Prévia do material em texto
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! 1) Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): ( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. ( ) É necessário eleger o presidente da governança. ( ) Deve ocorrer quebra de paradigmas. ( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). ( ) Todos os membros devem ser do alto escalão da TI. Assinale a alternativa que contenha a sequência correta: Alternativas: • F – F – V – V – F. checkCORRETO • V – F – V – F – F. • F – V – V – V – F. • F – V – V – V – V. • F – F – F – V – V. Resolução comentada: O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI. Código da questão: 55116 2) A alteração da probabilidade de ocorrência de um risco pode ser feita: Alternativas: • Via manipulação das variáveis envolvidas. checkCORRETO • Por meio da geração de dados fictícios. • Utilizando informações de eventos anteriores. • Com base em uma estimativa futura. • Por meio do cálculo da média de ocorrências nocivas. Resolução comentada: A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor final. Desta forma, a probabilidade pode ser modificada ao serem considerados outros fatores que haviam sido deixados de fora nos cálculos iniciais. Código da questão: 55148 3) Todo processo de gestão de riscos em TI requer um plano de contingência e formas estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que exista uma predefinição dos passos e procedimentos a serem adotados quando uma ameaça se concretizar, gerando algum tipo de impacto. Desta forma, o ___________________ deve assegurar que trabalhos da organização retome às atividades no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as atividades novamente em operação em caso de desastres. Ambas as abordagens visam ___________________ à organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: • BCP; DRP; Minimizar os impactos. checkCORRETO • Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. • Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. • DRP; BCP; Dar segurança. • DRP; BCP; Maximizar impactos positivos. Resolução comentada: É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens visam diminuir os impactos financeiros e de imagem à organização. Código da questão: 55141 4) É correto afirmar que a norma ISSO 27001 estabelece: Alternativas: • Requisitos para gestão de sistemas de informação baseada em um código de prática. CORRETO • Recomendações para gestão de riscos de TI. • Regras que devem ser seguidas à risca para que os resultados sejam de acordo com o esperado. • Orientações técnicas para avaliação de riscos em TI. • Critérios mandatórios para implantação de uma estrutura de gestão de riscos. checkINCORRETO Resolução comentada: Esta definição é exposta já no próprio título da norma e corroborada por Hintzbergen (2018). Código da questão: 55122 5) Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) Em sistemas de informação a etapa intermediária é o processamento. ( ) Em sistemas de informação a etapa final é a saída de dados processados. ( ) Sistemas de informação também auxiliam no apoio à tomada de decisão. ( ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. ( ) O processamento de dados ocorre antes da geração do conhecimento. Assinale a alternativa que contenha a sequência correta: Alternativas: • V – V – V – F – V. checkCORRETO • V – F – V – F – F. • F – F – V – F – F. • V – F – V – F – V • F – F – F – V – F. Resolução comentada: As etapas de um sistema de informação são: entrada de dados, processamento e saída de dados (ou disparo de eventos). Essas saídas são informações que podem gerar conhecimento (que é precedido pela informação, gerada pela captação de dados). Código da questão: 55117 6) Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste basicamente em: ( ) Apontar as características da organização. ( ) Definir as atividades e processos que a organização executa. ( ) Conhecer cada recurso humano e seu papel em meio ao todo. ( ) Conhecer a filosofia da organização. ( ) Reconhecer os riscos que podem afetar negativamente a organização. Assinale a alternativa que contenha a sequência correta: Alternativas: • F – V – V – V – F. • F – F – V – V – V. • V – V – V – V – F. checkCORRETO • F – V – F – V – V. • F – F – V – V – F. Resolução comentada: Conhecer o contexto da organização é o primeiro passo no processo de implantação da gestão de riscos. Os riscos só começam a ser visualizados, de fato, a partir da próxima etapa, que é a identificação dos riscos. Código da questão: 55125 7) Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que auxiliam neste processo: Alternativas: • Simétrica e hash • Coding e hash. • Hash e coding. • Ação e verificação. • Simétrica e assimétrica. checkCORRETO Resolução comentada: Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. Código da questão: 55139 8) Quanto aos riscos em uma organização, é correto afirmar que: Alternativas: • Devem ser resolvidos pelo corpo executivo da governança de TI. • São de responsabilidade do departamento de TI. • Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. • Devem ser eliminados pelo plano de gestão de riscos. • São essenciais para que se avalie a importância da informação. checkCORRETO Resolução comentada: Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. Código da questão: 55121 9) O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar _________________ para que seja possível sua identificação clara e objetiva, além de citar ______________________ para fins de categorização. Neste raciocínio, recomenda-se elencar ___________________ da ameaça para que tratativas específicas possam ser aplicadas. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: • O nome da ameaça; Os impactos; O prazo de solução. • O nome da ameaça; Seu tipo; A origem. checkCORRETO • O tipo de ameaça; Seu nome; Os prazos de solução. • O nível de criticidade; Sua origem; O modo de solução. • A origem; O impacto; O modo de solução. Resolução comentada: Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de forma clara o nome daameaça, categorizando-a pelo seu tipo e apontando sua origem (interna ou externa). Código da questão: 55133 10) Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) O valor da informação ou conhecimento muda com o tempo. ( ) Toda informação tem um ciclo de vida. ( ) O valor da informação é mutável, de acordo com o público-alvo. ( ) A origem dos dados facilita a identificação do usuário. ( ) O nível ostensivo de segurança de dados torna-o secreto/confidencial. Assinale a alternativa que contenha a sequência correta: Alternativas: • V – F – V – F – F. • F – F – F – V – F. • V – V – V – V – F. checkCORRETO • F – F – V – F – F. • V – F – V – F – V. Resolução comentada: O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. Código da questão: 55135