Avaliação Geral da Disciplina_ CONTINUIDADE DE NEGÓCIOS

Prévia do material em texto

28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 1/20
Avaliação Geral da Disciplina
Entrega Sem prazo Pontos 10 Perguntas 20 Disponível 20 mar em 0:00 - 31 mar em 23:59 12 dias
Limite de tempo Nenhum Tentativas permitidas 3
Este teste foi travado 31 mar em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 32 minutos 8 de 10
Pontuação desta tentativa: 8 de 10
Enviado 25 mar em 20:07
Esta tentativa levou 32 minutos.
0,5 / 0,5 ptsPergunta 1
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma
corporação?
 
Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se
existe algum tipo de controle já implementado na corporação avaliada.
Correto!Correto!
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300/history?version=1
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 2/20
 Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. 
 Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. 
 
Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para
tecnologias, pessoas e processos.
 
Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na
corporação.
Para qualquer norma a metodologia determina um checklist para identificar quais controles
recomendados estão implementados, de modo que é interessante para que seja possível mensurar a
maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente
considerando a ISO 27002.
0,5 / 0,5 ptsPergunta 2
Sobre o risco, é CORRETO afirmar que
 Pode ser eliminado com a aquisição de tecnologia para segurança da informação. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 3/20
 Construtivas e qualitativas. 
 Qualitativas e avaliativas. 
 Quantitativas e avaliativas. 
 Qualitativas e quantitativas. Correto!Correto!
A análise de risco é executada utilizando metodologias qualitativas, que possibilitam uma visão de
criticidade de risco; e metodologias quantitativas, que possibilitam mensurar monetariamente o risco.
0 / 0,5 ptsPergunta 3
Fazer análise e gerenciamento de risco
 É fundamental para a política de segurança. Você respondeuVocê respondeu
 
Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por
exemplo, Plano de Continuidade de Negócios (PCN).
Resposta corretaResposta correta
 Sustenta o processo de análise de impacto. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 4/20
 É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. 
 Não é possível se não houver análise de vulnerabilidade. 
Alguns processos de segurança da informação dependem da execução de outros processos. Um
bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um
gerenciamento de risco.
0,5 / 0,5 ptsPergunta 4
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
 É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades. 
 
É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de
forma que não ocorram incidentes.
 Não é relevante para a gestão organizacional. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 5/20
 
Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as
oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio.
Correto!Correto!
 É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização. 
Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o
nível de risco que foi definido como aceitável para o negócio.
0 / 0,5 ptsPergunta 5
A seguinte equação:
Ameaça x vulnerabilidade x valor do ativo = risco
 Não tem relação com a análise de risco. 
 Qualifica um tipo de risco em relação ao seu grau de prioridade. 
 Consolida o valor da ameaça. Você respondeuVocê respondeu
 Pode ser utilizada para representar o que é risco. Resposta corretaResposta correta
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 6/20
 É sugerida pela ISO 27037 para definir risco. 
Trata-se de uma fórmula para definir risco e mensurar o produto de ameaça, vulnerabilidade e valor
do ativo.
0,5 / 0,5 ptsPergunta 6
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$ 4.000,00, incluindo
todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que
foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook
roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE?
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. 
 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. Correto!Correto!
 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 7/20
Considerando o valor de R$ 4.000,00 como VA, sendo EF, nesse contexto, de 100%;
consequentemente, o valor de SLE também será de R$ 4.000,00. Dessa forma, ponderando 12
meses, o valor de ALE será de R$ 48.000,00.
0,5 / 0,5 ptsPergunta 7
Qual é a sigla para a métrica de expectativa de perda anual?
 ARO. 
 SLE. 
 EF. 
 ALE. Correto!Correto!
 AV. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 8/20
Annualized Loss Expectancy (ALE) é a métrica para mensurar o valor do risco dentro de uma janela
de tempo, normalmente um ano.
0,5 / 0,5 ptsPergunta 8
Como se calcula o Single Loss Expectancy (SLE)?
 SLE x EF. 
 SLE x ARO. 
 EF x ARO. 
 ARO x AV. 
 AV x EF. Correto!Correto!
O valor do SLE pode ser definido a partir do produto de Asset Value (AV) por Exposure Factor (EF).
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 9/20
0,5 / 0,5 ptsPergunta 9
Qual é a sigla para a métrica de taxa de ocorrência anual?
 ALE. 
 SLE. 
 AV. 
 EF. 
 ARO Correto!Correto!
Sigla que define a métrica de taxa de ocorrência anual.
0,5 / 0,5 ptsPergunta 10
Qual é a sigla para a métrica de expectativa de perda única?
 ALE. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 10/20
 EF. 
 SLE. Correto!Correto!
 AV. 
 ARO. 
É uma métrica quantitativa para mensurar o valor de perda motivado por um determinado risco.
0,5 / 0,5 ptsPergunta 11
Qual é o processo cuja realização é baseada em entrevistas aos líderes das áreas de negócio e à alta
direção da empresa, com o objetivo de mapear os possíveis impactos ao negócio?
 ROI 
 PCN. 
 ALE. 
 ROSI. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 11/20
 BIA. Correto!Correto!
Análise de Impacto ao Negócio (BIA) – processo responsável pela avaliação do impacto nas áreas
de negócio da empresa.
0,5 / 0,5ptsPergunta 12
Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo
processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)?
 ROI. 
 PCN. Correto!Correto!
 ROSI. 
 TCO. 
 ALE. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 12/20
Plano de Continuidade de Negócios (PCN) é definido a partir da possibilidade de impacto/desastre
previamente mapeado, ou seja, a conceituação de um PCN é específica e deve-se considerar
sempre o “pior cenário possível” em sua elaboração.
0,5 / 0,5 ptsPergunta 13
Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente?
 Adivinhativas. 
 Preventivas. 
 Repressivas. 
 Detectivas. 
 Corretivas. Correto!Correto!
Medidas que são definidas para restaurar um ambiente após a ocorrência de um incidente.
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 13/20
0,5 / 0,5 ptsPergunta 14
Considere as seguintes afirmativas sobre o Plano de Continuidade de Negócio (PCN):
I Responde a um desastre pré-definido.
II Tem a capacidade de responder a todo e qualquer desastre.
III Recomenda-se que durante a elaboração de um PCN seja considerado o conceito do "pior cenário
possível".
É VERDADEIRO o que se afirma em
 II e III, apenas. 
 III, apenas. 
 I e II, apenas. 
 I e III, apenas. Correto!Correto!
 I, II e III. 
PCN é definido a partir da possibilidade de impacto/desastre previamente mapeado, ou seja, a
conceituação de um PCN é específica e deve-se considerar sempre o “pior cenário possível” em sua
elaboração.
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 14/20
0,5 / 0,5 ptsPergunta 15
Qual é o propósito da notificação de incidentes de segurança da informação?
 Garantir que as mudanças aconteçam de forma planejada e controlada dentro das organizações. 
 
Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do
negócio e com as leis e regulamentações pertinentes.
 
Direcionar as atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela alta
gestão.
 
Assegurar que fragilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de
ação corretiva em tempo hábil.
Correto!Correto!
 Notificar os fornecedores sobre falhas na operação. 
Processo que deve ser definido como parte da gestão de incidentes, formalizando o canal correto
para notificação, a fim de que seja de conhecimento de todos os colaboradores.
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 15/20
0,5 / 0,5 ptsPergunta 16
Como pode ser definido o processo de Análise de Vulnerabilidade?
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. 
 
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de
segurança compatíveis com a importância estratégica dos serviços realizados.
Correto!Correto!
 Pode ser definido como a concretização de uma ameaça. 
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado
ativo.
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o
período pré-determinado.
Essa visão de Análise de Vulnerabilidade não se deve limitar ao contexto tecnológico, deve-se
considerar também processos e pessoas.
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 16/20
0,5 / 0,5 ptsPergunta 17
Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”?
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado
ativo.
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 
 Pode ser definido como a concretização de uma ameaça. 
 
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de
segurança compatíveis com a importância estratégica dos serviços realizados.
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o
período pré-determinado.
Correto!Correto!
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 17/20
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente
durante o período pré-determinado que pode ser mensurada a partir de informações apuradas
durante uma análise de Vulnerabilidades. E também pode ser utilizado como métrica subsidiar uma
Análise de Risco
0 / 0,5 ptsPergunta 18
O que é um Impacto?
 É a probabilidade de que uma ameaça em potencial explora uma vulnerabilidade. 
 É uma fraqueza que quando explorada gera uma vulnerabilidade. 
 É uma mudança adversa no nível obtido dos objetivos de negócio. Resposta corretaResposta correta
 Furto de um ativo tangível. Você respondeuVocê respondeu
 É o uso de uma ameaça para conceber uma vulnerabilidade. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 18/20
Um impacto pode ser definido também como consequência de uma ameaça que se concretizou a
partir da exploração de uma vulnerabilidade. Digite aqui
0,5 / 0,5 ptsPergunta 19
Um incidente pode ser definido como?
 
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado
ativo.
 
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o
período pré-determinado.
 
É uma avaliação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de
segurança compatíveis com a importância estratégica dos serviços realizados.
 Pode ser definido como a concretização de uma ameaça. Correto!Correto!
 Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. 
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 19/20
Pode ser definido como a concretização de uma ameaça.
0 / 0,5 ptsPergunta 20
Sobre um incidente de segurança, pode-se considerar que é um incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
Está correto apenas o que se afirma em:
 I e II. 
 III. 
 II e III. Você respondeuVocê respondeu
 I. 
 I, II e III. Resposta corretaResposta correta
28/08/2021 Avaliação Geral da Disciplina: CONTINUIDADE DE NEGÓCIOS
https://cruzeirodosul.instructure.com/courses/12690/quizzes/49300 20/20
É evento relacionado à segurança que venha gerar um impacto é considerado um evento.
Pontuação do teste: 8 de 10