Baixe o app para aproveitar ainda mais
Prévia do material em texto
22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 1/16 Avaliação Geral da Disciplina Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 mar em 0:00 - 31 mar em 23:59 12 dias Limite de tempo Nenhum Tentativas permitidas 3 Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 45 minutos 10 de 10 Pontuação desta tentativa: 10 de 10 Enviado 22 mar em 22:44 Esta tentativa levou 45 minutos. Fazer o teste novamente 0,5 / 0,5 ptsPergunta 1 Sobre o risco, é CORRETO afirmar que Construtivas e qualitativas. Qualitativas e avaliativas. Pode ser eliminado com a aquisição de tecnologia para segurança da informação. Quantitativas e avaliativas. Qualitativas e quantitativas. Correto!Correto! https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300/history?version=1 https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300/take?user_id=226823 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 2/16 A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco. 0,5 / 0,5 ptsPergunta 2 Considere as seguintes afirmativas: I A análise de risco é uma ferramenta importante para possibilitar ao especialista de segurança da informação realizar o gerenciamento de riscos. II O processo de análise de risco é fundamental para a realização de outros processos de segurança da informação, tais como BIA, PCN e PRD. III O devido investimento em tecnologias para segurança, como firewall, IDS, antivírus etc., bastam para garantir a segurança. É VERDADEIRO o que se afirmar em II, apenas. I e II, apenas. Correto!Correto! I, apenas. I, II e III. I e III, apenas. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 3/16 A Análise de Risco acaba sendo um requisito importante para outros processos de Segurança de informação, dando subsídio para a liderança avaliar os aspectos pertinentes que podem gerar impacto ao negócio como também dar suporte na decisão das ações de mitigação e até mesmo na priorização dessas ações. Diante disso deve se ter em mente que não seria correto pensar em BIA, PCN ou mesmo PRD sendo que se tenha feito uma Análise de Risco. 0,5 / 0,5 ptsPergunta 3 Sobre os seguintes pontos: • Identificação e classificação dos processos e negócios; • Identificação e classificação dos ativos; • Análise de ameaças e danos; • Análise de vulnerabilidade; • Análise de risco. Pode-se afirmar que São processos opcionais para a implementação de uma política de segurança. São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente. São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização. Correto!Correto! 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 4/16 São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética. Não têm relação com análise de risco. A segurança da informação tem sua maturidade ou grau elevado a partir da combinação dos vários processos coligados. Assim, se um processo for implementado de forma isolada, pode até promover alguma melhoria, mas a partir da ótica do negócio seria uma ação pouco eficiente. 0,5 / 0,5 ptsPergunta 4 A seguinte equação: Ameaça x vulnerabilidade x valor do ativo = risco É sugerida pela ISO 27037 para definir risco. Qualifica um tipo de risco em relação ao seu grau de prioridade. Pode ser utilizada para representar o que é risco. Correto!Correto! Consolida o valor da ameaça. Não tem relação com a análise de risco. Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor do ativo. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 5/16 0,5 / 0,5 ptsPergunta 5 Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação? Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada. Correto!Correto! Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação. Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos. Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002. 0,5 / 0,5 ptsPergunta 6 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 6/16 Assinale a alternativa que apresenta uma metodologia de análise de risco qualitativa: SLE. OWASP. ALE. Matriz de GUT. Correto!Correto! Análise de vulnerabilidade. A matriz de GUT é uma metodologia que vem da Administração e que pode ser usada para qualificar riscos. 0,5 / 0,5 ptsPergunta 7 Assinale a alternativa que apresenta uma metodologia de análise de risco quantitativa? Análise de vulnerabilidade. ROI e ROSI. OWASP. SLE e ALE. Correto!Correto! Matriz de GUT. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 7/16 Single Loss Expectancy (SLE) é uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco. Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela de tempo, normalmente um ano. 0,5 / 0,5 ptsPergunta 8 Qual é a sigla para a métrica de valor do ativo? AV. Correto!Correto! ALE. SLE. EF. ARO. Definição do valor do ativo. 0,5 / 0,5 ptsPergunta 9 Como se calcula o Single Loss Expectancy (SLE)? AV x EF. Correto!Correto! EF x ARO. SLE x ARO. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 8/16 ARO x AV. SLE x EF. O valor do SLE pode ser definido a partir do produto de Asset Value (AV) por Exposure Factor (EF). 0,5 / 0,5 ptsPergunta 10 Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês. Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE? 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. Correto!Correto! Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, ovalor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 9/16 0,5 / 0,5 ptsPergunta 11 Qual padrão de backup-site tem o menor tempo de RPO, mas, consequentemente, apresenta o maior custo? Red. Cold. Hot. Correto!Correto! Cold. Warm. A arquitetura de um backup-site é baseada em tecnologia de tempo de resposta mínimo, dessa forma, o RPO tende a ser o menor possível; consequentemente, porém, o custo desse tipo de backup-site é mais elevado. 0,5 / 0,5 ptsPergunta 12 Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)? ROSI. ROI. PCN. Correto!Correto! ALE. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 10/16 TCO. Plano de Continuidade de Negócios (PCN) é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração. 0,5 / 0,5 ptsPergunta 13 É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é ROSI. TCO. PCN. Correto!Correto! ROI. ALE. Plano de Continuidade de Negócio (PCN) – importante processo que define ações para garantir o retorno da operação diante de uma ameaça concretizada 0,5 / 0,5 ptsPergunta 14 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 11/16 Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio? PCN. ROI ROSI. BIA. Correto!Correto! ALE. Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas de negócio da empresa. 0,5 / 0,5 ptsPergunta 15 Quais são, NA ORDEM DE OCORRÊNCIA, as quatro etapas do ciclo de vida do incidente de segurança da informação? Incidente, ameaça, dano, recuperação. Incidente, dano, ameaça, recuperação. Ameaça, incidente, dano, recuperação. Correto!Correto! Ameaça, dano, incidente, recuperação. Incidente, recuperação, dano, ameaça. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 12/16 Classicamente: ameaça, incidente, dano e recuperação são as quatro etapas de vida de um incidente de segurança. 0,5 / 0,5 ptsPergunta 16 O que é um Impacto? É uma fraqueza que quando explorada gera uma vulnerabilidade. É o uso de uma ameaça para conceber uma vulnerabilidade. É uma mudança adversa no nível obtido dos objetivos de negócio. Correto!Correto! É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade. Furto de um ativo tangível. Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a partir da exploração de uma vulnerabilidade. Digite aqui 0,5 / 0,5 ptsPergunta 17 Um risco pode ser definido como? É o uso de uma ameaça para conceber uma vulnerabilidade. É uma fraqueza que quando explorada gera uma vulnerabilidade. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 13/16 Um evento ou condição incerta que se ocorrer motivará danos ao negócio. Correto!Correto! É a probabilidade de que uma ameaça em potencial explore uma vulnerabilidade. Furto de um ativo tangível. Um Risco é considerado um evento ou condição incerta que quando ocorrer motiva danos ao negócio, dessa forma a Análise de Risco é importante para possibilitar o Gerenciamento de Risco. 0,5 / 0,5 ptsPergunta 18 Uma vulnerabilidade pode ser definida como? É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 14/16 Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. Correto!Correto! Pode ser definida como a concretização de uma ameaça. Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, dos processos e das pessoas. Uma ameaça se concebe a partir de uma vulnerabilidade. 0,5 / 0,5 ptsPergunta 19 Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”? É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Pode ser definido como a concretização de uma ameaça. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Correto!Correto! Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 15/16 É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré- determinado que pode ser mensurada a partir de informações apuradas durante uma análise de Vulnerabilidades. E também pode ser utilizado como métrica subsidiar uma Análise de Risco 0,5 / 0,5 ptsPergunta 20 Um incidente pode ser definido como? Pode ser definido como a concretização de uma ameaça. Correto!Correto! É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Pode ser definido como a concretização de uma ameaça. Pontuação do teste: 10 de 10 22/03/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 16/16
Compartilhar