gestão de risco em ti

Prévia do material em texto

02/03/2022 21:51 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2569810/4078514 1/5
Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de
cumprir o prazo estabelecido. Boa prova!
Considere que você, membro da governança de TI da ABC S/A, precisa implantar a
filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas
ISO 31000. Um dos primeiros passos que você dará será quanto: 
Alternativas:
À definição do contexto da organização.  CORRETO
A preparar um plano para diminuição dos riscos, já que é impossível removê-los. 
Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. 
A definir os riscos que podem afetar a organização. 
À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos
processos. 
Código da questão: 55129
O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes
danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar
_________________ para que seja possível sua identificação clara e objetiva, além de
citar ______________________ para fins de categorização. Neste raciocínio, recomenda-
se elencar ___________________ da ameaça para que tratativas específicas possam ser
aplicadas. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
O tipo de ameaça; Seu nome; Os prazos de solução. 
O nome da ameaça; Seu tipo; A origem.  CORRETO
A origem; O impacto; O modo de solução. 
O nome da ameaça; Os impactos; O prazo de solução. 
O nível de criticidade; Sua origem; O modo de solução. 
Código da questão: 55133
Para implantar uma estrutura de governança de TI em uma organização, analise as
afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. 
( ) É necessário eleger o presidente da governança. 
Resolução comentada:
Considerando como base a família de normas ISO 31000, o primeiro passo é
estabelecer o contexto da organização para que seja possível conhecer o ambiente
no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-
los e iniciar o processo de tratamento. 
Resolução comentada:
Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de
ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir
de forma clara o nome da ameaça, categorizando-a pelo seu tipo e apontando sua
origem (interna ou externa). 
02/03/2022 21:51 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2569810/4078514 2/5
4)
5)
( ) Deve ocorrer quebra de paradigmas. 
( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
( ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – V – V – V – V. 
V – F – V – F – F. 
F – F – V – V – F.  CORRETO
F – F – F – V – V. 
F – V – V – V – F. 
Código da questão: 55116
Leia e associe as duas colunas: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
I-A; II-B; III-C. 
I-B; II-A; III-C.  CORRETO
I-C; II-A; III-B. 
I-C; II-B; III-A. 
I-B; II-C; III-A. 
Código da questão: 55127
Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em
verdadeiras (V) ou falsas (F). 
( ) Em sistemas de informação a etapa intermediária é o processamento. 
( ) Em sistemas de informação a etapa final é a saída de dados processados. 
( ) Sistemas de informação também auxiliam no apoio à tomada de decisão. 
( ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. 
( ) O processamento de dados ocorre antes da geração do conhecimento. 
Assinale a alternativa que contenha a sequência correta: 
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança
de TI. 
Resolução comentada:
Controles de gerenciamento de riscos devem ser monitorados e 
revistos constantemente; a organização deve estar comprometida com o processo
de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura
da organização. 
02/03/2022 21:51 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2569810/4078514 3/5
6)
7)
Alternativas:
F – F – F – V – F. 
V – F – V – F – F. 
V – F – V – F – V
F – F – V – F – F. 
V – V – V – F – V.  CORRETO
Código da questão: 55117
Os riscos de segurança da informação podem ser alocados em quatro categorias:
_________________ (quanto à funcionalidade de um sistema ou hardware),
______________________ (quanto à comprovação de que o remetente é mesmo quem
diz ser), ____________________ (quanto ao sigilo da informação trafegada),
______________________ (quanto à garantia de que o conteúdo permaneceu da mesma
forma desde o transmissor até o receptor). 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Disponibilidade; Autenticidade; Confidencialidade; Integridade.  CORRETO
Autenticidade; Integridade; Confidencialidade; Disponibilidade. 
Integridade; Disponibilidade; Confidencialidade; Autenticidade. 
Autenticidade; Integridade; Disponibilidade; Confidencialidade. 
Integridade; Confidencialidade; Autenticidade; Disponibilidade. 
Código da questão: 55115
É correto afirmar que a norma ISSO 27001 estabelece: 
Alternativas:
Regras que devem ser seguidas à risca para que os resultados sejam de acordo com o
esperado. 
Requisitos para gestão de sistemas de informação baseada em um código de prática. 
 CORRETO
Recomendações para gestão de riscos de TI. 
Orientações técnicas para avaliação de riscos em TI. 
Critérios mandatórios para implantação de uma estrutura de gestão de riscos. 
Código da questão: 55122
Resolução comentada:
As etapas de um sistema de informação são: entrada de dados, processamento
e saída de dados (ou disparo de eventos). Essas saídas são informações que
podem gerar conhecimento (que é precedido pela informação, gerada pela captação
de dados). 
Resolução comentada:
O critério que verifica se um sistema está ativo é chamado
de disponibilidade; a autenticidade verifica a identidade do remetente de uma
informação; a confidencialidade, como o próprio nome alude, refere-se ao sigilo das
informações trafegadas; já a integridade verifica se o conteúdo da
informação se manteve inalterado, ou seja, íntegro. 
Resolução comentada:
Esta definição é exposta já no próprio título da norma e corroborada
por Hintzbergen (2018). 
02/03/2022 21:51 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2569810/4078514 4/5
8)
9)
10)
Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência
de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e
informáticos, investimentos na proteção da infraestrutura de hardware e software podem
trazer resultados bastante benéficos neste sentido. Em uma _________________, por
exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas
que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra,
senão ________________, que também protege ambas as redes de
___________________. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Rede local; Por uma sub-rede; Ataques cibernéticos. 
IPS; Por meio de uma DMZ; Acessos via internet. 
Rede externa; Por meio de um roteador; Invasão interna. 
Zona desmilitarizada; Para encaminhar pacotes de dados; Acessonão autorizado. 
DMZ; Por meio de um firewall; Ameaças externas.  CORRETO
Código da questão: 55142
O encerramento das atividades que originam um risco é: 
Alternativas:
Uma alternativa para detectar ameaças. 
Um meio de mensurar os ativos. 
Uma forma de modificar os riscos.  CORRETO
Um recurso para minimizar os impactos. 
Uma maneira de tratar as ameaças. 
Código da questão: 55147
Alguns mecanismos de software podem ser utilizados em um ambiente de rede para
prover maior nível de proteção contra ataques e invasão. Essas proteções contribuem na
diminuição dos riscos, uma vez que as ameaças também são minimizadas. De acordo
com Stallings (2015), analise as afirmativas a seguir e classifique-as em verdadeiras (V)
ou falsas (F): 
( ) IPS e IDS atuam no servidor e cliente, respectivamente. 
( ) IPS é um meio de proteção mais eficaz. 
( ) IDS realiza a detecção quando o intruso já acessou a rede. 
( ) IDS não pode ser utilizado em conjunto com um firewall. 
( ) IPS necessita de um firewall para que sua atuação seja eficiente. 
Assinale a alternativa que contenha a sequência correta: 
Resolução comentada:
Uma zona desmilitarizada propicia a separação das redes em duas camadas: a
primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se
concentram os serviços que utilizam diretamente a Web; ambas as redes só
se comunicam via firewall, que também as protege do acesso direto da internet. 
Resolução comentada:
A modificação dos riscos pode ocorrer de formas diversas. Uma delas é por meio do
encerramento da atividade que dá origem ao risco em questão. 
02/03/2022 21:51 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2569810/4078514 5/5
Alternativas:
V – F – V – F – V. 
F – F – F – V – F. 
F – V – V – F – F.  CORRETO
V – F – V – F – F.
V – V – V – V – F. 
Código da questão: 55144
Resolução comentada:
IPS mostra-se mais seguro, pois é um sistema de prevenção de intrusão, ou seja,
antes que o acesso não autorizado ocorra, o sistema já dispara um alerta. Na
contramão, o IDS apenas realiza o alerta quando a intrusão já se concretizou. 
Arquivos e Links