PRINCIPIOS E CONCEITOS E CONCEITOS DE SEGURANÇA CIBERNÉTICA

Prévia do material em texto

14/01/2026, 07:43 Lista de exercícios Princípios e Conceitos De Segurança Cibernética Questões 1/1314/01/2026, 07:43 Você acertou 6 de 10 questões Verifique seu desempenho e continue treinando! Você pode refazer exercício quantas vezes quiser. Verificar Desempenho 1 Marcar para revisão Em uma entidade pública, um funcionário notou que havia várias ações necessárias para a correta classificação da informação, visando seu melhor uso. Em uma dessas ações, percebeu que era preciso designar apenas os indivíduos que participassem diretamente do processo de aquisição de novos equipamentos eletrônicos. Feito isso, esses indivíduos poderiam então ter acesso às informações sobre os processos de aquisição de equipamentos novos. Essa etapa se enquadra em qual dos procedimentos de Classificação do Grau de Sensibilidade da Informação? A Categorizar a informação. Etiquetar as informações. c Atribuir dono para ativo de TI. D Atribuir detentor para o ativo de TI. E Relacionar a informação com o ativo. 2/1314/01/2026, 07:43 Gabarito Comentado Identifica-se, em relação ao enunciado da questão, a etapa do processo de classificação de sensibilidade da informação denominada "Categorizar a informação". Nesse procedimento, é definido quais indivíduos podem ter acesso às informações inseridas nos ativos de uma organização, de acordo com a relação desses indivíduos com assunto dessas informações ou com a necessidade da organização em conceder acesso a indivíduos de acordo com sua função. "Etiquetar as informações" é o procedimento utilizado para atribuir graus de sensibilidade como secreto ou confidencial, por exemplo. "Atribuir dono para ativo de TI" ocorre quando precisa-se designar alguém para ter responsabilidade pelo acesso de outros usuários às informações dos ativos de interesse. "Atribuir detentor para o ativo de TI" refere-se à ação de designar alguém para que preserve a integridade física do ativo e "Relacionar a informação com ativo" é uma ação que não faz parte do escopo dos procedimentos para Classificação do Grau de Sensibilidade da Informação. 2 Marcar para revisão Para a implementação de redes seguras em uma empresa, um técnico pode valer-se de medidas como segmentação e segregação das redes corporativa e de visitantes, bem como adotar soluções como adoção de sistema de log para auditoria de atividades em rede. A implementação dessas medidas é documentada em qual fase da estruturação do Plano de Cibersegurança? A Identificação. Recuperação. c Resposta. D 3/1314/01/2026, 07:43 E Proteção. Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado A fase de Proteção no Plano de Cibersegurança é onde são documentadas as medidas adotadas para minimizar ou anular impacto de um incidente cibernético. Nessa fase, são incluídas ações como a segregação e segmentação de redes, que visam separar as redes de visitantes e corporativa para evitar acesso não autorizado à rede corporativa. Além disso, a adoção de um sistema de log para auditoria de atividades em rede também é uma medida de proteção, pois permite registro de ações anômalas e a notificação de possíveis incidentes. Portanto, as ações descritas no enunciado estão vinculadas à fase de Proteção do Plano de Cibersegurança. 3 Marcar para revisão Uma firma de advocacia necessita atribuir valor de seus dados para que possa contratar um seguro contra eventos da natureza, como enchentes. Para isso, a firma procederá com uma análise de riscos para viabilizar a contratação de uma apólice que cubra todos os riscos aos quais está exposta. Diante disso, primeiro procedimento será avaliar quais os valores de todos os equipamentos eletrônicos em sua sede. Em qual dos seguintes objetivos da Análise de Riscos se enquadra esse procedimento? A Determinar as ameaças relevantes. Determinar as vulnerabilidades. 4/1314/01/2026, 07:43 D Implementar as contramedidas de mitigação do risco. Estabelecer um equilíbrio entre os custos de um incidente e os custos E de uma medida de segurança. Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado procedimento descrito no enunciado se enquadra no objetivo de "Identificar ativos e seus valores" na Análise de Riscos. Nesta etapa, todos os ativos de interesse para a organização são listados e seus respectivos valores são mensurados, de acordo com os critérios adotados pela própria organização. Não houve menção à determinação de ameaças ou vulnerabilidades nos equipamentos eletrônicos, nem ao estabelecimento de um equilíbrio entre os custos dos equipamentos eletrônicos e os custos de medidas de segurança para esses equipamentos. Além disso, a implementação de contramedidas de mitigação do risco não é um objetivo da Análise de Riscos. 4 Marcar para revisão Uma empresa pode realizar a classificação das informações que são criadas, obtidas, processadas e armazenadas em seus ativos de forma a potencializar o uso de informações relevantes nas transações de negócios. Em determinada organização, percebeu-se que uma informação importante, relativa aos produtos mais consumidos de seu catálogo de vendas, não era conhecida, causando maiores custos para produção de itens menos populares e, consequentemente, menores taxas de lucro. Qual princípio da Classificação da Importância da Informação possui relação nesse contexto? A Princípio da Ausência. 5/1314/01/2026, 07:43 c Princípio da Presença. D Princípio da Disponibilidade e Princípio da Oportunidade. E Princípio da Sensibilidade e Princípio da Presença. Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado A Classificação da Importância da Informação é aferida por dois princípios: Princípio da Ausência e da Presença. primeiro diz respeito à falta de informações importantes e prejuízo decorrente dessa falta. segundo diz respeito aos custos de obtenção e preservação da informação para uma organização. No enunciado, não conhecimento dos produtos mais consumidos pelos clientes faz com que a empresa não consiga produzir em maiores quantidades os itens que poderiam oferecer um maior lucro. 5 Marcar para revisão Você, como consultor na área de Segurança Cibernética, está realizando um planejamento para tentar mitigar os riscos que ameaças possam representar para uma empresa. Ao realizar todas as fases do gerenciamento de risco, você percebeu que valor financeiro que a empresa estava disposta a despender em medidas de segurança cibernética era suficiente para os grandes riscos, os quais ofereceriam maiores prejuízos financeiros, mas não para os pequenos. Dessa forma, deveria ser adotada uma estratégia que não impedisse nem diminuísse os impactos que riscos pequenos poderiam causar à empresa. Qual nome dessa estratégia? 6/1314/01/2026, 07:43 Minimização do risco. c Transferência do risco. D Tolerância ao risco. E Detecção do risco. X Resposta incorreta A alternativa correta é a letra D. Confira gabarito comentado! Gabarito Comentado As estratégias de anulação, minimização e transferência do risco buscam combater risco, seja diminuindo seu possível impacto, anulando-o ou transferindo-o para outra parte. A detecção do risco está relacionada apenas à consciência situacional da existência do risco e não se refere a nenhuma medida para absorção do risco. Por outro lado, a estratégia de tolerância ao risco envolve a consciência do risco existente e, por ser insignificante seu prejuízo ou por não ser interessante a adoção de medidas de segurança mais custosas que prejuízo do risco em si, torna- se mais plausível a aceitação do risco e dos danos decorrentes dessa escolha. Portanto, a estratégia que melhor se aplica ao cenário descrito no enunciado é a tolerância ao risco. 6 Marcar para revisão Uma empresa verificou que havia a probabilidade de ocorrerem incidentes cibernéticos envolvendo ransomwares com frequência de 1 (uma) vez a cada 2 (dois) anos. Além disso, verificou-se que a SLE (expectativa de perda singular) envolvendo a ocorrência de cada ataque por ransomware correspondia a um 7/1314/01/2026, 07:43 A R$ 66.250,00 R$ 66.500,00 c R$ 65.500,00 D R$ 63.500,00 E R$ 66.000,00 Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado Para calcular a ALE (Expectativa de Perda Anual), utilizamos a fórmula ALE = SLE X ARO. A SLE (Expectativa de Perda Singular) já é conhecida e corresponde a R$ 133.000,00. A ARO (Taxa de Ocorrência Anual) é obtida dividindo-se número de vezes que ataque por ransomwares pode ocorrer pelo número de anos. Neste caso, temos: ARO = 1 (número de vezes) / 2 (número de anos) = 0,5. Substituindo os valores na fórmula, temos: ALE = 133.000,00 0,5 = R$ 66.500,00. Portanto, valor da ALE, ou seja, a expectativa de perda anual referente à ocorrência desse tipo de incidente cibernético, é de R$ 66.500,00. 7 Marcar para revisão Um usuário produziu um arquivo com vários tópicos para a apresentação da https://estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito 8/1314/01/2026, 07:43 estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito/ A Disponibilidade. B Integridade. c Autenticidade. D Responsabilidade. E Não repúdio. Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado A Propriedade da Integridade é a única que foi afetada dentre as alternativas apresentadas, pois, tal propriedade é responsável por preservar conteúdo do ativo digital de forma integral. Qualquer alteração, por mínima que seja, viola a Integridade da informação. Os demais pilares da Segurança Cibernética não tiveram alterações no contexto do enunciado. 8 Marcar para revisão Dentre as contramedidas utilizadas para mitigação do risco, qual das medidas abaixo pode ser classificada como uma contramedida de prevenção? Desligar todos os equipamentos eletrônicos logo depois da ocorrência A 9/1314/01/2026, 07:43 estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito/ Configurar um sistema de alerta de atividades de malwares em rede. c Realizar a recuperação de informações sensíveis por meio de backup. Instalar uma solução de antivírus para evitar a execução de códigos D maliciosos. Interromper fluxo de dados vindos da Internet durante um incidente E cibernético. Resposta correta Parabéns, você selecionou a alternativa correta. Confira gabarito comentado! Gabarito Comentado As contramedidas de prevenção são aquelas que são implementadas antes da ocorrência de um incidente cibernético, com objetivo de evitar que incidente ocorra. Nesse sentido, as alternativas que mencionam medidas tomadas durante ou após um incidente cibernético não se qualificam como contramedidas de prevenção. A configuração de um sistema de alerta de atividades de malwares em rede, por exemplo, é uma medida de detecção, pois é implementada quando incidente já está em curso. Da mesma forma, a recuperação de informações por meio de backups é uma medida pós-incidente, pois é realizada após a ocorrência do incidente. Portanto, a única alternativa que se enquadra como uma contramedida de prevenção é a instalação de uma solução de antivírus para evitar a execução de códigos maliciosos. Essa medida é implementada antes da ocorrência do incidente, com objetivo de prevenir que incidente ocorra. 9 Marcar para revisão Para que as medidas de Segurança Cibernética possuam eficácia, é necessária https://estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito 10/1314/01/2026, 07:43 A Dados. Processos da organização. c Informação. D Dispositivos de tecnologia. E Software. X Resposta incorreta A alternativa correta é a letra D. Confira gabarito comentado! Gabarito Comentado espaço cibernético é constituído de ativos do meio digital. Não necessariamente os ativos como dados, informações e processos precisam estar inseridos em ativos do meio digital, pois, não são exclusivos desse meio. Os ativos da Tecnologia da Informação como dispositivos de tecnologia, software, serviços na Internet, redes interconectadas, dentre outros, são considerados ativos de interesse para a Segurança Cibernética. 10 Marcar para revisão Um estabelecimento comercial está analisando risco associado a todos seus serviços hospedados em nuvem. Diante disso, determinou que grupo de trabalho responsável pelas implementações das medidas de segurança cibernética realizasse com todos os funcionários a proposição de problemas simulados relacionados à cibersegurança e seu impacto na quebra da confidencialidade de dados sigilosos, bem como calculasse valor do prejuízo financeiro, de acordo com valores da moeda local, para cada dia que seus 11/1314/01/2026, 07:43 estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito/ de qual forma? A Análise Qualitativa e Análise Quantitativa. Análise Quantitativa e Análise Objetiva. c Análise Qualitativa e Análise Subjetiva. D Análise Quantitativa e Análise Qualitativa. E Análise Subjetiva e Análise Objetiva. X Resposta incorreta Opa! A alternativa correta é a letra Confira gabarito comentado! Gabarito Comentado A atividade de propor problemas simulados relacionados à cibersegurança e seu impacto na quebra da de dados sigilosos é denominada Análise Qualitativa. Esta análise é subjetiva e foca na identificação e avaliação dos riscos, sem necessariamente quantificar impacto financeiro. Por outro lado, cálculo do prejuízo financeiro para cada dia que os serviços permanecem indisponíveis na Internet, em caso de ataques cibernéticos, é uma atividade de Análise Quantitativa. Esta análise é objetiva e baseada em valores monetários, permitindo uma avaliação numérica do impacto dos riscos. Portanto, as duas atividades descritas no enunciado são, respectivamente, Análise Qualitativa e Análise Quantitativa. As demais alternativas não se aplicam ao contexto da Análise de Riscos. 12/1314/01/2026, 07:43 estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito/ https://estacio.saladeavaliacoes.com.br/exercicio/69013276f7dfb7c6e43c0bce/gabarito/ 13/13