VULNERABILIDADE
1) Sobre a política de atualização dos sistemas utilizados (sistemas operacionais, bancos de dados dentre outros), qual a opção que mais atenderia suas necessidades?
Avaliação periódica de um responsável, ocorrendo de forma manual e analisando apenas os sistemas mais críticos da empresa
Avaliação periódica de uma equipe, ocorrendo de forma manual e analisando todos os sistemas existentes
Utilização de um sistema de monitoramento automatizado capaz de exibir um feedback contínuo sobre o estado dos sistemas, além de poder realizar o encaminhamento automático da tarefa de atualização a uma pessoa/equipe pré-determinada
2) Produtos de varredura são ferramentas básicas usadas por grupos de segurança para apoiar as atividades da gestão de vulnerabilidade. Dos três métodos de varredura abaixo, marque os dois que você acredita serem os mais importantes.
Varredura ativa da rede – os dispositivos são vistoriados remotamente, sem a necessidade de instalação de agentes para coleta de informações
Observação passiva – o tráfico da rede é capturado e são procurados padrões para determinar o seu estado
Agentes persistentes – são instalados agentes com acesso privilegiado nas máquinas a serem verificadas, coletando informação detalhadas e exatas
3) Quais você acredita serem as duas abordagens abaixo mais apropriadas para a identificação de falhas de segurança?
Uso de um sistema centralizado que faça varredura na rede buscando falhas e reportando automaticamente
Comparação de resultados de varreduras obtidas a partir de vários programas, criando relatórios finais com vários pontos de vista
Análise sistemática manual por um especialista em segurança da informação
4) Implantado um sistema de identificação de vulnerabilidades, qual dos ganhos abaixo se destacaria em sua empresa?
Encontrar dispositivos não gerenciados na rede, visando colocá-los sob gerência ou retirando-os de produção
Prover o estado atual das vulnerabilidades e conseqüentemente a eficiência das atividades de gestão de vulnerabilidade
Aumentar a eficiência das operações de TI, a partir de informações de mitigação e remediação de problemas
5) Após o descobrimento de uma falha de segurança, qual a prioridade das ações relacionadas abaixo a serem tomadas? (enumere de 1 a 5, sendo 1 a maior prioridade)
6) Atualmente diversas opções de segurança são oferecidas para melhorar o controle da rede e dos sistemas existentes nela.Em sua visão, qual a prioridade dos elementos de segurança abaixo? (enumere de 1 a 5, sendo 1 a maior prioridade)
RISK MANAGER
1) Diversos eventos e seqüência de eventos podem causar interrupção do processo de negócio. Como são imprevisíveis, é necessário conhecê-los para se mapear sua probabilidade de ocorrência e qual o seu impacto. Quais das opções abaixo mais se enquadram ao seu nível de segurança a respeito dessas imprevisibilidades?(marque no máximo 2 questões)
Estou totalmente alheio a qualquer tipo de evento que pode interromper o meu negócio
Preocupo-me sempre com falhas nos equipamentos, por isso procuro investir em assistência técnica especializada, além de propiciar uma infra-estrutura que diminua falhas causadas pelo ambiente
Além da ação anterior, acredito que é necessário investir no conhecimento das pessoas, visando evitar que erros humanos ocorram
Acredito que os maiores problemas podem ocorrer devido as más-intenções das pessoas, logo tenho diversas políticas que visam restringir o acesso a informações cruciais e conseqüentemente evitar seu roubo
Tento circundar eventos que estão fora de meu controle, como desastres ambienteis. Minha empresa está preparada contra incêndios e situações semelhantes
Para mim, a identificação do que está fora do meu controle é primordial. Estou ciente de todos os eventos citados nas opções acima e trabalho constantemente para levantar possíveis interrupções dos meus negócios
2) Os riscos desviam os resultados de eventos futuros para quadros não esperados. Alguns desses riscos, quando identificados, devem ser tratados. Qual tem sido o principal método que você tem utilizado para fazer esse tratamento?
Ignoro o risco e não me envolvo com ele
Faço o possível para eliminá-lo
Concentro minhas forças na diminuição do risco
Transfiro-o para uma empresa terceirizada
3) Um dos principais pontos para se determinar quais os riscos atuantes na empresa é ter um inventário de ativos sempre atualizado. Como é realizado esse inventário em sua empresa?
Não existe nenhuma forma de inventariado
Todos os ativos são enumerados de forma manual, através de uma pessoa ou uma equipe
Tenho um software responsável para criar esse inventário
Transfiro-o para uma empresa terceirizada
4) Qual seria a importância do desenvolvimento da gestão de riscos na sua empresa?
Nada importante. Minha empresa não está tão suscetível a riscos que eu precise me preocupar
Pouco importante. Alguns problemas não críticos seriam identificados
Importante. Problemas críticos poderiam ser evitados
Muito importante. A implantação é extremamente necessária nesse momento
