Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Prévia do material em texto
Livro Eletrônico Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital André Castro 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Segurança da Informação www.estrategiaconcursos.com.br 1 88 ISO 27005.......................................................................................................................... 2 1. DEFINIÇÃO DO CONTEXTO................................................................................................................... 4 2. PROCESSO DE AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO ................................... 7 3. TRATAMENTO DO RISCO DE SEGURANÇA DA INFORMAÇÃO .......................................................19 4. ACEITAÇÃO DO RISCO DE SEGURANÇA DA INFORMAÇÃO ............................................................23 5. Comunicação e consulta do risco de segurança da Informação...................................................24 6. Monitoramento e Análise Crítica de riscos de Segurança da Informação ..................................25 Plano de Continuidade de Negócio e Contingência .......................................................... 27 Norma ISO 15999 ʹ Gestão de Continuidade de Negócio (GCN).........................................................31 Gestão do Programa de GCN ...................................................................................................................32 Entendimento dos Requisitos de Continuidade de Negócio da Organização; ...................................33 Determinação das Estratégias de GCN; ..................................................................................................35 Desenvolvimento e Implementação de GCN: Resposta e Recuperação; ............................................36 Exercício, Teste, Manutenção e Análise Crítica de GCN........................................................................38 INCLUINDO A GCN NA CULTURA DA ORGANIZAÇÃO ............................................................................39 EXERCÍCIOS COMENTADOS.............................................................................................. 41 ISO 27005 ....................................................................................................................................................41 PCN e Contingência....................................................................................................................................53 EXERCÍCIOS COMENTADOS COMPLEMENTARES .............................................................. 60 ISO 27005 ....................................................................................................................................................60 PCN e Contingência....................................................................................................................................65 LISTA DE EXERCÍCIOS ....................................................................................................... 72 ISO 27005 ....................................................................................................................................................72 PCN e Contingência....................................................................................................................................76 LISTA DE EXERCÍCIOS COMPLEMENTARES ....................................................................... 80 ISO 27005 ....................................................................................................................................................80 PCN e Contingência....................................................................................................................................83 GABARITO ....................................................................................................................... 87 Gabarito ʹ Questões CESPE ......................................................................................................................87 Gabarito ʹ Questões FCC ..........................................................................................................................88 André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 2 88 ISO 27005 A norma ISO 27005 trata da Gestão de Riscos de Segurança da Informação (GRSI). Para já termos uma noção, a própria norma nos traz uma visão geral de do processo de gestão de riscos de SI. O processo de gestão de riscos de SI consiste, seguindo o fluxo da imagem acima: André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 3 88 1. Definição do contexto; 2. Processo de avaliação dos riscos; 3. Tratamento do risco; 4. Aceitação do risco; 5. Comunicação e consulta do risco; 6. Monitoramento e análise crítica de riscos; Destaca-se que tal processo pode ser iterativo para o processo de avaliação de riscos e/ou para as atividades e tratamento do risco. Obviamente, como todo processo iterativo, busca-se aprimorar as rotinas e processos a que se propõe na iteração. Um outro ponto que merece a nossa atenção é em relação à comunicação. Durante o processo de GRSI, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados. Tais informações são fundamentais para uma série de ações, principalmente aqueles relacionados à gestão de incidentes e problemas, gerando possíveis reduções a riscos associados a estes e seus respectivos impactos e prejuízos. A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitiga-los e as áreas definidas como de interesse pela organização, auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre o processo de avaliação de riscos e sobre o tratamento de riscos sejam documentados. Um outro ponto que merece nossa atenção é em relação ao alinhamento do processo do SGSI e do processo de GRSI, ambos vinculados ao ciclo do PDCA. Desse modo, a norma define da seguinte forma: Processos do SGSI Processos do GRSI André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 4 88 PLANEJAR Definição do Contexto Processo de Avaliação dos Riscos Definição do Plano de Tratamento dos Riscos Aceitação do Risco EXECUTAR Implementação do Plano de Tratamento do Risco. VERIFICAR Monitoramento contínuo e análise crítica de riscos. AGIR Manter e Melhorar o processo de Gestão de Riscos de Segurança da Informação. 1. DEFINIÇÃO DO CONTEXTO André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico emInformática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 5 88 1. Considerações Gerais ESTRUTURA 1. Considerações Gerais 2. Critérios Básicos a. Abordagem da gestão de riscos b. Critérios para avaliação de riscos c. Critérios para a avaliação de riscos d. Critérios de impacto e. Critérios para aceitação de riscos 3. Escopo e Limites 4. Organização para a Gestão de Riscos de SI ENTRADA Todas as informações sobre a organização relevantes para a definição do contexto da gestão de riscos de Segurança da Informação. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 6 88 Nesse sentido, a norma nos traz uma relação de possíveis propósitos que podem ser considerados a aplicação da GRSI, quais sejam: I - Suporte a um SGSI; II - Conformidade ���² ���² �ȋDz� dzȌǢ III - Preparação de um Plano de Continuidade de Negócios; IV - Preparação de um Plano de Resposta a Incidentes; V - Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo. Lembrando sempre que essas relações de 5 itens da norma são sempre um prato cheio para questões de múltipla escolha. Portanto, memorizem esses propósitos. São um tanto intuitivos. 2. Critérios Básicos a. Abordagem da gestão de Riscos Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método também pode ser diferente para cada iteração do processo. A norma traz ainda que um método de gestão apropriado seja selecionado ou ainda desenvolv ido. Em termos de eficácia, ela deve considerar critérios básicos como: AÇÃO Convém que o contexto externo e interno para a gestão de riscos de Segurança da Informação seja estabelecido, o que envolve a definição dos critérios básicos necessários para a gestão de riscos de segurança da Informação, a definição do escopo e dos limites e o estabelecimento de uma organização apropriada para operar a gestão de riscos de segurança da informação. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 7 88 a) Critérios de avaliação de riscos; b) Critérios de impacto; c) Critérios de aceitação do risco; 2. PROCESSO DE AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 1. Descrição geral do processo de avaliação de riscos de segurança da informação ESTRUTURA 1. Descrição geral do processo de avaliação de riscos de segurança da informação 2. Identificação de riscos a. Introdução à identificação de riscos; b. Identificação dos ativos; c. Identificação das ameaças; d. Identificação dos controles existentes; e. Identificação das vulnerabilidades; f. Identificação das consequências; 3. Análise de Riscos a. Metodologias de análise de riscos; b. Avaliação das consequências; c. Avaliação da probabilidade dos incidentes; d. Determinação do nível de risco; 4. Avaliação de riscos André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 8 88 Desse modo, a norma define que o processo de AVALIAÇÃO DOS RISCOS consiste nas seguintes atividades: a) Identificação de riscos; b) Análise de riscos; c) Avaliação de riscos. Falaremos um pouco mais delas nas próximas seções. O processo de avaliação de riscos é executado frequentemente em duas (ou mais) iterações. Primeiramente, faz-se uma avaliação de alto nível para identificas os riscos potencialmente altos, os quais merecem uma avaliação mais aprofundada. A segunda iteração pode considerar com mais profundidade esses riscos potencialmente altos revelados na primeira iteração. Se ela não fornece informações suficientes para avaliar o risco, então análises adicionais detalhadas são executadas, provavelmente em parte do escopo total e possivelmente usando um outro método. 2. Identificação de Riscos ENTRADA Critérios básicos, o escopo e os limites, e a organização do processo de gestão de riscos de segurança da informação que se está definindo. AÇÃO Convém que os riscos sejam identificados, quantificados ou descritos qualitativamente, priorizados em função dos critérios de avaliação de riscos e dos objetivos relevantes da organização. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 9 88 A norma trata de maneira bem objetiva os aspectos relacionados à Identificação dos ativos. Aqui a nossa primeira observação no que tange à identificação dos riscos. Ela é dividida em 5 identificações: a) Identificação dos Ativos; b) Identificação das Ameaças; c) Identificação dos Controles existentes; d) Identificação das vulnerabilidades; e) Identificação das consequências; Como toda boa lista da teoria e 5 itens, não preciso mencionar a importância de termos na ponta da língua esses 5 itens, certo? Para ajudar na memorização, lembrem-se dos alcoólicos anônimos em viagem pela CVC!!! AA - CVC ATIVOS ? AMEAÇAS ? CONTROLES EXISTENTES ? VULNERABILIDADES ? CONSEQUENCIAS Vamos conhecer as ENTRADAS e AÇÕES de cada um dos processos de identificação. a) Identificação dos Ativos: ENTRADA Escopo e limites para o processo de avaliação de riscos a ser executado; lista de componentes com responsáveis, localidade, função etc. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 10 88 b) Identificação das Ameaças; Uma ameaça tem o potencial de comprometer ativos (como informações, processos e sistemas) e, por isso, também as organizações. Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais. Ambas devem ser identificadas. A ameaça pode surgir tanto de dentro como de fora da organização. AÇÃO Convém que os ativos dentro do escopo estabelecido sejam identificados (referência à ISSO 27001). SAÍDA Uma lista de ativos com riscos a serem gerenciados e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias. ENTRADA Informações sobre ameaças obtidas a partirda análise crítica de incidentes, dos responsáveis pelos ativos, de usuários e de outras fontes, incluindo catálogos externos de ameaças. AÇÃO Convém que as ameaças e suas fontes sejam identificadas. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 11 88 Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes dependendo de quais ativos são afetados. c) Identificação dos Controles existentes: SAÍDA Uma lista de ameaças com a identificação do tipo e da fonte das ameaças. ENTRADA Documentação dos controles, planos de implementação do tratamento dos riscos. AÇÃO Convém que os controles exitestes e os planejados sejam identificados. SAÍDA Uma lista de todos os controles existentes e planejadas, sua implementação e status de utilização. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 12 88 d) Identificação das vulnerabilidades: e) Identificação das consequências: ENTRADA Uma lista de ameaças conhecidas, listas de ativos e controles existentes. AÇÃO Convém que as vulnerabilidades que podem ser exploradas por ameaças para comprometes os ativos ou a organização sejam identificadas. SAÍDA Uma lista de vulnerabilidade associadas aos ativos, ameaças e controles; uma lista de vulnerabilidades que não se refere a nenhuma ameaça identificada para análise. ENTRADA Uma lista de ativos, uma lista de processos do negócio e uma lista de ameaças e vulnerabilidades, quando aplicável, relacionadas aos ativos e sua relevância. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 13 88 Convém que as organizações identifiquem as consequências operacionais de cenários de incidentes em função de (não se limitando a): 1. Investigação e tempo de reparo; 2. Tempo (de trabalho) perdido; 3. Oportunidade perdida; 4. Saúde e Segurança; 5. Custo financeiro das competências específicas necessárias para reparar o prejuízo; 6. Imagem, reputação e valor de mercado. AÇÃO Convém que as consequências que a perda de confidencialidade, de integridade e de disponibilidade podem ter sobre os ativos sejam identificadas. SAÍDA Uma lista de cenários de incidentes com suas consequências associadas aos ativos e processos de negócio. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 14 88 No Anexo B da norma, tem-se exemplos de Identificação, e essa parte, por ter um cunho mais prático, despenca em prova. A Norma define em seus exemplos, apenas dois tipos de Ativos: 1. PRIMÁRIOS 2. SUPORTE E INFRAESTRUTURA. Os ativos PRIMÁRIOS contemplam: 1. Processos e Atividades de Negócio; 2. Informação; Os Ativos de Suporte e Infraestrutura contemplam: 1. Hardware; 2. Software; 3. Rede; 4. Recursos Humanos; 5. Instalações Físicas; 6. Estrutura da Organização. Desse modo, para facilitar a memorização, ao lembrarmos dos primários, poderemos, por eliminação, deduzir os de Suporte e Infraestrutura. Muito cuidado com os RECURSOS HUMANOS e ESTRUTURA DA ORGANIZAÇÃO, que, em uma primeira análise, não guardam relação direta com a terminologia de Suporte e Infraestrutura. 3. Análise de Riscos A análise de Riscos é a segunda etapa no processo de AVALIAÇÃO DOS RISCOS. a) Metodologias de Análise de Riscos André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 15 88 A análise de riscos pode ser realizada com diferentes graus de detalhamento, dependendo a criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para análise de risco pode ser qualitativa ou quantitativa, ou ainda a combinação das duas, dependendo das circunstâncias. Na prática, a análise qualitativa é frequentemente utilizada em primeiro lugar para obter uma indicação geral do nível de risco e para revelar os grandes riscos. Isso ocorre, como veremos mais à frente, porque normalmente esse processo é menos complexo e menos oneroso quando comparado com as análises quantitativas. Em relação às metodologias de análise de Riscos, a norma nos traz dois tipos básicos de metodologias, saber: 1. Análise Qualitativa (Menos Complexa): a. Tratará aspectos subjetivos na análise. b. Considera a magnitude das consequências potenciais (ex. pequena, média e grande); c. Considera a probabilidade dessas consequências ocorrerem; d. Possui como vantagem a facilidade de compreensão; e. Como desvantagem, podemos elencar o próprio fator subjetivo de classificação, que não é uma regra mais precisa e exata; f. Convém que esta análise sempre utilize informações e dados factuais quando disponíveis; 2. Análise Quantitativa (Mais Complexa): a. Possui uma escala mais precisa e de valores numéricos, tanto para as consequências como para as probabilidades, buscando dados de diversas fontes; b. A qualidade da análise depende da exatidão e da integralidade dos valores numéricos e da validade dos modelos utilizados; c. Utiliza dados históricos dos incidentes, sendo esta uma vantagem no relacionamento direto aos objetivos de segurança da informação; d. Como desvantagem, é que sempre haverá ausência de dados históricos para novos riscos ou fragilidades. Além disso, quando os dados factuais e auditáveis não estão disponíveis. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 16 88 b) Avaliação das Consequências ENTRADA Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de ameaças, vulnerabilidades, ativos afetados e consequências para os ativos e processos de negócio. AÇÃO Convém que o impacto sobre o negócio da organização, que pode ser causado por incidentes (possíveis ou reais) relacionados à segurança da informação,seja avaliado levando-se em conta as consequências de uma violação da segurança da informação, como por exemplo: a perda da confidencialidade, da integridade ou da disponibilidade dos ativos. SAÍDA Uma lista de consequências avaliadas referentes a um cenário de incidente, relacionadas aos ativos e critérios de impacto. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 17 88 c) Avaliação da Probabilidade dos Incidentes ENTRADA Uma lista de cenários de incidentes identificados como relevantes, incluindo a identificação de ameaças, ativos afetados, vulnerabilidades exploradas e consequências para os ativos e processos do negócio. Além disso, listas com todos os controles existentes e planejados, sua eficácia, implementação e status de utilização. AÇÃO Convém que a probabilidade dos cenários de incidentes seja avaliada. SAÍDA Probabilidade dos cenários de incidentes. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 18 88 d) Determinação do Nível de Risco ENTRADA Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo e qualitativo). AÇÃO Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes. SAÍDA Uma lista de riscos com nível de valores designados. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 19 88 3. Avaliação de Riscos Por fim, realiza-se a avaliação de riscos propriamente dita. 3. TRATAMENTO DO RISCO DE SEGURANÇA DA INFORMAÇÃO 1. Descrição Geral do processo de tratamento do risco ESTRUTURA 1. Descrição Geral do processo de tratamento do risco; 2. Modificação do Risco; 3. Retenção do Risco; 4. Ação de evitar o Risco; 5. Compartilhamento do Risco; ENTRADA Uma lista de riscos priorizada, de acordo com os critérios de avaliação de riscos, em relação aos cenários de incidentes que podem levar a AÇÃO Convém que controles para MODIFICAR, RETER, EVITAR ou COMPARTILHAR os riscos sejam selecionados e o plano de tratamento do risco seja definido. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 20 88 Logo de cara vamos destacar as opções de tratamento de riscos. Isso despenca em prova. Então alguns gostam do famoso MNEMONICO MORA COM. MOdificação do Risco Retenção do Risco André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 21 88 Ação de evitar o Risco; COMpartilhamento do Risco; Um outro ponto de atenção diz respeito ao fato de que as quatro opções para o tratamento do risco NÃO são mutuamente exclusivas. Vou repetir pessoal... Elas NÃO SÃO mutuamente exclusivas. Às vezes, a organização pode beneficiar-se substancialmente de uma combinação de opções, tais como a redução da probabilidade do risco, a redução de suas consequências e o compartilhamento ou retenção dos riscos residuais. 2. Modificação do Risco Em geral, os controles podem fornecer um ou mais dos seguintes tipos de proteção: correção, eliminação, prevenção, minimização do impacto, dissuasão, detecção, recuperação, monitoramento e conscientização. SAÍDA O plano de tratamento do risco e os riscos residuais, sujeitos à decisão de aceitação por parte dos gestores da organização. AÇÃO Convém que o nível de risco seja gerenciado através da inclusão, exclusão, ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 22 88 Durante a seleção de controles, é importante pesar o custo de aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor dos ativos sendo protegidos. Convém que o retorno do investimento, na forma da modificação do risco e da possibilidade de se explorar em novas oportunidades de negócio em função da existência de certos controles, também seja considerado. Adicionalmente, convém considerar as competências especializadas que possam ser necessárias para definir e implementar novos controles ou modificar os existentes. 3. Retenção do Risco Se o nível de risco atender aos critérios para a aceitação do risco, não há necessidade de se implementarem controles adicionais e pode haver a retenção do risco. 4. Ação de Evitar o Risco AÇÃO Convém que as decisões sobre a retenção do risco, sem outras ações adicionais, sejam tomadas tendo como base a avaliação de riscos. AÇÃO Convém que a atividade ou condição que dá origem a um determinado risco seja evitada. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 23 88 Tal ação considera riscos que são elevados e quando os custos de implementação de outras opções de tratamento do risco excederem os benefícios. Desse modo, pode-se decidir que o risco seja evitado completamente. Um exemplo clássico dessa ação diz respeito a uma instalação física sujeita a alagamento por enchentes. Construir andares muito altos ou barreiras físicas para mitigar o risco podem ser ações muito caras. Dessa forma, uma AÇÃO DE EVITAR O RISCO seria mover a instalação para um outro lugar que não haja esse risco. 5. Compartilhamento do Risco A decisão de compartilhamento envolve entidades externas de maior expertise para tratar o risco. Tal compartilhamento pode criar novos riscos ou modificar riscos existentes e identificados. Caso isso aconteça, pode ser que um novotratamento do risco seja necessário. Aqui temos o exemplo clássico de seguro para tratar as consequências de um risco. Além disso, uma outra alternativa, é utilizar empresas subcontratadas para monitorar e controlas determinados riscos, como uma empresa de vigilância por exemplo. 4. ACEITAÇÃO DO RISCO DE SEGURANÇA DA INFORMAÇÃO AÇÃO Convém que um determinado risco seja compartilhado com outra entidade que possa gerenciá-lo de forma mais eficaz, dependendo da avaliação de riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 24 88 5. COMUNICAÇÃO E CONSULTA DO RISCO DE SEGURANÇA DA INFORMAÇÃO ENTRADA O plano de tratamento do risco e o processo de avaliação do risco residual sujeito à decisão dos gestores da organização relativa à AÇÃO Convém que a decisão de aceitar os riscos seja feita e formalmente registrada, juntamente com a responsabilidade pela decisão. SAÍDA Uma lista de Riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os critérios normais para aceitação do risco. ENTRADA Todas as informações sobre os riscos obtidas através das atividades de gestão de riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 25 88 6. MONITORAMENTO E ANÁLISE CRÍTICA DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 1. Monitoramento e Análise crítica dos Fatores de Risco AÇÃO Convém que as informações sobre os riscos sejam trocadas e/ou compartilhadas entre o tomador de decisão e as outras partes interessadas. SAÍDA Entendimento contínuo do processo de gestão de riscos de segurança da informação da organização e dos resultados obtidos. ENTRADA Todas as informações sobre os riscos obtidas através das atividades de gestão de riscos. AÇÃO Convém que os riscos e seus fatores (isto é, valores dos ativos, impactos, ameaças, vulnerabilidades, probabilidades de ocorrência) seja monitorado e analisado criticamente, a fim de identificar, o mais rapidamente possível, eventuais mudanças no contexto da organização e de manter uma visão geral dos riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 26 88 2. Monitoramento, Análise Crítica e Melhoria do Processo de Gestão de Riscos SAÍDA Alinhamento contínuo da gestão de riscos com os objetivos de negócios da organização e com os critérios para a aceitação do risco. ENTRADA Todas as informações sobre os riscos obtidas através das atividades de gestão de riscos. AÇÃO Convém que o processo de gestão de riscos de segurança da informação seja continuamente monitorado, analisado criticamente e melhorado, quando necessário e apropriado. SAÍDA Garantia permanente da relevância do processo de gestão de riscos de segurança da informação para os objetivos de negócios da organização ou a atualização do processo. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 27 88 PLANO DE CONTINUIDADE DE NEGÓCIO E CONTINGÊNCIA Esse conteúdo tende a ser cobrado de maneira bem tranquila nas provas. São conceitos simples que trabalharemos e sempre focado nos exercícios e como as bancas têm cobrado tais assuntos. A essência desse tópico estar em manter a disponibilidade e não perder a informação. Falaremos sobre alguns pontos a respeito destes dois princípios básicos. Lembrando o conceito de disponibilidade: Ou seja, se você acessa um site qualquer na Internet e ele está fora do ar, temos um problema de disponibilidade. Entretanto, o outro conceito atrelado diz respeito à não perder a informação. Se você teve em seu curso a disciplina de equipamentos de rede de armazenamento ou técnicas de backup e RAID, você já viu detalhadamente diversos aspectos operacionais que dizem respeito a manter a informação disponível e não perder tal informação, que, sem dúvida, é o ativo mais preciso de uma organização. Por esse motivo, as grandes companhias investem muito dinheiro e recurso para manter os seus ambientes disponíveis e com implementações que garantam a persistência da informação. Então para já trabalharmos o nosso primeiro conceito, o Plano de Continuidade de Negócios (PCN) vai buscar definir uma série de diretrizes, ações, técnicas e recursos para garantir as questões que já mencionamos. DISPONIBILIDADE O recurso desejado deve estar disponível no momento de sua requisição ou necessidade a pessoas autorizadas. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 28 88 Um primeiro ponto a se destacar é que a maneira mais básica de você combater a perda de informação é duplica-la. Ou seja, uma informação armazenada em um disco rígido pode ser copiado para outro para prevenir falhas no disco e perder a informação. Entretanto, colocar os dois discos em um mesmo servidor pode não ser suficiente, uma vez que um problema grave nesse servidor pode danificar os dois discos. Então, nessa perspectiva, coloca-se a informação em discos diferentes e em servidores diferentes. Novamente, podemos ter um novo problema. E se o Datacenter em questão pega fogo e destrói todos os servidores? Nesse sentido, é o caso de pensar em duplicar o Datacenter... Agora, ao duplica-lo, é necessário mantê-lo ativo e compartilhando os recursos? Todas essas questões devem ser consideradas no momento em que se busca construir um PCN. Bem como um plano de recuperação de desastres justamente para definir a forma como agir em determinadas circunstâncias. Para já adiantarmos um conceito que recorrentemente cai em prova, quando falamos de duplicar um DATACENTER, podemos aplicar algumas técnicas: 1. HOT SITE ? Neste caso, os dois DATACENTERS ficam funcionando ativamente e compartilhando recursos. No caso da falha de um, não há qualquer prejuízo dos dados e, inclusive, da disponibilidade dos serviços que estão sendo providos pelos DATACENTERS. 2. COLD SITE - Neste caso, tem-se um outro ambiente com a infraestrutura necessária e suficiente para o reestabelecimento do serviço sem prejuízo das informações. Este novo ambiente não está ativo e compartilhando recursos como o ambiente original como o PCNDesenvolvimento preventivo de um conjunto de estratégias e planos de ação de maneira a garantir que os serviços essenciais sejam devidamente identificados e preservados após a ocorrência de um desastre, até o retorno à situação normal de funcionamento da empresa dentro do contexto do negócio do qual faz parte. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 29 88 HOTSITE. Ou seja, em caso de falha do primeiro, tem-se um pequeno intervalo de indisponibilidadĞ ?� ƋƵĞ� ƐĞƌŝĂ� Ž� ƚĞŵƉŽ� ŶĞĐĞƐƐĄƌŝŽ� ƉĂƌĂ� “ůŝŐĂƌ ?� Ž� ŶŽǀŽ� ��d���Ed�Z� ƋƵĞ� ũĄ� estava preparado. Um ponto que devemos ressaltar é que a utilização de ambientes temporário para essa finalidade não é uma OBRIGAÇÃO. Portanto, eles podem ou não ser utilizados a depender da criticidade. Lembrando que tudo envolve custos a serem considerados nas estratégias das organizações. Partindo das nossas considerações feitas até agora, um outro ponto que surge para nossa atenção diz respeito à distância entre estes SITES ou DATACENTERS. Como a ideia é justamente suportar grandes catástrofes, a recomendação é que fiquem em distâncias consideráveis para suportar eventuais catástrofes que venham a dizimar uma cidade inteira. Pessoal, um ponto que merece o nosso destaque é referente à necessidade de se validar e verificar se os planos estão devidamente escritos e são executáveis. A título de exemplo, no ambiente COLDSITE, é importante que de vem em quando se faça a atividade de subir o ambiente e verificar se tudo está funcionando e, se os tempos previstos, ações, pessoas e todo o resto envolvido está dentro das conformidades. Alguns autores tratam esse processo no âmbito de auditoria do PCN, outros consideram como simples ação de monitoramento e operação do PCN. Imagine todo o investimento feito para, no caso da necessidade, descobrir que as baterias de um no-break por exemplo, estavam descarregadas. Então é muito importante verificar e testar o plano de maneira periódica. No que tange ao plano, precisamos saber também a sua composição em termos dos subplanos: Plano de Contingência (emergência) ? PC Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as necessidades e ações mais imediatas. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 30 88 Plano de Administração de Crises ? PAC Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência, antes durante e após a ocorrência. Plano de Recuperação de Desastres ? PRD Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação. Plano de Continuidade Operacional - PCO Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual incidente. Um exemplo simples é a queda de conexão à internet. Além disso, o PCN deve considerar os aspectos abaixo em seus respectivos PLANO DE AÇÕES: x como o PCN é ativado; x as pessoas responsáveis por ativar o plano de continuidade de negócios; x o procedimento que esta pessoa deve adotar ao tomar esta decisão; x as pessoas que devem ser consultadas antes desta decisão ser tomada; x as pessoas que devem ser informadas quando a decisão for tomada; x quem vai para onde e quando; x quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros; x como e quando esta informação será comunicada e x se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 31 88 NORMA ISO 15999 ? GESTÃO DE CONTINUIDADE DE NEGÓCIO (GCN) O referido assunto também é tratado no âmbito da Norma ISO 15999. A referida norma trata diversos aspectos que são cobrados em prova de maneira tangencial, ou seja, não se cobra exatamente a norma, mas sim aspectos gerais que também são previstos na norma. Nesse sentido, é importante entender o ciclo básico previsto no referido código de boas práticas. Mais uma vez, segue-se o padrão do PDCA (PLAN, DO, CHECK, ACT). A figura abaixo nos dá uma visão integrada do processo: Então o Sistema de Gestão de Continuidade de Negócio contempla 4 etapas básicas que se encontram no interior do círculo: André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 32 88 1. Entendimento dos Requisitos de Continuidade de Negócio da Organização; 2. Determinação das Estratégias de GCN; 3. Desenvolvimento e Implementação de GCN: Resposta e Recuperação; 4. Exercício, Teste, Manutenção e Análise Crítica de GCN; No centro do Ciclo temos exatamente a Gestão do Programa de GCN. �ůĠŵ�ĚŝƐƐŽ ?� ŶŽ�ƉůĂŶŽ� ŵĂŝƐ�ĞdžƚĞƌŶŽ�ĚŽ�ƉƌŽĐĞƐƐŽ ?�ƚĞŵŽƐ�ĨĂƐĞ� ?/E�>h/E�K� ��GCN NA CULTURA DA KZ'�E/���K ? ? GESTÃO DO PROGRAMA DE GCN Neste ponto, destaca-se a documentação de todo o processo. Nesse sentido, convém que os indivíduos responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos: a) Política de GCN; x Declaração do Escopo de GCN; x Termos de Referência de GCN; b) Análise de impacto dos negócios; c) Avaliação de riscos e ameaças; d) Estratégias de GCN; e) Programa de conscientização; f) Programa de treinamento; g) Planos de gerenciamento de incidentes; h) Planos de continuidade de negócio; A gestão do programa está no cerne do processo de GCN. Uma gestão do programa eficiente estabelece a abordagem da organização à continuidade de negócios. A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 33 88 i) Planos de recuperação de negócios; j) Agenda de testes e relatórios; k) Contratos e acordos de níveis de serviço; É na fase de Gestão que também acontece a GOVERNANÇA em sentido de DESIGNAÇÃO DAS RESPONSABILIDADES. ENTENDIMENTO DOS REQUISITOS DE CONTINUIDADE DE NEGÓCIO DA ORGANIZAÇÃO;ANÁLISE DE IMPACTO NO NEGÓCIO Convém que a organização defina e documente o impacto de uma interrupção nas atividades que suportam seus produtos e serviços fundamentais. Esse processo é comumente conhecido como análise de impacto de negócios. IDENTIFICAÇÃO DE ATIVIDADES CRÍTICAS A organização deve categorizar suas atividades de acordo com suas prioridades de recuperação. Aquelas atividades cuja perda, de acordo com os resultados da Análise de IMPACTO, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente ĚĞǀĞŵ�ƐĞƌ�ĐŚĂŵĂĚĂƐ�ĚĞ� “�d/s/����^� �Z1d/��^ ? ?� �ĂĚĂ�ĂƚŝǀŝĚĂĚĞ�ĐƌşƚŝĐĂ� suporta um ou mais produtos ou serviços. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 34 88 DETERMINANDO REQUISITOS DE CONTINUIDADE Convém que a organização estime os recursos que cada atividade necessitará durante sua recuperação. AVALIANDO AMEAÇAS A ATIVIDADES CRÍTICAS (realizando uma avaliação de riscos) Em um contexto de GCN, convém que o nível de risco seja entendido especificamente no que diz respeito às atividades críticas da organização e aos riscos de uma interrupção destas. As atividades críticas têm como base recursos como pessoas, instalações, tecnologia, informações, suprimentos e partes interessadas. Convém que a organização entenda as ameaças a esses recursos, as vulnerabilidades de cada recurso e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma interrupção no negócio. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 35 88 DETERMINAÇÃO DAS ESTRATÉGIAS DE GCN; �ƐƚĞ� ĞůĞŵĞŶƚŽ� ĚŽ� ĐŝĐůŽ� ĚĞ� ǀŝĚĂ� ĚĂ� '�E� ƐĞŐƵĞ� ůŽŐŝĐĂŵĞŶƚĞ� Ž� ĞůĞŵĞŶƚŽ� “�Ed�E��E�O A KZ'�E/���K ? ?� �ŽŵŽ� ƌĞƐƵůƚĂĚŽ� ĚĂ� ĂŶĄůŝƐĞ� ĂŶƚĞƌŝŽƌ ?� ƵŵĂ� ŽƌŐĂŶŝnjĂĕĆŽ� ĞƐƚĂƌĄ� ŶƵŵĂ� ƉŽƐŝĕĆŽ� apropriada para efetuar a escolha das estratégias de continuidade apropriadas ao alcance de seus objetivos. DETERMINANDO ESCOLHAS Como resultado da Análise de Impacto e da Avaliação de Riscos, convém que a organização identifique medidas que reduzam o período de interrupção e que: a) Reduzam a chance de interrupção; b) Diminuam o período de interrupção; e c) Limitem o impacto de uma interrupção dos produtos e serviços fundamentais da organização. Estas medidas são conhecidas como mitigação de perdas e tratamento de riscos. APROVAÇÃO Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a análise de impacto nos negócios e avaliação de riscos, de forma a garantir que o trabalho foi realizado de forma apropriada e reflete verdadeiramente a realidade da organização. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 36 88 As estratégicas em questão dependem de fatores como: A) O período máximo de interrupção tolerável da atividade crítica; B) Os custos de implementação de uma ou mais estratégias; C) As consequências de não se agir; Além disso, as referidas estratégias podem considerar contextos diferenciados em termos de recursos, como: A) Pessoas; B) Instalações; C) Tecnologia; D) Informação; E) Suprimentos; F) Partes Interessadas; Novamente, deve-se ter a etapa de aprovação das opções de estratégicas adotadas que comporão o GCN. DESENVOLVIMENTO E IMPLEMENTAÇÃO DE GCN: RESPOSTA E RECUPERAÇÃO; OPÇÕES DE ESTRATÉGIA Convém que a organização considere opções estratégicas para suas atividades críticas e para os recursos que cada atividade consumirá durante sua restauração. ESTRUTURA DE RESPOSTA A INCIDENTES Convém que a organização defina uma estratégia de resposta a incidentes que permita uma resposta efetiva e uma recuperação pós- incidente. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 37 88 Em termos de resposta rápida, é importante que qualquer incidente possua uma estrutura pré- definida e simples, permitindo à organização: a) Confirmar a natureza e extensão do incidente; b) Tomar controle da situação; c) Controlar o incidente; e d) Comunica-se com as partes interessadas. A imagem a seguir resume as ações e fases a serem consideradas. Para ajudar no entendimento da imagem, temos nas setas na parte superior, a seguinte ordem: 1. Mitigação de Risco e monitoramento; Teste e Exercício do Plano de Continuidade; 2. Detecção; 3. Resposta; 4. Recuperação; A criação do Plano de Continuidade de Negócio, conforme mencionamos anteriormente nessa aula, acontece nesta etapa. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 38 88 EXERCÍCIO, TESTE, MANUTENÇÃO E ANÁLISE CRÍTICA DE GCN PLANO DE CONTINUIDADE DE NEGÓCIOS (PCN) O propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupera ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Os PCN são ativados para das suporte às atividades críticas necessárias para cumprir os objetivos da organização. Eles podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. PROGRAMA DE TESTES Convém que um programa de testes esteja consistente com o escopo do PCN, levando em conta a legislação e as regulamentações em vigor. Convém que um programa de testes seja criado de forma que, ao longo do tempo, possa ser garantido objetivamente que o PCN funcionará como previsto quando necessário. TESTANDO OS PREPARATIVOS DE GCN Convém que os teste sejam realistas, planejados cuidadosamente e acordados com as partes interessadas, de modo que haja um risco mínimo de interrupção dos processos de negócio. Convém que os teste sejam planejados de forma a minimizar a chance de que ocorra um incidente como resultado direto do teste. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 39 88 INCLUINDO A GCN NA CULTURA DA ORGANIZAÇÃO Esta fase é fundamentada em basicamente duas etapas:CONSCIENTIZAÇÃO E TREINAMENTO. O programa de CONSCIENTIZAÇÃO deve incluir: a) Um processo de consulta junto a toda a equipe sobre a implementação do programa de GCN; b) Discussão de GCN nos informativos, apresentações, programas ou reportes diários da organização; c) Inclusão da GCN nas páginas pertinentes da web ou da intranet; d) Aprendizado por meio de incidentes internos ou externos; e) GCN como um tópico nas reuniões de equipe; f) Testes de planos de continuidade em locais alternativos, por exemplo, um local de recuperação; e g) Visitas a esses locais alternativos; CONSCIENTIZAÇÃO Convém que a organização tenha um processo para identificar e implementar os requisitos de conscientização de GCN e para avaliar a eficiência desta implementação. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 40 88 TREINAMENTO Convém que a organização possua um processo para identificar e implementar os requisitos de treinamento de GCN e para avaliar a eficiência desta implementação. Convém que habilidade e competências de resposta na organização sejam desenvolvidas por meio de treinamentos práticos, incluindo participação ativa em testes. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 41 88 EXERCÍCIOS COMENTADOS ISO 27005 1. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização. As opções para tratamento do risco de segurança da informação Ȅ modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco Ȅ não são mutuamente exclusivas. Comentários: Pessoal, não fiz os devidos destaques em nossa teoria atoa. Então, de fato, temos o MNEMONICO MORE COM. Lembrando que as 4 opções, de fato, não são mutuamente exclusivas. Gabarito: C 2. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Na fase executar são realizadas ações que incluem a reaplicação do processo de GRSI. Comentários: Vimos em nossa teoria a relação do PDCA (SGSI) e a ISO 27005. Processos do SGSI Processos do GRSI André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 42 88 PLANEJAR Definição do Contexto Processo de Avaliação dos Riscos Definição do Plano de Tratamento dos Riscos Aceitação do Risco EXECUTAR Implementação do Plano de Tratamento do Risco. VERIFICAR Monitoramento contínuo e análise crítica de riscos. AGIR Manter e Melhorar o processo de Gestão de Riscos de Segurança da Informação. Assim, quando a questão fala das reaplicações, estamos falando das iterações, que dizem respeito ao processo de melhoria do processo de GSRI, logo, estamos falando da fase do AGIR, e não do EXECUTAR Típica confusão que se faz inclusive no contexto do ciclo PDCA. Gabarito: E 3. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Entre os ativos de suporte e infraestrutura incluem-se os recursos humanos, as instalações físicas e a estrutura da organização. Comentários: A dificuldade da questão é, sem dúvida, vincular recursos humanos com SUPORTE E INFRAESTRUTURA. Para lembrarmos, a norma não dá muitas opções. Temos somente os Ativos PRIMÁRIOS e o Ativos de SUPORTE E INFRAESTRUTURA. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 43 88 Então lembrando que os PRIMÁRIOS contemplam: 3. Processos e Atividades de Negócio; 4. Informação; Os demais se enquadram nos Ativos de Suporte e Infraestrutura: 7. Hardware; 8. Software; 9. Rede; 10. Recursos Humanos; 11. Instalações Físicas; 12. Estrutura da Organização. Gabarito: C 4. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à disponibilidade de dados históricos e auditáveis. Comentários: Justamente por ser uma análise quantitativa, dados históricos e amostras são fundamentais para a qualidade e exatidão desta quantificação. Vimos que a principal desvantagem para essa metodologia seria justamente a ausência desses dados. Lembrem-se sempre que para se quantificar algo, depende-se de histórico e amostra. Gabarito: C 5. CESPE ? TRT ? 7ª Região (CE) / Analista Judiciário ? TI/2017 De acordo com a ABNT NBR ISO/IEC 27005, o propósito da gestão de riscos de segurança da informação pode ser a) preparar um plano de resposta a incidentes. b) monitorar controles de segurança da informação. c) executar o processo de avaliação de riscos. d) definir políticas. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 44 88 Comentários: Trazendo, novamente, a relação de propósitos da GRSI, temos: 1. Suporte a um SGSI; 2. �����² ���² �ȋDz� dzȌǢ 3. Preparação de um Plano de Continuidade de Negócios; 4. Preparação de um Plano de Resposta a Incidentes; 5. Descrição dos requisitos de segurança da informação para um produto, um serviço ou um mecanismo. Gabarito: A 6. CESPE ? TRT ? 7ª Região (CE) / Analista Judiciário ? TI/2017 De acordo com a ABNT NBR ISO/IEC 27005, a primeira etapa do processo de avaliação de riscos consiste em a) avaliar os riscos. b) tratar os riscos. c) monitorar os riscos. d) identificar os riscos. Comentários: Questão bem tranquila, certo pessoal? Início de tudo, deve-se identificar os riscos, para só então passar às demais etapas. Lembremos: André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 45 88 Gabarito: D André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram:@ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 46 88 7. CESPE ? TRE-BA / Técnico Judiciário ? Operação de Computadores/2017 O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com o(a) a) identificação de riscos. b) definição do contexto. c) avaliação de riscos. d) tratamento do risco. e) monitoração dos riscos. Comentários: Pessoal, muito cuidado. A questão se parece demais com a anterior. Entretanto, a anterior estava tratando do agrupamento referente ao PROCESSO DE AVALIAÇÃO DO RISCO. Por esse motivo, considera-se apenas o centro da figura. Já essa questão está tratando do processo de GESTÃO DE RISCO como um todo. Logo, deve-se considerar todas as etapas. Assim, olhando novamente a figura, lembramos que tudo começa com a DEFINIÇÃO DO CONTEXTO, para só então passar ao processo de AVALIAÇÃO DO RISCO. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 47 88 Gabarito: B 8. CESPE ? TCE-PA / Auditor de Controle Externo ? Analista de Segurança/2016 Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores. Comentários: Vimos em nossa teoria a importância da comunicação dentro de uma organização, com destaque às áreas operacionais e aos devidos gestores. Gabarito: C André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 48 88 9. CESPE ? TCE-PA / Auditor de Controle Externo ? Analista de Segurança/2016 O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco. Comentários: Questão bem complicada, pessoal. Vimos em nossa teoria que o processo de GRSI é sim iterativo. O fato dele ser iterativo não implica dizer que sempre será, ou seja, pode-se ter situações que teremos apenas uma iteração. �ǡ�� ����Dz±dz� ����ǤǤǤ������ uma iteração. Por esse motivo a banca deu a questão como errada. Mas ao meu ver, infelizmente, a questão estava certa. Fiquemos com essa abordagem do CESPE para futuras questões semelhantes. Gabarito: E (Gabarito do Professor: C) 10.CESPE ? TRT ? 8ª Região (PA e AP) / Analista Judiciário - TI/2016 De acordo com a norma NBR ISO/IEC 27005, a etapa em que se identifica qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança é a identificação a) das ameaças. b) dos controles existentes. c) das vulnerabilidades. d) das consequências. e) dos ativos. Comentários: Pessoal, primeiramente resolvendo a questão com base na lógica, percebemos que o enunciado busca identificar mecanismos administrativos, físicos ou operacionais capazes de tratar os riscos... Ora, tais mecanismos são os CONTROLES EXISTENTES. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 49 88 Os demais itens dizem respeito a outros aspectos e recursos no contexto da GRSI. Gabarito: B 11.CESPE ? TRT ? 8ª Região (PA e AP) / Analista Judiciário - TI/2016 Quanto ao tratamento de riscos, conforme a norma NBR ISO/IEC 27005, assinale a opção correta. a) A remoção da fonte do risco é forma de tratamento do risco conhecida como modificação do risco. b) Os riscos residuais são aqueles classificados como impossíveis de ser tratados. c) A retenção do risco consiste na ação de implementar controles que busquem reduzir os riscos a um nível aceitável pela organização. d) O compartilhamento do risco envolve transferência ou compartilhamento do risco com entidades internas da organização com vistas a balancear os prejuízos entre as unidades na ocorrência de perdas advindas de um incidente. e) A escolha de controles para reduzir os riscos a um nível aceitável pela organização deve considerar os seus critérios para a aceitação do risco, a exemplo dos requisitos legais, culturais e ambientais. Comentários: Vamos aos itens: a) Não existe a opção de eliminar a fonte. Lembre-se do rol: MORA COM Ȃ Modificação, Retenção, Ação de Evitar e Comparilhamento. ERRADO. b) �� �� ���Dzdz�ǡ��ǡ��� aceita o risco. ERRADO c) Pessoal, a norma usa o termo MITIGAR quando se refere a REDUZIR riscos. ERRADO d) Pessoa, compartilhamento do risco ou transferência do risco faz referência a entidades externas e não internas. ERRADO e) Exatamente pessoal. Não se aceita um risco por si só. Ele deve estar enquadrado nos termos e condições de aceitação de riscos da instituição. CORRETO Gabarito: E André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 50 88 12.CESPE ? TRE-PI / Analista Judiciário ? Análise de Sistemas/2016 Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe a) deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos. b) deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para a organização. c) deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa. d) deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos. e) deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco. Comentários: Antes de qualquer coisa, importante destacar que a norma não traz a definição em termos de divisão de papéis, como foi colocado em alguns itens. Vamos aos itens pessoal: a) Exatamente o texto constante na SAÍDA do processo de IDENTIFICAÇÃODOS ATIVOS. Relembremos: SAÍDA Uma lista de ativos com riscos a serem gerenciados e uma lista dos processos de negócio relacionados aos ativos e suas relevâncias. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 51 88 Logo, item CORRETO. b) Conforme mencionamos. ERRADO c) Não há uma limitação do método. Vai depender das circunstâncias e objetivos. ERRADO d) O GRSI faz parte do Sistema de Gestão de Segurança da Informação. Portanto, não há o que se falar nessa relação encadeada. ERRADO e) Novamente, não temos a divisão de papéis. ERRADO Gabarito: A 13.CESPE ? TJ-DFT / Analista Judiciário ? Suporte em TI/2015 A ISO 27005, que estabelece guias de referência para gerenciamento de risco em segurança da informação, é aplicável na maior parte das organizações, com exceção das agências de governo. Comentários: Sem muitos comentários, certo pessoal? As agências de governo, inclusive, têm aprimorado seus processos internos para implementar, sempre que possível, o GRSI. Gabarito: E 14.CESPE ? TJ-DFT / Analista Judiciário ? Suporte em TI/2015 A norma ISO/IEC 27005 determina que, se uma ameaça tem valor constante, o impacto resultante será o mesmo para todos os ativos, independentemente de qual deles seja afetado. Comentários: Vimos na seção de IDENTIFICAÇÃO DAS AMEAÇAS o seguinte: Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos diferentes dependendo de quais ativos são afetados. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 52 88 Logo, não há o que se falar que a ameaça de valor constante não varie com os diferentes ativos. Gabarito: E 15.CESPE ? TCE-RN / Inspetor de TI/2015 É objeto da norma 27005 entender, desenvolver e implementar plano de continuidade de negócios em uma organização. Comentários: Tranquilo, certo pessoal? A norma 27005 trata do GRSI. A norma que cuida do PLANO DE CONTINUIDADE DE NEGÓCIOS é a ISO 15999 (ISO 22301). Gabarito: E 16.CESPE ? STJ / Analista Judiciário ? Suporte em TI/2015 De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias qualitativas para a identificação de riscos. Comentários: Mais uma questão bem tranquila. Podem ser aplicadas metodologias tanto qualitativas quanto quantitativas. Gabarito: C 17.CESPE ? MEC / Analista de teste e Qualidade/2015 O processo descrito pela norma ISO/IEC 27005 fornece as diretrizes para a gestão de riscos de segurança da informação de uma organização sincronizada com o ciclo de melhoria contínua PDCA utilizado em um SGSI, conforme a ISO/IEC 27001. Comentários: André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 53 88 Pessoal, vimos que o ciclo PDCA está presente na norma, especificamente com a seguinte distribuição: Processos do SGSI Processos do GRSI PLANEJAR Definição do Contexto Processo de Avaliação dos Riscos Definição do Plano de Tratamento dos Riscos Aceitação do Risco EXECUTAR Implementação do Plano de Tratamento do Risco. VERIFICAR Monitoramento contínuo e análise crítica de riscos. AGIR Manter e Melhorar o processo de Gestão de Riscos de Segurança da Informação. Gabarito: C PCN E CONTINGÊNCIA 18.CESPE ? EBSERH /Analista de Tecnologia da Informação/2018 Como medida necessária para viabilizar a operação alternativa dos negócios da organização em caso de indisponibilidade dos recursos originais, o plano de continuidade de negócios estabelece que esses recursos sejam sistematicamente mantidos em duplicidade. Comentários: André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 54 88 Pessoal, existem técnicas que não necessariamente dependem de duplicidade, como o RAID 5 e 6 por exemplo que trabalham com recursos de paridade. Além disso, a criticidade de negócio e importância da informação é fator a ser levado em conta no momento de decisão sobre as melhores estratégias para se garantir a disponibilidade, não se aplicando, necessariamente, a todos os recursos. Desse modo, o problema da questão foi dizer que é uma condição necessária. Gabarito: E 19.CESPE ? EBSERH /Analista de Tecnologia da Informação/2018 Uma auditoria no plano de continuidade de negócios de uma organização precisa verificar se o plano é exequível e se o pessoal está treinado para executá-lo. Comentários: Conforme vimos em nossa teoria, certo pessoal? De fato, é necessário verificar e garantir o seu funcionamento, tanto em termos dos recursos envolvidos, como das pessoas. Gabarito: C 20.CESPE ? TRE-BA /Analista Judiciário ? Análise de Sistemas/2017 Conforme a ABNT NBR 15999-1 Ȅ gestão de continuidade de negócios (GCN) Ȅ, a criação e a manutenção da documentação de continuidade de negócios são atividades realizadas no elemento do ciclo de vida referente a) ao entendimento da organização. b) à determinação da estratégia de continuidade de negócios. c) ao desenvolvimento e à implementação de resposta de GCN. d) à inclusão da GCN na cultura da organização. e) à gestão do programa de GCN. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 55 88 Comentários: Comentamos em nossa teoria que a Gestão do Programa de CGN é que contempla todos os aspectos de documentação no âmbito da norma. Gabarito: E 21.CESPE ? TRE-BA /Técnico Judiciário ? Programação de Sistemas/2017 As atividades pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na cultura de uma organização incluem o(a) a) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na organização. b) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos regulares na organização. c) organização e treinamento adequados da equipe responsável pela GCN da organização. d) estabelecimento do período máximo de interrupção tolerável de cada atividade da organização. e) discussão de GCN em informativos, apresentações, programas ou comunicados diários da organização. Comentários: Mais uma vez vamos relembrar o que é contemplado no programa de CONSCIENTIZAÇÃO:h) Um processo de consulta junto a toda a equipe sobre a implementação do programa de GCN; i) Discussão de GCN nos informativos, apresentações, programas ou reportes diários da organização; j) Inclusão da GCN nas páginas pertinentes da web ou da intranet; k) Aprendizado por meio de incidentes internos ou externos; l) GCN como um tópico nas reuniões de equipe; m) Testes de planos de continuidade em locais alternativos, por exemplo, um local de recuperação; e n) Visitas a esses locais alternativos; Gabarito: E 22.CESPE ? TRT ? 8ªRegião (PA e AP) /Analista Judiciário ? TI/2016 André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros ==11f396== Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 56 88 Um dos objetivos da gestão de continuidade de negócios é a) prover recursos financeiros suficientes para evitar que os sistemas operacionais da organização sejam atingidos por falhas ou desastres. b) assumir a gestão de riscos dos recursos de TI para garantir e manter a operacionalidade da organização. c) proteger os processos críticos da organização contra impactos causados por falhas ou desastres. d) tornar a organização cada vez menos dependente de tecnologia e de sistemas computacionais. e) responsabilizar a gerência de segurança da informação pela implementação integral do plano de continuidade de negócios. Comentários: Pessoal, vimos que o cerne da Gestão de Continuidade de Negócios reside em manter o funcionamento dos processos críticos da organização, zelando pela sua informação e disponibilidade. Gabarito: C 23.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Cabe à GCN identificar, quantificar e priorizar os riscos aos produtos e aos serviços fundamentais para uma organização; a análise de risco reconhece as prioridades que farão a organização cumprir constantemente suas obrigações, mesmo diante de um incidente ou de uma situação de crise. Comentários: Questão bem interessante e suave em sua interpretação. A descrição inicial do item traz aspectos detalhados dos procedimentos que fazem parte da GESTÃO DE RISCOS (ISO 27005) e não da GCN. Sem dúvida, parte da GESTÃO DE RISCOS está inserida na GCN, principalmente na fase de ENTENDIMENTO DE REQUISITOS DE CONTINUIDADE NEGÓCIO, quando falamos de AVALIAÇÃO DE AMEAÇAS A ATIVIDADES CRÍTICAS. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 57 88 Mas realmente o detalhamento de quantificar e priorizar os riscos extrapolam esse escopo. Gabarito: E 24.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Em uma visão de GCN, sistemas, processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é objetivo de outras áreas da segurança da informação. Comentários: Complementando o nosso comentário do item anterior, na mesma linha do que conversamos. O erro se encontra no final ao dizer que não é necessário fazer levantamento. Já vimos que o levantamento, em termos de identificação e avaliação, é necessário. Mas daí pra frente, extrapola o GCN, sendo previsto, de fato, em outras áreas, como a própria ISO 27005. Gabarito: E 25.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Ao se estabelecer a visão proposta pela equipe de resposta a incidentes, é importante que esta seja comunicada a outros indivíduos da organização para fins de contribuição mútua. Essa circunstância permite identificar, antes da implementação, problemas organizacionais ou no processo da equipe de resposta a incidentes. Comentários: Pessoal, essa questão serve para complementarmos a nossa teoria. Sem dúvida a comunicação e articulação interna é fundamental, conforme nós vimos. E esse processo corrobora para a identificação de problemas prévios. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 58 88 Gabarito: C 26.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 O plano de continuidade do negócio de uma organização deve considerar a existência de ambientes temporários alternativos como forma de garantir o retorno de serviços considerados críticos e que exijam um menor tempo de recuperação. Comentários: Vimos que a utilização desses ambientes temporários não é OBRIGATÓRIO. Portanto, no ��Dz����dzǡ�À��Dz����dzǤ Gabarito: E 27.CESPE ? MEC /Analista de Segurança/2015 No processo de terceirização de serviços de segurança da informação, a contratação de um estudo de análise de impacto nos negócios apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à contratação de um serviço terceirizado para a gestão de riscos de segurança da informação. Comentários: Questão de interpretação, certo pessoal? Dizer que o impacto é maior associado a estudos em relação à gestão de fato é uma inverdade. Gabarito: E 28.CESPE ? MEC /Gerente de Suporte/2015 Para realizar análises críticas da eficácia do sistema de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta os incidentes de segurança da informação mais graves do período, e desconsiderar eventuais sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 59 88 Comentários: Pessoal, já vimos a importância de se ter a comunicação constante, principalmente para coletar contribuições e identificar falhas nos processos e pessoas. Então não há o que falar em restringir a contribuição àqueles envolvidos diretamente nos incidentes. Fora isso, o resto da questão está ok. Gabarito: E André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 60 88 EXERCÍCIOS COMENTADOS COMPLEMENTARES ISO 27005 1. FCC ? ARTESP / Especialista em regulação de Transporte/2017 Segundo a Norma ABNT NBR ISO/IEC 27005:2011, a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para análise de riscos pode ser quantitativa, qualitativa ou uma combinação de ambas. A análise quantitativa a) é utilizadaem primeiro lugar, na prática, para obter uma indicação geral do nível de risco e para revelar os grandes riscos. b) é normalmente menos complexa e menos onerosa que a análise qualitativa, já que a análise qualitativa é focada somente nos grandes riscos. c) de riscos utiliza uma escala com atributos quantificadores que descrevem a magnitude das consequências potenciais (pequena, média ou grande) e a probabilidade dessas consequências ocorrerem. d) de riscos tem como vantagem a facilidade de compreensão por todas as pessoas envolvidas, enquanto sua desvantagem é a dependência da escolha subjetiva da escala. e) utiliza dados históricos dos incidentes, na maioria dos casos, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização. Comentários: Vamos aos itens: a) Na prática, utiliza-se a análise qualitativa em primeiro lugar. Mas percebam, não é uma regra ou obrigatoriedade. ERRADO. b) A Análise Qualitativa é menos complexa do que a análise Quantitativa. ERRADO c) Mais uma vez, tem-se a descrição da Análise Qualitativa, como fator subjetivo. ERRADO d) Devido à baixa complexidade, a linguagem mais compreensiva também se aplica à análise Qualitativa. ERRADO André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 61 88 e) Exatamente isso. CORRETO. Gabarito: E 2. FCC ? TRT ? 24ª Região / Analista Judiciário/2017 Considere os processos abaixo. Processos do SGSI: ? Planejar. ? Executar. ? Verificar. ? Agir. Processos de GRSI: ? Definição do contexto. ? Avaliação de riscos. ? Definição do plano de tratamento do risco. ? Aceitação do risco. ? Implementação do plano de tratamento do risco. ? Monitoramento contínuo e análise crítica de riscos. ? Manter e melhorar o processo de GRSI. A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação Ȃ SGSI e do processo de Gestão de Riscos de Segurança da Informação Ȃ GRSI. Segundo a Norma, o processo de GRSI denominado a) "Aceitação do risco" está alinhado com o processo do SGSI "Planejar". b) "Avaliação de riscos" está alinhado com o processo do SGSI "Verificar". c) "Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI "Verificar". André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 62 88 d) "Implementação do plano de tratamento do risco" está alinhado com o processo do SGSI "Agir". e) "Aceitação do risco" está alinhado com o processo do SGSI "Verificar". Comentários: Mais uma vez devemos invocar nossa tabela do PDCA da norma: Processos do SGSI Processos do GRSI PLANEJAR Definição do Contexto Processo de Avaliação dos Riscos Definição do Plano de Tratamento dos Riscos Aceitação do Risco EXECUTAR Implementação do Plano de Tratamento do Risco. VERIFICAR Monitoramento contínuo e análise crítica de riscos. AGIR Manter e Melhorar o processo de Gestão de Riscos de Segurança da Informação. a) CORRETO b) Trata-se do processo PLANEJAR. ERRADO c) Trata-se do processo AGIR. ERRADO d) Trata-se do processo VERIFICAR. ERRADO e) Trata-se do processo PLANEJAR. ERRADO Gabarito: A 3. FCC ? PGE-MT / Analista de Sistemas/2016 Considere, hipoteticamente, que a PGE-MT está diante de um risco de segurança da informação e o Analista de Sistemas terá que decidir que ação tomar. Resolve se guiar pela André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 63 88 seção da norma ABNT NBR ISO/IEC 27005:2011 que discorre sobre o tratamento do risco de segurança da informação. Esta seção indica como ações para o tratamento do risco: a) modificar, reter, evitar e compartilhar. b) evitar, monitorar, conter e terceirizar. c) eliminar, aceitar, evitar e mitigar. d) modificar, aceitar, ignorar, terceirizar. e) identificar, monitorar, eliminar, divulgar. Comentários: Mais uma questão bem tranquila. Lembremos: MOdificação do Risco Retenção do Risco Ação de evitar o Risco; COMpartilhamento do Risco; Gabarito: A 4. FCC ? TRT ? 20ª Região (SE)/Técnico Judiciário/2016 Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de segurança da informação. Seguindo esta norma, a implantação do processo de gestão de riscos deve passar pelas etapas: definição do contexto, processo de avaliação de riscos, tratamento do risco, a) análise de impacto do risco, monitoramento do risco e comunicação do risco. b) aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos. c) mitigação do impacto do risco e análise crítica sobre o risco. d) análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco. e) tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e controle de riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 64 88 Comentários: Lembremos do processo macro da norma: Gabarito: B André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 65 88 PCN E CONTINGÊNCIA 5. FCC ? DPE-AM /Analista em gestão ? Analista de Sistema/2018 Um Plano de Continuidade de Negócios pode ser estruturado em quatro outros planos ligados entre si, cada qual criado para cuidar de um estágio diferente: I. Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência, antes durante e após a ocorrência. II. Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as necessidades e ações mais imediatas. III. Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual incidente. Um exemplo simples é a queda de conexão à internet. IV. Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação. O plano a) II se refere ao Plano de Gerenciamento de Crises. b) III serefere ao Plano de Recuperação de Desastres. c) I se refere ao Plano de Continuidade Operacional. d) III se refere ao Plano de Contingência. e) IV se refere ao Plano de Recuperação de Desastres. Comentários: Vamos aos itens: I Ȃ Plano de Administração de Crises; II Ȃ Plano de Contingência; André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 66 88 III Ȃ Plano de Continuidade Operacional; IV Ȃ Plano de recuperação de Desastres; Gabarito: E 6. FCC ? DPE-RS /Analista ? Segurança da Informação/2017 O Plano de Continuidade dos Negócios é um roteiro de operações contínuas para quando as operações normais dos negócios são interrompidas por condições adversas. O Plano de Continuidade dos Negócios a) deve incluir, dentre outras coisas, a definição dos cenários de impacto e a análise de ameaças e riscos. b) deve ser de responsabilidade do departamento de TI, que é considerado o único com competências necessárias para conter possíveis desastres. c) também é conhecido como Plano de Recuperação de Desastres, uma vez que inclui ações para retornar a organização a seus níveis originais de operação. d) deve possuir ações genéricas para conter qualquer tipo de desastre, evitando assim que tenha que ser revisado periodicamente. e) deve ser executado integralmente em resposta a incidentes que causem interrupção total ou parcial das operações normais de negócios. Comentários: Pessoal, o PCN é construído após diversas ações, conforme vimos em nossa teoria. E nesse contexto, em umas das fases, inclui-se a definição dos cenários de impacto e a análise de ameaças e riscos. Em relação aos demais itens, vamos aos erros e considerações: b) Considerar o departamento de TI como o único com essas competências é uma falha. Vimos a necessidade de se envolver a alta direção, a organização como um todo em termos da conscientização, entre outros. c) O Plano de Recuperação de Desastres é um subplano, sendo parte do PCN. d) O PCN deve ser revisado periodicamente. A questão traz o contrário. e) Ele pode ser executado parcialmente, conforme vimos em nossa teoria. Gabarito: A André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 67 88 7. FCC ? TRT ? 24ª Região (MS) /Técnico Judiciário - TI/2017 Considere a lista a seguir: 1. Um processo para ativar a resposta da organização a um incidente de interrupção e, dentro de cada procedimento documentado, seus critérios e procedimentos de ativação. 2. Um processo para desmobilizar equipes após o incidente ter passado. 3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade, integridade e disponibilidade. 4. Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano. 5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais circunstâncias. 6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários e as informações institucionais. 7. Gestão das consequências imediatas de um incidente de interrupção considerando as questões de bem-estar de pessoas afetadas, as ações para responder a interrupção e prevenção. 8. Detalhes de contato para os membros da equipe e outras pessoas com funções e responsabilidades dentro de cada procedimento. 9. Detalhes indicando como e em que circunstâncias a organização irá se comunicar com os funcionários, com as principais partes interessadas e contatos de emergência. No Plano de Continuidade de Negócio deve estar claramente identificável o que consta em 1, 2, a) 3, 4, 5 e 7. b) 7, 8 e 9. c) 3, 6 e 8. d) 3, 4, 5, 6, 7 e 9. e) 4, 5, 7, 8 e 9. Comentários: Pessoal, apenas o item 3 não faz parte do rol, pois está relacionado às normas ISO 27001 e 27002. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 68 88 Gabarito: E 8. FCC ? Prefeitura de Teresina - PI /Analista Tecnológico ? Analista de Negócios/2016 Um dos objetivos principais da Gestão de Continuidade de Negócios é a) promover avaliação de desempenho dos responsáveis pela organização. b) identificar as ameaças à organização e seus impactos, bem como prover resiliência a tais ameaças. c) realizar um estudo para contenção dos gastos da organização. d) promover um ambiente harmonioso entre os funcionários da organização. e) substituir o parque computacional da organização a cada 2 anos. Comentários: Pessoal, apenas uma forma mais bonita de se escrever, mas temos o nosso gabarito na letra B, ao identificar as ameaças e impactos, e construir planos para sustentar o ambiente e informação no que tange aos serviços essenciais e fundamentais. Gabarito: B 9. FCC ? Prefeitura de Teresina - PI /Analista Tecnológico ? Analista de Negócios/2016 A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos de recursos de uma organização. Dentre tais recursos incluem-se a) pessoas e recursos financeiros. b) tecnologia, mas não informação. c) informação e meio ambiente. d) suprimentos, mas não pessoas. e) instalações e informações. Comentários: Vimos a relação em nossa teoria: a) Pessoas; b) Instalações; c) Tecnologia; André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 69 88 d) Informação; e) Suprimentos; f) Partes Interessadas Gabarito: E 10.FCC ? TRT ? 14ª Região (RO e AC) /Analista Judiciário ? TI/2016 �� �� ���������× � ?����ǡ���� afirmou corretamente que o PCN a) é de responsabilidade direta da equipe de TI, pois trata do estabelecimento de procedimentos que garantirão a recuperação apenas dos ativos de informática. b) não pode apresentar falhas em seus procedimentos, então estes devem ser testados uma única vez antes da entrada em vigência do plano. c) pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando ocorrem representações de situação emergencial. d) é o único requisito de segurança capaz de assegurar que os aspectos de confidencialidade e disponibilidade da informação sejam preservados durante todo o tempo. e) terá sua eficácia garantida se forem cumpridas apenas estas regras: treinamento e conscientização das pessoas envolvidas e processo de manutenção contínua. Comentários: Vamos aos itens: a) Lembrando que a responsabilidade é direta, porém não exclusiva. Mas o erro se encontra na afirmação de que a recuperaçãose dará apenas dos ativos de informática. Vimos a relação completa na questão anterior. ERRADO b) Os testes devem ser realizados periodicamente, e não apenas uma vez. ERRADO c) Exatamente pessoal. CORRETO d) Não é verdade. Há diversos requisitos, principalmente aqueles elencados na ISO 27001 e 27002. ERRADO e) Não há essa restrição. A norma traz diversas ações a serem consideradas para garantir a eficácia do GCN. ERRADO Gabarito: C André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 70 88 André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 71 88 Chegamos ao término de mais uma aula! Caso tenha ficado alguma dúvida, me procure no fórum que buscaremos responde-lo o mais breve possível. E se você está curtindo o nosso curso, não deixe de me seguir no Instagram. @ProfAndreCastro André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 72 88 LISTA DE EXERCÍCIOS ISO 27005 1. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização. As opções para tratamento do risco de segurança da informação Ȅ modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco Ȅ não são mutuamente exclusivas. 2. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Na fase executar são realizadas ações que incluem a reaplicação do processo de GRSI. 3. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 Entre os ativos de suporte e infraestrutura incluem-se os recursos humanos, as instalações físicas e a estrutura da organização. 4. CESPE ? TRF 1ª Região / Analista Judiciário ? Informática/2017 A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à disponibilidade de dados históricos e auditáveis. 5. CESPE ? TRT ? 7ª Região (CE) / Analista Judiciário ? TI/2017 De acordo com a ABNT NBR ISO/IEC 27005, o propósito da gestão de riscos de segurança da informação pode ser a) preparar um plano de resposta a incidentes. b) monitorar controles de segurança da informação. c) executar o processo de avaliação de riscos. d) definir políticas. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 73 88 6. CESPE ? TRT ? 7ª Região (CE) / Analista Judiciário ? TI/2017 De acordo com a ABNT NBR ISO/IEC 27005, a primeira etapa do processo de avaliação de riscos consiste em a) avaliar os riscos. b) tratar os riscos. c) monitorar os riscos. d) identificar os riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 74 88 7. CESPE ? TRE-BA / Técnico Judiciário ? Operação de Computadores/2017 O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com o(a) a) identificação de riscos. b) definição do contexto. c) avaliação de riscos. d) tratamento do risco. e) monitoração dos riscos. 8. CESPE ? TCE-PA / Auditor de Controle Externo ? Analista de Segurança/2016 Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores. 9. CESPE ? TCE-PA / Auditor de Controle Externo ? Analista de Segurança/2016 O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de tratamento de risco. 10.CESPE ? TRT ? 8ª Região (PA e AP) / Analista Judiciário - TI/2016 De acordo com a norma NBR ISO/IEC 27005, a etapa em que se identifica qualquer mecanismo administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de segurança é a identificação a) das ameaças. b) dos controles existentes. c) das vulnerabilidades. d) das consequências. e) dos ativos. 11.CESPE ? TRT ? 8ª Região (PA e AP) / Analista Judiciário - TI/2016 Quanto ao tratamento de riscos, conforme a norma NBR ISO/IEC 27005, assinale a opção correta. a) A remoção da fonte do risco é forma de tratamento do risco conhecida como modificação do risco. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 75 88 b) Os riscos residuais são aqueles classificados como impossíveis de ser tratados. c) A retenção do risco consiste na ação de implementar controles que busquem reduzir os riscos a um nível aceitável pela organização. d) O compartilhamento do risco envolve transferência ou compartilhamento do risco com entidades internas da organização com vistas a balancear os prejuízos entre as unidades na ocorrência de perdas advindas de um incidente. e) A escolha de controles para reduzir os riscos a um nível aceitável pela organização deve considerar os seus critérios para a aceitação do risco, a exemplo dos requisitos legais, culturais e ambientais. 12.CESPE ? TRE-PI / Analista Judiciário ? Análise de Sistemas/2016 Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe a) deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos. b) deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para aorganização. c) deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa. d) deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos. e) deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco. 13.CESPE ? TJ-DFT / Analista Judiciário ? Suporte em TI/2015 A ISO 27005, que estabelece guias de referência para gerenciamento de risco em segurança da informação, é aplicável na maior parte das organizações, com exceção das agências de governo. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 76 88 14.CESPE ? TJ-DFT / Analista Judiciário ? Suporte em TI/2015 A norma ISO/IEC 27005 determina que, se uma ameaça tem valor constante, o impacto resultante será o mesmo para todos os ativos, independentemente de qual deles seja afetado. 15.CESPE ? TCE-RN / Inspetor de TI/2015 É objeto da norma 27005 entender, desenvolver e implementar plano de continuidade de negócios em uma organização. 16.CESPE ? STJ / Analista Judiciário ? Suporte em TI/2015 De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias qualitativas para a identificação de riscos. 17.CESPE ? MEC / Analista de teste e Qualidade/2015 O processo descrito pela norma ISO/IEC 27005 fornece as diretrizes para a gestão de riscos de segurança da informação de uma organização sincronizada com o ciclo de melhoria contínua PDCA utilizado em um SGSI, conforme a ISO/IEC 27001. PCN E CONTINGÊNCIA 18.CESPE ? EBSERH /Analista de Tecnologia da Informação/2018 Como medida necessária para viabilizar a operação alternativa dos negócios da organização em caso de indisponibilidade dos recursos originais, o plano de continuidade de negócios estabelece que esses recursos sejam sistematicamente mantidos em duplicidade. 19.CESPE ? EBSERH /Analista de Tecnologia da Informação/2018 Uma auditoria no plano de continuidade de negócios de uma organização precisa verificar se o plano é exequível e se o pessoal está treinado para executá-lo. 20.CESPE ? TRE-BA /Analista Judiciário ? Análise de Sistemas/2017 André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 77 88 Conforme a ABNT NBR 15999-1 Ȅ gestão de continuidade de negócios (GCN) Ȅ, a criação e a manutenção da documentação de continuidade de negócios são atividades realizadas no elemento do ciclo de vida referente a) ao entendimento da organização. b) à determinação da estratégia de continuidade de negócios. c) ao desenvolvimento e à implementação de resposta de GCN. d) à inclusão da GCN na cultura da organização. e) à gestão do programa de GCN. 21.CESPE ? TRE-BA /Técnico Judiciário ? Programação de Sistemas/2017 As atividades pertinentes à fase de inclusão e conscientização da gestão de continuidade de negócios (GCN) na cultura de uma organização incluem o(a) a) separação das habilidades fundamentais das pessoas, de modo a reduzir a concentração do risco na organização. b) nomeação do principal responsável pela análise crítica, correção e atualização do plano em intervalos regulares na organização. c) organização e treinamento adequados da equipe responsável pela GCN da organização. d) estabelecimento do período máximo de interrupção tolerável de cada atividade da organização. e) discussão de GCN em informativos, apresentações, programas ou comunicados diários da organização. 22.CESPE ? TRT ? 8ªRegião (PA e AP) /Analista Judiciário ? TI/2016 Um dos objetivos da gestão de continuidade de negócios é a) prover recursos financeiros suficientes para evitar que os sistemas operacionais da organização sejam atingidos por falhas ou desastres. b) assumir a gestão de riscos dos recursos de TI para garantir e manter a operacionalidade da organização. c) proteger os processos críticos da organização contra impactos causados por falhas ou desastres. d) tornar a organização cada vez menos dependente de tecnologia e de sistemas computacionais. e) responsabilizar a gerência de segurança da informação pela implementação integral do plano de continuidade de negócios. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 78 88 23.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Cabe à GCN identificar, quantificar e priorizar os riscos aos produtos e aos serviços fundamentais para uma organização; a análise de risco reconhece as prioridades que farão a organização cumprir constantemente suas obrigações, mesmo diante de um incidente ou de uma situação de crise. 24.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Em uma visão de GCN, sistemas, processos e pessoas envolvidas nas atividades da organização devem ser mapeados. Na visão da GCN não é necessário fazer levantamento de possíveis ameaças e análise de risco, já que isso é objetivo de outras áreas da segurança da informação. 25.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 Ao se estabelecer a visão proposta pela equipe de resposta a incidentes, é importante que esta seja comunicada a outros indivíduos da organização para fins de contribuição mútua. Essa circunstância permite identificar, antes da implementação, problemas organizacionais ou no processo da equipe de resposta a incidentes. 26.CESPE ? TJ-DFT /Analista Judiciário ? Suporte em TI/2015 O plano de continuidade do negócio de uma organização deve considerar a existência de ambientes temporários alternativos como forma de garantir o retorno de serviços considerados críticos e que exijam um menor tempo de recuperação. 27.CESPE ? MEC /Analista de Segurança/2015 No processo de terceirização de serviços de segurança da informação, a contratação de um estudo de análise de impacto nos negócios apresenta maior risco à continuidade ou sustentação organizacional, quando comparada à contratação de um serviço terceirizado para a gestão de riscos de segurança da informação. 28.CESPE ? MEC /Gerente de Suporte/2015 Para realizar análises críticas da eficácia do sistema de gestão de segurança da informação a intervalos planejados, a organização deve ter em conta os incidentes de segurança da André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 79 88 informação mais graves do período, e desconsiderar eventuais sugestões dos atores envolvidos que não estejam relacionadas aos incidentes observados. André CastroAula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 80 88 LISTA DE EXERCÍCIOS COMPLEMENTARES ISO 27005 1. FCC ? ARTESP / Especialista em regulação de Transporte/2017 Segundo a Norma ABNT NBR ISO/IEC 27005:2011, a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia para análise de riscos pode ser quantitativa, qualitativa ou uma combinação de ambas. A análise quantitativa a) é utilizada em primeiro lugar, na prática, para obter uma indicação geral do nível de risco e para revelar os grandes riscos. b) é normalmente menos complexa e menos onerosa que a análise qualitativa, já que a análise qualitativa é focada somente nos grandes riscos. c) de riscos utiliza uma escala com atributos quantificadores que descrevem a magnitude das consequências potenciais (pequena, média ou grande) e a probabilidade dessas consequências ocorrerem. d) de riscos tem como vantagem a facilidade de compreensão por todas as pessoas envolvidas, enquanto sua desvantagem é a dependência da escolha subjetiva da escala. e) utiliza dados históricos dos incidentes, na maioria dos casos, proporcionando a vantagem de poder ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização. 11.FCC ? TRT ? 24ª Região / Analista Judiciário/2017 Considere os processos abaixo. Processos do SGSI: ? Planejar. ? Executar. ? Verificar. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 81 88 ? Agir. Processos de GRSI: ? Definição do contexto. ? Avaliação de riscos. ? Definição do plano de tratamento do risco. ? Aceitação do risco. ? Implementação do plano de tratamento do risco. ? Monitoramento contínuo e análise crítica de riscos. ? Manter e melhorar o processo de GRSI. A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação Ȃ SGSI e do processo de Gestão de Riscos de Segurança da Informação Ȃ GRSI. Segundo a Norma, o processo de GRSI denominado a) "Aceitação do risco" está alinhado com o processo do SGSI "Planejar". b) "Avaliação de riscos" está alinhado com o processo do SGSI "Verificar". c) "Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI "Verificar". d) "Implementação do plano de tratamento do risco" está alinhado com o processo do SGSI "Agir". e) "Aceitação do risco" está alinhado com o processo do SGSI "Verificar". 12.FCC ? PGE-MT / Analista de Sistemas/2016 Considere, hipoteticamente, que a PGE-MT está diante de um risco de segurança da informação e o Analista de Sistemas terá que decidir que ação tomar. Resolve se guiar pela seção da norma ABNT NBR ISO/IEC 27005:2011 que discorre sobre o tratamento do risco de segurança da informação. Esta seção indica como ações para o tratamento do risco: a) modificar, reter, evitar e compartilhar. b) evitar, monitorar, conter e terceirizar. c) eliminar, aceitar, evitar e mitigar. d) modificar, aceitar, ignorar, terceirizar. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 82 88 e) identificar, monitorar, eliminar, divulgar. 13.FCC ? TRT ? 20ª Região (SE)/Técnico Judiciário/2016 Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de segurança da informação. Seguindo esta norma, a implantação do processo de gestão de riscos deve passar pelas etapas: definição do contexto, processo de avaliação de riscos, tratamento do risco, a) análise de impacto do risco, monitoramento do risco e comunicação do risco. b) aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos. c) mitigação do impacto do risco e análise crítica sobre o risco. d) análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco. e) tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e controle de riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 83 88 PCN E CONTINGÊNCIA 14.FCC ? DPE-AM /Analista em gestão ? Analista de Sistema/2018 Um Plano de Continuidade de Negócios pode ser estruturado em quatro outros planos ligados entre si, cada qual criado para cuidar de um estágio diferente: I. Define funções e responsabilidades das equipes envolvidas com o acionamento das ações de contingência, antes durante e após a ocorrência. II. Deve ser utilizado em último caso, quando todas as prevenções tiverem falhado. Define as necessidades e ações mais imediatas. III. Seu objetivo é reestabelecer o funcionamento dos principais ativos que suportam as operações de uma empresa, reduzindo o tempo de queda e os impactos provocados por um eventual incidente. Um exemplo simples é a queda de conexão à internet. IV. Determina o planejamento para que, uma vez controlada a contingência e passada a crise, a empresa retome seus níveis originais de operação. O plano a) II se refere ao Plano de Gerenciamento de Crises. b) III se refere ao Plano de Recuperação de Desastres. c) I se refere ao Plano de Continuidade Operacional. d) III se refere ao Plano de Contingência. e) IV se refere ao Plano de Recuperação de Desastres. 15.FCC ? DPE-RS /Analista ? Segurança da Informação/2017 O Plano de Continuidade dos Negócios é um roteiro de operações contínuas para quando as operações normais dos negócios são interrompidas por condições adversas. O Plano de Continuidade dos Negócios a) deve incluir, dentre outras coisas, a definição dos cenários de impacto e a análise de ameaças e riscos. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 84 88 b) deve ser de responsabilidade do departamento de TI, que é considerado o único com competências necessárias para conter possíveis desastres. c) também é conhecido como Plano de Recuperação de Desastres, uma vez que inclui ações para retornar a organização a seus níveis originais de operação. d) deve possuir ações genéricas para conter qualquer tipo de desastre, evitandoassim que tenha que ser revisado periodicamente. e) deve ser executado integralmente em resposta a incidentes que causem interrupção total ou parcial das operações normais de negócios. 16.FCC ? TRT ? 24ª Região (MS) /Técnico Judiciário - TI/2017 Considere a lista a seguir: 1. Um processo para ativar a resposta da organização a um incidente de interrupção e, dentro de cada procedimento documentado, seus critérios e procedimentos de ativação. 2. Um processo para desmobilizar equipes após o incidente ter passado. 3. Regras e padrões para proteção das informações, possibilitando manter a confidencialidade, integridade e disponibilidade. 4. Papéis e responsabilidades definidos para pessoas e equipes que usarão o plano. 5. Orientações e critérios sobre quem tem a autoridade de invocar os procedimentos e sob quais circunstâncias. 6. A definição clara de como serão tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários e as informações institucionais. 7. Gestão das consequências imediatas de um incidente de interrupção considerando as questões de bem-estar de pessoas afetadas, as ações para responder a interrupção e prevenção. 8. Detalhes de contato para os membros da equipe e outras pessoas com funções e responsabilidades dentro de cada procedimento. 9. Detalhes indicando como e em que circunstâncias a organização irá se comunicar com os funcionários, com as principais partes interessadas e contatos de emergência. No Plano de Continuidade de Negócio deve estar claramente identificável o que consta em 1, 2, a) 3, 4, 5 e 7. b) 7, 8 e 9. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 85 88 c) 3, 6 e 8. d) 3, 4, 5, 6, 7 e 9. e) 4, 5, 7, 8 e 9. 17.FCC ? Prefeitura de Teresina - PI /Analista Tecnológico ? Analista de Negócios/2016 Um dos objetivos principais da Gestão de Continuidade de Negócios é a) promover avaliação de desempenho dos responsáveis pela organização. b) identificar as ameaças à organização e seus impactos, bem como prover resiliência a tais ameaças. c) realizar um estudo para contenção dos gastos da organização. d) promover um ambiente harmonioso entre os funcionários da organização. e) substituir o parque computacional da organização a cada 2 anos. 18.FCC ? Prefeitura de Teresina - PI /Analista Tecnológico ? Analista de Negócios/2016 A Gestão de Continuidade de Negócios deve prever estratégias a serem aplicadas a diversos tipos de recursos de uma organização. Dentre tais recursos incluem-se a) pessoas e recursos financeiros. b) tecnologia, mas não informação. c) informação e meio ambiente. d) suprimentos, mas não pessoas. e) instalações e informações. 19.FCC ? TRT ? 14ª Região (RO e AC) /Analista Judiciário ? TI/2016 �� �� ���������× � ?����ǡ���� afirmou corretamente que o PCN a) é de responsabilidade direta da equipe de TI, pois trata do estabelecimento de procedimentos que garantirão a recuperação apenas dos ativos de informática. b) não pode apresentar falhas em seus procedimentos, então estes devem ser testados uma única vez antes da entrada em vigência do plano. c) pode ser testado na totalidade, parcialmente ou, ainda, por meio de simulações, quando ocorrem representações de situação emergencial. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 86 88 d) é o único requisito de segurança capaz de assegurar que os aspectos de confidencialidade e disponibilidade da informação sejam preservados durante todo o tempo. e) terá sua eficácia garantida se forem cumpridas apenas estas regras: treinamento e conscientização das pessoas envolvidas e processo de manutenção contínua. André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 87 88 GABARITO GABARITO ? QUESTÕES CESPE 1 C 2 E 3 C 4 C 5 A 6 D 7 B 8 C 9 E 10 B 11 E 12 A 13 E 14 E 15 E 16 C 17 C 18 E André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros Prof. André Castro / Instagram: @ProfAndreCastro Aula 12 Redes de Computadores www.estrategiaconcursos.com.br 88 88 19 C 20 E 21 E 22 C 23 E 24 E 25 C 26 E 27 E 28 E GABARITO ? QUESTÕES FCC 1 E 2 A 3 A 4 B 5 E 6 A 7 E 8 B 9 E 10 C André Castro Aula 04 Segurança da Informação p/ Câmara de São Luis (Técnico em Informática) - Pós-Edital www.estrategiaconcursos.com.br 1176470 10571045405 - Tulio Cícero Araujo Medeiros
Mais conteúdos dessa disciplina
Efeitos e Desafios pós Desastre- Definição de Risco Ambiental
- Avaliação de Risco Ambiental
- Prova 3
- QUESTAO 10 SUSTENTABILIDADE
- QUESTAO2
- Mapa Mental - Defesa Civil
- Gerenciamento de Riscos e Segurança do Trabalho
- PROVA Análise de risco e recuperação de áreas degradadas
- Avaliacao I - Individual
- Critérios de Monitoração do Gás Natural em SP
- Risco é todo evento que apresenta a possibilidade de causar danos ao ser humano ou ao ambiente. Os riscos ambientais podem ser classificados em riscos
- De acordo com a ABNT (2004), os resíduos podem ainda ser classificados de acordo com sua periculosidade. Como se caracteriza a Classe I – Perigosos?
- Sobre a análise e a avaliação de risco, assinale a alternativa correta. Questão 2Escolha uma opção: a. A avaliação de risco não envolve estudos para a
- Sobre a análise e a avaliação de risco, assinale a alternativa correta. Questão 4Escolha uma opção: a. A avaliação de risco é uma das etapas da anális
- O TIPO DE RISCO PREDOMINANTE NA MOVIMENTAÇÃO MANUAL DE MATERIAIS É: A Risco físico. B Risco ergonômico. C Risco químico. D Risco biológico E ...
- A gestão de riscos em projetos, refere-se: a A identificação, avaliação e respostas a riscos, a fim de minimizar a probabilidade de sua ocorrência e/o
- Qual é a principal atividade realizada durante a etapa preliminar de identificação de impactos ambientais? a) Classificação dos impactos ambien...
- O FMEA (Failure Modes and Effects Analysis), ou Análise de Modos e Efeitos de Falha, é uma ferramenta utilizada para identificar e avaliar possívei...
- Ao longo do processo de alfabetização, o estudante precisa percorrer algumas etapas . Quais são essas etapas? Assinale a alternativa CORRETA: A ) Fono
- Em relação ao objetivo da NR 09 é correto afirmar que:
Estabelece a obrigatoriedade da execução direta, por parte de todos os empregadores e instit...
- A apostila descreve a evolução dos paradigmas sobre a compreensão dos desastres. Qual paradigma representa uma mudança fundamental, ao entender que...
- A participação do enfermeiro nos processos de compra de material tem sido cada vez mais expressiva nos últimos anos. Assim, tornou-se fundamental p...
- Participar desde planejamento, espaços proposição, execução e avaliação dos ambientes físicos das instituições para o gerenciamento dos físicos e a...
- exercicios de fixaçao 1 2 3 gestao educacional
- Recuperação de Áreas Degradadas Questionário II