Gestão de riscos em TI

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
1)
Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o primeiro item é mais subjetivo que o segundo. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Diretamente os ativos; Abstratos ou concretos. checkCORRETO
Os dados de uma organização; Diretos ou indiretos. 
A segurança e os dados; Concretos ou abstratos. 
A credibilidade e integridade; Parciais ou totais. 
A organização inteira; Abstratos ou concretos. 
Resolução comentada:
Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os ativos abstratos têm maior subjetividade, pois não possuem uma forma ou escopo quantitativo, mas sim, qualitativo. 
Código da questão: 55132
2)
Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: 
Alternativas:
Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. 
É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. 
Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização. 
São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. 
Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. checkCORRETO
Resolução comentada:
Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos passos seguintes do processo de gestão de riscos. 
Código da questão: 55130
3)
Conhecer, identificar e saber lidar com riscos, é algo essencial a qualquer organização que atue de forma preventiva e não reativa. Para que isso seja possível, é necessário que todos os departamentos e setores da organização estejam alinhados no mesmo objetivo. Assim, a gestão de riscos, gerida pela ___________________, apontará o nível de _____________________ que a organização está disposta a aceitar para determinado risco. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Organização; Disponibilidade. 
Equipe de TI; Integridade. 
Equipe executiva; Disponibilidade. 
Gestão de TI; Segurança. 
Governança de TI; Tolerância. checkCORRETO
Resolução comentada:
É a governança de TI que define (em comum acordo com todos os membros) o nível de tolerância que pode ser aceito para todos os riscos incluídos no mapa de riscos 
Código da questão: 55114
4)
Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
( ) Deve ocorrer quando o risco não for tratável. 
( ) Deve ocorrer apenas quando o gestor de TI definir. 
( ) É uma opção, quando o risco for de baixo impacto. 
( ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. 
( ) Deve ser adotada quando os impactos forem medianos. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – F – V – V – F. checkCORRETO
F – V – V – V – V. 
V – F – V – F – F. 
V – F – V – V – F. 
F – F – F – V – V. 
Resolução comentada:
Algumas situações em que um risco pode ser aceitável são: 
Quando o tratamento dele for mais custoso que seu impacto na organização. 
Quando seu impacto for ínfimo em seu tratamento. 
Código da questão: 55143
5)
Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: 
I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização 
II. Cobit pode ser considerado como um framework. 
III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura. 
IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. 
V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. 
São verdadeiras: 
Alternativas:
II - III - IV.
I - II - IV - V. 
I - II - III. checkCORRETO
I - IV
I - III - V. 
Resolução comentada:
Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. 
Código da questão: 55119
6)
Prover a segurança da informação é um dos propósitos da gestão de risco. De acordo com Freitas (2009), a ameaça que infesta uma rede sobrecarregando recursos, é chamada de: 
Alternativas:
Worm. checkCORRETO
Trojan. 
Vírus. 
Keylogger. 
Spyware
Resolução comentada:
O objetivo do worm (verme) é sobrecarregar recursos de uma rede por meio da autorreplicação. Ele pode permitir acesso remoto a recursos do computador. 
Código da questão: 55138
7)
Leia e associe as duas colunas quanto aos níveis de segurança da informação: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
I-B; II-C; III-A. 
I-C; II-A; III-B. checkCORRETO
I-B; II-A; III-C. 
I-A; II-C; III-B. 
I-A; II-B; III-C. 
Resolução comentada:
IPS, por ser mais seguro, fica alocado entre o firewall e o switch/hub, ou seja, mesmo antes de o intruso entrar na rede ele já é interceptado. Já o IDS aguarda o ingresso do intruso para então disparar o alerta. O roteador, por sua vez, não tem um papel relevante quanto à segurança da rede, visto que sua atuação se concentra na conexão de redes distintas, apenas (internet e rede local). 
Código da questão: 55145
8)
O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na execução de determinada tarefa, atividade ou trabalho. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Uma norma; Conjunto de atividades. 
Um guia; Esforço temporário. checkCORRETO
Uma norma; Rol de processos. 
Uma biblioteca; Conjunto de critérios. 
Um framework; Processo. 
Resolução comentada:
Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta orientações de melhores práticas na gestão de projetos – cuja definição é empiricamente conhecida como sendo um esforço temporário para resolução de determino problema. 
Código da questão: 55124
9)
Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. 
( ) É necessário eleger o presidente da governança. 
( ) Deve ocorrer quebra de paradigmas. 
( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
( ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – F – V – V – F. checkCORRETO
F – V – V – V – V. 
F – F – F – V – V. 
F – V – V – V – F. 
V – F – V – F – F. 
Resolução comentada:
O alto
escalão da organização deve apoiar e compor (parcialmente) a governança de TI. 
Código da questão: 55116
10)
Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e informáticos, investimentos na proteção da infraestrutura de hardware e software podem trazer resultados bastante benéficos neste sentido. Em uma _________________, por exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra, senão ________________, que também protege ambas as redes de ___________________. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Zona desmilitarizada; Para encaminhar pacotes de dados; Acesso não autorizado. 
DMZ; Por meio de um firewall; Ameaças externas. checkCORRETO
IPS; Por meio de uma DMZ; Acessos via internet. 
Rede local; Por uma sub-rede; Ataques cibernéticos. 
Rede externa; Por meio de um roteador; Invasão interna. 
Resolução comentada:
Uma zona desmilitarizada propicia a separação das redes em duas camadas: a primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se concentram os serviços que utilizam diretamente a Web; ambas as redes só se comunicam via firewall, que também as protege do acesso direto da internet. 
Código da questão: 55142