Baixe o app para aproveitar ainda mais
Prévia do material em texto
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 1/20 Avaliação Geral da Disciplina Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 mar em 0:00 - 31 mar em 23:59 12 dias Limite de tempo Nenhum Tentativas permitidas 3 Este teste foi travado 31 mar em 23:59. Histórico de tentativas Tentativa Tempo Pontuação MAIS RECENTE Tentativa 1 32 minutos 8 de 10 Pontuação desta tentativa: 8 de 10 Enviado 25 mar em 20:07 Esta tentativa levou 32 minutos. 0,5 / 0,5 ptsPergunta 1 Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação? Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada. Correto!Correto! https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300/history?version=1 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 2/20 Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos. Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação. Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002. 0,5 / 0,5 ptsPergunta 2 Sobre o risco, é CORRETO afirmar que Pode ser eliminado com a aquisição de tecnologia para segurança da informação. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 3/20 Construtivas e qualitativas. Qualitativas e avaliativas. Quantitativas e avaliativas. Qualitativas e quantitativas. Correto!Correto! A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco. 0 / 0,5 ptsPergunta 3 Fazer análise e gerenciamento de risco É fundamental para a política de segurança. Você respondeuVocê respondeu Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN). Resposta corretaResposta correta Sustenta o processo de análise de impacto. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 4/20 É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. Não é possível se não houver análise de vulnerabilidade. Alguns processos de segurança da informação dependem da execução de outros processos. Um bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um gerenciamento de risco. 0,5 / 0,5 ptsPergunta 4 Sobre o planejamento de resposta a risco, é CORRETO afirmar que É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades. É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes. Não é relevante para a gestão organizacional. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 5/20 Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio. Correto!Correto! É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização. Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o nível de risco que foi definido como aceitável para o negócio. 0 / 0,5 ptsPergunta 5 A seguinte equação: Ameaça x vulnerabilidade x valor do ativo = risco Não tem relação com a análise de risco. Qualifica um tipo de risco em relação ao seu grau de prioridade. Consolida o valor da ameaça. Você respondeuVocê respondeu Pode ser utilizada para representar o que é risco. Resposta corretaResposta correta 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 6/20 É sugerida pela ISO 27037 para definir risco. Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor do ativo. 0,5 / 0,5 ptsPergunta 6 Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês. Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE? 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. Correto!Correto! 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 7/20 Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%; consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12 meses, o valor de ALE será de R$ 48.000,00. 0,5 / 0,5 ptsPergunta 7 Qual é a sigla para a métrica de expectativa de perda anual? ARO. SLE. EF. ALE. Correto!Correto! AV. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 8/20 Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela de tempo, normalmente um ano. 0,5 / 0,5 ptsPergunta 8 Como se calcula o Single Loss Expectancy (SLE)? SLE x EF. SLE x ARO. EF x ARO. ARO x AV. AV x EF. Correto!Correto! O valor do SLE pode ser definido a partir do produto de Asset Value (AV) por Exposure Factor (EF). 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 9/20 0,5 / 0,5 ptsPergunta 9 Qual é a sigla para a métrica de taxa de ocorrência anual? ALE. SLE. AV. EF. ARO Correto!Correto! Sigla que define a métrica de taxa de ocorrência anual. 0,5 / 0,5 ptsPergunta 10 Qual é a sigla para a métrica de expectativa de perda única? ALE. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 10/20 EF. SLE. Correto!Correto! AV. ARO. É uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco. 0,5 / 0,5 ptsPergunta 11 Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio? ROI PCN. ALE. ROSI. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 11/20 BIA. Correto!Correto! Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas de negócio da empresa. 0,5 / 0,5ptsPergunta 12 Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)? ROI. PCN. Correto!Correto! ROSI. TCO. ALE. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 12/20 Plano de Continuidade de Negócios (PCN) é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração. 0,5 / 0,5 ptsPergunta 13 Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente? Adivinhativas. Preventivas. Repressivas. Detectivas. Corretivas. Correto!Correto! Medidas que são definidas para restaurar um ambiente após a ocorrência de um incidente. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 13/20 0,5 / 0,5 ptsPergunta 14 Considere as seguintes afirmativas sobre o Plano de Continuidade de Negócio (PCN): I Responde a um desastre pré-definido. II Tem a capacidade de responder a todo e qualquer desastre. III Recomenda-se que durante a elaboração de um PCN seja considerado o conceito do "pior cenário possível". É VERDADEIRO o que se afirma em II e III, apenas. III, apenas. I e II, apenas. I e III, apenas. Correto!Correto! I, II e III. PCN é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua elaboração. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 14/20 0,5 / 0,5 ptsPergunta 15 Qual é o propósito da notificação de incidentes de segurança da informação? Garantir que as mudanças aconteçam de forma planejada e controlada dentro das organizações. Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Direcionar as atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela alta gestão. Assegurar que fragilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Correto!Correto! Notificar os fornecedores sobre falhas na operação. Processo que deve ser definido como parte da gestão de incidentes, formalizando o canal correto para notificação, a fim de que seja de conhecimento de todos os colaboradores. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 15/20 0,5 / 0,5 ptsPergunta 16 Como pode ser definido o processo de Análise de Vulnerabilidade? Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Correto!Correto! Pode ser definido como a concretização de uma ameaça. É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Essa visão de Análise de Vulnerabilidade não se deve limitar ao contexto tecnológico, deve-se considerar também processos e pessoas. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 16/20 0,5 / 0,5 ptsPergunta 17 Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”? É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. Pode ser definido como a concretização de uma ameaça. É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. Correto!Correto! 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 17/20 É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado que pode ser mensurada a partir de informações apuradas durante uma análise de Vulnerabilidades. E também pode ser utilizado como métrica subsidiar uma Análise de Risco 0 / 0,5 ptsPergunta 18 O que é um Impacto? É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade. É uma fraqueza que quando explorada gera uma vulnerabilidade. É uma mudança adversa no nível obtido dos objetivos de negócio. Resposta corretaResposta correta Furto de um ativo tangível. Você respondeuVocê respondeu É o uso de uma ameaça para conceber uma vulnerabilidade. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 18/20 Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a partir da exploração de uma vulnerabilidade. Digite aqui 0,5 / 0,5 ptsPergunta 19 Um incidente pode ser definido como? É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. Pode ser definido como a concretização de uma ameaça. Correto!Correto! Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 19/20 Pode ser definido como a concretização de uma ameaça. 0 / 0,5 ptsPergunta 20 Sobre um incidente de segurança, pode-se considerar que é um incidente: I - Um documento esquecido na impressora; II - Um notebook roubado; III - Um pen-drive com documentos corporativos perdidos. Está correto apenas o que se afirma em: I e II. III. II e III. Você respondeuVocê respondeu I. I, II e III. Resposta corretaResposta correta 28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 20/20 É evento relacionado à segurança que venha gerar um impacto é considerado um evento. Pontuação do teste: 8 de 10
Compartilhar