Gestão e Análise de Riscos

Prévia do material em texto

28/05/2021 Revisar envio do teste: QUESTIONÁRIO UNIDADE III – 7289-...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_64045263_1&course_id=_162016_1&content_id=_2085821_1&retur… 1/4
 Revisar envio do teste: QUESTIONÁRIO UNIDADE IIIGESTÃO E ANÁLISE DE RISCOS 7289-60_54406_R_E1_20211 CONTEÚDO
Usuário rafael.silva180 @aluno.unip.br
Curso GESTÃO E ANÁLISE DE RISCOS
Teste QUESTIONÁRIO UNIDADE III
Iniciado 28/05/21 17:22
Enviado 28/05/21 17:23
Status Completada
Resultado da tentativa 2,5 em 2,5 pontos  
Tempo decorrido 0 minuto
Resultados exibidos Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
Pergunta 1
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da
resposta:
A de�nição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança e�caz e isso
exige necessariamente a compreensão dos riscos da Organização. Quais são as três etapas do planejamento do sistema de segurança?
(1) De�nição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
(1) De�nição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
(1) De�nição de relevância; (2) Estruturação; (3) Implementação de ferramentas de risco.
(1) De�nição de controle; (2) Análise e controle de danos; (3) Comunicação do risco.
(1) Organização; (2) Vendas; (3) Produção.
(1) De�nição de relevância; (2) De�nição do escopo; (3) Implementação de ferramentas de risco.
Resposta: A 
Comentário: Essas 3 etapas listadas na alternativa A são o trio que garante a governança do sistema de gestão da
segurança.
Pergunta 2
Resposta
Selecionada:
c.
Respostas: a. 
b. 
c.
d.
e.
Feedback da
resposta:
A cadeia de valor é uma ferramenta/método que é usado em conjunto com a Gestão da Segurança da Informação. O que é a cadeia de
valor?
É uma ferramenta que auxilia na de�nição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente não calculado.
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente já calculado.
É uma ferramenta que auxilia na de�nição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
É uma ferramenta que permite a troca de dados entre as etapas iniciais e �nais de uma análise de segurança
(ameaças e vulnerabilidades).
É uma ferramenta que permite a de�nição de valores (custo) desde as etapas iniciais da governança da segurança.
Resposta: C 
Comentário: Uma das principais metodologias para identi�car a melhor maneira de de�nir o escopo para o SGSI é
realizar uma análise de cadeia de valor da Organização.
Pergunta 3
CONTEÚDOS ACADÊMICOS BIBLIOTECAS MURAL DO ALUNO TUTORIAIS
rafael.silva180 @aluno.unip.br 4
UNIP EAD
0,25 em 0,25 pontos
0,25 em 0,25 pontos
0,25 em 0,25 pontos
http://company.blackboard.com/
https://ava.ead.unip.br/webapps/blackboard/execute/courseMain?course_id=_162016_1
https://ava.ead.unip.br/webapps/blackboard/content/listContent.jsp?course_id=_162016_1&content_id=_2084482_1&mode=reset
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_25_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_27_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_47_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_29_1
https://ava.ead.unip.br/webapps/portal/execute/tabs/tabAction?tab_tab_group_id=_10_1
https://ava.ead.unip.br/webapps/login/?action=logout
28/05/2021 Revisar envio do teste: QUESTIONÁRIO UNIDADE III – 7289-...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_64045263_1&course_id=_162016_1&content_id=_2085821_1&retur… 2/4
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da
resposta:
Aponte qual alternativa traz uma vantagem da de�nição do grau de relevância dos processos para uma organização.
É possível perceber e priorizar os processos mais importantes.
É possível perceber e priorizar os processos mais importantes.
O custo pode ser mais bem calculado, pois está diretamente ligado à relevância.
Isso permite que o escopo da análise de risco possa ser alterado ao longo dos processos.
Isso impede que o escopo da análise de risco possa ser alterado ao longo dos processos.
Com isso a documentação do escopo não precisa passar por reavaliações.
Resposta: A 
Comentário: Se o risco levar em conta a relevância do processo, isto signi�ca dizer que o tratamento de risco, de algum
modo, atenderá primeiro ou de forma mais de�nitiva aos processos mais relevantes.
Pergunta 4
Resposta
Selecionada:
d. 
Respostas: a. 
b.
c. 
d. 
e. 
Feedback da
resposta:
Payback é um termo técnico usado em várias áreas, inclusive na análise de risco. Qual alternativa melhor de�ne o termo?
É o período que um investimento leva para dar retorno à empresa.
Trata-se do retorno sobre a documentação implantada em análise de risco.
É uma análise que mede se a comunicação de risco foi ou não efetuada de forma coerente durante a análise de
risco.
Trata-se do custo de mudança em um projeto de análise de risco.
É o período que um investimento leva para dar retorno à empresa.
Período que leva para um risco ser eliminado.
Resposta: D 
Comentário: O conceito se refere ao tempo que a organização vai levar para fazer com que algum dinheiro aplicado
retorne ao caixa.
Pergunta 5
Resposta
Selecionada:
b. 
Respostas: a. 
b. 
c.
d. 
e.
Feedback da
resposta:
Há diferenças entre os métodos quantitativos e qualitativos. Marque a alternativa correta a respeito das características que de�nem esses
dois métodos.
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
O quantitativo usa cálculos mais simples. O qualitativo usa cálculos mais complexos.
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
O qualitativo facilita a determinação do custo/benefício. O quantitativo di�culta a determinação do custo-benefício.
O quantitativo facilita a atribuição das taxas de risco, ao contrário do qualitativo.
No qualitativo, os resultados são baseados em objetivos; enquanto no quantitativo, os resultados se baseiam em
dados mais subjetivos.
Resposta: B 
Comentário: No método quantitativo, os valores �nanceiros são atribuídos ao risco; enquanto no qualitativo, não há
essa valoração de riscos.
Pergunta 6
Para o cálculo de risco algumas variáveis são muito importantes. Marque a alternativa que traz uma explicação errada sobre estas
variáveis.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
0,25 em 0,25 pontos
28/05/2021 Revisar envio do teste: QUESTIONÁRIO UNIDADE III – 7289-...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_64045263_1&course_id=_162016_1&content_id=_2085821_1&retur… 3/4
Resposta Selecionada: e. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da resposta:
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
Probabilidade: se refere à chance que existe de o incidente acontecer.
Impacto: se refere ao impacto no negócio que o incidente vai provocar caso ocorra.
Ocorrências: se refere ao número de vezes que este incidente já ocorreu no passado.
Relevância do processo: se refere à importância do processo para a organização.
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
Resposta: E 
Comentário: Os controles de segurança são as medidas protetivas de segurança para barrar um incidente.
Pergunta 7
Resposta Selecionada: b. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da
resposta:
O ativo de pessoal também deve ser levado em conta na análise de riscos. Há várias ameaças e vulnerabilidades que podem acontecer com
as pessoas e/ou por causa delas. Marque a alternativa que não traz uma ameaça ou vulnerabilidade associada ao ativo de pessoal.
Tecnologia.Doença.
Tecnologia.
Cansaço.
Descontentamento.
Corrupção.
Resposta: B 
Comentário: A tecnologia não está diretamente ligada ao ativo de pessoal quando se analisa a geração de ameaças
ou vulnerabilidades.
Pergunta 8
Resposta Selecionada: a. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da resposta:
Após o processo de identi�cação e categorização é necessário dar uma resposta ao risco e isso pode ocorrer basicamente de quatro
formas de tratamento. Marque a alternativa que não expressa uma destas formas de tratamento do risco.
Medir o risco.
Medir o risco.
Evitar o risco.
Controlar o risco.
Transferir o risco.
Aceitar o risco.
Resposta: A 
Comentário: Medir o risco não é uma resposta/tratamento ao risco. Pode ser encarado mais como uma análise.
Pergunta 9
Resposta
Selecionada:
b. 
Respostas: a. 
b. 
c. 
A conformidade é uma sugestão presente na norma ABNT NBR ISO/IEC 27002. A ideia de conformidade preconizada na lei e que pode ser
aplicada ao processo de análise de risco pode ser entendida como:
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
Não pode haver desvios entre os objetivos de uma análise de riscos.
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
Sistemas devem estar em conformidade com as diretrizes traçadas pelos programadores.
0,25 em 0,25 pontos
0,25 em 0,25 pontos
0,25 em 0,25 pontos
28/05/2021 Revisar envio do teste: QUESTIONÁRIO UNIDADE III – 7289-...
https://ava.ead.unip.br/webapps/assessment/review/review.jsp?attempt_id=_64045263_1&course_id=_162016_1&content_id=_2085821_1&retur… 4/4
Sexta-feira, 28 de Maio de 2021 17h23min23s GMT-03:00
d.
e. 
Feedback da resposta:
Uma organização deve estar de acordo com os critérios, escopos e parâmetros de�nidos durante o planejamento da
segurança.
Métodos e controles de segurança devem estar em conformidade e alinhados com as estratégias da empresa.
Resposta: B 
Comentário: A conformidade sugerida na ABNT 27002 está no amparo legal (leis).
Pergunta 10
Resposta Selecionada: c. 
Respostas: a. 
b. 
c. 
d. 
e. 
Feedback da resposta:
O processo para tratamento de não conformidades tem 5 etapas. Assinale a alternativa errada em relação a esses passos.
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
Etapa 1: Identi�que as causas da não conformidade.
Etapa 2: Avalie se ações devem ser tomadas para atender à não conformidade.
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
Etapa 4: Divida a implementação da ação em módulos de análise.
Etapa 5: Registre os resultados para futuras aferições.
Resposta: C 
Comentário: Na verdade, a etapa 3 é: Implemente ação corretiva apropriada.
← OK
0,25 em 0,25 pontos
javascript:launch('/webapps/blackboard/content/listContent.jsp?content_id=_2084482_1&course_id=_162016_1&nolaunch_after_review=true');