Nota 9 - Avaliação Geral da Disciplina_ CONTINUIDADE DE NEGÓCIOS

Prévia do material em texto

Avaliação Geral da Disciplina
Entrega Sem prazo Pontos 10 Perguntas 20
Disponível 20 mar em 0:00 - 1 abr em 1:00 12 dias Limite de tempo Nenhum
Tentativas permitidas 3
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 35 minutos 9 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 9 de 10
Enviado 29 mar em 17:52
Esta tentativa levou 35 minutos.
Fazer o teste novamente
0,5 / 0,5 ptsPergunta 1
Sobre o risco, é CORRETO afirmar que
 Qualitativas e avaliativas. 
 Construtivas e qualitativas. 
 
Pode ser eliminado com a aquisição de tecnologia para segurança da
informação.
 Quantitativas e avaliativas. 
 Qualitativas e quantitativas. 
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=1
https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/take?user_id=17257
A análise de risco é executada utilizando metodologias
qualitativas, que possibilitam uma visão de criticidade de risco;
e metodologias quantitativas, que possibilitam mensurar
monetariamente o risco.
0,5 / 0,5 ptsPergunta 2
A seguinte equação:
Ameaça x vulnerabilidade x valor do ativo = risco
 É sugerida pela ISO 27037 para definir risco. 
 Pode ser utilizada para representar o que é risco. 
 Consolida o valor da ameaça. 
 Não tem relação com a análise de risco. 
 Qualifica um tipo de risco em relação ao seu grau de prioridade. 
Trata-se de uma fórmula para definir risco e mensurar o produto
de ameaça, vulnerabilidade e valor do ativo.
0,5 / 0,5 ptsPergunta 3
Considere as seguintes afirmativas:
I A análise de risco é uma ferramenta importante para possibilitar ao
especialista de segurança da informação realizar o gerenciamento de
riscos.
II O processo de análise de risco é fundamental para a realização de
outros processos de segurança da informação, tais como BIA, PCN e
PRD.
III O devido investimento em tecnologias para segurança, como
firewall, IDS, antivírus etc.,
bastam para garantir a segurança.
É VERDADEIRO o que se afirmar em
 I, II e III. 
 I, apenas. 
 II, apenas. 
 I e III, apenas. 
 I e II, apenas. 
A Análise de Risco acaba sendo um requisito importante para
outros processos de Segurança de informação, dando subsídio
para a liderança avaliar os aspectos pertinentes que podem
gerar impacto ao negócio como também dar suporte na decisão
das ações de mitigação e até mesmo na priorização dessas
ações.
Diante disso deve se ter em mente que não seria correto pensar
em BIA, PCN ou mesmo PRD sendo que se tenha feito uma
Análise de Risco.
0,5 / 0,5 ptsPergunta 4
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
 
É o processo de monitoramento e controle de riscos baseado no
resultado da análise de vulnerabilidades.
 
Pode ser definido como um processo destinado a desenvolver opções
e determinar ações para aumentar as oportunidades a fim de reduzir as
ameaças aos objetivos do projeto e/ou negócio.
 
É um processo definido para realizar a avaliação de impactos que
podem ocorrer em uma organização.
 Não é relevante para a gestão organizacional. 
 
É o processo definido por medidas de segurança que são tomadas a
fim de que as ameaças sejam eliminadas de forma que não ocorram
incidentes.
Trata-se de um planejamento de resposta a riscos que tem
como principal meta ajudar a alcançar o nível de risco que foi
definido como aceitável para o negócio.
0 / 0,5 ptsPergunta 5IncorretaIncorreta
Fazer análise e gerenciamento de risco
 
Não é possível se não se pensar em outros processos importantes
para a segurança da informação como, por exemplo, Plano de
Continuidade de Negócios (PCN).
 Sustenta o processo de análise de impacto. 
 Não é possível se não houver análise de vulnerabilidade. 
 
É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à
aquisição de tecnologia.
 É fundamental para a política de segurança. 
Alguns processos de segurança da informação dependem da
execução de outros processos. Um bom exemplo é o PCN, pois
não há sentido algum tentar elaborar um PCN sem ter um
gerenciamento de risco.
0,5 / 0,5 ptsPergunta 6
Assinale a alternativa que apresenta uma metodologia de análise de
risco quantitativa?
 Análise de vulnerabilidade. 
 Matriz de GUT. 
 ROI e ROSI. 
 OWASP. 
 SLE e ALE. 
Single Loss Expectancy (SLE) é uma métrica quantitativa para
mensurar o valor de perda motivado por um determinado risco.
Annualized Loss Expectancy (ALE) é a métrica para mensurar o
valor do risco dentro de uma janela de tempo, normalmente um
ano.
0,5 / 0,5 ptsPergunta 7
Qual é a sigla para a métrica de expectativa de perda anual?
 ALE. 
 EF. 
 AV. 
 ARO. 
 SLE. 
Annualized Loss Expectancy (ALE) é a métrica para mensurar o
valor do risco dentro de uma janela de tempo, normalmente um
ano.
0,5 / 0,5 ptsPergunta 8
Qual é a sigla para a métrica de valor do ativo?
 ARO. 
 SLE. 
 EF. 
 AV. 
 ALE. 
Definição do valor do ativo.
0,5 / 0,5 ptsPergunta 9
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook
no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para
cada colaborador. Posteriormente, em uma apuração foi identificado
que foram roubados 12 notebooks no último ano, o que, em média,
corresponde à ocorrência de 1 notebook roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE,
RESPECTIVAMENTE?
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 
 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 
Considerando o valor de R$ 4.000,00 como VA, sendo EF,
nesse contexto, de 100%; consequentemente, o valor de SLE
também será de R$ 4.000,00. Dessa forma, ponderando 12
meses, o valor de ALE será de R$ 48.000,00.
0,5 / 0,5 ptsPergunta 10
Qual é a sigla para a métrica de expectativa de perda única?
 AV. 
 ALE. 
 ARO. 
 SLE. 
 EF. 
É uma métrica quantitativa para mensurar o valor de perda
motivado por um determinado risco.
0,5 / 0,5 ptsPergunta 11
É assumido que o processo de elaboração da Análise de Impacto ao
Negócio (BIA) é fundamental para que seja possível mapear os
impactos que podem motivar interrupção de um ou mais processos
críticos ao negócio. Dessa forma, a elaboração também é importante
para dar suporte ao processo cuja sigla é
 ALE. 
 ROI. 
 TCO. 
 ROSI. 
 PCN. 
Plano de Continuidade de Negócio (PCN) – importante
processo que define ações para garantir o retorno da operação
diante de uma ameaça concretizada
0,5 / 0,5 ptsPergunta 12
BIA é a sigla em inglês para o processo de Business
 Impact Advanced. 
 Intelligence Analytic. 
 Impact Analytic. 
 Intelligence Analysis. 
 Impact Analysis. 
BIA é a sigla em inglês para Business Impact Analysis, ou seja,
processo de análise de impacto de negócio.
0,5 / 0,5 ptsPergunta 13
Assinale a alternativa que apresenta o termo atribuído a qualquer
evento adverso, confirmado ou sob suspeita, relacionado à segurança
de sistemas de computação ou de redes de computadores:
 Dano. 
 Política de segurança. 
 Risco. 
 Incidente de segurança. 
 Acaso. 
Corresponde a um evento adverso que gera impacto e está
relacionado à segurança.
0,5 / 0,5 ptsPergunta 14
Como são chamadas as medidas de segurança que visam restaurar o
ambiente após um incidente?
 Repressivas. 
 Corretivas. 
 Adivinhativas. 
 Detectivas. 
 Preventivas. 
Medidas que são definidas para restaurar um ambiente após a
ocorrência de um incidente.
0,5 / 0,5 ptsPergunta 15
Qual é o processo que deve ser implementado para mitigar o impacto
de risco previamente mapeado pelo processo de análise de risco e
devidamente avaliado no processo de Análise de Impacto ao Negócio
(BIA)?
 PCN. 
 TCO. 
 ALE. 
 ROI. 
 ROSI. 
Plano de Continuidade de Negócios (PCN) é definido a partir da
possibilidade de impacto/desastre previamente mapeado, ou
seja, a conceituaçãode um PCN é específica e deve-se
considerar sempre o “pior cenário possível” em sua elaboração.
0,5 / 0,5 ptsPergunta 16
Um incidente pode ser definido como?
 Pode ser definido como a concretização de uma ameaça. 
 
É uma avaliação detalhada do ambiente da instituição, verificando se o
ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
 
Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada
por uma ou mais ameaças.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
Pode ser definido como a concretização de uma ameaça.
0,5 / 0,5 ptsPergunta 17
O que é um Impacto?
 
É a probabilidade de que uma ameaça em potencial explora uma
vulnerabilidade.
 Furto de um ativo tangível. 
 É o uso de uma ameaça para conceber uma vulnerabilidade. 
 É uma mudança adversa no nível obtido dos objetivos de negócio. 
 É uma fraqueza que quando explorada gera uma vulnerabilidade. 
Um impacto pode ser definido também como consequência de
uma ameaça que se concretizou a partir da exploração de uma
vulnerabilidade. Digite aqui
0,5 / 0,5 ptsPergunta 18
Uma vulnerabilidade pode ser definida como?
 
É uma medida provável de ocorrência de uma determinada ameaça se
concretizar em um incidente durante o período pré-determinado.
 
É uma medida numérica ou de sensibilidade a qual está exposto um
grau menor ou maior de um determinado ativo.
 
Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada
por uma ou mais ameaças.
 Pode ser definida como a concretização de uma ameaça. 
 
É uma reficação detalhada do ambiente da instituição, verificando se o
ambiente atual fornece condições de segurança compatíveis com a
importância estratégica dos serviços realizados.
Vulnerabilidade é uma fraqueza que pode ser também
considerada do ponto de vista tecnológico, dos processos e das
pessoas. Uma ameaça se concebe a partir de uma
vulnerabilidade.
0,5 / 0,5 ptsPergunta 19
Sobre um incidente de segurança, pode-se considerar que é um
incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
Está correto apenas o que se afirma em:
 II e III. 
 I e II. 
 I. 
 III. 
 I, II e III. 
É evento relacionado à segurança que venha gerar um impacto
é considerado um evento.
0 / 0,5 ptsPergunta 20IncorretaIncorreta
I - Danos são consequências de um incidente e podem ser diretos e
indiretos;
II - Um dano indireto refere-se aos bens e serviços que deixam de ser
produzidos ou prestados durante o lapso de tempo logo depois de um
incidente;
III - Danos diretos são aqueles sofridos pelos ativos imobilizados,
destruídos ou danificados em um incidente.
Sobre o conceito de Dano, está correto apenas o que se afirma em:
 III. 
 I, II e III. 
 II e III. 
 I e II. 
 I. 
Danos é a consequência tangível motivada por um incidente,
esse dano pode ser ao patrimônio quando de trata de uma ativo
mensurável, ou a marca quando se trata de um ativo não
mensurável como a reputação.
Pontuação do teste: 9 de 10