Baixe o app para aproveitar ainda mais
Prévia do material em texto
Curso GESTÃO E ANÁLISE DE RISCOS Teste QUESTIONÁRIO UNIDADE I Iniciado 02/10/21 16:11 Enviado 02/10/21 17:32 Status Completada Resultado da tentativa 1,5 em 2,5 pontos Tempo decorrido 1 hora, 21 minutos PERGUNTA 1 1. Estudar o risco é compreender suas origens. Determinar as causas e efeitos é fundamental, pois assim é possível mitigar possíveis danos e como controlá- los. O tratamento e a gestão dos riscos passam por um processo que, resumidamente contempla: a. Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco. b. Acionar o responsável pelo risco – Notificar os gestores – Contatar os órgãos estaduais de riscos. c. Avaliar a economia nacional – Acionar o Sistema Financeiro Nacional – Identificar ameaças e vulnerabilidades. d. Avaliar a parte interessada – Notificar a Alta direção – Implantar sistema informatizado para gestão de riscos. e. Modificar os processos de tomada de decisão – Decidir sobre a melhor forma de tratar o risco – Notificar a Alta direção. 0,25 pontos PERGUNTA 2 1. A ISO 31000 (2018) apresenta princípios que levam à gestão eficaz dos riscos. Isso porque a intenção da gestão de riscos é a criação e a proteção de valor. Os princípios apresentados na ISO 31000 (2018) devem ser respeitados antes do estabelecimento da estrutura e dos processos que irão suportar a gestão corporativa dos riscos. Considerando o exposto, pode-se afirmar que: a. A visão integrada tem como foco analisar como o comportamento e cultura interferem nos aspectos da gestão de riscos em cada nível e estágio. b. A visão dinâmica tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado. c. A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado. d. A visão nos Fatores Humanos e Culturais foca no aprimoramento continuado por meio de aprendizado e experiências. e. A visão Estrutura e abrangente atua na organização das pessoas envolvidas na gestão de riscos. 0,25 pontos PERGUNTA 3 1. A estrutura da gestão de riscos tem como propósito apoiar a Organização na integralização da gestão de riscos em atividades relevantes e atribuições. Por esse motivo, o sucesso da gestão de riscos depende da integração com a governança em todas as áreas da Organização. Isso inclui a análise de riscos no processo decisório da Alta Direção. Baseado nisso e considerando a estrutura da gestão de riscos apresentada na ISO 31000 (2018), pode-se afirmar que: a. A respeito da Liderança e comprometimento, a Alta Direção não é a responsável por gerenciar riscos. b. A respeito da Liderança e comprometimento, a área de Conformidade é a responsável por gerenciar riscos. c. Apenas a Alta Direção deve demonstrar seu comprometimento contínuo com a gestão de riscos. d. Apenas a área de Conformidade deve demonstrar seu comprometimento contínuo com a gestão de riscos. e. No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional. 0,25 pontos PERGUNTA 4 1. O processo de gestão de riscos é crítico para qualquer organização. Isso pois requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, entre outras. O processo de gestão de riscos aplica-se aos níveis estratégico, operacional, de programa e de projeto. Por isso, pode-se afirmar: a. O processo de gestão de riscos muitas vezes não é interativo e sim sequencial. b. O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco. c. A comunicação e consulta não se preocupa em reunir diferentes áreas de especialização, nem fornece informações suficientes para facilitar a supervisão dos riscos. d. A natureza dinâmica e variável do comportamento humano não é considerada ao longo do processo de gestão de riscos. e. O escopo, contexto e critérios têm o mesmo objetivo da comunicação e consulta. 0,25 pontos PERGUNTA 5 1. Mesmo em meio às incertezas, é possível medir ou estimar o risco. O risco é determinado pela combinação da probabilidade de ocorrência de um evento e sua gravidade, o que leva à análise do risco e determinar a aceitação ou não desse risco. Considerando a medição de risco é possível afirmar: I. Segundo o princípio do “tão baixo quanto possível”, o risco é sempre inaceitável mesmo depois de todas as medidas de prevenção, mitigação e de transferência terem sido devidamente mapeadas e implantadas. II. Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos que se referem aos riscos sempre inaceitáveis. III. O princípio “tão baixo quanto possível” parte do pressuposto de que um risco somente é aceitável se todas as medidas de prevenção, mitigação ou transferência estiverem devidamente mapeadas e implantadas. IV. O “princípio da precaução” deve ser devidamente analisado e mapeado para poder subsidiar as decisões sobre a aceitação ou não dos riscos. Está correto o que se apresenta nas afirmações: a. I, apenas. b. I e II. c. III, apenas. d. I, II e III. e. III e IV. 0,25 pontos PERGUNTA 6 1. É importante definir a diferença entre perigo e risco, pois essa diferença deve ser bem caracterizada para uma análise de risco eficaz. Considerando que há diferenças entre risco e perigo analise as afirmações a seguir: I. O risco é a entidade a ser administrada, uma vez que decorre da interação com o perigo. II. O risco é proporcional à razão entre o perigo e as medidas de segurança. III. O perigo é a condição inerente a uma exposição ou atividade capaz de causar danos a ativos. Estão corretas as afirmações: a. I, apenas. b. II, apenas. c. III, apenas. d. I, II e III. e. I e III, apenas. 0,25 pontos PERGUNTA 7 1. Considerando que o Risco é prioritário e que o processo de gestão de riscos é crítico para qualquer organização, pode-se definir um modelo de priorização de riscos, segundo Galante (2015). Por isso pode-se estabelecer que a priorização considera a frequência, severidade e cenários. Baseado nisso, pode-se afirmar que: a. Baixa severidade e impacto sempre implicam em riscos mínimos. b. Baixa frequência sempre implica em riscos mínimos. c. Alta frequência sempre implica em riscos mínimos. d. Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência. e. Os riscos máximos se encontram na combinação de baixa severidade e impacto com alta frequência. 0,25 pontos PERGUNTA 8 1. Poder definir os riscos em máximos e mínimos auxilia a futura tomada de decisões na Organização. Uma forma de facilitar a visualização dos riscos se dá com o Mapa de Calor de Riscos. Acerca do Mapa de Calor de Riscos, analise as afirmações a seguir. I. O Mapa de Calor de Riscos não considera a frequência de ocorrência dos riscos. II. O Mapa de Calor de Riscos se baseia na severidade e impacto em conjunto com a frequência e se refere a uma forma diferente de apresentar os resultados da análise de riscos de maneira visual. III. O Mapa de Riscos contempla apenas três categorias possíveis: Baixo, Moderado e Alto. Estão corretas as afirmações: a. I, apenas. b. II, apenas. c. III, apenas. d. I e II. e. I, II e III. 0,25 pontos PERGUNTA 9 1. A gestão de riscos e a segurança da informação estão intrinsecamente ligadas, pois a gestão de riscos leva às ações de segurança da informação a serem aplicadas pelas Organizações. Acerca dos Riscos e a Segurançada Informação, conforme a NBR ISO 27001 (2018), analise as afirmações a seguir. I. A NBR ISO 27001 (2018) contempla assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados. II. Não faz parte do processo de avaliação de riscos de segurança da informação a contínua avaliação dos riscos de segurança da informação. III. No processo de avaliação de riscos de segurança da informação deve-se avaliar as consequências da materialização dos riscos avaliando a probabilidade real da ocorrência dos riscos, bem como determinar os níveis de risco. Estão corretas as afirmações: a. II, apenas. b. III, apenas. c. I e II. d. I, II e III. e. I e III. 0,25 pontos PERGUNTA 10 1. Considerando a Equação do Risco à Segurança da Informação proposto por Sêmola (2014), analise o risco considerando o cenário a seguir. Uma determinada organização, em uma análise de riscos, identificou 25 vulnerabilidades em seu sistema de atendimento virtual baseado em chatbot. As ameaças estão disponíveis para cada um de seus 50 clientes, contudo, o impacto é baixo e incluído na categoria 4. Há 100 medidas de segurança existentes na Organização capazes de mitigar as vulnerabilidades. Na Organização os riscos acima ou iguais a 50 são considerados altos e devem ser tratados. Além disso, o atendimento virtual baseado em chatbot é de fundamental importância com relação à visibilidade da Organização no mercado. Por esse motivo, é possível afirmar que: a. O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50. b. Como o risco é igual a 50 a Organização deve desconsiderar qualquer tratamento, pois o Risco está abaixo do valor considerado para tratamento pela Organização. c. O risco está abaixo do definido pela empresa para qualquer atuação pelo gerente de segurança. d. O risco está abaixo do definido pela empresa para tratamento, contudo deve ser tratado pelo gerente de segurança. e. O risco é superior a 50, mas não deve ser tratado.
Compartilhar