Gestão de riscos em TI

Prévia do material em texto

Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A 
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da 
média final. Você tem até cinco tentativas para “Enviar” as questões, que são 
automaticamente corrigidas. Você pode responder as questões consultando o material 
de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! 
1) 
Para implantar uma estrutura de governança de TI em uma organização, analise as 
afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
( ) É necessário requerer aprovação do gerente de TI, que será o diretor 
da governança. 
( ) É necessário eleger o presidente da governança. 
( ) Deve ocorrer quebra de paradigmas. 
( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
( ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
• F – F – V – V – F. 
checkCORRETO 
• V – F – V – F – F. 
• F – V – V – V – F. 
• F – V – V – V – V. 
• F – F – F – V – V. 
Resolução comentada: 
O alto escalão da organização deve apoiar e compor (parcialmente) a governança de 
TI. 
Código da questão: 55116 
2) 
A alteração da probabilidade de ocorrência de um risco pode ser feita: 
 
Alternativas: 
• Via manipulação das variáveis envolvidas. 
checkCORRETO 
• Por meio da geração de dados fictícios. 
• Utilizando informações de eventos anteriores. 
• Com base em uma estimativa futura. 
• Por meio do cálculo da média de ocorrências nocivas. 
Resolução comentada: 
A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor 
final. Desta forma, a probabilidade pode ser modificada ao serem considerados outros 
fatores que haviam sido deixados de fora nos cálculos iniciais. 
Código da questão: 55148 
3) 
Todo processo de gestão de riscos em TI requer um plano de contingência e formas 
estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que 
exista uma predefinição dos passos e procedimentos a serem adotados quando uma 
ameaça se concretizar, gerando algum tipo de impacto. Desta forma, 
o ___________________ deve assegurar que trabalhos da organização retome às atividades 
no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as 
atividades novamente em operação em caso de desastres. Ambas as abordagens visam 
___________________ à organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
 
Alternativas: 
• BCP; DRP; Minimizar os impactos. 
checkCORRETO 
• Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. 
• Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. 
• DRP; BCP; Dar segurança. 
• DRP; BCP; Maximizar impactos positivos. 
Resolução comentada: 
É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no 
nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por 
colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens 
visam diminuir os impactos financeiros e de imagem à organização. 
Código da questão: 55141 
4) 
É correto afirmar que a norma ISSO 27001 estabelece: 
 
Alternativas: 
• Requisitos para gestão de sistemas de informação baseada em um código de 
prática. 
CORRETO 
• Recomendações para gestão de riscos de TI. 
• Regras que devem ser seguidas à risca para que os resultados sejam de acordo 
com o esperado. 
• Orientações técnicas para avaliação de riscos em TI. 
• Critérios mandatórios para implantação de uma estrutura de gestão de riscos. 
checkINCORRETO 
Resolução comentada: 
Esta definição é exposta já no próprio título da norma e corroborada 
por Hintzbergen (2018). 
Código da questão: 55122 
5) 
Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em 
verdadeiras (V) ou falsas (F). 
( ) Em sistemas de informação a etapa intermediária é o processamento. 
( ) Em sistemas de informação a etapa final é a saída de dados processados. 
( ) Sistemas de informação também auxiliam no apoio à tomada de decisão. 
( ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. 
( ) O processamento de dados ocorre antes da geração do conhecimento. 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
• V – V – V – F – V. 
checkCORRETO 
• V – F – V – F – F. 
• F – F – V – F – F. 
• V – F – V – F – V 
• F – F – F – V – F. 
Resolução comentada: 
As etapas de um sistema de informação são: entrada de dados, processamento e saída 
de dados (ou disparo de eventos). Essas saídas são informações que podem gerar 
conhecimento (que é precedido pela informação, gerada pela captação de dados). 
Código da questão: 55117 
6) 
Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste 
basicamente em: 
( ) Apontar as características da organização. 
( ) Definir as atividades e processos que a organização executa. 
( ) Conhecer cada recurso humano e seu papel em meio ao todo. 
( ) Conhecer a filosofia da organização. 
( ) Reconhecer os riscos que podem afetar negativamente a organização. 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
• F – V – V – V – F. 
• F – F – V – V – V. 
• V – V – V – V – F. 
checkCORRETO 
• F – V – F – V – V. 
• F – F – V – V – F. 
Resolução comentada: 
Conhecer o contexto da organização é o primeiro passo no processo de implantação 
da gestão de riscos. Os riscos só começam a ser visualizados, de fato, a partir da 
próxima etapa, que é a identificação dos riscos. 
Código da questão: 55125 
7) 
Uma das formas de manter os critérios de segurança da informação é por meio da 
comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que 
auxiliam neste processo: 
 
Alternativas: 
• Simétrica e hash 
• Coding e hash. 
• Hash e coding. 
• Ação e verificação. 
• Simétrica e assimétrica. 
checkCORRETO 
Resolução comentada: 
Por meio da criptografia simétrica/assimétrica a integridade de uma 
mensagem/dado/informação pode ser protegida e assegurada. 
Código da questão: 55139 
8) 
Quanto aos riscos em uma organização, é correto afirmar que: 
 
Alternativas: 
• Devem ser resolvidos pelo corpo executivo da governança de TI. 
• São de responsabilidade do departamento de TI. 
• Podem ser evitados, mas devem ocorrer para se comprovar a importância da 
informação. 
• Devem ser eliminados pelo plano de gestão de riscos. 
• São essenciais para que se avalie a importância da informação. 
checkCORRETO 
Resolução comentada: 
Uma informação só pode ser considerada de valor se existir algo que a coloque em 
risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. 
Código da questão: 55121 
9) 
O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes 
danosos e que deve ser conhecido por toda a organização. Este quadro deve 
especificar _________________ para que seja possível sua identificação clara e objetiva, 
além de citar ______________________ para fins de categorização. Neste raciocínio, 
recomenda-se elencar ___________________ da ameaça para que tratativas específicas 
possam ser aplicadas. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
 
Alternativas: 
• O nome da ameaça; Os impactos; O prazo de solução. 
• O nome da ameaça; Seu tipo; A origem. 
checkCORRETO 
• O tipo de ameaça; Seu nome; Os prazos de solução. 
• O nível de criticidade; Sua origem; O modo de solução. 
• A origem; O impacto; O modo de solução. 
Resolução comentada: 
Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de 
ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de 
forma clara o nome daameaça, categorizando-a pelo seu tipo e apontando sua origem 
(interna ou externa). 
Código da questão: 55133 
10) 
Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando 
identificar as ferramentas, métodos e relacionamentos mais referenciados, considere as 
afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
( ) O valor da informação ou conhecimento muda com o tempo. 
( ) Toda informação tem um ciclo de vida. 
( ) O valor da informação é mutável, de acordo com o público-alvo. 
( ) A origem dos dados facilita a identificação do usuário. 
( ) O nível ostensivo de segurança de dados torna-o secreto/confidencial. 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
• V – F – V – F – F. 
• F – F – F – V – F. 
• V – V – V – V – F. 
checkCORRETO 
• F – F – V – F – F. 
• V – F – V – F – V. 
Resolução comentada: 
O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica 
apontada, ou cujo acesso possa ser franqueado. 
Código da questão: 55135