Questões resolvidas
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação?
Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada.
Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas.
Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos.
Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação.
Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp.
Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002.
Sobre o planejamento de resposta a risco, é CORRETO afirmar que
É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização.
Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio.
É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes.
É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades.
Não é relevante para a gestão organizacional.
Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o nível de risco que foi definido como aceitável para o negócio.
Sobre os seguintes pontos: • Identificação e classificação dos processos e negócios; • Identificação e classificação dos ativos; • Análise de ameaças e danos; • Análise de vulnerabilidade; • Análise de risco.
Pode-se afirmar que
São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente.
São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização.
Não têm relação com análise de risco.
São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética.
São processos opcionais para a implementação de uma política de segurança.
Qual é a sigla para a métrica de valor do ativo?
ALE.
AV.
SLE.
EF.
ARO.
Qual é a sigla para a métrica de expectativa de perda anual?
SLE.
AV.
ARO.
ALE.
EF.
Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês.
Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE?
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00.
100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00.
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00.
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00.
100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00.
Qual é a sigla para a métrica de fator de exposição?
ALE.
SLE.
ARO.
EF.
AV.
Como se calcula o Annualized Loss Expectancy (ALE)?
EF x ARO.
AV x EF.
ARO x AV.
SLE x EF.
SLE x ARO.
Considere as seguintes afirmativas sobre o Plano de Continuidade de Negócio (PCN): I Responde a um desastre pré-definido. II Tem a capacidade de responder a todo e qualquer desastre. III Recomenda-se que durante a elaboração de um PCN seja considerado o conceito do "pior cenário possível". É VERDADEIRO o que se afirma em
I e II, apenas.
II e III, apenas.
III, apenas.
I e III, apenas.
I, II e III.
Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)?
TCO.
ROI.
PCN.
ALE.
ROSI.
BIA é a sigla em inglês para o processo de Business
Impact Analysis.
Impact Analytic.
Impact Advanced.
Intelligence Analytic.
Intelligence Analysis.
Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente?
Corretivas.
Repressivas.
Detectivas.
Preventivas.
Adivinhativas.
É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é
TCO.
ROSI.
ROI.
ALE.
PCN.
Sobre um incidente de segurança, pode-se considerar que é um incidente:
I - Um documento esquecido na impressora;
II - Um notebook roubado;
III - Um pen-drive com documentos corporativos perdidos.
I - Danos são consequências de um incidente e podem ser diretos e indiretos; II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados durante o lapso de tempo logo depois de um incidente; III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um incidente.
Está correto apenas o que se afirma em: I, II e III.
I.
I e II.
III.
II e III.
Uma vulnerabilidade pode ser definida como?
É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo.
É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.
É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados.
Pode ser definida como a concretização de uma ameaça.
Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças.
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Crie sua conta grátis para liberar esse material. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Prévia do material em texto
Qual mecanismo pode ser utilizado para avaliar a maturidade de segurança da informação de uma corporação? ❏ Criação de um checklist baseado nos controles sugeridos pela ISO 27002, buscando inicialmente identificar se existe algum tipo de controle já implementado na corporação avaliada. ❏ Realização de uma análise de risco baseada em metodologias qualitativas e avaliativas. ❏ Uso de metodologias baseadas na OSSTMM para identificar todos os controles de segurança da informação para tecnologias, pessoas e processos. ❏ Utilização do Cobit para avaliar todos os controles de segurança da informação que já estão implementados na corporação. ❏ Realização de um processo de auditoria tendo como base metodologias como OSSTMM, Issaf, Owasp. ❏ Para qualquer norma a metodologia determina um checklist para identificar quais controles recomendados estão implementados, de modo que é interessante para que seja possível mensurar a maturidade da empresa em relação à norma. Dessa forma, isso se aplicaria não somente considerando a ISO 27002. Norma é ❏ Um documento que fornece recomendações para a gestão da segurança da informação, sugerindo controles importantes que devem ser implementados. ❏ Uma metodologia que define a forma como a corporação deve adquirir e implementar determinada tecnologia. ❏ Você respondeu ❏ Um documento que define a política de segurança da empresa, estabelecendo as regras que deverão ser seguidas pelos colaboradores e fornecedores da organização. ❏ Qualquer documento de boa prática que sugere procedimentos para organizar ações dentro de uma organização. ❏ A construção de processos que ajudam gestores na tomada de decisão para a aquisição de tecnologias. ❏ Além do fato de uma norma ser elaborada a partir de conselho de profissionais dentro de um processo rígido para a sua validação; em muitos casos, tem tanta qualidade que acaba recebendo aceitação internacional, o que ratifica ainda mais seu valor. Fazer análise e gerenciamento de risco ❏ Não é possível se não se pensar em outros processos importantes para a segurança da informação como, por exemplo, Plano de Continuidade de Negócios (PCN). ❏ Não é possível se não houver análise de vulnerabilidade. ❏ É fundamental para a política de segurança. ❏ Sustenta o processo de análise de impacto. ❏ É o único jeito de mitigar vulnerabilidades e apoiar decisões inerentes à aquisição de tecnologia. ❏ Alguns processos de segurança da informação dependem da execução de outros processos. Um bom exemplo é o PCN, pois não há sentido algum tentar elaborar um PCN sem ter um gerenciamento de risco. Sobre o planejamento de resposta a risco, é CORRETO afirmar que ❏ É um processo definido para realizar a avaliação de impactos que podem ocorrer em uma organização. ❏ Correto! ❏ Pode ser definido como um processo destinado a desenvolver opções e determinar ações para aumentar as oportunidades a fim de reduzir as ameaças aos objetivos do projeto e/ou negócio. ❏ É o processo definido por medidas de segurança que são tomadas a fim de que as ameaças sejam eliminadas de forma que não ocorram incidentes. ❏ É o processo de monitoramento e controle de riscos baseado no resultado da análise de vulnerabilidades. ❏ Não é relevante para a gestão organizacional. ❏ Trata-se de um planejamento de resposta a riscos que tem como principal meta ajudar a alcançar o nível de risco que foi definido como aceitável para o negócio. Sobre os seguintes pontos: • Identificação e classificação dos processos e negócios; • Identificação e classificação dos ativos; • Análise de ameaças e danos; • Análise de vulnerabilidade; • Análise de risco. Pode-se afirmar que ❏ São processos importantes e que, se isolados, podem representar poucos avanços; mas se devidamente combinados, podem apontar o caminho a seguir, sustentando tomadas de decisão para elevar o grau de segurança da informação de uma organização. ❏ Não têm relação com análise de risco. ❏ São processos importantes para a gestão de vulnerabilidades em uma organização, possibilitando a tomada de decisão exclusiva na aquisição de tecnologias para segurança cibernética. ❏ São processos opcionais para a implementação de uma política de segurança. ❏ São partes importantes do processo de segurança de redes de uma organização, mas cada processo citado é independente. Qual é a sigla para a métrica de valor do ativo? ❏ ARO. ❏ ALE. ❏ SLE. ❏ AV. ❏ EF. Qual é a sigla para a métrica de expectativa de perda anual? ❏ ARO. ❏ EF. ❏ SLE. ❏ ALE. ❏ AV. Em uma corporação com 1.000 colaboradores foi entregue 1 notebook no valor de R$4.000,00, incluindo todos os softwares utilizados, para cada colaborador. Posteriormente, em uma apuração foi identificado que foram roubados 12 notebooks no último ano, o que, em média, corresponde à ocorrência de 1 notebook roubado por mês. Nesse cenário, qual é o valor de EF, VA, SLE, ARO e ALE, RESPECTIVAMENTE? ❏ 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 42.000,00. ❏ 100%; R$ 4.000,00; R$ 4.800,00; 12; R$ 40.000,00. ❏ 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 40.000,00. ❏ 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 46.000,00. ❏ 100%; R$ 4.000,00; R$ 4.000,00; 12; R$ 48.000,00. Qual é a sigla para a métrica de fator de exposição? ❏ ALE. ❏ AV. ❏ SLE. ❏ ARO. ❏ EF. Como se calcula o Annualized Loss Expectancy (ALE)? ❏ SLE x EF. ❏ EF x ARO. ❏ AV x EF. ❏ ARO x AV. ❏ SLE x ARO. Considere as seguintes afirmativas sobre o Plano de Continuidade de Negócio (PCN): I Responde a um desastre pré-definido. II Tem a capacidade de responder a todo e qualquer desastre. III Recomenda-se que durante a elaboração de um PCN seja considerado o conceito do "pior cenário possível". É VERDADEIRO o que se afirma em ❏ I, II e III. ❏ II e III, apenas. ❏ III, apenas. ❏ I e II, apenas. ❏ I e III, apenas. Qual é o processo que deve ser implementado para mitigar o impacto de risco previamente mapeado pelo processo de análise de risco e devidamente avaliado no processo de Análise de Impacto ao Negócio (BIA)? ❏ ROSI. ❏ PCN. ❏ TCO. ❏ ROI. ❏ ALE. BIA é a sigla em inglês para o processo de Business ❏ Impact Analysis. ❏ Intelligence Analysis. ❏ Intelligence Analytic. ❏ Impact Advanced. ❏ Impact Analytic. Como são chamadas as medidas de segurança que visam restaurar o ambiente após um incidente? ❏ Corretivas. ❏ Preventivas. ❏ Detectivas. ❏ Repressivas. ❏ Adivinhativas. É assumido que o processo de elaboração da Análise de Impacto ao Negócio (BIA) é fundamental para que seja possível mapear os impactos que podem motivar interrupção de um ou mais processos críticos ao negócio. Dessa forma, a elaboração também é importante para dar suporte ao processo cuja sigla é ❏ PCN. ❏ ROSI. ❏ ALE. ❏ TCO. ❏ ROI. Sobre um incidente de segurança, pode-se considerar que é um incidente: I - Um documento esquecido na impressora; II - Um notebook roubado; III - Um pen-drive com documentos corporativos perdidos. Está correto apenas o que se afirma em: ❏ I e II. ❏ III. ❏ I, II e III. ❏ I. ❏ II e III. Como pode ser definido o processo de Análise de Vulnerabilidade? ❏ É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. ❏ É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. ❏ Uma fraqueza de um ativo ou grupo de ativos que pode ser explorado por uma ou mais ameaças. ❏ É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. ❏ Pode ser definido como a concretização de uma ameaça. Considerando o conceito de Vulnerabilidade, como se pode definir “Probabilidade de ocorrência”? ❏ É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado. ❏ Pode ser definido como a concretização de uma ameaça. ❏ Uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. ❏ É uma medida numéricaou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. ❏ É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. I - Danos são consequências de um incidente e podem ser diretos e indiretos; II - Um dano indireto refere-se aos bens e serviços que deixam de ser produzidos ou prestados durante o lapso de tempo logo depois de um incidente; III - Danos diretos são aqueles sofridos pelos ativos imobilizados, destruídos ou danificados em um incidente. Sobre o conceito de Dano, está correto apenas o que se afirma em: ❏ I, II e III. ❏ I. ❏ I e II. ❏ III. ❏ II e III. Uma vulnerabilidade pode ser definida como? ❏ Pode ser definida como a concretização de uma ameaça. ❏ Uma fraqueza de um ativo ou grupo de ativos que podem ser explorada por uma ou mais ameaças. ❏ É uma verificação detalhada do ambiente da instituição, verificando se o ambiente atual fornece condições de segurança compatíveis com a importância estratégica dos serviços realizados. ❏ É uma medida numérica ou de sensibilidade a qual está exposto um grau menor ou maior de um determinado ativo. ❏ É uma medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante o período pré-determinado.+
Mais conteúdos dessa disciplina
Palo Alto Networks SecOps-Pro PDF Dumps- Buy Old Gmail Accounts for Long-Term Stability
- Buy Gmail Accounts for Instant Online Credibility
- Buy Hetzner Account Step-by-Step Guide In 2k26
- APRESENTAÇÃO (1)
- Career Technical Subject for Middle School - 6th Grade_ Government Public Administration by Slidesgo
- SISTEMA DE CATALOGAÇÃO __ Plataforma A
- PROCEDIMENTOS DE SEGURANÇA NO PROCESSO DE INFORMAÇÕES
- Atividade de Fixação do Módulo 4_ Revisão da tentativa
- jogos e1
- NSE7_SOC_AR-7 6 Fortinet NSE 7 - Security Operations 7 6 Architect Dumps
- A segurança da informação deve estar calcada em três princípios básicos. São eles: Confidencialidade, disponibilidade e integridade. Política de segur
- De acordo com a LGPD, quais destas informações são consideradas dados pessoais? i. Nome, RG, CPF, e-mail, telefone ii. Informações pessoais publicadas
- Sobre a LGPD, podemos afirmar: Aprovada em 2016 e em vigor desde setembro de 2019, a LGPD foi inspirada no Regulamento Geral de Proteção de Dados (GDP
- Bioquima, Sobre a biossíntese dos triacilglicerois, analise as alternativas abaixo
- Quais dados são considerados sensíveis para a LGPD?
- Questão 7 A fundamentação legal para o tratamento dos dados pessoais é uma das informações a serem descritas na seguinte etapa de elaboração do RIPD:
- Questão 6 Marque a alternativa que não representa tratamento de dados pessoais em alta escala. c) Tratamento de dados do paciente por um médico indivi
- Questão 1 Segundo a Lei 13.709/2018 (LGPD), O Relatório de Impacto à Proteção dos Dados Pessoais é uma documentação mantida e elaborada pelo: b) Consu
- Dentre as alternativas abaixo, indique qual representa o maior risco para o fornecedor? a) PFG. b) T&M. c) CMPC. d) CMRC
- Questão 1 Privacidade desde a Concepção (em inglês, Privacy by Design) significa que: É necessário avaliar se a privacidade deve ou não ser considerad
- Questão 5 Identifique a correta definição para o ativo “equipamento”. b) Estações de trabalho e impressoras utilizados no desempenho das atividades in
- Marque a alternativa que versa incorretamente sobre dados pessoais e dados pessoais sensíveis. Questão 3Resposta a. O dado pessoal é a informação rela
- Na LGPD temos uma relação muito próxima com a Segurança da Informação, onde a Privacidade está relacionada com a Proteção dos Dados. Qual relação e...
- Refere-se tanto a como sua empresa se diferencia de quaisquer concorrentes quanto a como ela se relacionar com outras empresas da cadeia de valor. ...
- Pergunta 3 0,16 Pontos A solução de uma equação algébrica: é um valor constante. será sempre um triângulo retângulo. não pode ser um valor c...