Baixe o app para aproveitar ainda mais
Prévia do material em texto
27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 1/11 Atividade Objetiva 2 0,2 / 0,2 ptsPergunta 1 Leia o texto abaixo: Vazamento de senhas do Ministério da Saúde não foi causado por ataque cibercriminoso. O vazamento das senhas de acesso aos dados de 16 milhões de brasileiros que tiveram suspeita ou confirmação de covid-19 não foi resultado de um ataque cibercriminoso. De acordo com o Estadão, foi um erro de um profissional de dados que teria publicado as credenciais em seu perfil no GitHub. O banco de dados ficou aberto para consulta por cerca de um mês, entre outubro e novembro, após um cientista de dados do Hospital Albert Einstein publicar uma lista com as credenciais de acesso a dois sistemas: o E-SUS-VE, que coleta dados de pacientes com suspeita ou confirmação de covid-19 e o Sivep-Gripe que coleta registros de internação de pacientes em estado mais grave. Ambos bancos de dados são de nível federal e reúnem dados do Brasil todo. Os bancos de dados são de responsabilidade do Ministério da Saúde e segundo o jornal, o funcionário teve acesso a esses dados, pois estava trabalhando em um projeto com o governo. O objetivo era testar a implementação de um modelo, mas o funcionário esqueceu de remover o arquivo (que estava público) do GitHub. Os dados Os sistemas reúnem nome, CPF, endereço, telefone e doenças pré- existentes de cerca 16 milhões de brasileiros que procuraram hospitais com sintomas de covid-19. Há ainda informações de prontuário e quais medicamentos foram usados no tratamento durante a hospitalização de alguns pacientes. Os hospitais brasileiros são obrigados a oferecer dados relacionados a covid-19 ao Ministério da Saúde. Esses dados são informações 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 2/11 fundamentais para que o governo tenha critério no desenvolvimento de tratamentos e até mesmo de uma vacina. Mas são dados extremamente sigilosos, que devem pertencer somente ao governo para o bem público. Já que empresas (tanto de saúde como qualquer outra área) podem usá-los para oferecer produtos e soluções específicas direcionadas para um grupo ou até individualmente. Entre os registros, é possível encontrar as informações de Jair Bolsonaro e seus familiares, além de muitos outros representantes políticos, como João Dória, Onyx Lorenzoni, Damares Alves, Rodrigo Maia. Os dados foram confirmados pelo Estadão. Posicionamento oficial Em nota à imprensa divulgada nesta quinta-feira (26) o Ministério da Saúde informa que o arquivo já foi removido do GitHub e que a equipe de segurança cibernética do hospital já está “tomando as medidas necessárias para conter um possível vazamento de arquivos que contenham login e senha para acesso das informações dos sistemas via Elastic Search”. Já o hospital informa não tem acesso aos dados, nem ao arquivo com as senhas, mas que o funcionário tinha, pois estava trabalhando em um projeto em parceria com o Ministério da Saúde. Segundo o hospital, o funcionário foi demitido no mesmo dia que o vazamento se tornou público. “[Os dados] ficam arquivados em uma base de dados do Ministério da Saúde e são usados em um programa de monitoramento da pandemia de Covid-19. O colaborador estava inclusive locado em Brasília.”, diz o comunicado. Fonte: Vazamento de senhas do Ministério da Saúde não foi causado por ataque cibercriminoso por Guilherme Petry. TheHack. Disponível em: https://thehack.com.br/vazamento-de-senhas-do-ministerio-da- saude-nao-foi-causado-por-ataque-cibercriminoso/ (https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-saude- nao-foi-causado-por-ataque-cibercriminoso/) Acesso em: 24 jan. 2021 https://thehack.com.br/vazamento-de-senhas-do-ministerio-da-saude-nao-foi-causado-por-ataque-cibercriminoso/ 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 3/11 Considerando as informações apresentadas, assinale a opção correta O gerenciamento de crise trata de identificar eventos antes de acontecer, e com o evento em andamento deve-se realizar a comunicação estritamente interna com os envolvidos. No gerenciamento da crise medidas para mitigar o risco de forma antecipada foram realizados e ocorreram negligências de comunicação em tempo hábil. No gerenciamento dessa crise há evidências de ações de comunicação realizadas de forma tardia e indícios de falhas na adoção de boas práticas para mitigar o risco de exposição de dados sensíveis. Correto!Correto! A alternativa está correta. Se um conjunto de medidas de prevenção a crises tivessem sido tomadas durante o projeto e os riscos envolvidos na atividade tivessem sido levantados anteriormente, haveria grande possibilidade de não ocorrer o vazamento de informações que geraram a crise ou, no pior dos casos, o conhecimento do vazamento e a comunicação as partes interessadas envolvidas seriam realizadas em um tempo muito menor que o citado na noticia que foi por cerca de 1 mês. O gerenciamento de crise foi realizado da forma correta, o evento foi identificado e medidas de contorno foram tomadas para conter um possível vazamento de dados. O gerenciamento de crise foi realizado em tempo hábil e logo após o incidente medidas de contorno foram realizadas. 0,2 / 0,2 ptsPergunta 2 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 4/11 Leia o texto abaixo: Uma crise pode transparecer o nível de preparação de uma organização além de testar sua capacidade de reação a um evento negativo. Isso evidencia se seus líderes são maduros o suficiente e se estão alinhados aos valores e necessidades que todas as partes interessadas esperam da organização. Além do apoio executivo para se desenvolver um plano de gerenciamento de crises, na fase inicial é fundamental estar alinhado ao plano de recuperação de desastres. usar uma abordagem de gerenciamento de riscos conhecidos. catalogar potenciais situações de crise pertinentes ao negócio. Correto!Correto! A alternativa está correta. Catalogar potenciais situações de crise deve ser uma tarefa inicial, pois todas as ações de prevenção e estratégias serão baseadas nessas situações com maior probabilidade de acometer o negócio em questão. Por exemplo, é possível catalogar uma crise derivada de um evento de desastre natural se sua empresa possuir um datacenter próximo a uma área que sofre com inundações. No plano, por exemplo, estará descrito quem são os responsáveis por determinado evento catalogado. estar alinhado ao plano de continuidade dos negócios. já possuir um manual de crise consolidado. 0,2 / 0,2 ptsPergunta 3 Leia o texto abaixo: 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 5/11 Você é convidado a fazer parte do time executivo do gabinete de crises de um startup de gestão de pagamentos on-line. Durante a escolha de alguns cenários de crise para treinamento simulado, é sugerido por um dos membros utilizar uma matriz de probabilidade e impacto para eleger todos os eventos de crise relativos à tecnologia da informação que podem afetar de maneira grave a imagem e operações da companhia. É criada então uma matriz de ameaças que deve ser utilizada para qualificar os eventos. Em seguida, após análise dos eventos do último ano, são levantados os eventos de crise pelo time de especialistas: ID do evento Evento Probabilidade Impacto 01 Indisponibilidade do balanceador de carga de internet 0,3 0,9 02 Atualização de sistema operacional dos servidores em regime de emergência 0,5 0,3 03 Manutenção em regime de emergência no hardware dos servidores 0,1 0,3 04 Indisponibilidade de acessoao banco de dados da aplicação 0,5 0,7 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 6/11 05 Indisponibilidade do switch de rede 0,1 0,9 06 Falta de energia do data center 0,3 0,3 07 Problema na bateria dos nobreaks 0,3 0,7 08 Ataque DDoS 0,3 0,5 09 Indisponibilidade da aplicação 0,3 0,9 10 Vazamento de dados dos clientes 0,1 0,9 Considerando as informações do texto, avalie as afirmações abaixo: I. A classificação de magnitude dos 3 riscos mais prejudiciais a continuidade do negócio são respectivamente os eventos 4, 1 e 9. II. A resposta ao risco é desenvolvida após o treinamento de simulação do evento de crise. III. Uma maneira de reduzir os custos com treinamento simulado é eliminar os riscos menos agressivos. IV. Deve-se considerar a criação de resposta aos riscos de todos os riscos classificados com alta probabilidade/impacto. É correto o que se afirma apenas em: I e IV. Correto!Correto! 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 7/11 A alternativa está correta, pois apenas as afirmações I e IV são verdadeiras. A afirmação I é verdadeira, pois os eventos 4, 1 e 9 são os que possuem maior risco de gerar uma crise a companhia. Para chegar ao resultado basta multiplicar a probabilidade x impacto de cada evento, chegando à magnitude do risco. A afirmação IV é verdadeira, pois é uma boa prática criar respostas aos principais riscos que possam impactar as operações do negócio, estando assim preparado em um evento de crise. A afirmação II é falsa, pois a resposta ao risco deve ser criada e colocada em prática na simulação, servindo de treinamento para a equipe que irá atuar no evento adverso e criando oportunidade para aperfeiçoar a resposta caso necessário. A afirmação III é falsa, pois eliminar o risco não é uma estratégia, a não ser que a empresa elimine os fatores geradores do risco, ou seja, os processos ou ativos envolvidos na entrega do produto ou serviço. Uma maneira de reduzir os custos com treinamentos é priorizar os riscos com maior probabilidade / impacto de ocorrência. I e II. II. I e III III e IV. 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 8/11 0,2 / 0,2 ptsPergunta 4 Leia o texto abaixo: O que é crime cibernético? Crime cibernético é uma atividade criminosa que tem como alvo ou faz uso de um computador, uma rede de computadores ou um dispositivo conectado em rede. Não todos, mas a maioria dos crimes cibernéticos é cometida por cibercriminosos ou hackers que querem ganhar dinheiro. O crime cibernético é realizado por pessoas ou organizações. Alguns cibercriminosos são organizados, usam técnicas avançadas e são altamente capacitados em termos técnicos. Outros são hackers novatos. Raramente o crime cibernético visa danificar os computadores por outros motivos que não o lucro. Nesses casos, os motivos podem ser pessoais ou políticos. (Fonte: Kaspersky. Disponível na íntegra em: https://www.kaspersky.com.br/resource-center/threats/what-is- cybercrime (https://www.kaspersky.com.br/resource- center/threats/what-is-cybercrime) . Acesso em: 24 jan. 2021) Considerando os seguintes eventos negativos: “Funcionário realiza a cópia não autorizada dos dados do design de um produto”; “Site de e- commerce fica fora do ar por 5 horas”; “Vulnerabilidade é encontrada em aplicativo de startup de pagamentos digitais”, analise as afirmações abaixo sobre quais qualificações eles estão ligados, respectivamente: I. Roubo de Informações. II. Sequestro de dados. https://www.kaspersky.com.br/resource-center/threats/what-is-cybercrime 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 9/11 III. Impacto na Operacionalização da empresa. IV. Vazamentos de dados confidenciais de usuários e clientes. É correto o que se afirma apenas em: IV, III e I. I, II e IV. II, I e III. II, IV e I. I, III e IV. Correto!Correto! A alternativa está correta, pois apenas as afirmações I, III e IV respeitam as situações indicadas respectivamente. A afirmação I é verdadeira, pois o funcionário roubou os dados, mas não é possível saber se ele irá expô-los, ou cobrar resgate. A afirmação III é verdadeira, pois não é descrito por qual motivo o site está fora do ar, restando apenas a alternativa de que o evento está causando um impacto na operacionalização da empresa. A afirmação IV é verdadeira, pois uma vulnerabilidade usualmente expõe dados sensíveis e confidenciais sobre transações financeiras e dados de clientes e usuários. A afirmação II é falsa, pois o sequestro de dados não está caracterizado na situação descrita. 0 / 0,2 ptsPergunta 5 Leia o texto abaixo: Inaugurada Sala de Situação e Gerenciamento de Crises e Grandes Eventos O objetivo é viabilizar a tomada de decisões ágeis, rápidas e inteligentes em situações de emergência, otimizando recursos e 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 10/11 ações, durante grandes eventos como a Copa do Mundo. Os órgãos estaduais em atuação na Sala de Situação são as secretarias de Defesa Social (Seds) (http://www.seds.mg.gov.br/) e Extraordinária da Copa do Mundo (Secopa) (http://www.copa.mg.gov.br/) , polícias Militar (http://www.policiamilitar.mg.gov.br/) e Civil (http://www.pc.mg.gov.br/) , Corpo de Bombeiros (http://www.bombeiros.mg.gov.br/) , Departamento de Estradas de Rodagem de Minas (DER) (http://www.der.mg.gov.br/) , Gabinete Militar, Coordenadoria Estadual de Defesa Civil (http://www.defesacivil.mg.gov.br/) , Cemig (http://www.cemig.com.br/) e Copasa (http://www.copasa.com.br/) . As instituições municipais são a Prefeitura, a Guarda Municipal, a BHTrans, a Secretaria Municipal de Saúde, o Samu e a Empresa de Informática e Informação do Município de Belo Horizonte (Prodabel). No âmbito federal, participam Exército Brasileiro, Força Aérea Brasileira, Polícia Federal, Polícia Rodoviária Federal, Agência Nacional de Telecomunicações, Companhia Brasileira de Trens Urbanos, Infraero e Agência Brasileira de Inteligência. No espaço de 926 m², do Edifício Minas, foram instaladas mais de 200 estações de trabalho, sendo 40 para sala de operações; 24 para sala de assessorias; 21 para sala de Inteligência dos órgãos estaduais; 21 para sala de inteligência dos outros órgãos, e 24 para sala de gerenciamento de crises, além de 90 lugares na sala de reuniões. (Fonte: Inaugurada Sala de Situações e Gerenciamento de Crises e Grandes Eventos. O Tempo. 15/03/2013. Disponível em: https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao- e-gerenciamento-de-crises-e-grandes-eventos-1.384509 (https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao-e- gerenciamento-de-crises-e-grandes-eventos-1.384509) Acesso em: 24 jan. /2021)(adaptado) Considerando os itens adequados que deve conter um manual de crises, avalie as afirmações abaixo: I. No que se refere a ao comitê de crise, dados como hierarquia, nomes, cargos, contatos, localização, papéis e responsabilidade são indispensáveis. II. Em relação as comunicações, é preciso contrato com pessoa/empresa externa a organização, para conduzir relações públicas no momento da crise. http://www.seds.mg.gov.br/ http://www.copa.mg.gov.br/ http://www.policiamilitar.mg.gov.br/ http://www.pc.mg.gov.br/ http://www.bombeiros.mg.gov.br/ http://www.der.mg.gov.br/ http://www.defesacivil.mg.gov.br/ http://www.cemig.com.br/ http://www.copasa.com.br/ https://www.otempo.com.br/cidades/inaugurada-sala-de-situacao-e-gerenciamento-de-crises-e-grandes-eventos-1.384509 27/09/2021 20:02 Atividade Objetiva 2: Gestão de Crises e Continuidadede Negócios https://famonline.instructure.com/courses/15961/quizzes/57685 11/11 III. Em relação aos recursos materiais, normas internas, modelos de formulários, sala de emergência são alguns dos recursos apropriados. É correto o que se afirma em: II e III, apenas. ocê respondeuocê respondeu A alternativa está incorreta, pois apenas as afirmações I e III são verdadeiras. A afirmação I é verdadeira, pois dados como hierarquia, nomes, cargos, contatos, localização, papeis e responsabilidades são essenciais para poder encontrar os responsáveis pela gestão de um evento que possa ocorrer. A afirmação III é verdadeira, pois normas, modelos de formulários e espaço físico devem estar designados e disponíveis em um evento de crise, auxiliando na acomodação e suporte a toda a equipe. A afirmação II é falsa, pois o que tange as comunicações no manual de crises são os tipos de comunicações que serão realizadas, por exemplo, resumo de mensagens previamente aprovadas para público interno e externo, sendo que essas comunicações podem ser realizadas por funcionários internos, ou seja, nem sempre é preciso o contrato com pessoas/empresas externas a organização. I e II, apenas. III, apenas. I e III, apenas. esposta corretaesposta correta II, apenas. Pontuação do teste: 0,8 de 1
Compartilhar