um agente ameaçador pode aproveitar de vulnerabilidades de uma organização para realizar uma série de ataques. Realizar contramedidas adequadas auxiliam a organização e minimizar tais danos.
Um evento anormal pode disparar um incidente, que consequentemente pode gerar uma ameaça. Essas ameaças podem ser originadas a partir de vários fatores, como exemplo de um ex-empregado que estava insatisfeito com seu salário ou falta de reconhecimento.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
Com base nos motivos de agentes ameaçadores tentarem invadir/roubar/etc uma organização escolha a opção que pode ser uma de suas intenções/estratégias
	
	
	
	
		Resposta Selecionada:
	 
Notoriedade
	Resposta Correta:
	 
Notoriedade
	Feedback da resposta:
	Resposta correta:  a notoriedade pode ser um dos motivos que levam a agentes ameaçadores a invadirem/roubar informações. Quanto mais der repercussão na mídia/mercado mais o nome do agente será respeitado em relação a outros agentes.
	
	
	
· Pergunta 5
1 em 1 pontos
	
	
	
	Se fosse tão fácil se precaver de riscos poderíamos obter os riscos de outras organizações e aplicá-las a nossa realidade. Porém, sabe-se que isso não é verdade, cada organização possui uma prioridade diferente para lidar com os riscos.
Conhecer os riscos que mais nos afeta é sem dúvida um passo importante para a destinação de recursos, como tempo e dinheiro. Por meio da avaliação de riscos podemos priorizar e conhecê-los.
 
Kim D. e Solomon M. G. Fundamentos de Segurança de Sistemas de Informação, LTC, 2014.
 
De acordo com os requisitos básicos que uma organização deve considerar para se identificar os riscos de maneira efetiva são:
	
	
	
	
		Resposta Selecionada:
	 
Objetivos e estratégias, leis e regras de negócio
	Resposta Correta:
	 
Objetivos e estratégias, leis e regras de negócio
	Feedback da resposta:
	Resposta correta:  para se conhecer e levantar bem os riscos de uma organização deve-se considerar pelo menos os três requisitos básicos, que são: estratégia, visão e objetivos; leis/regulamentos e por fim regras de negócio/manipulação de dados.
	
	
	
· Pergunta 6
0 em 1 pontos
	
	
	
	 Sabemos que gerenciar os riscos é a melhor opção para conhecer os ativos mais importantes como a sua prioridade. Por meio do gerenciamento também pode-se realizar medidas para verificar se os controles realizados estão realmente sendo efetivos ou não.
Ao se conhecer o risco e perceber que o mesmo pode causar poucos danos, resultando em prejuízos menores pode-se escolhe-se uma medida protetiva adequada com menores custos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Escolha a opção abaixo que melhor a descreva:
	
	
	
	
		Resposta Selecionada:
	 
Detecção
	Resposta Correta:
	 
Aceitação
	Feedback da resposta:
	Sua resposta está errada:  a medida esperada é esperada quando não se deseja realizar nenhuma ação. Reveja o seu material e compreenda o conteúdo abordado.
	
	
	
· Pergunta 7
1 em 1 pontos
	
	
	
	Uma análise de risco bem estrutura garantirá um melhor sucesso para a organização. De acordo com ele pode-se minimizar as vulnerabilidades e consequentemente de possíveis ameaças
Por meio de um processo adequado de gerenciamento de riscos da organização pode-se realizar uma melhor análise do risco. Basicamente, quando consideramos os riscos temos quatro objetivos.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
 
De acordo com o material estudado identifique os objetivos principais da análise de risco:
	
	
	
	
		Resposta Selecionada:
	 
Mapear ativos, identificar vulnerabilidades e ameaças, ponderar estatisticamente o risco e equilibra custos.
	Resposta Correta:
	 
Mapear ativos, identificar vulnerabilidades e ameaças, ponderar estatisticamente o risco e equilibra custos.
	Feedback da resposta:
	Resposta correta:  os quatros objetivos principais da análise de risco são: mapear os ativos e o grau de importância, conhecer as vulnerabilidades e ameaças, estatisticamenteconhecer a probabilidade que o mesmo ocorra e por fim equilibrar o custo do incidente versus contramedida.
	
	
	
· Pergunta 8
0 em 1 pontos
	
	
	
	Normas como a ISO 27001 e 27002 visão definir padrões e boas práticas. Tais medidas formam extraídas de uma série de observações de organizações e seus resultados. Em resumo, é como se aprendêssemos com os erros dos outros. Isso pode garantir uma maior assertividade em relação a tomadas de decisão sobre uma ameaça.
Quando o negócio de uma organização é bastante crítica e não há opção de aceitar uma ameaça deve-se pelo menos mitiga-la.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
De acordo com o texto anterior escolha a medida de proteção que melhor se enquadre
	
	
	
	
		Resposta Selecionada:
	 
Instrução
	Resposta Correta:
	 
Seguro
	Feedback da resposta:
	Sua resposta está errada:  a medida certa deve reduzir/mitigar os danos causados a organização. Por exemplo, sabe-se que há a possibilidade de incêndios e não é uma opção aceitar. Para reduzir o prejuízo, faz-se um seguro com tal cobertura.
	
	
	
· Pergunta 9
0 em 1 pontos
	
	
	
	Uma organização deve estar preparada para eventuais problemas que ocorram durante todo o seu tempo de vida. Um dos problemas mais críticos e que podem gerar uma maior despesa em seus tratamentos são os riscos. Infelizmente, todas as organizações estão sujeitas a isso.
O risco está associado a probabilidade que algum coisa ruim aconteça com os ativos (itens mais importantes) de uma organização. Sem sombra de dúvida, conhecê-los e monitorá-los é uma ótima opção para criar boas contramedidas. Ao se pensar em risco podemos associar também dois conceitos que estão bastante vinculados, eventos e incidentes.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base no conceito de riscos para SI seleciona a opção abaixo que caracterize o termo incidente.
	
	
	
	
		Resposta Selecionada:
	 
O incidente pode ser chamado também de evento, a diferença é que um causa dano o outro não.
	Resposta Correta:
	 
É quando se dispara um evento/conjunto de eventos indesejáveis. Geralmente, eles podem ocasionar danos a uma organização.
	Feedback da resposta:
	Sua resposta está errada: Os dois termos estão associados, um é iniciado pelo disparo do outro. Releia seu material, em particular o conceito de eventos e incidentes.
	
	
	
· Pergunta 10
1 em 1 pontos
	
	
	
	Uma vez conhecido o risco, priorizado e medido deve-se tomar alguma iniciativa para resolver tal situação. As estratégias podem variar conforme a complexidade e custo do risco.
Quando se identifica um risco temos que definir uma contramedida. Nem sempre é que esperamos, mas seu custo pode até ultrapassar o dano causado pelo risco. Logo, tornando a contramedida inviável.
 
Hintzbergen J. et al. Fundamentos de Segurança da Informação, com base na ISO 27001 e na ISO 27002, Brasport, 2018.
 
Com base nesse contexto escolha a alternativa abaixo que apresenta as estratégias estudadas:
	
	
	
	
		Resposta Selecionada:
	 
Tolerância, redução e prevenção
	Resposta Correta:
	 
Tolerância, redução e prevenção
	Feedback da resposta:
	Resposta correta:  uma vez identificado o risco devemos tomar um contramedida e basicamente podem ser: tolerância (aceitar), redução (mitigar) e prevenir (evitar). A escolha está associada ao custo e tempo despendidos para a contramedida.