Baixe o app para aproveitar ainda mais
Prévia do material em texto
Avaliação Geral da Disciplina Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 mar em 0:00 - 1 abr em 1:00 12 dias Limite de tempo Nenhum Tentativas permitidas 3 Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 35 minutos 9 de 10 As respostas corretas estão ocultas. Pontuação desta tentativa: 9 de 10 Enviado 29 mar em 17:52 Esta tentativa levou 35 minutos. Fazer o teste novamente 0,5 / 0,5 ptsPergunta 1 Sobre o risco, é CORRETO afirmar que Qualitativas e avaliativas. Construtivas e qualitativas. Pode ser eliminado com a aquisição de tecnologia para segurança da informação. Quantitativas e avaliativas. Qualitativas e quantitativas. https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/history?version=1 https://cruzeirodosul.instructure.com/courses/5446/quizzes/16558/take?user_id=17257 A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco. 0,5 / 0,5 ptsPergunta 2 A seguinte equação: Ameaça x vulnerabilidade x valor do ativo = risco É sugerida pela ISO 27037 para definir risco. Pode ser utilizada para representar o que é risco. Consolida o valor da ameaça. Não tem relação com a análise de risco. Qualifica um tipo de risco em relação ao seu grau de prioridade. Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor do ativo. 0,5 / 0,5 ptsPergunta 3 Considere as seguintes afirmativas: I A análise de risco é uma ferramenta importante para possibilitar ao especialista de segurança da informação realizar o gerenciamento de riscos. II O processo de análise de risco é fundamental para a realização de outros processos de segurança da informação, tais como BIA, PCN e PRD. III O devido investimento em tecnologias para segurança, como firewall, IDS, antivírus etc., bastam para garantir a segurança. É VERDADEIRO o que se afirmar em I, II e III. I, apenas. II, apenas. I e III, apenas. I e II, apenas. A Análise de Risco acaba sendo um requisito importante para outros processos de Segurança de informação, dando subsídio para a liderança avaliar os aspectos pertinentes que podem gerar impacto ao negócio como também dar suporte na decisão das ações de mitigação e até mesmo na priorização dessas ações. Diante disso deve se ter em mente que não seria correto pensar em BIA, PCN ou mesmo PRD sendo que se tenha feito uma Análise de Risco. 0,5 / 0,5 ptsPergunta 4 Sobre o planejamento de resposta a risco, é CORRETO afirmar que É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades. Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio. É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização. Não é relevante para a gestão organizacional. É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes. Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o nível de risco que foi definido como aceitável para o negócio. 0 / 0,5 ptsPergunta 5IncorretaIncorreta Fazer análise e gerenciamento de risco Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN). Sustenta o processo de análise de impacto. Não é possível se não houver análise de vulnerabilidade. É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. É fundamental para a política de segurança. Alguns processos de segurança da informação dependem da execução de outros processos. Um bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um gerenciamento de risco. 0,5 / 0,5 ptsPergunta 6 Assinale a alternativa que apresenta uma metodologia de análise de risco quantitativa? Análise de vulnerabilidade. Matriz de GUT. ROI e ROSI. OWASP. SLE e ALE. Single Loss Expectancy (SLE) é uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco. Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela de tempo, normalmente um ano. 0,5 / 0,5 ptsPergunta 7 Qual é a sigla para a métrica de expectativa de perda anual? ALE. EF. AV. ARO. SLE. Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela de tempo, normalmente um ano. 0,5 / 0,5 ptsPergunta 8 Qual é a sigla para a métrica de valor do ativo? ARO. SLE. EF. AV. ALE. Definição do valor do ativo. 0,5 / 0,5 ptsPergunta 9 Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês. Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE? 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00. 0,5 / 0,5 ptsPergunta 10 Qual é a sigla para a métrica de expectativa de perda única? AV. ALE. ARO. SLE. EF. É uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco. 0,5 / 0,5 ptsPergunta 11 É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é ALE. ROI. TCO. ROSI. PCN. Plano de Continuidade de Negócio (PCN) – importante processo que define ações para garantir o retorno da operação diante de uma ameaça concretizada 0,5 / 0,5 ptsPergunta 12 BIA é a sigla em inglês para o processo de Business Impact Advanced. Intelligence Analytic. Impact Analytic. Intelligence Analysis. Impact Analysis. BIA é a sigla em inglês para Business Impact Analysis, ou seja, processo de análise de impacto de negócio. 0,5 / 0,5 ptsPergunta 13 Assinale a alternativa que apresenta o termo atribuído a qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores: Dano. Política de segurança. Risco. Incidente de segurança. Acaso. Corresponde a um evento adverso que gera impacto e está relacionado à segurança. 0,5 / 0,5 ptsPergunta 14 Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente? Repressivas. Corretivas. Adivinhativas. Detectivas. Preventivas. Medidas que são definidas para restaurar um ambiente após a ocorrência de um incidente. 0,5 / 0,5 ptsPergunta 15 Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)? PCN. TCO. ALE. ROI. ROSI. Plano de Continuidade de Negócios (PCN) é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituaçãode um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração. 0,5 / 0,5 ptsPergunta 16 Um incidente pode ser definido como? Pode ser definido como a concretização de uma ameaça. É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Pode ser definido como a concretização de uma ameaça. 0,5 / 0,5 ptsPergunta 17 O que é um Impacto? É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade. Furto de um ativo tangível. É o uso de uma ameaça para conceber uma vulnerabilidade. É uma mudança adversa no nível obtido dos objetivos de negócio. É uma fraqueza que quando explorada gera uma vulnerabilidade. Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a partir da exploração de uma vulnerabilidade. Digite aqui 0,5 / 0,5 ptsPergunta 18 Uma vulnerabilidade pode ser definida como? É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. Pode ser definida como a concretização de uma ameaça. É uma reficação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Vulnerabilidade é uma fraqueza que pode ser também considerada do ponto de vista tecnológico, dos processos e das pessoas. Uma ameaça se concebe a partir de uma vulnerabilidade. 0,5 / 0,5 ptsPergunta 19 Sobre um incidente de segurança, pode-se considerar que é um incidente: I - Um documento esquecido na impressora; II - Um notebook roubado; III - Um pen-drive com documentos corporativos perdidos. Está correto apenas o que se afirma em: II e III. I e II. I. III. I, II e III. É evento relacionado à segurança que venha gerar um impacto é considerado um evento. 0 / 0,5 ptsPergunta 20IncorretaIncorreta I - Danos são consequências de um incidente e podem ser diretos e indiretos; II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados durante o lapso de tempo logo depois de um incidente; III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um incidente. Sobre o conceito de Dano, está correto apenas o que se afirma em: III. I, II e III. II e III. I e II. I. Danos é a consequência tangível motivada por um incidente, esse dano pode ser ao patrimônio quando de trata de uma ativo mensurável, ou a marca quando se trata de um ativo não mensurável como a reputação. Pontuação do teste: 9 de 10
Compartilhar