Análise de Vulnerabilidade de Riscos

Prévia do material em texto

14/05/2021
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 1/4
Nota da Prova: 8,00
Legenda: Resposta Certa Sua Resposta Errada 
1. Em sistemas de tecnologia da informação, uma estimativa de impacto pode ser obtida
avaliando a perda em termos de integridade (exemplo: o recurso afetado foi alterado ou
destruído), confidencialidade (exemplo: o recurso se torna conhecido pelo atacante) e
disponibilidade (exemplo: acesso ao recurso negado). A norma ISO/IEC 27001 associa uma
escala de valores de risco para cada um dos itens de segurança da informação. Com base
nessa escala, classifique V para as opções verdadeiras e F para as falsas:
( ) Risco nulo.
( ) Risco baixo.
( ) Risco médio.
( ) Risco alto.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - V.
 b) V - V - V - F.
 c) F - F - V - F.
 d) F - F - F - V.
2. O Nist descreve uma perspectiva de um processo de gestão de risco. A abordagem é
compatível com o processo definido por ISO/IEC 27005. Com base nas quatro etapas do
processo de gerenciamento de risco definido pela norma SP (do inglês, Special Publication)
800-30 do Nist, classifique V para as opções verdadeiras e F para as falsas:
( ) Estruturação. 
( ) Processamento.
( ) Avaliação.
( ) Monitoramento.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) F - V - V - F.
 b) V - F - V - V.
 c) V - F - F - F.
 d) F - V - V - V.
3. O "risk management" é o processo pelo qual medimos ou estimamos o risco e depois
desenvolvemos estratégias para governar. Na área de Tecnologia da Informação (TI)
consideramos isto através da aplicação de métodos neste sentido. Com base no exposto,
assinale a alternativa CORRETA:
 a) Gerenciamento de riscos.
 b) Risco comercial.
 c) Tríade de segurança da informação.
 d) Gestão de Segurança da Informação.
14/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 2/4
4. A segurança da informação (SI) é obtida com a implementação de controles, que deverão ser
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos
objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da
organização. Com base no que faz parte da (CID), a tríade de SI, assinale a alternativa
INCORRETA:
 a) Disponibilidade.
 b) Confidencialidade.
 c) Autenticidade.
 d) Integridade.
5. A segurança da informação é obtida com a implementação de controles, que deverão ser
monitorados, analisados e consecutivamente melhorados, com o intuito de atender aos
objetivos do negócio, mitigando os riscos e garantindo os preceitos de segurança da
organização: confidencialidade, integridade e disponibilidade (CID), a tríade de segurança da
informação (SÊMOLA, 2014). Com relação às respectivas definições dos chamados "três
pilares da segurança da informação", assinale a alternativa INCORRETA:
FONTE: SÊMOLA, M. Gestão da segurança da informação - uma visão executiva. Rio de
Janeiro. Editora Elsevier. 2. ed. 2014.
 a) O objetivo da segurança da informação, nesse caso, é garantir que as informações se
mantenham livres de qualquer alteração, conforme foram criadas.
 b) As empresas já entenderam que os dados são verdadeiros ativos, por isso estão cada vez
mais preocupadas com os pilares da segurança da informação.
 c) As informações precisam estar sempre disponíveis para consultas dos colaboradores, pois
qualquer ausência pode dificultar ou mesmo inviabilizar decisões, contratos, vendas, além
de prejudicar a relação com o cliente.
 d) O objetivo é restringir o acesso às informações. Isso evita que ações maliciosas, como
espionagem e ciberataques, exponham qualquer conteúdo confidencial.
6. A gestão ou análise do risco deve em grande parte seguir uma estratégia de governança
corporativa, que inclui tratar um ciclo de planejamento, execução, checagem e avaliação, do
inglês PDCA. Visando identificar esta sigla, analise as opções a seguir:
I- PLAN.
II- DO.
III- ALL.
IV- CHECK.
Assinale a alternativa CORRETA:
 a) Somente a opção III está correta.
 b) As opções III e IV estão corretas.
 c) As opções I, II e IV estão corretas.
 d) Somente a opção I está correta.
7. A série de normas ISO/IEC 27000 (do inglês, International Organization for Standardization)
estabelece as condições necessárias para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão de segurança da informação. Com base nas principais
normas da série ISO/IEC 27000, classifique V para as opções verdadeiras e F para as falsas:
( ) ISO/IEC 27002.
( ) ISO/IEC 27004.
( ) ISO/IEC 27006.
( ) ISO/IEC 27007.
Assinale a alternativa que apresenta a sequência CORRETA:
 a) V - F - V - F.
 b) F - F - V - F.
14/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 3/4
 c) V - V - V - F.
 d) F - F - F - V.
8. A avaliação de risco é o processo de comparação dos resultados da análise de risco com
critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não
aceitável (ISO/IEC 27005, 2018). A avaliação de riscos é um componente essencial de um
processo de gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo
de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos
principais de atividades. Com base no exposto, classifique V para as sentenças verdadeiras e
F para as falsas:
( ) Definição do contexto.
( ) Probabilidade de risco.
( ) Análise/Avaliação de riscos.
( ) Impacto do risco.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em:
https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2021.
NIST (National Institute of Standards and Technology). Guide for Conducting Risk
Assessments - Information Security. 2012. Disponível em:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em:
10 maio 2021.
 a) V - V - V - F.
 b) V - F - F - V.
 c) V - F - V - F.
 d) F - V - V - F.
9. A avaliação de risco é o processo de comparação dos resultados da análise de risco com
critérios de risco previamente definidos, com o objetivo de determinar se o risco é ou não
aceitável (ISO/IEC 27005, 2018). Trata-se de um componente essencial de um processo de
gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo de vida do
processo de gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos principais
de atividades. Com base nesses grupos, analise as opções a seguir: 
I- Tratamento do risco.
II- Aceitação do risco.
III- Comunicação do risco.
IV- Transmissão do risco.
Assinale a alternativa CORRETA:
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. Disponível em:
https://www.iso.org/standard/75281.html. Acesso em: 10 maio 2020. 
NIST (National Institute of Standards and Technology). Guide for Conducting Risk
Assessments - Information Security. 2012. Disponível em:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf. Acesso em:
10 maio 2021.
 a) Somente a opção II está correta.
 b) Somente a opção I está correta.
 c) As opções I e IV estão corretas.
 d) As opções I, II e III estão corretas.
14/05/2021 UNIASSELVI - Centro Universitário Leonardo Da Vinci - Portal do Aluno - Portal do Aluno - Grupo UNIASSELVI
https://portaldoalunoead.uniasselvi.com.br/ava/notas/request_gabarito_n2.php 4/4
10.Em segurança da informação, antes de executar tratamento do risco, é necessário que
sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado
deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000),
que descreve um conjunto de práticas orientadas para a gestão da segurança da informação.Com base nessas decisões, analise as sentenças a seguir:
I- Executar, cuidando com a chance de risco.
II- Reconhecer e aceitar o risco.
III- Não permitir ações que podem causar risco.
IV- Transferir, repassando o risco.
Assinale a alternativa CORRETA:
 a) As sentenças I, II e IV estão corretas.
 b) As sentenças I e IV estão corretas.
 c) As sentenças II, III e IV estão corretas.
 d) As sentenças I, II e III estão corretas.
Prova finalizada com 8 acertos e 2 questões erradas.