Atividade Objetiva 2_ Gestão de Crises e Continuidade de Negócios

Prévia do material em texto

27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 1/11
Atividade Objetiva 2
0,2 / 0,2 ptsPergunta 1
Leia o texto abaixo:
 
Vazamento de senhas do Ministério da Saúde não foi causado por
ataque cibercriminoso.
 
O vazamento das senhas de acesso aos dados de 16 milhões de
brasileiros que tiveram suspeita ou confirmação de covid-19 não foi
resultado de um ataque cibercriminoso. De acordo com o Estadão, foi
um erro de um profissional de dados que teria publicado as credenciais
em seu perfil no GitHub.
O banco de dados ficou aberto para consulta por cerca de um mês,
entre outubro e novembro, após um cientista de dados do Hospital
Albert Einstein publicar uma lista com as credenciais de acesso a dois
sistemas: o E-SUS-VE, que coleta dados de pacientes com suspeita
ou confirmação de covid-19 e o Sivep-Gripe que coleta registros de
internação de pacientes em estado mais grave. Ambos bancos de
dados são de nível federal e reúnem dados do Brasil todo.
Os bancos de dados são de responsabilidade do Ministério da Saúde e
segundo o jornal, o funcionário teve acesso a esses dados, pois estava
trabalhando em um projeto com o governo. O objetivo era testar a
implementação de um modelo, mas o funcionário esqueceu de
remover o arquivo (que estava público) do GitHub.
 
Os dados
Os sistemas reúnem nome, CPF, endereço, telefone e doenças pré-
existentes de cerca 16 milhões de brasileiros que procuraram hospitais
com sintomas de covid-19. Há ainda informações de prontuário e quais
medicamentos foram usados no tratamento durante a hospitalização
de alguns pacientes.
Os hospitais brasileiros são obrigados a oferecer dados relacionados a
covid-19 ao Ministério da Saúde. Esses dados são informações
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 2/11
fundamentais para que o governo tenha critério no desenvolvimento de
tratamentos e até mesmo de uma vacina. Mas são dados
extremamente sigilosos, que devem pertencer somente ao governo
para o bem público. Já que empresas (tanto de saúde como qualquer
outra área) podem usá-los para oferecer produtos e soluções
específicas direcionadas para um grupo ou até individualmente.
Entre os registros, é possível encontrar as informações de Jair
Bolsonaro e seus familiares, além de muitos outros representantes
políticos, como João Dória, Onyx Lorenzoni, Damares Alves, Rodrigo
Maia. Os dados foram confirmados pelo Estadão.
 
Posicionamento oficial
Em nota à imprensa divulgada nesta quinta-feira (26) o Ministério da
Saúde informa que o arquivo já foi removido do GitHub e que a equipe
de segurança cibernética do hospital já está “tomando as medidas
necessárias para conter um possível vazamento de arquivos que
contenham login e senha para acesso das informações dos sistemas
via Elastic Search”.
Já o hospital informa não tem acesso aos dados, nem ao arquivo com
as senhas, mas que o funcionário tinha, pois estava trabalhando em
um projeto em parceria com o Ministério da Saúde. Segundo o
hospital, o funcionário foi demitido no mesmo dia que o vazamento se
tornou público.
“[Os dados] ficam arquivados em uma base de dados do Ministério da
Saúde e são usados em um programa de monitoramento da pandemia
de Covid-19. O colaborador estava inclusive locado em Brasília.”, diz o
comunicado.
 
 
Fonte: Vazamento de senhas do Ministério da Saúde não foi causado
por ataque cibercriminoso por Guilherme Petry. TheHack. Disponível
em:
https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-
saude-nao-foi-causado-por-ataque-cibercriminoso/
(https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-saude-
nao-foi-causado-por-ataque-cibercriminoso/)
Acesso em: 24 jan. 2021
https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-saude-nao-foi-causado-por-ataque-cibercriminoso/
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 3/11
 
Considerando as informações apresentadas, assinale a opção correta
 
O gerenciamento de crise trata de identificar eventos antes de
acontecer, e com o evento em andamento deve-se realizar a
comunicação estritamente interna com os envolvidos.
 
No gerenciamento da crise medidas para mitigar o risco de forma
antecipada foram realizados e ocorreram negligências de comunicação
em tempo hábil.
 
No gerenciamento dessa crise há evidências de ações de comunicação
realizadas de forma tardia e indícios de falhas na adoção de boas
práticas para mitigar o risco de exposição de dados sensíveis.
Correto!Correto!
A alternativa está correta. Se um conjunto de medidas de
prevenção a crises tivessem sido tomadas durante o projeto e os
riscos envolvidos na atividade tivessem sido levantados
anteriormente, haveria grande possibilidade de não ocorrer o
vazamento de informações que geraram a crise ou, no pior dos
casos, o conhecimento do vazamento e a comunicação as partes
interessadas envolvidas seriam realizadas em um tempo muito
menor que o citado na noticia que foi por cerca de 1 mês.
 
O gerenciamento de crise foi realizado da forma correta, o evento foi
identificado e medidas de contorno foram tomadas para conter um
possível vazamento de dados.
 
O gerenciamento de crise foi realizado em tempo hábil e logo após o
incidente medidas de contorno foram realizadas.
0,2 / 0,2 ptsPergunta 2
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 4/11
Leia o texto abaixo:
 
Uma crise pode transparecer o nível de preparação de uma
organização além de testar sua capacidade de reação a um evento
negativo. Isso evidencia se seus líderes são maduros o suficiente e se
estão alinhados aos valores e necessidades que todas as partes
interessadas esperam da organização.
 
Além do apoio executivo para se desenvolver um plano de
gerenciamento de crises, na fase inicial é fundamental
 estar alinhado ao plano de recuperação de desastres. 
 usar uma abordagem de gerenciamento de riscos conhecidos. 
 catalogar potenciais situações de crise pertinentes ao negócio. Correto!Correto!
A alternativa está correta. Catalogar potenciais situações de crise
deve ser uma tarefa inicial, pois todas as ações de prevenção e
estratégias serão baseadas nessas situações com maior
probabilidade de acometer o negócio em questão. Por exemplo, é
possível catalogar uma crise derivada de um evento de desastre
natural se sua empresa possuir um datacenter próximo a uma
área que sofre com inundações. No plano, por exemplo, estará
descrito quem são os responsáveis por determinado evento
catalogado.
 estar alinhado ao plano de continuidade dos negócios. 
 já possuir um manual de crise consolidado. 
0,2 / 0,2 ptsPergunta 3
Leia o texto abaixo:
 
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 5/11
Você é convidado a fazer parte do time executivo do gabinete de crises
de um startup de gestão de pagamentos on-line. Durante a escolha de
alguns cenários de crise para treinamento simulado, é sugerido por um
dos membros utilizar uma matriz de probabilidade e impacto para
eleger todos os eventos de crise relativos à tecnologia da informação
que podem afetar de maneira grave a imagem e operações da
companhia. É criada então uma matriz de ameaças que deve ser
utilizada para qualificar os eventos.
 
 
Em seguida, após análise dos eventos do último ano, são levantados
os eventos de crise pelo time de especialistas:
 
ID do
evento
Evento Probabilidade Impacto
01
Indisponibilidade do
balanceador de carga de
internet
0,3 0,9
02
Atualização de sistema
operacional dos servidores em
regime de emergência
0,5 0,3
03
Manutenção em regime de
emergência no hardware dos
servidores
0,1 0,3
04
Indisponibilidade de acessoao
banco de dados da aplicação
0,5 0,7
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 6/11
05 Indisponibilidade do switch de
rede
0,1 0,9
06 Falta de energia do data center 0,3 0,3
07
Problema na bateria dos
nobreaks
0,3 0,7
08 Ataque DDoS 0,3 0,5
09 Indisponibilidade da aplicação 0,3 0,9
10
Vazamento de dados dos
clientes
0,1 0,9
 
Considerando as informações do texto, avalie as afirmações abaixo: 
I. A classificação de magnitude dos 3 riscos mais prejudiciais a
continuidade do negócio são respectivamente os eventos 4, 1 e 9.
II. A resposta ao risco é desenvolvida após o treinamento de simulação
do evento de crise.
III. Uma maneira de reduzir os custos com treinamento simulado é
eliminar os riscos menos agressivos.
IV. Deve-se considerar a criação de resposta aos riscos de todos os
riscos classificados com alta probabilidade/impacto.
É correto o que se afirma apenas em: 
 I e IV. Correto!Correto!
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 7/11
A alternativa está correta, pois apenas as afirmações I e IV são
verdadeiras.
A afirmação I é verdadeira, pois os eventos 4, 1 e 9 são os que
possuem maior risco de gerar uma crise a companhia. Para
chegar ao resultado basta multiplicar a probabilidade x impacto de
cada evento, chegando à magnitude do risco.
A afirmação IV é verdadeira, pois é uma boa prática criar
respostas aos principais riscos que possam impactar as
operações do negócio, estando assim preparado em um evento
de crise.
 
 
A afirmação II é falsa, pois a resposta ao risco deve ser criada e
colocada em prática na simulação, servindo de treinamento para
a equipe que irá atuar no evento adverso e criando oportunidade
para aperfeiçoar a resposta caso necessário.
A afirmação III é falsa, pois eliminar o risco não é uma estratégia,
a não ser que a empresa elimine os fatores geradores do risco, ou
seja, os processos ou ativos envolvidos na entrega do produto ou
serviço. Uma maneira de reduzir os custos com treinamentos é
priorizar os riscos com maior probabilidade / impacto de
ocorrência.
 I e II. 
 II. 
 I e III 
 III e IV. 
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 8/11
0,2 / 0,2 ptsPergunta 4
Leia o texto abaixo:
 
O que é crime cibernético?
 
Crime cibernético é uma atividade criminosa que tem como alvo ou faz
uso de um computador, uma rede de computadores ou um dispositivo
conectado em rede.
Não todos, mas a maioria dos crimes cibernéticos é cometida por
cibercriminosos ou hackers que querem ganhar dinheiro. O crime
cibernético é realizado por pessoas ou organizações.
Alguns cibercriminosos são organizados, usam técnicas avançadas e
são altamente capacitados em termos técnicos. Outros são hackers
novatos.
Raramente o crime cibernético visa danificar os computadores por
outros motivos que não o lucro. Nesses casos, os motivos podem ser
pessoais ou políticos.
 
(Fonte: Kaspersky. Disponível na íntegra em:
https://www.kaspersky.com.br/resource-center/threats/what-is-
cybercrime (https://www.kaspersky.com.br/resource-
center/threats/what-is-cybercrime) . Acesso em: 24 jan. 2021)
 
Considerando os seguintes eventos negativos: “Funcionário realiza a
cópia não autorizada dos dados do design de um produto”; “Site de e-
commerce fica fora do ar por 5 horas”; “Vulnerabilidade é encontrada
em aplicativo de startup de pagamentos digitais”, analise as
afirmações abaixo sobre quais qualificações eles estão ligados,
respectivamente: 
I. Roubo de Informações. 
II. Sequestro de dados. 
https://www.kaspersky.com.br/resource-center/threats/what-is-cybercrime
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 9/11
III. Impacto na Operacionalização da empresa. 
IV. Vazamentos de dados confidenciais de usuários e clientes.
É correto o que se afirma apenas em: 
 IV, III e I. 
 I, II e IV. 
 II, I e III. 
 II, IV e I. 
 I, III e IV. Correto!Correto!
A alternativa está correta, pois apenas as afirmações I, III e IV
respeitam as situações indicadas respectivamente. 
A afirmação I é verdadeira, pois o funcionário roubou os dados,
mas não é possível saber se ele irá expô-los, ou cobrar resgate.
A afirmação III é verdadeira, pois não é descrito por qual motivo o
site está fora do ar, restando apenas a alternativa de que o evento
está causando um impacto na operacionalização da empresa.
A afirmação IV é verdadeira, pois uma vulnerabilidade usualmente
expõe dados sensíveis e confidenciais sobre transações
financeiras e dados de clientes e usuários.
A afirmação II é falsa, pois o sequestro de dados não está
caracterizado na situação descrita.
0 / 0,2 ptsPergunta 5
Leia o texto abaixo:
 
Inaugurada Sala de Situação e Gerenciamento de Crises e Grandes
Eventos
O objetivo é viabilizar a tomada de decisões ágeis, rápidas e
inteligentes em situações de emergência, otimizando recursos e
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 10/11
ações, durante grandes eventos como a Copa do Mundo. 
Os órgãos estaduais em atuação na Sala de Situação são as
secretarias de Defesa Social (Seds) (http://www.seds.mg.gov.br/)
 e Extraordinária da Copa do Mundo (Secopa)
(http://www.copa.mg.gov.br/) , polícias Militar
(http://www.policiamilitar.mg.gov.br/) e Civil
(http://www.pc.mg.gov.br/) , Corpo de Bombeiros
(http://www.bombeiros.mg.gov.br/) , Departamento de Estradas de
Rodagem de Minas (DER) (http://www.der.mg.gov.br/) , Gabinete
Militar, Coordenadoria Estadual de Defesa Civil
(http://www.defesacivil.mg.gov.br/) , Cemig (http://www.cemig.com.br/)
 e Copasa (http://www.copasa.com.br/) . As instituições municipais
são a Prefeitura, a Guarda Municipal, a BHTrans, a Secretaria
Municipal de Saúde, o Samu e a Empresa de Informática e Informação
do Município de Belo Horizonte (Prodabel). No âmbito federal,
participam Exército Brasileiro, Força Aérea Brasileira, Polícia Federal,
Polícia Rodoviária Federal, Agência Nacional de Telecomunicações,
Companhia Brasileira de Trens Urbanos, Infraero e Agência Brasileira
de Inteligência. No espaço de 926 m², do Edifício Minas, foram
instaladas mais de 200 estações de trabalho, sendo 40 para sala de
operações; 24 para sala de assessorias; 21 para sala de Inteligência
dos órgãos estaduais; 21 para sala de inteligência dos outros órgãos, e
24 para sala de gerenciamento de crises, além de 90 lugares na sala
de reuniões.
(Fonte: Inaugurada Sala de Situações e Gerenciamento de Crises e
Grandes Eventos. O Tempo. 15/03/2013. Disponível em:
https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao-
e-gerenciamento-de-crises-e-grandes-eventos-1.384509
(https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao-e-
gerenciamento-de-crises-e-grandes-eventos-1.384509)
Acesso em: 24 jan. /2021)(adaptado) 
 
Considerando os itens adequados que deve conter um manual de
crises, avalie as afirmações abaixo: 
I. No que se refere a ao comitê de crise, dados como hierarquia,
nomes, cargos, contatos, localização, papéis e responsabilidade são
indispensáveis. 
II. Em relação as comunicações, é preciso contrato com
pessoa/empresa externa a organização, para conduzir relações
públicas no momento da crise. 
http://www.seds.mg.gov.br/
http://www.copa.mg.gov.br/
http://www.policiamilitar.mg.gov.br/
http://www.pc.mg.gov.br/
http://www.bombeiros.mg.gov.br/
http://www.der.mg.gov.br/
http://www.defesacivil.mg.gov.br/
http://www.cemig.com.br/
http://www.copasa.com.br/
https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao-e-gerenciamento-de-crises-e-grandes-eventos-1.384509
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidadede Negócios
https://famonline.instructure.com/courses/15961/quizzes/57685 11/11
III. Em relação aos recursos materiais, normas internas, modelos de
formulários, sala de emergência são alguns dos recursos apropriados. 
É correto o que se afirma em:
 II e III, apenas. ocê respondeuocê respondeu
A alternativa está incorreta, pois apenas as afirmações I e III são
verdadeiras.
A afirmação I é verdadeira, pois dados como hierarquia, nomes,
cargos, contatos, localização, papeis e responsabilidades são
essenciais para poder encontrar os responsáveis pela gestão de
um evento que possa ocorrer.
A afirmação III é verdadeira, pois normas, modelos de
formulários e espaço físico devem estar designados e disponíveis
em um evento de crise, auxiliando na acomodação e suporte a
toda a equipe.
A afirmação II é falsa, pois o que tange as comunicações no
manual de crises são os tipos de comunicações que serão
realizadas, por exemplo, resumo de mensagens previamente
aprovadas para público interno e externo, sendo que essas
comunicações podem ser realizadas por funcionários internos, ou
seja, nem sempre é preciso o contrato com pessoas/empresas
externas a organização.
 I e II, apenas. 
 III, apenas. 
 I e III, apenas. esposta corretaesposta correta
 II, apenas. 
Pontuação do teste: 0,8 de 1