Atividade 03 - Gestão de Crises e Continuidade de Negócios - CORRIGIDA

Prévia do material em texto

Atividade 3
Entrega 20 nov em 23:59
Pontos 1
Perguntas 5
Disponível 11 ago em 0:00 - 20 nov em 23:59
Limite de tempo Nenhum
Tentativas permitidas 2
Instruções
Este teste foi travado 20 nov em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 36 minutos 1 de 1
Pontuação desta tentativa: 1 de 1
Enviado 29 ago em 0:02
Esta tentativa levou 36 minutos.
Resposta correta

Pergunta 1
0,2 / 0,2 pts
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que
você clique em "FAZER O QUESTIONÁRIO", no final da página.
Leia o texto abaixo:
 
Um Plano Estratégico de Segurança da Informação (PESI) eleva o nível de capacidade dos
processos de Segurança da Informação quando adota melhores práticas de mercado,
especificamente as normas ISO/IEC 27001, 27002, 27003, 27004, 27005, que tem como objetivo a
criação, manutenção, melhoria, revisão e análise dos Sistemas de Gestão de Segurança da
Informação (SGSI). 
 
Considerando as informações apresentada sobre o as necessidades de um Plano Estratégico de
Segurança da Informação (PESI), avalie as afirmações abaixo sobre ele: 
I. Deve estar alinhado as melhores práticas internacionais e priorizar projetos alinhados à estratégia
da companhia.
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 1/6
https://famonline.instructure.com/courses/48502/quizzes/233533/history?version=1
 II, apenas.
 II e III, apenas.
 I e III, apenas.
A alternativa está correta, pois apenas as afirmações I e III são verdadeiras.
A afirmação I é verdadeira, pois as normas da série ISO 27000 são comprovadamente boas práticas
globais e também é correto afirmar que a priorização de projetos traz benefícios, pois reduz
investimento em projetos desnecessários.
A afirmação III é verdadeira, pois ações focadas na estratégia e prioridades do negócio refletem em
um plano tático da Segurança da informação com tarefas concisas e alinhadas ao negócio. Também
é correto afirmar que um dos benefícios do PESI é o mapeamento de riscos das principais causas de
eventos de risco, podendo ser mitigadas, reduzindo riscos e custos substancialmente.
A afirmação II é falsa, pois o direcionamento de ações e mapeamento com foco nos principais riscos
refletem em redução de custos com ações que não são prioritárias.
 III, apenas.
 I, II e III.
Resposta correta

Pergunta 2
0,2 / 0,2 pts
II. Procura aumentar os investimentos em Segurança da Informação e mapear os principais riscos
relacionados à Segurança da Informação.
III. Desenvolve ações de alinhadas à necessidade da companhia e mapeia os principais riscos
relacionados à Segurança da Informação.
É correto o que se afirma em: 
Leia o texto abaixo:
 
Uma abordagem sistemática de gestão de riscos de segurança da informação é necessária para
identificar as necessidades da organização em relação aos requisitos de segurança da informação e
para criar um sistema de gestão de segurança da informação (SGSI) que seja eficaz. Convém que
essa abordagem seja adequada ao ambiente da organização e, em particular, esteja alinhada com
o processo maior de gestão de riscos corporativos. Convém que os esforços de segurança lidem
com os riscos de maneira efetiva e no tempo apropriado, onde e quando forem necessários. Convém
que a gestão de riscos de segurança da informação seja parte integrante das atividades de gestão
de segurança da informação e que seja aplicada tanto à implementação quanto à operação cotidiana
de um SGSI.
 
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 2/6
 A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
 A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
 A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
 As asserções I e II são ambas proposições falsas.
 As asserções I e II são proposições verdadeiras, e a II uma justificativa da I.
A alternativa está correta, pois as asserções I e II são verdadeiras, sendo a II uma justificativa da I.
A asserção I é verdadeira. Conforme a norma ABNT ISO 27005, a abordagem aos riscos deve se
adequar ao ambiente da organização devido a particularidades estratégicas de cada negócio. A
asserção II, além de verdadeira, ela justifica a asserção I demonstrando que empresas que atuam no
mesmo seguimento de mercado e que fornecem os mesmos tipos de serviços ao cliente final, podem
conter riscos diferentes característicos de seus sistemas, estruturas organizacionais, infraestruturas,
pessoas, dentre outros, mudando assim a estratégia de abordagem aos riscos. 
Resposta correta

Pergunta 3
0,2 / 0,2 pts
(Fonte: ABNT NBR ISO/IEC 27005:2011 – Tecnologia da Informação – Técnicas de Segurança -
Gestão de Riscos de Segurança da Informação. Rio de Janeiro: ABNT, 2011.)
 
Refletindo sobre a contribuição da norma ANBT NBR 27005 para a gestão de riscos de segurança
da informação, avalie as seguintes asserções e a relação proposta entre elas.
I. É evidente a necessidade de adaptação da gestão de riscos ao contexto de cada de empresa.
PORQUE
II. Apesar de riscos relacionados a Tecnologia da Informação serem conhecidos e compartilharem
semelhanças em empresas do mesmo segmento, as estratégias de cada negócio mudam, obrigando
também a mudança da classificação, priorização, recursos utilizados. 
A respeito das asserções, assinale a alternativa correta: 
Leia o texto abaixo:
 
A redução da possibilidade de expor a companhia a eventos de risco de Tecnologia da Informação é
uma tarefa da área de Segurança da Informação. Sabendo disso, uma gestão de riscos eficiente em
Segurança da Informação cria planos de auditoria em sistemas mais críticos da companhia e os
avalia constantemente para evitar impactos no negócio, minimizando assim, riscos de eventos de
indisponibilidade, acessos indevidos, perda e sequestro de dados.
 
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 3/6
 Inventário de Sistemas; Determinar impactos; Avaliar riscos; Classificar e priorizar.
A alternativa está correta. Inventariar os sistemas da companhia deve ser uma tarefa inicial, e a partir
disso será realizado uma análise dos impactos à companhia, caso um evento interrompa a operação
de qualquer um dos sistemas críticos. Em seguida, é avaliado individualmente os riscos que cada
um dos sistemas está sujeito em eventos adversos e, por fim, serão classificadas e priorizadas as
necessidades de auditorias, recursos necessários, frequência e datas para cada um dos sistemas
classificados como críticos.
 Inventário de Sistemas; Avaliar riscos; Determinar impactos; Classificar e priorizar.
 Determinar impactos; Inventário de Sistemas; Classificar e priorizar; Avaliar riscos.
 Determinar impactos; Avaliar riscos; Inventário de Sistemas; Classificar e priorizar.
 Inventário de Sistemas; Classificar e priorizar; Determinar impactos; Avaliar riscos.
Resposta correta

Pergunta 4
0,2 / 0,2 pts
De forma a mitigar os riscos de ocorrência de eventos de crise, quais passos uma auditoria baseada
em riscos pode avaliar respectivamente?
Leia o texto abaixo:
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se
os objetivos de controles, processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.
Um programa de auditoria deve ser planejado levando em consideração a situação e a importância
dos processos e áreas a serem auditadas, bem como os resultados de auditoriasanteriores. Os
critérios da auditoria, escopo, frequência e métodos devem ser definidos. A seleção dos auditores e
a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria.
Os auditores não devem auditar seu próprio trabalho.
(Fonte: ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança -
Sistemas de Gestão de Segurança da Informação. Rio de Janeiro: ABNT, 2006.)
 
Referente as classificações a serem considerados em uma auditoria de TI, avalie as afirmações a
seguir:
I. Registros de atividades e o fluxo da informação são classificados como Avaliação de Aplicações ou
Sistemas Aplicativos.
II. Detecção de intrusos e registro de conexões remotas são classificados como Avaliação Física e
de Infraestrutura. 
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 4/6
 I, apenas.
A alternativa está correta, pois apenas a afirmação I é verdadeira.
A afirmação I é verdadeira, pois Sistemas Integrados de Gestão Empresarial, conhecidos também
pela sigla ERP (do inglês Enterprise Resource Planning) possuem fatores como registro de
atividades (log´s), fluxo de informações, integridade e segurança das interfaces e demais processos
e procedimentos automatizados são classificados em uma auditoria como Avaliação de Aplicações
ou Sistemas Aplicativos.
A afirmação II é falsa, pois fatores de detecção de intrusos e registro de conexões remotas são
classificados em uma auditoria como Avaliação da Segurança da Rede.
A afirmação III é falsa, pois fatores relacionados a avaliação objetiva dos dados referente a
vulnerabilidade e alteração não autorizada são classificados em uma auditoria como Revisão da
Integridade de Dados.
A afirmação IV é falsa, pois fatores como Suprimento de energia e avaliação física da segurança dos
ambientes computacionais são classificados como Avaliação Física e de Infraestrutura.
 IV, apenas.
 I e IV, apenas.
 III, apenas.
 I e II, apenas.
Resposta correta

Pergunta 5
0,2 / 0,2 pts
III. Avaliação objetiva dos dados referente a vulnerabilidade e alteração não autorizada são
classificados como Avaliação de Aplicações ou Sistemas Aplicativos
IV. Suprimento de energia e avaliação física da segurança dos ambientes computacionais são
classificados como Avaliação da Continuidade dos negócios.
É correto o que se afirma em:
Leia o texto abaixo:
 
No More Ransom (Sem Mais Resgate)
Sobre o projeto
As agências de polícia e empresas de segurança informática juntaram forças para interromper as
atividades criminosas com ligações ao ransomware.
O website “No More Ransom” é uma iniciativa da Unidade de Crime de Alta Tecnologia da Polícia
Holandesa, do European Cybercrime Centre (EC3) da Europol (Serviço Europeu de Polícia),
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 5/6
 
Na perspectiva do projeto, a denúncia para unidades anticrime é a primeira ação a ser realizada após o incidente, e
posteriormente o treinamento e recuperação dos dados.
 
Na perspectiva do projeto, a formação de um plano de ações para prevenir um incidente de segurança é tão
importante quanto recuperar-se do incidente.
A alternativa está correta, pois mapear os sistemas mais vulneráveis que possam sofrer ataques
resultantes de vazamentos de informações e criar dispositivos de recuperação é um dos objetivos de
gerenciamento de riscos eficiente e está estabelecido em boas práticas de Segurança da
Informação.
 
Na perspectiva do projeto, primeiramente deve-se tentar recuperar os arquivos criptografados, e posteriormente,
educar os usuários sobre como funcionam incidentes de segurança da informação.
 
Na perspectiva do projeto, os sistemas sempre serão vulneráveis sendo uma tarefa praticamente impossível lutar
contra cibercriminosos.
 
Na perspectiva do projeto, é aconselhado não pagar o resgate de antes de tentar utilizar alternativas de
descriptografar os dados.
Pontuação do teste: 1 de 1
Kaspersky e McAfee com o objetivo de ajudar as vítimas de ransomware a recuperar os seus
arquivos criptografados sem terem que pagar a criminosos.
Uma vez que é muito mais fácil evitar a ameaça do que lutar contra ela assim que um sistema é
infectado, o projeto também visa educar os utilizadores sobre como é que o ransomware funciona e
quais as medidas que podem ser tomadas para uma prevenção efetiva. Quantos mais parceiros se
juntarem ao projeto, melhores resultados poderão ser obtidos. Esta iniciativa é aberta a parceiros
públicos e privados.
*O conselho principal é não pagar o resgate. Ao enviar dinheiro aos cibercriminosos só está a
confirmar que o modelo do ransomware funciona,
para além de não haver garantia nenhuma que irá recuperar a chave de decifragem necessária para
desbloquear os seus ficheiros.
(Fonte: Disponível em: https://www. nomoreransom.org/pt/about-the-project.html. Acesso em: 20 fev.
2021.)
 
Considerando as informações apresentadas no texto, assinale a opção correta.
A+
A
A-
12/12/2025, 00:03 Atividade 3: Gestão de Crises e Continuidade de Negócios
https://famonline.instructure.com/courses/48502/quizzes/233533?module_item_id=1380605 6/6