Teste_ AO2

Prévia do material em texto

07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 1/14
AO2
Iniciado: 7 dez em 19:09
Instruções do teste
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 ptsPergunta 1
Leia o texto a seguir:
 
Com o crescimento exponencial dos ataques realizados por cibercriminosos e a
dependência cada vez maior das empresas pelos recursos tecnológicos, realizar
uma análise de riscos em TI é essencial, não só para se proteger, mas para
seguir sobrevivendo no mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais as
empresas se preocuparem apenas com firewalls e sistemas antivírus. É preciso
criar uma cultura de proatividade em busca das melhores tecnologias e técnicas
para manter os seus dados e os de seus clientes a salvo de pessoas mal-
intencionadas.
A análise de riscos é uma técnica de levantamento de informações acerca de
processos e sistemas utilizados na empresa de modo a melhorar a governança
de ativos de TI em relação às vulnerabilidades que podem ser encontradas,
verificando a probabilidade de ocorrência de determinados eventos e as
consequências que eles podem trazer para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco, mas o mais
importante é entender a fórmula que determina o que é um risco. Ele pode ser
calculado multiplicando a vulnerabilidade de um ativo e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a
empresa ele for, maior é o risco que ele corre. Assim, o investimento para diminuir
esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita
periodicamente. Ao chegar ao final do ciclo, pode-se recomeçar a fase de coleta
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 2/14
confidencialidade, integridade e disponibilidade.
ativos, vulnerabilidades, ameaças e impactos.
gravidade, urgência, tendência e transferência
pontos fortes, pontos fracos, oportunidades e ameaças
vulnerabilidades, Impactos e legalidade.
de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a
tecnologia evolui todos os dias, as ações dos cibercriminosos também, e é
preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise de riscos
na empresa estão o encontro das vulnerabilidades que podem ser utilizadas por
hackers para acessar os arquivos da empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para serem
corrigidas, é necessário colocar a atenção nos ativos que tem mais importância
para o negócio da empresa, isto faz como que os investimentos sejam dirigidos
para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a
disponibilidade dos serviços de tecnologia da informação na empresa e causando
prejuízos que poderiam ter sido evitados, existe também a redução de custos
com restaurações e manutenção de sistemas.
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong Security,
2018. Disponível em: https://www.strongsecurity.com.br/blog/analise-de-
riscos-em-ti-o-que-e-como-fazer-e-mais/
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-
e-mais/) . Acesso em: 09 de março de 2021.
 
Considerando a importância de se realizar o processo de análise de riscos em
uma empresa, ao se realizar esse processo na empresa deve-se levar em
consideração os aspectos: 
0,6 ptsPergunta 2
A+
A
A-
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 3/14
II, III e IV.
I, II e III.
Leia o texto a seguir:
 
Política de segurança
A política de segurança define os direitos e as responsabilidades de cada um em
relação à segurança dos recursos computacionais que utiliza e as penalidades às
quais está sujeito, caso não a cumpra.
É considerada como um importante mecanismo de segurança, tanto para as
instituições como para os usuários, pois com ela é possível deixar claro o
comportamento esperado de cada um. Desta forma, casos de mau
comportamento, que estejam previstos na política, podem ser tratados de forma
adequada pelas partes envolvidas.
 
Fonte: Mecanismos de segurança. CERT.br. Cartilha de Segurança para
Internet. Disponível em https://cartilha.cert.br/mecanismos/
(https://cartilha.cert.br/mecanismos/) . Acesso em: 01 de junho de 2020.
Sobre uma Política de Segurança, considere as seguintes afirmações:
 
I. Uma política de segurança é um documento aprovado pela alta direção da
empresa e que garante a provisão de recursos anuais para a área de segurança.
II. A política de segurança deve ser divulgada apenas na área de tecnologia da
empresa.
III. As violações são as quebras de segurança. Estas podem ocorrer de diversas
maneiras: por meio de ataques provocados por hackers, violações provocadas
por ataques causados por ex-funcionários de empresas, violações causadas por
pessoa mal-intencionadas.
IV. As políticas de segurança devem prever contramedidas para evitar as
violações, assim como medidas adotadas após a ocorrência dos fatos
indesejáveis.
 
Estão corretas apenas as afirmativas:
A+
A
A-
https://cartilha.cert.br/mecanismos/
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 4/14
III e IV.
I, III e IV.
II e IV.
0,6 ptsPergunta 3
O quadro a seguir representa as opções de tratamento de risco da Agência
Nacional de Petróleo (ANP).
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2. Agosto/2019. p.
16. Disponível em: http://www.anp.gov.br/arquivos/gestao-
riscos/metodologia-gestao-riscos-anp.pdf
(http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf) .
Acesso em: 01 de junho de 2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os custos
para a implementação de controles excedem seus benefícios, o risco deve ser
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 5/14
I e III, apenas.
I e II, apenas.
II, apenas.
II e III, apenas.
I, II e III.
100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as
consequências da ocorrência de um incidente de segurança da informação.
III. A retenção do risco representa a aceitação do risco de uma perda, isto é,
aceita-se “correr o risco”.
 
É correto o que se afirma em:
0,6 ptsPergunta 4
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança
da informação (SI) e dá sustentação aos conceitos especificados na ISO
27001:2005, a norma de requisitos de sistemas de gestão da SI, além de auxiliar
sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto
pelas seguintes atividades:
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 6/14
Modificação, retenção, ação de evitar e compartilhamento do risco.
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos
de segurança da informação. QSP. Disponível em:
https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
A+
A
A-
https://www.qsp.org.br/artigo_27005.shtml
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take7/14
Monitoramento, análise e melhoria dos processos de prevenção ao risco.
Definição do contexto, identificação, análise e aceitação dos riscos.
Identificação de ameaças, controles, vulnerabilidades e consequências.
Instalar antivírus, antispam, firewall e proxy eficientes para proteção.
0,6 ptsPergunta 5
Leia o texto a seguir:
 
Você já deve ter ouvido falar em termos como ISO 9000 e ISO 14000, que são
respectivamente as certificações internacionais de gestão da qualidade e gestão
ambiental para empresas. As marcas que conquistam essas normas costumam
expor selos que informam a todos os públicos o fato de estarem adequadas a
normas e práticas internacionais. Clientes, fornecedores, colaboradores e futuros
clientes valorizam negócios que estejam nesse patamar. Afinal, são sinônimo de
preocupação com a qualidade, a inovação e com o meio ambiente.
Existe também uma certificação internacional que trata da segurança da
informação em empresas. É a ISO 27000, focada no Sistema de Gestão de
Segurança da Informação (SGSI), e tem como normas mais conhecidas as ISO
27001 e ISO 27002. Todo o seu conceito está relacionado a segurança da
informação nos mais variados formatos. Foi projetada para ser aplicável a todos
os tipos e tamanhos de empresas, desde multinacionais até os pequenos e
médios empreendimentos.
(...)
Na realidade, a ISO 27000 não é uma norma, mas sim um conjunto de
certificações – ou, como é comum ouvir, uma família. Dessa maneira, cada
membro da família recebe uma denominação única e objetivos específicos.
Existem mais de 40 normas, que foram desenvolvidas com base em
procedimentos para a implementação nas empresas, havendo algumas também
dedicadas exclusivamente a determinados segmentos de mercado. Um exemplo
é a ISO 27011, que aborda a gestão da segurança da informação para empresas
de telecomunicações, enquanto a ISO 27015 é dedicada a negócios do ramo de
serviços financeiros. Existem outros focados em tópicos específicos da tecnologia
da informação, como controles para cloud computing (ISO 27017) e segurança de
redes (ISO 27033).
(...)
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 8/14
É uma norma que estabelece princípios e diretrizes genéricas de tratamento de
riscos para qualquer indústria ou setor.
É uma norma que determina as condições de bom funcionamento para um SGSI.
É uma norma que apresenta diretrizes de administração dos perigos na segurança
da informação.
É uma norma que define como as empresas do ramo alimentício devem analisar
seus riscos.
É uma norma que descreve as boas práticas de gestão de segurança da informação.
 
Fonte: ISO 27000: as vantagens da certificação de segurança da informação
para o seu negócio. OSTEC. Disponível em: https://ostec.blog/geral/iso-
27000-vantagens-certificacao-seguranca/ (https://ostec.blog/geral/iso-27000-
vantagens-certificacao-seguranca/) . Acesso em: 09 de março de 2021.
 
São diversas as normas que tratam de segurança da informação. Qual a resposta
descreve corretamente uma norma da série ISO 27000 que pode ser usada em
uma empresa que deseja fazer uma adequada Gestão de Riscos de Segurança
da Informação?
0,6 ptsPergunta 6
Analise a tirinha a seguir:
A+
A
A-
https://ostec.blog/geral/iso-27000-vantagens-certificacao-seguranca/
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 9/14
 
Fonte: Gênio Hacker. Vida de Suporte. Disponível em:
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
(https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso em: 09 de
março de 2021.
 
Pessoas mal intencionadas causam cada vez mais problemas para as empresas,
através de invasões, disseminação de malwares, deleção de informações críticas,
sequestro de ambientes computacionais, ataque de negação de serviço, entre
outros tipos de ataque.
A+
A
A-
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 10/14
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas e avisar as
pessoas e empresas dessas vulnerabilidades, sem o intuito de benefícios próprios.
Indivíduo que já atuou como cibercriminoso e que no momento usa seus
conhecimentos técnicos para auxiliar as empresas, atuando na equipe técnica das
mesmas.
Atacante que usa seus conhecimentos para fazer campanhas ativistas de
reivindicações diversas, e que atua muito fortemente divulgando informações das
empresas.
Atacante que usa técnicas de infecção, invasão e roubo de informações, a fim de
causar danos às empresas ou mesmo ter algum tipo de benefício próprio.
Atacante que tem fácil acesso aos sistemas e informações da empresa por ser um
funcionário, e que usa esse acesso e seus conhecimentos com o intuito de prejudicar
a empresa.
Essas pessoas mal intencionadas, chamadas de invasores ou criminosos virtuais
caracterizam um risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como insider:
0,6 ptsPergunta 7
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos identificados usando
a probabilidade de eles ocorrerem, o impacto correspondente nos objetivos do
projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente o efeito
dos riscos identificados nos objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do conjunto de
conhecimentos em gerenciamento de projetos: Guia PMBOK. 3. ed. Newtown
Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a seguir e a
relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a metodologia de
análise quantitativa deve ser utilizada.
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 11/14
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira.
As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa.
A asserções I e II são proposições falsas.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores monetários
aos ativos, consequências e controles, mas escalas de atributos.
 
A respeito dessas asserções, assinale a opção correta.
0,6 ptsPergunta 8
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo
Corporativo de Segurança da Informação e tem por objetivo minimizar a
ocorrência de ameaças que podem interferir (negativamente) no recurso de
informação utilizado pela organização para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um evento
indesejado e da probabilidade de sua ocorrência. O processo de avaliação de
riscos quantifica ou descreve o risco qualitativamente, e capacita os gestores a
priorizar os riscos, de acordo com a sua gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-
da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20obje
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-
informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%2
 Acesso em: 27//210/2020.
 
A+
A
A-
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 12/14
I e III apenas.
I apenas.
II apenas.
III apenas.
I, II e III.
Considerando o exposto no texto acima, assim como o conteúdo visto na
disciplina, avalie as afirmações a seguir. 
I. A etapa de identificaçãode riscos é a determinação dos eventos que possam
causar uma perda potencial, evidenciando seu local, razão e impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações,
processos e sistemas) e, por isso, também as organizações. Ameaças podem ser
de origem natural ou humana, e podem ser acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar custos e
trabalhos desnecessários, por exemplo, na duplicação de controles. Além disso, é
preciso testar os controles existentes – eles são testados para assegurar que
estão funcionando corretamente
É correto o que se afirma em:.
0,6 ptsPergunta 9
Leia o texto a seguir:
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua aplicação na
gestão de riscos. Ao buscar o seu significado nos dicionários, encontra-se, entre
outras definições, que contexto é um substantivo masculino que significa “inter-
relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade
de circunstâncias que possibilitam, condicionam ou determinam a realização de
um texto, projeto, atividade ou mesmo de um evento de segurança da
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 13/14
II e III, apenas.
I, II e III.
I e III, apenas
I, apenas.
I e II, apenas.
informação. Em outras palavras, contexto é o conjunto de circunstâncias que se
relacionam de alguma forma com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um determinado
assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro:
RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o
evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de
TI, um processo de negócio, departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de
risco presente na norma ISO 27005.
 
É correto o que se afirma em:
0,6 ptsPergunta 10
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de
controles, de forma que o risco residual possa ser reduzido e, por conseguinte,
aceito. Os controles selecionados devem satisfazer os critérios para aceitação do
risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
A+
A
A-
07/12/2022 19:33 Teste: AO2
https://famonline.instructure.com/courses/24130/quizzes/107594/take 14/14
Salvo em 19:33 
Conscientização
Prevenção
Recuperação
Detecção
Correção
custos, prazos, interação com outros controles, aspectos técnicos, culturais e
ambientais, e demais restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso
em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam reparar
qualquer anormalidade. Qual é este tipo de controle?
Enviar teste
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf