GESTÃO E ANÁLISE DE RISCOS - QUESTIONÁRIO UNIDADE I

Prévia do material em texto

Curso 
GESTÃO E ANÁLISE DE RISCOS 
Teste QUESTIONÁRIO UNIDADE I 
Iniciado 02/10/21 16:11 
Enviado 02/10/21 17:32 
Status Completada 
Resultado da tentativa 1,5 em 2,5 pontos 
Tempo decorrido 1 hora, 21 minutos 
 
PERGUNTA 1 
1. Estudar o risco é compreender suas origens. Determinar as causas e efeitos é 
fundamental, pois assim é possível mitigar possíveis danos e como controlá-
los. O tratamento e a gestão dos riscos passam por um processo que, 
resumidamente contempla: 
 
a. Identificar ameaças e vulnerabilidades – Estimar o risco de cada 
vulnerabilidade – Decidir sobre a melhor forma de tratar o risco. 
 
b. Acionar o responsável pelo risco – Notificar os gestores – Contatar os 
órgãos estaduais de riscos. 
 
c. Avaliar a economia nacional – Acionar o Sistema Financeiro Nacional – 
Identificar ameaças e vulnerabilidades. 
 
d. Avaliar a parte interessada – Notificar a Alta direção – Implantar sistema 
informatizado para gestão de riscos. 
 
e. Modificar os processos de tomada de decisão – Decidir sobre a melhor 
forma de tratar o risco – Notificar a Alta direção. 
0,25 pontos 
PERGUNTA 2 
1. A ISO 31000 (2018) apresenta princípios que levam à gestão eficaz dos riscos. 
Isso porque a intenção da gestão de riscos é a criação e a proteção de valor. 
Os princípios apresentados na ISO 31000 (2018) devem ser respeitados antes 
do estabelecimento da estrutura e dos processos que irão suportar a gestão 
corporativa dos riscos. Considerando o exposto, pode-se afirmar que: 
 
a. A visão integrada tem como foco analisar como o comportamento e 
cultura interferem nos aspectos da gestão de riscos em cada nível e 
estágio. 
 
b. A visão dinâmica tem como objetivo manter sempre atualizadas as 
informações históricas, pois são a base da gestão de riscos, por permitir 
conhecer o passado. 
 
c. A visão baseada na Melhor Informação Disponível tem como objetivo 
manter sempre atualizadas as informações históricas, pois são a base da 
gestão de riscos, por permitir conhecer o passado. 
 
d. A visão nos Fatores Humanos e Culturais foca no aprimoramento 
continuado por meio de aprendizado e experiências. 
 
e. A visão Estrutura e abrangente atua na organização das pessoas 
envolvidas na gestão de riscos. 
0,25 pontos 
PERGUNTA 3 
1. A estrutura da gestão de riscos tem como propósito apoiar a Organização na 
integralização da gestão de riscos em atividades relevantes e atribuições. Por 
esse motivo, o sucesso da gestão de riscos depende da integração com a 
governança em todas as áreas da Organização. Isso inclui a análise de riscos 
no processo decisório da Alta Direção. Baseado nisso e considerando a 
estrutura da gestão de riscos apresentada na ISO 31000 (2018), pode-se 
afirmar que: 
 
a. A respeito da Liderança e comprometimento, a Alta Direção não é a 
responsável por gerenciar riscos. 
 
b. A respeito da Liderança e comprometimento, a área de Conformidade é a 
responsável por gerenciar riscos. 
 
c. Apenas a Alta Direção deve demonstrar seu comprometimento contínuo 
com a gestão de riscos. 
 
d. Apenas a área de Conformidade deve demonstrar seu comprometimento 
contínuo com a gestão de riscos. 
 
e. No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta 
que a gestão de riscos seja uma parte do todo e que não seja separada 
do propósito organizacional. 
0,25 pontos 
PERGUNTA 4 
1. O processo de gestão de riscos é crítico para qualquer organização. Isso pois 
requer aplicação sistemática de políticas, normas, procedimentos e práticas 
para as atividades de comunicação e consulta, entre outras. O processo de 
gestão de riscos aplica-se aos níveis estratégico, operacional, de programa e 
de projeto. Por isso, pode-se afirmar: 
 
a. O processo de gestão de riscos muitas vezes não é interativo e sim 
sequencial. 
 
b. O objetivo da comunicação e consulta é auxiliar as partes interessadas 
na compreensão do risco. A comunicação busca promover a 
conscientização e o entendimento do risco. 
 
c. A comunicação e consulta não se preocupa em reunir diferentes áreas de 
especialização, nem fornece informações suficientes para facilitar a 
supervisão dos riscos. 
 
d. A natureza dinâmica e variável do comportamento humano não é 
considerada ao longo do processo de gestão de riscos. 
 
e. O escopo, contexto e critérios têm o mesmo objetivo da comunicação e 
consulta. 
0,25 pontos 
PERGUNTA 5 
1. Mesmo em meio às incertezas, é possível medir ou estimar o risco. O risco é 
determinado pela combinação da probabilidade de ocorrência de um evento e 
sua gravidade, o que leva à análise do risco e determinar a aceitação ou não 
desse risco. Considerando a medição de risco é possível afirmar: 
 
I. Segundo o princípio do “tão baixo quanto possível”, o risco é sempre 
inaceitável mesmo depois de todas as medidas de prevenção, mitigação e de 
transferência terem sido devidamente mapeadas e implantadas. 
II. Os princípios “tão baixo quanto possível” e “princípio da precaução” são 
termos que se referem aos riscos sempre inaceitáveis. 
III. O princípio “tão baixo quanto possível” parte do pressuposto de que um 
risco somente é aceitável se todas as medidas de prevenção, mitigação ou 
transferência estiverem devidamente mapeadas e implantadas. 
IV. O “princípio da precaução” deve ser devidamente analisado e mapeado 
para poder subsidiar as decisões sobre a aceitação ou não dos riscos. 
Está correto o que se apresenta nas afirmações: 
 
a. I, apenas. 
 
b. I e II. 
 
c. III, apenas. 
 
d. I, II e III. 
 
e. III e IV. 
0,25 pontos 
PERGUNTA 6 
1. É importante definir a diferença entre perigo e risco, pois essa diferença deve 
ser bem caracterizada para uma análise de risco eficaz. Considerando que há 
diferenças entre risco e perigo analise as afirmações a seguir: 
 
I. O risco é a entidade a ser administrada, uma vez que decorre da interação 
com o perigo. 
II. O risco é proporcional à razão entre o perigo e as medidas de segurança. 
III. O perigo é a condição inerente a uma exposição ou atividade capaz de 
causar danos a ativos. 
Estão corretas as afirmações: 
 
a. I, apenas. 
 
b. II, apenas. 
 
c. III, apenas. 
 
d. I, II e III. 
 
e. I e III, apenas. 
0,25 pontos 
PERGUNTA 7 
1. Considerando que o Risco é prioritário e que o processo de gestão de riscos é 
crítico para qualquer organização, pode-se definir um modelo de priorização de 
riscos, segundo Galante (2015). Por isso pode-se estabelecer que a priorização 
considera a frequência, severidade e cenários. Baseado nisso, pode-se afirmar 
que: 
 
a. Baixa severidade e impacto sempre implicam em riscos mínimos. 
 
b. Baixa frequência sempre implica em riscos mínimos. 
 
c. Alta frequência sempre implica em riscos mínimos. 
 
d. Os riscos mínimos se encontram na combinação de baixa severidade e 
impacto com baixa frequência. 
 
e. Os riscos máximos se encontram na combinação de baixa severidade e 
impacto com alta frequência. 
0,25 pontos 
PERGUNTA 8 
1. Poder definir os riscos em máximos e mínimos auxilia a futura tomada de 
decisões na Organização. Uma forma de facilitar a visualização dos riscos se 
dá com o Mapa de Calor de Riscos. Acerca do Mapa de Calor de Riscos, 
analise as afirmações a seguir. 
 
I. O Mapa de Calor de Riscos não considera a frequência de ocorrência dos 
riscos. 
II. O Mapa de Calor de Riscos se baseia na severidade e impacto em conjunto 
com a frequência e se refere a uma forma diferente de apresentar os 
resultados da análise de riscos de maneira visual. 
III. O Mapa de Riscos contempla apenas três categorias possíveis: Baixo, 
Moderado e Alto. 
Estão corretas as afirmações: 
 
a. I, apenas. 
 
b. II, apenas. 
 
c. III, apenas. 
 
d. I e II. 
 
e. I, II e III. 
0,25 pontos 
PERGUNTA 9 
1. A gestão de riscos e a segurança da informação estão intrinsecamente ligadas, 
pois a gestão de riscos leva às ações de segurança da informação a serem 
aplicadas pelas Organizações. Acerca dos Riscos e a Segurançada 
Informação, conforme a NBR ISO 27001 (2018), analise as afirmações a 
seguir. 
 
I. A NBR ISO 27001 (2018) contempla assegurar que o Sistema de Gestão de 
Segurança da Informação alcance os resultados indicados. 
II. Não faz parte do processo de avaliação de riscos de segurança da 
informação a contínua avaliação dos riscos de segurança da informação. 
III. No processo de avaliação de riscos de segurança da informação deve-se 
avaliar as consequências da materialização dos riscos avaliando a 
probabilidade real da ocorrência dos riscos, bem como determinar os níveis de 
risco. 
Estão corretas as afirmações: 
 
a. II, 
apenas. 
 
b. III, 
apenas. 
 
c. I e II. 
 
d. I, II e 
III. 
 
e. I e III. 
0,25 pontos 
PERGUNTA 10 
1. Considerando a Equação do Risco à Segurança da Informação proposto por 
Sêmola (2014), analise o risco considerando o cenário a seguir. Uma 
determinada organização, em uma análise de riscos, identificou 25 
vulnerabilidades em seu sistema de atendimento virtual baseado em chatbot. 
As ameaças estão disponíveis para cada um de seus 50 clientes, contudo, o 
impacto é baixo e incluído na categoria 4. Há 100 medidas de segurança 
existentes na Organização capazes de mitigar as vulnerabilidades. Na 
Organização os riscos acima ou iguais a 50 são considerados altos e devem 
ser tratados. Além disso, o atendimento virtual baseado em chatbot é de 
fundamental importância com relação à visibilidade da Organização no 
mercado. Por esse motivo, é possível afirmar que: 
 
a. O gerente de segurança deve reservar capital proporcional ao impacto 
identificado, uma vez que o Risco é igual ou superior a 50. 
 
b. Como o risco é igual a 50 a Organização deve desconsiderar qualquer 
tratamento, pois o Risco está abaixo do valor considerado para 
tratamento pela Organização. 
 
c. O risco está abaixo do definido pela empresa para qualquer atuação pelo 
gerente de segurança. 
 
d. O risco está abaixo do definido pela empresa para tratamento, contudo 
deve ser tratado pelo gerente de segurança. 
 
e. O risco é superior a 50, mas não deve ser tratado.