Avaliação Geral da Disciplina_ CONTINUIDADE DE NEGÓCIOS

Prévia do material em texto

Avaliação Geral da Disciplina
Entrega Sem prazo Pontos 10 Perguntas 20
Disponível 20 mar em 0:00 - 1 abr em 1:00 12 dias Limite de tempo Nenhum
Tentativas permitidas 3
Histórico de tentativas
Tentativa Tempo Pontuação
MANTIDO Tentativa 3 8 minutos 8,5 de 10
MAIS RECENTE Tentativa 3 8 minutos 8,5 de 10
Tentativa 2 7 minutos 8,5 de 10
Tentativa 1 16 minutos 8 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 8,5 de 10
Enviado 20 mar em 14:07
Esta tentativa levou 8 minutos.
0 / 0,5 ptsPergunta 1IncorretaIncorreta
Sobre os seguintes pontos:
• Identificação e classificação dos processos e negócios;
• Identificação e classificação dos ativos;
• Análise de ameaças e danos;
• Análise de vulnerabilidade;
• Análise de risco.
Pode-se afirmar que
 
São processos opcionais para a implementação de uma política de segurança. 
 Não têm relação com análise de risco. 
 
São processos importantes e que, se isolados, podem representar poucos
avanços; mas se devidamente combinados, podem apontar o caminho a seguir,
sustentando tomadas de decisão para elevar o grau de segurança da informação
de uma organização.
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=3
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=3
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=2
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=1
 
São processos importantes para a gestão de vulnerabilidades em uma
organização, possibilitando a tomada de decisão exclusiva na aquisição de
tecnologias para segurança cibernética.
 
São partes importantes do processo de segurança de redes de uma organização,
mas cada processo citado é independente.
A segurança da informação tem sua maturidade ou grau elevado a partir
da combinação dos vários processos coligados. Assim, se um processo
for implementado de forma isolada, pode até promover alguma melhoria,
mas a partir da ótica do negócio seria uma ação pouco eficiente.
0,5 / 0,5 ptsPergunta 2
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
 
Pode ser definido como um processo destinado a desenvolver opções e
determinar ações para aumentar as oportunidades a fim de reduzir as ameaças
aos objetivos do projeto e/ou negócio.
 
É o processo de monitoramento e controle de riscos baseado no resultado da
análise de vulnerabilidades.
 Não é relevante para a gestão organizacional. 
 
É o processo definido por medidas de segurança que são tomadas a fim de que
as ameaças sejam eliminadas de forma que não ocorram incidentes.
 
É um processo definido para realizar a avaliação de impactos que podem ocorrer
em uma organização.
Trata-se de um planejamento de resposta a riscos que tem como
principal meta ajudar a alcançar o nível de risco que foi definido como
aceitável para o negócio.
0,5 / 0,5 ptsPergunta 3
Considere as seguintes afirmativas:
I A análise de risco é uma ferramenta importante para possibilitar ao
especialista de segurança da informação realizar o gerenciamento de riscos.
II O processo de análise de risco é fundamental para a realização de outros
processos de segurança da informação, tais como BIA, PCN e PRD.
III O devido investimento em tecnologias para segurança, como firewall, IDS,
antivírus etc.,
bastam para garantir a segurança.
É VERDADEIRO o que se afirmar em
 I e II, apenas. 
 II, apenas. 
 I, II e III. 
 I e III, apenas. 
 I, apenas. 
A Análise de Risco acaba sendo um requisito importante para outros
processos de Segurança de informação, dando subsídio para a
liderança avaliar os aspectos pertinentes que podem gerar impacto ao
negócio como também dar suporte na decisão das ações de mitigação e
até mesmo na priorização dessas ações.
Diante disso deve se ter em mente que não seria correto pensar em
BIA, PCN ou mesmo PRD sendo que se tenha feito uma Análise de
Risco.
0 / 0,5 ptsPergunta 4IncorretaIncorreta
Norma é
 
A construção de processos que ajudam gestores na tomada de decisão para a
aquisição de tecnologias.
 
Qualquer documento de boa prática que sugere procedimentos para organizar
ações dentro de uma organização.
 
Uma metodologia que define a forma como a corporação deve adquirir e
implementar determinada tecnologia.
 
Um documento que fornece recomendações para a gestão da segurança da
informação, sugerindo controles importantes que devem ser implementados.
 
Um documento que define a política de segurança da empresa, estabelecendo
as regras que deverão ser seguidas pelos colaboradores e fornecedores da
organização.
Além do fato de uma norma ser elaborada a partir de conselho de
profissionais dentro de um processo rígido para a sua validação; em
muitos casos, tem tanta qualidade que acaba recebendo aceitação
internacional, o que ratifica ainda mais seu valor.
0,5 / 0,5 ptsPergunta 5
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da
informação de uma corporação?
 
Uso de metodologias baseadas na OSSTMM para identificar todos os controles
de segurança da informação para tecnologias, pessoas e processos.
 
Realização de uma análise de risco baseada em metodologias qualitativas e
avaliativas.
 
Realização de um processo de auditoria tendo como base metodologias como
OSSTMM, Issaf, Owasp.
 
Utilização do Cobit para avaliar todos os controles de segurança da informação
que já estão implementados na corporação.
 
Criação de um checklist baseado nos controles sugeridos pela ISO 27002,
buscando inicialmente identificar se existe algum tipo de controle já
implementado na corporação avaliada.
Para qualquer norma a metodologia determina um checklist para
identificar quais controles recomendados estão implementados, de
modo que é interessante para que seja possível mensurar a maturidade
da empresa em relação à norma. Dessa forma, isso se aplicaria não
somente considerando a ISO 27002.
0,5 / 0,5 ptsPergunta 6
Como se calcula o Single Loss Expectancy (SLE)?
 AV x EF. 
 ARO x AV. 
 SLE x EF. 
 SLE x ARO. 
 EF x ARO. 
O valor do SLE pode ser definido a partir do produto de Asset Value (AV)
por Exposure Factor (EF).
0,5 / 0,5 ptsPergunta 7
Assinale a alternativa que apresenta uma metodologia de análise de risco
quantitativa?
 SLE e ALE. 
 Análise de vulnerabilidade. 
 ROI e ROSI. 
 OWASP. 
 Matriz de GUT. 
Single Loss Expectancy (SLE) é uma métrica quantitativa para mensurar
o valor de perda motivado por um determinado risco. Annualized Loss
Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de
uma janela de tempo, normalmente um ano.
0,5 / 0,5 ptsPergunta 8
Qual é a sigla para a métrica de expectativa de perda anual?
 AV. 
 EF. 
 ARO. 
 SLE. 
 ALE. 
Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do
risco dentro de uma janela de tempo, normalmente um ano.
0,5 / 0,5 ptsPergunta 9
Assinale a alternativa que apresenta uma metodologia de análise de risco
qualitativa:
 SLE. 
 ALE. 
 OWASP. 
 Análise de vulnerabilidade. 
 Matriz de GUT. 
A matriz de GUT é uma metodologia que vem da Administração e que
pode ser usada para qualificar riscos.
0,5 / 0,5 ptsPergunta 10
Qual é a sigla para a métrica de valor do ativo?
 ALE. 
 EF. 
 SLE. 
 ARO. 
 AV. 
Definição do valor do ativo.
0,5 / 0,5 ptsPergunta 11
Qual é o propósito da notificação de incidentes de segurança da informação?
 
Direcionar as atitudes dos colaboradores para que estejam em conformidade
com a conduta esperada pela alta gestão.
 Notificar os fornecedores sobre falhas na operação. 
 
Garantir que as mudanças aconteçam de forma planejada e controlada dentro
das organizações.
 
Prover uma orientação e apoio da direção para a segurança da informação, de
acordo com os requisitos do negócio e com as leis e regulamentações
pertinentes.
 
Assegurar que fragilidades e eventos de segurança da informação sejam
comunicados, permitindo a tomada de ação corretiva em tempo hábil.
Processo que deveser definido como parte da gestão de incidentes,
formalizando o canal correto para notificação, a fim de que seja de
conhecimento de todos os colaboradores.
0,5 / 0,5 ptsPergunta 12
Como são chamadas as medidas de segurança que visam restaurar o
ambiente após um incidente?
 Corretivas. 
 Adivinhativas. 
 Detectivas. 
 Repressivas. 
 Preventivas. 
Medidas que são definidas para restaurar um ambiente após a
ocorrência de um incidente.
0,5 / 0,5 ptsPergunta 13
Quais são, NA ORDEM DE OCORRÊNCIA, as quatro etapas do ciclo de vida
do incidente de segurança da informação?
 Incidente, dano, ameaça, recuperação. 
 Ameaça, incidente, dano, recuperação. 
 Incidente, recuperação, dano, ameaça. 
 Incidente, ameaça, dano, recuperação. 
 Ameaça, dano, incidente, recuperação. 
Classicamente: ameaça, incidente, dano e recuperação são as quatro
etapas de vida de um incidente de segurança.
0,5 / 0,5 ptsPergunta 14
Qual padrão de backup-site tem o menor tempo de RPO, mas,
consequentemente, apresenta o maior custo?
 Hot. 
 Warm. 
 Cold. 
 Red. 
 Cold. 
A arquitetura de um backup-site é baseada em tecnologia de tempo de
resposta mínimo, dessa forma, o RPO tende a ser o menor possível;
consequentemente, porém, o custo desse tipo de backup-site é mais
elevado.
0,5 / 0,5 ptsPergunta 15
Qual é o processo cuja realização é baseada em entrevistas aos líderes das
áreas de negócio e à alta direção da empresa, com o objetivo de mapear os
possíveis impactos ao negócio?
 ROSI. 
 PCN. 
 ALE. 
 ROI 
 BIA. 
Análise de Impacto ao Negócio (BIA) – processo responsável pela
avaliação do impacto nas áreas de negócio da empresa.
0 / 0,5 ptsPergunta 16IncorretaIncorreta
I - Danos são consequências de um incidente e podem ser diretos e indiretos;
II - Um dano indireto refere-se aos bens e serviços que deixam de ser
produzidos ou prestados durante o lapso de tempo logo depois de um
incidente;
III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou
danificados em um incidente.
Sobre o conceito de Dano, está correto apenas o que se afirma em:
 I. 
 I, II e III. 
 I e II. 
 III. 
 II e III. 
Danos é a consequência tangível motivada por um incidente, esse dano
pode ser ao patrimônio quando de trata de uma ativo mensurável, ou a
marca quando se trata de um ativo não mensurável como a reputação.
0,5 / 0,5 ptsPergunta 17
Um incidente pode ser definido como?
 
É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente
atual fornece condições de segurança compatíveis com a importância estratégica
dos serviços realizados.
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma
ou mais ameaças.
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor
ou maior de um determinado ativo.
Pode ser definido como a concretização de uma ameaça.
0,5 / 0,5 ptsPergunta 18
Sobre um incidente de segurança, pode-se considerar que é um incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
Está correto apenas o que se afirma em:
 I, II e III. 
 III. 
 I. 
 I e II. 
 II e III. 
É evento relacionado à segurança que venha gerar um impacto é
considerado um evento.
0,5 / 0,5 ptsPergunta 19
Considerando o conceito de Vulnerabilidade, como se pode definir “Grau de
exposição”?
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma
ou mais ameaças.
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma verificação detalhada do ambiente da instituição, verificando se o
ambiente atual fornece condições de segurança compatíveis com a importância
estratégica dos serviços realizados.
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor
ou maior de um determinado ativo.
O grau de exposição também é uma forma de mensurar o quanto um
ativo está suscetível a uma ameaça.
0,5 / 0,5 ptsPergunta 20
O que é um Impacto?
 É uma fraqueza que quando explorada gera uma vulnerabilidade. 
 É o uso de uma ameaça para conceber uma vulnerabilidade. 
 É uma mudança adversa no nível obtido dos objetivos de negócio. 
 
É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade.
 Furto de um ativo tangível. 
Um impacto pode ser definido também como consequência de uma
ameaça que se concretizou a partir da exploração de uma
vulnerabilidade. Digite aqui
Pontuação do teste: 8,5 de 10