Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de riscos em TI Professor(a): Márcio dos Santos (Especialização) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Leia e associe as duas colunas. Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. Neste contexto, analise o quadro a seguir, relacionando as colunas. Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I-C; II-A; III-B. CORRETO I-B; II-A; III-C. I-B; II-C; III-A. I-A; II-B; III-C. I-C; II-B; III-A. Código da questão: 55118 Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o primeiro item é mais subjetivo que o segundo. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: Diretamente os ativos; Abstratos ou concretos. CORRETO A credibilidade e integridade; Parciais ou totais. A segurança e os dados; Concretos ou abstratos. A organização inteira; Abstratos ou concretos. Os dados de uma organização; Diretos ou indiretos. Resolução comentada: Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. Resolução comentada: Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os ativos abstratos têm maior subjetividade, pois não possuem uma forma ou escopo quantitativo, mas sim, qualitativo. Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2527186/3748874 1 of 5 05/01/2022 19:58 3) 4) 5) Código da questão: 55132 Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir ___________________, por meio da descoberta de características da organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: Na ISO 31000; A análise SWOT; No contexto. CORRETO Na ISO 31000; O contexto; Na análise SWOT. No contexto; A análise SWOT; Na ISO 31000. Na análise SWOT; O contexto; Com a ISO 31000. Na análise SWOT; A ISO 31000; No contexto. Código da questão: 55123 Alguns mecanismos de software podem ser utilizados em um ambiente de rede para prover maior nível de proteção contra ataques e invasão. Essas proteções contribuem na diminuição dos riscos, uma vez que as ameaças também são minimizadas. De acordo com Stallings (2015), analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) IPS e IDS atuam no servidor e cliente, respectivamente. ( ) IPS é um meio de proteção mais eficaz. ( ) IDS realiza a detecção quando o intruso já acessou a rede. ( ) IDS não pode ser utilizado em conjunto com um firewall. ( ) IPS necessita de um firewall para que sua atuação seja eficiente. Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – V – F – F. V – F – V – F – V. F – F – F – V – F. F – V – V – F – F. CORRETO V – V – V – V – F. Código da questão: 55144 Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto: Alternativas: A definir os riscos que podem afetar a organização. À definição do contexto da organização. CORRETO A preparar um plano para diminuição dos riscos, já que é impossível removê-los. Resolução comentada: Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao evidenciar as fraquezas, forças, oportunidades e ameaças. Resolução comentada: IPS mostra-se mais seguro, pois é um sistema de prevenção de intrusão, ou seja, antes que o acesso não autorizado ocorra, o sistema já dispara um alerta. Na contramão, o IDS apenas realiza o alerta quando a intrusão já se concretizou. Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2527186/3748874 2 of 5 05/01/2022 19:58 6) 7) À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. Código da questão: 55129 Leia e associe as duas colunas: Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I-B; II-A; III-C. CORRETO I-A; II-B; III-C. I-C; II-A; III-B. I-B; II-C; III-A. I-C; II-B; III-A. Código da questão: 55127 A nível de sistema de informação, pode-se considerar que: I. As ameaças também podem ser denominadas como vulnerabilidades (ou brechas no sistema). II. Existem ameaças que estão ligadas ao comportamento humano. III. Keyloggers são exemplos de ameaças que afetam a segurança da informação. IV. A criptografia simétrica possui duas chaves: pública e privada. V. A criptografia assimétrica realiza validação em duas etapas. São verdadeiras: Alternativas: II - III - IV. I - III - V. I - II - III. CORRETO I - II - III - V. I - IV. Resolução comentada: Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo de tratamento. Resolução comentada: Controles de gerenciamento de riscos devem ser monitorados e revistos constantemente; a organização deve estar comprometida com o processo de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura da organização. Resolução comentada: A criptografia simétrica utiliza apenas uma chave para realizar os procedimentos criptográficos. Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2527186/3748874 3 of 5 05/01/2022 19:58 8) 9) 10) Código da questão: 55137 Quanto aos riscos em uma organização, é correto afirmar que: Alternativas: São essenciais para que se avalie a importância da informação. CORRETO Devem ser eliminados pelo plano de gestão de riscos. Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. Devem ser resolvidos pelo corpo executivo da governança de TI. São de responsabilidade do departamento de TI. Código da questão: 55121 Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) Em sistemas de informação a etapa intermediária é o processamento. ( ) Em sistemas de informação a etapa final é a saída de dados processados. ( ) Sistemas de informação também auxiliam no apoio à tomada de decisão. ( ) Sistemas de informaçãotêm como etapa inicial a aquisição de conhecimento. ( ) O processamento de dados ocorre antes da geração do conhecimento. Assinale a alternativa que contenha a sequência correta: Alternativas: V – V – V – F – V. CORRETO V – F – V – F – V F – F – V – F – F. F – F – F – V – F. V – F – V – F – F. Código da questão: 55117 Todo processo de gestão de riscos em TI requer um plano de contingência e formas estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que exista uma predefinição dos passos e procedimentos a serem adotados quando uma ameaça se concretizar, gerando algum tipo de impacto. Desta forma, o ___________________ deve assegurar que trabalhos da organização retome às atividades no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as atividades novamente em operação em caso de desastres. Ambas as abordagens visam ___________________ à organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: DRP; BCP; Dar segurança. DRP; BCP; Maximizar impactos positivos. Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. BCP; DRP; Minimizar os impactos. CORRETO Resolução comentada: Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. Resolução comentada: As etapas de um sistema de informação são: entrada de dados, processamento e saída de dados (ou disparo de eventos). Essas saídas são informações que podem gerar conhecimento (que é precedido pela informação, gerada pela captação de dados). Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2527186/3748874 4 of 5 05/01/2022 19:58 Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. Código da questão: 55141 Resolução comentada: É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens visam diminuir os impactos financeiros e de imagem à organização. Arquivos e Links Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2527186/3748874 5 of 5 05/01/2022 19:58
Compartilhar