Modelos de Governança de TI

Prévia do material em texto

• Pergunta 1 
1 em 1 pontos 
 
 
 
As alternativas abaixo representam afirmações sobre o Princípio 4 do COBIT 5 – Possibilitar uma abordagem 
holística. 
 
 
Qual delas está incorreta? 
 
 
Resposta 
Selecionada: 
b. 
Os objetivos estratégicos da organização, obtidos através do planejamento estratégico entre 
as áreas de negócio e a TI, influenciam diretamente os habilitadores. 
Respostas: a. 
Os habilitadores representam elementos que favorecem a implementação da Governança 
Corporativa de TI em uma organização. 
 
b. 
Os objetivos estratégicos da organização, obtidos através do planejamento estratégico entre 
as áreas de negócio e a TI, influenciam diretamente os habilitadores. 
 c. 
A cultura de uma organização tem forte influência na Governança Corporativa de TI. 
 
d. 
O habilitador Informação tem a mesma importância, no modelo dos habilitadores, que os 
processos de TI. 
Comentário da 
resposta: 
A opção b) traz uma incorreção, pois o que influencia diretamente os habilitadores são os 
objetivos estratégicos de TI, estes, por sua vez, são influenciados pelos objetivos estratégicos 
da organização. 
 
 
• Pergunta 2 
1 em 1 pontos 
 
 
 
Sobre o livro Enabling Information do COBIT, analise as afirmações que se seguem: 
 
 
I - Enabling Information é um livro destinado à área de TI de uma organização, pelo fato da área de TI ser 
responsável pelo tratamento da informação. 
II - Um Sistema de Gestão de Segurança da Informação de uma organização pode ter sido definido e 
implementado a partir de metas específicas para o habilitador Informação. 
III - Enabling Information direciona a empresa sobre os aspectos de governança sobre o habilitador Informação, 
ficando os aspectos de gestão para os frameworks a serem implementados. 
 
IV - Enabling Information trata das dimensões do habilitador Informação. 
 
 
Assinale a alternativa que aponta apenas as afirmações verdadeiras. 
Resposta Selecionada: d. 
II e IV. 
Respostas: a. 
I, II, III e IV. 
 b. 
I, II e III. 
 c. 
III e IV. 
 d. 
II e IV. 
Comentário da 
resposta: 
 
 
A alternativa I está incorreta, pois Enabling Information é destinado ao pessoal de estratégia da 
organização; o CIO participará do planejamento para o habilitador Informação em todas as 
suas dimensões, mas dividirá essa tarefa com seus pares e com o presidente. 
 
 
A alternativa II é correta, pois um SGSI pode ser moldado especificamente a partir das metas 
definidas para o habilitador. Por exemplo, práticas voltadas a questões de privacidade que o 
negócio demande. 
 
 
A alternativa III é incorreta, pois Enabling Information direciona a empresa em questões de 
governança e gestão, para o habilitador Informação. 
A alternativa IV é correta, pois Enabling Information trata as quatro dimensões do habilitador 
Informação: partes interessadas, metas, ciclo de vida e boas práticas. 
 
 
• Pergunta 3 
1 em 1 pontos 
 
 
 
Sobre o livro Enabling Processes do COBIT, avalie as afirmações a seguir: 
 
 
I - É correto afirmar que os processos estão interligados, sendo que o resultado de alguns processos influencia 
diretamente o desempenho de outros. 
 
II - O Princípio 1 do COBIT 5 não guarda nenhuma relação com as metas para o habilitador Processos. 
III - A Matriz RACI de um processo do COBIT 5 auxilia na dimensão partes interessadas para o habilitador 
Processos. 
IV - É correto dizer que o atendimento a uma lei por um processo interno de uma empresa é um exemplo de 
uma meta intrínseca atingida plenamente. 
 
Assinale a alternativa que aponta apenas as alternativas verdadeiras. 
 
Resposta Selecionada: b. 
I, III e IV. 
Respostas: a. 
I e II. 
 b. 
I, III e IV. 
 c. 
I e IV. 
 d. 
III e IV. 
Comentário da 
resposta: 
 
 
A alternativa I está correta, pois as entradas e saídas dos processos mostram as interligações 
e interdependências entre os processos. 
 
 
A alternativa II está incorreta, pois pelo Princípio 1 do COBIT 5 o cascateamento de objetivos 
influenciará diretamente as metas dos processos, para que estes se alinhem aos objetivos 
estratégicos da organização. 
 
 
A alternativa III é verdadeira, pois a Matriz RACI define os níveis de responsabilidade das 
partes interessadas para cada processo. 
A alternativa IV é verdadeira, pois as metas intrínsecas envolvem as necessidades das partes 
internas e externas, e o atendimento a uma lei é um requisito externo. 
 
 
• Pergunta 4 
1 em 1 pontos 
 
 
 
 
Sobre a necessidade de se habilitar a mudança, assinale a alternativa que aponta apenas as sentenças 
verdadeiras: 
 
 
 I - A cultura da empresa é um fator fundamental a ser levado em consideração quando da preparação de um 
ambiente apropriado para a mudança. 
 
 
II - A avaliação do impacto da mudança na organização não é um fator importante, porque não se pode saber ao 
certo o que vai acontecer antes da implementação. 
III - A liderança pelo exemplo é o método mais adequado para engajar os colaboradores em todos os níveis da 
organização. 
IV - Barreiras comportamentais devem ser levadas em consideração para que não haja surpresas em reações 
de colaboradores no momento da mudança. 
Resposta Selecionada: c. 
I, III e IV, apenas. 
Respostas: a. 
I,II, III e IV. 
 b. 
II e IV, apenas. 
 c. 
I, III e IV, apenas. 
 d. 
I e II, apenas. 
Comentário da 
resposta: 
 
 
A alternativa I é verdadeira, pois se a cultura não for levada em conta poderá haver impactos 
para a aceitação das mudanças. 
 
 
A alternativa II é falsa, pois o impacto das alterações deve ser previsto com o maior grau 
possível de precisão para suavizar pontos críticos no momento da implementação. 
 
 
A alternativa III é verdadeira, pois se espera que os principais executivos exerçam liderança 
em todas as fases, adotando os novos processos e servindo como exemplo para todos seus 
subordinados. 
 
A alternativa IV é verdadeira, pois as reações eventuais de colaboradores insatisfeitos com as 
mudanças podem constituir empecilhos para a implementação. 
 
• Pergunta 5 
1 em 1 pontos 
 
Qual das alternativas abaixo não representa um exemplo de elemento ligado ao habilitador 6 – Serviços, 
infraestrutura e aplicações? 
 
Resposta Selecionada: c. 
Conselho. 
Respostas: a. 
Administração de segurança dos firewalls. 
 b. 
Área de desenvolvimento de sistemas. 
 c. 
Conselho. 
 d. 
Processo de gestão de continuidade de negócios. 
Comentário da 
resposta: 
 
 
A opção c) está incorreta, porque o Conselho é uma estrutura organizacional; portanto, 
ligada ao habilitador 3. 
Os demais elementos se ligam a aspectos relevantes ao habilitador 6. 
 
 
• Pergunta 6 
0 em 1 pontos 
 
 
 
Analise as afirmações que se seguem: 
 
 
I - Em uma empresa de telefonia celular, as exigências regulatórias da Anatel deverão ser consideradas nos 
objetivos estratégicos, com a correspondente equivalência dos objetivos de TI que as sustentem. 
II - Se uma empresa adquire outra, a fusão entre a área de TI, considerando processos, aplicações, bases de 
dados e outros recursos, deve ser alvo de análise em nível estratégico para a composição dos objetivos 
estratégicos e de TI, para a empresa resultante. 
III - A dimensão financeira é a mais importante para o planejamento dos objetivos estratégicos, por representar 
os processos de controle financeiro para a organização. 
 
 
 
IV - Todos os objetivos estratégicos da dimensão interna são de igual importância para uma empresa, devendo 
todos eles serem considerados no planejamento. 
 
 
Assinale a alternativa que aponta apenas as afirmações verdadeiras. 
Resposta Selecionada: c. 
I, II e IV. 
Respostas: a. 
I, II, III e IV. 
 b. 
I, II e III. 
 c. 
I, II e IV. 
 d. 
I e II. 
Comentário da 
resposta: 
 
 
A alternativa I está correta, pois as exigências regulatórias são fundamentais para o 
planejamento estratégicode uma empresa de telefonia celular, devido às altas multas que 
podem ser impingidas pelo órgão regulador. 
 
 
A alternativa II é correta, pois nessa situação a prioridade máxima para a fusão será priorizar a 
integração dos processos e recursos de TI, no tocante aos objetivos estratégicos e de TI. 
 
 
A alternativa III é incorreta, pois todas as dimensões têm a mesma importância no framework 
do Balanced Scorecard, em relação à importância dos objetivos estratégicos. 
A alternativa IV é incorreta, pois nem todos os objetivos de qualquer das quatro dimensões 
podem ser relevantes para uma empresa em determinado momento; a Alta Direção da empresa 
deve validar e aprovar o planejamento frente às necessidades de negócio mais prementes no 
momento. 
 
 
• Pergunta 7 
1 em 1 pontos 
 
Sobre o assunto Segurança da Informação, qual das afirmações abaixo está correta? 
Resposta 
Selecionada: 
b. 
A compreensão sobre a importância da Segurança da Informação foi alavancada com o 
desenvolvimento da internet, nos anos 1990. 
 
Respostas: a. 
A Segurança da Informação é uma disciplina que surgiu e evoluiu paralelamente à Tecnologia 
da Informação. 
 
b. 
A compreensão sobre a importância da Segurança da Informação foi alavancada com o 
desenvolvimento da internet, nos anos 1990. 
 
c. 
As pessoas não são o foco da Segurança da Informação, pois ela se destina principalmente à 
proteção do acesso às informações dentro dos sistemas e das bases de dados em ambientes 
computacionais. 
 
d. 
Os Sistemas de Gestão de Segurança da Informação são estruturas de controle rígidas, 
devendo ser implantadas de maneira uniforme em qualquer tipo de organização, não 
importando a natureza de seu negócio ou o mercado em que atua. 
Comentário da 
resposta: 
 
 
A alternativa a) está incorreta porque a Segurança da Informação surgiu mais tarde, tendo um 
desenvolvimento mais acentuado a partir da década de 1990. 
 
 
A frase acima justifica a correção da alternativa b). 
 
 
A alternativa c) é incorreta porque as pessoas são um foco intenso da Segurança da 
Informação, pois podem constituir ameaças graves à confidencialidade, integridade e 
disponibilidade da informação, tanto por falta de conhecimento como por eventos 
fraudulentos. 
A alternativa d) é falsa, pois um Sistema de Gestão de Segurança da Informação deve ser 
implementado em uma empresa conforme a estratégia do negócio, compreendendo tanto 
questões estratégicas como eventuais exigências legais e regulatórias. 
 
• Pergunta 8 
1 em 1 pontos 
 
Com relação ao modelo de avaliação de processos, analise as sentenças a seguir e marque a única opção 
verdadeira: 
 
Resposta 
Selecionada: 
b. 
Se uma atividade é totalmente executada, isso significa que há total atendimento aos 
atributos. 
Respostas: a. 
Se a aderência de uma atividade de um processo estiver entre zero e 15%, pode-se dizer que 
há aderência parcial. 
 
 
b. 
Se uma atividade é totalmente executada, isso significa que há total atendimento aos 
atributos. 
 
c. 
Não é correto afirmar que há graus de subjetividade na avaliação de processos, pois a ISO 
15504 impede que isso ocorra. 
 
d. 
Quanto maior o grau de aderência, maior o risco que a organização corre, se o processo 
não for melhorado. 
Comentário da 
resposta: 
 
 
A alternativa a) está errada, pois aderência parcial se identifica com o intervalo >15% - 50%. 
 
 
A alternativa c) é falsa, pois o grau de subjetividade ocorre porque é algo inerente ao ser 
humano e o avaliador é um ser humano; portanto, não há possibilidade de uma norma evitar 
esse efeito. 
A alternativa d) é falsa, pois quanto maior o grau de aderência, menor é o risco que a 
organização corre. 
 
• Pergunta 9 
1 em 1 pontos 
 
Sobre o habilitador 6 – Serviços, infraestrutura e aplicações, analise as afirmações a seguir: 
 
 
I - O habilitador 6 guarda forte relação com o processo BAI03 – Gerenciar Identificação de Soluções e Construir, 
pois neste processo se lida com a decisão de comprar ou desenvolver uma aplicação de negócios. 
II - O habilitador 6 se identifica com o objetivo principal da governança, criação de valor, pela forte ligação com o 
pilar de otimização do uso dos recursos. 
III - Uma empresa deve seguir padrões e práticas do mercado para definir seu modelo de arquitetura 
corporativa. 
IV - O processo DSS05 – Garantir Segurança de Sistemas está fortemente ligado ao habilitador 6. 
 
 
Assinale a alternativa correta. 
 
Resposta Selecionada: a. 
Todas são verdadeiras. 
Respostas: a. 
 
Todas são verdadeiras. 
 b. 
III e IV são verdadeiras. 
 c. 
Todas são falsas. 
 d. 
I, II e III são verdadeiras. 
Comentário da 
resposta: 
 
 
A alternativa I está correta, pois este processo realmente lida com a questão de desenvolver 
internamente ou comprar uma solução de um fornecedor. 
 
 
A alternativa II é verdadeira, pois o habilitador 6 lida com os recursos de aplicações e 
infraestrutura, que devem ter seu uso otimizado. 
 
 
A alternativa III está correta, pois se uma empresa não seguir padrões de mercado para definir 
seu modelo de arquitetura corporativa correrá riscos de perda de eficiência e eficácia, além de 
aumentar a probabilidade de que as aplicações desenvolvidas não tenham padrão adequado. 
A alternativa IV está correta, pois o habilitador 6 lida com a infraestrutura e as aplicações, que 
devem ser munidas de controles para proteger as informações que ali se armazenam e 
processam. 
 
• Pergunta 10 
0 em 1 pontos 
 
Qual das alternativas abaixo NÃO se relaciona diretamente com um ponto de dor? 
Resposta 
Selecionada: 
b. 
Multas recebidas de órgãos regulatórios pelo não cumprimento de prazos ou por atrasos no 
atendimento de consumidores que geraram sanções por parte do PROCON. 
Respostas: a. 
Projetos de terceirização onde a organização falhou na homologação, na contratação e na 
monitoração de resultados operacionais frente às empresas contratadas, com grandes perdas 
financeiras e de imagem. 
 
b. 
Multas recebidas de órgãos regulatórios pelo não cumprimento de prazos ou por atrasos no 
atendimento de consumidores que geraram sanções por parte do PROCON. 
 
c. 
Projetos de fusão de empresas bem-sucedidos, em que a empresa resultante passou a ter 
maior média de maturidade nos processos de TI. 
 
 
d. 
Relatórios de auditoria com inúmeros apontamentos sobre fragilidades de controles de 
Segurança da Informação. 
Comentário da 
resposta: 
 
 
A alternativa a) é incorreta, pois os projetos de terceirização deixaram graves consequências 
para a empresa em termos de perdas financeiras e imagem, que constituem tradicionais 
pontos de dor. 
 
 
A alternativa b) é incorreta, pois as fragilidades em processos que resultaram nas multas no 
âmbito legal-regulatório constituem pontos de dor para a organização. 
A alternativa d) é incorreta, pois as fragilidades em controles representam pontos de dor.