Atividade Objetiva 3: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.

com/courses/15961/quizzes/57595

Atividade Objetiva 3
Entrega 23 nov em 23:59 Pontos 1 Perguntas 5
Disponível 10 ago em 0:00 - 23 nov em 23:59 4 meses
Limite de tempo Nenhum Tentativas permitidas 2

Instruções
Importante:

Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.

Fazer o teste novamente

Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 23 minutos 1 de 1

As respostas serão mostradas após a última tentativa

Pontuação desta tentativa: 1 de 1

Enviado 20 nov em 17:48
Esta tentativa levou 23 minutos.

Pergunta 1 0,2 / 0,2 pts

Leia o texto abaixo:

A redução da possibilidade de expor a companhia a eventos de risco

de Tecnologia da Informação é uma tarefa da área de Segurança da
Informação. Sabendo disso, uma gestão de riscos eficiente em
Segurança da Informação cria planos de auditoria em sistemas mais
críticos da companhia e os avalia constantemente para evitar
impactos no negócio, minimizando assim, riscos de eventos de

1 of 9 20/11/2021 17:50
indisponibilidade, acessos indevidos, perda e sequestro de dados.

De forma a mitigar os riscos de ocorrência de eventos de crise, quais

passos uma auditoria baseada em riscos pode avaliar
respectivamente?
Atividade Objetiva 3: Gestão de Crises e Continuidade de Negócios https://famonline.instructure.com/courses/15961/quizzes/57595

Leia o texto abaixo:

A organização deve conduzir auditorias internas do SGSI a

intervalos planejados para determinar se os objetivos de controles,
processos e procedimentos do seu SGSI:

a) atendem aos requisitos desta Norma e à legislação ou

regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.

Um programa de auditoria deve ser planejado levando em

consideração a situação e a importância dos processos e áreas a
serem auditadas, bem como os resultados de auditorias anteriores.
Os critérios da auditoria, escopo, frequência e métodos devem ser
definidos. A seleção dos auditores e a execução das auditorias
devem assegurar objetividade e imparcialidade do processo de
auditoria. Os auditores não devem auditar seu próprio trabalho.

(Fonte: ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação

– Técnicas de Segurança - Sistemas de Gestão de Segurança da
Informação. Rio de Janeiro: ABNT, 2006.)

Referente as classificações a serem considerados em uma auditoria

de TI, avalie as afirmações a seguir:

I. Registros de atividades e o fluxo da informação são classificados

como Avaliação de Aplicações ou Sistemas Aplicativos.
II. Detecção de intrusos e registro de conexões remotas são
classificados como Avaliação Física e de Infraestrutura.
III. Avaliação objetiva dos dados referente a vulnerabilidade e
alteração não autorizada são classificados como Avaliação de
Aplicações ou Sistemas Aplicativos
IV. Suprimento de energia e avaliação física da segurança dos
ambientes computacionais são classificados como Avaliação da
Continuidade dos negócios.

É correto o que se afirma em:

I, apenas.

3 of 9 20/11/2021 17:50
organização em relação aos requisitos de segurança da informação
e para criar um sistema de gestão de segurança da informação
(SGSI) que seja eficaz. Convém que essa abordagem seja
adequada ao ambiente da organização e, em particular, esteja
alinhada com

o processo maior de gestão de riscos corporativos. Convém que os

esforços de segurança lidem com os riscos de maneira efetiva e no
tempo apropriado, onde e quando forem necessários. Convém que a
gestão de riscos de segurança da informação seja parte integrante
das atividades de gestão de segurança da informação e que seja
aplicada tanto à implementação quanto à operação cotidiana de um
SGSI.

(Fonte: ABNT NBR ISO/IEC 27005:2011 – Tecnologia da Informação

– Técnicas de Segurança - Gestão de Riscos de Segurança da
Informação. Rio de Janeiro: ABNT, 2011.)

Refletindo sobre a contribuição da norma ANBT NBR 27005 para a

gestão de riscos de segurança da informação, avalie as seguintes
asserções e a relação proposta entre elas.

I. É evidente a necessidade de adaptação da gestão de riscos ao

contexto de cada de empresa.

PORQUE

II. Apesar de riscos relacionados a Tecnologia da Informação serem

conhecidos e compartilharem semelhanças em empresas do mesmo
segmento, as estratégias de cada negócio mudam, obrigando
também a mudança da classificação, priorização, recursos
utilizados.

A respeito das asserções, assinale a alternativa correta:

as afirmações abaixo sobre ele:

I. Deve estar alinhado as melhores práticas internacionais e priorizar

projetos alinhados à estratégia da companhia.
II. Procura aumentar os investimentos em Segurança da Informação
e mapear os principais riscos relacionados à Segurança da
Informação.
III. Desenvolve ações de alinhadas à necessidade da companhia e
mapeia os principais riscos relacionados à Segurança da
Informação.

É correto o que se afirma em:

Pergunta 5 0,2 / 0,2 pts

Leia o texto abaixo:

No More Ransom (Sem Mais Resgate)

Sobre o projeto

As agências de polícia e empresas de segurança informática

juntaram forças para interromper as atividades criminosas com
ligações ao ransomware.

O website “No More Ransom” é uma iniciativa da Unidade de Crime

de Alta Tecnologia da Polícia Holandesa, do European Cybercrime
Centre (EC3) da Europol (Serviço Europeu de Polícia), Kaspersky e
McAfee com o objetivo de ajudar as vítimas de ransomware a
recuperar os seus arquivos criptografados sem terem que pagar a
criminosos.

Uma vez que é muito mais fácil evitar a ameaça do que lutar contra
ela assim que um sistema é infectado, o projeto também visa educar
os utilizadores sobre como é que o ransomware funciona e quais as
medidas que podem ser tomadas para uma prevenção efetiva.
Quantos mais parceiros se juntarem ao projeto, melhores resultados
poderão ser obtidos. Esta iniciativa é aberta a parceiros públicos e
privados.

*O conselho principal é não pagar o resgate. Ao enviar dinheiro aos

cibercriminosos só está a confirmar que o modelo do ransomware
funciona,
para além de não haver garantia nenhuma que irá recuperar a chave
de decifragem necessária para desbloquear os seus ficheiros.

(Fonte: Disponível em: https://www. nomoreransom.org/pt/about-the-

project.html. Acesso em: 20 fev. 2021.)

Considerando as informações apresentadas no texto, assinale a

opção correta.