Gestão de Riscos em TI

Prévia do material em texto

Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Leia e associe as duas colunas: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
I-C; II-A; III-B. 
I-B; II-C; III-A. 
I-B; II-A; III-C.   CORRETO
I-C; II-B; III-A. 
I-A; II-B; III-C. 
Código da questão: 55127
Conhecer, identificar e saber lidar com riscos, é algo essencial a qualquer organização
que atue de forma preventiva e não reativa. Para que isso seja possível, é necessário que
todos os departamentos e setores da organização estejam alinhados no mesmo objetivo.
Assim, a gestão de riscos, gerida pela ___________________, apontará o nível de
_____________________ que a organização está disposta a aceitar para determinado risco. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Organização; Disponibilidade. 
Governança de TI; Tolerância.   CORRETO
Equipe de TI; Integridade. 
Equipe executiva; Disponibilidade. 
Gestão de TI; Segurança. 
Código da questão: 55114
Resolução comentada:
Controles de gerenciamento de riscos devem ser monitorados e 
revistos constantemente; a organização deve estar comprometida com o processo
de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura da
organização. 
Resolução comentada:
É a governança de TI que define (em comum acordo com todos os membros) o nível
de tolerância que pode ser aceito para todos os riscos incluídos no mapa de riscos 
3)
4)
5)
Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência
de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e
informáticos, investimentos na proteção da infraestrutura de hardware e software podem
trazer resultados bastante benéficos neste sentido. Em uma _________________, por
exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas
que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra,
senão ________________, que também protege ambas as redes de ___________________. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
DMZ; Por meio de um firewall; Ameaças externas.     CORRETO
Zona desmilitarizada; Para encaminhar pacotes de dados; Acesso não autorizado. 
Rede local; Por uma sub-rede; Ataques cibernéticos. 
Rede externa; Por meio de um roteador; Invasão interna. 
IPS; Por meio de uma DMZ; Acessos via internet. 
Código da questão: 55142
Quanto aos riscos em uma organização, é correto afirmar que: 
Alternativas:
Devem ser eliminados pelo plano de gestão de riscos. 
São essenciais para que se avalie a importância da informação.   CORRETO
Devem ser resolvidos pelo corpo executivo da governança de TI. 
Podem ser evitados, mas devem ocorrer para se comprovar a importância da
informação. 
São de responsabilidade do departamento de TI. 
Código da questão: 55121
Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de
concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça
se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo
que o primeiro item é mais subjetivo que o segundo. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
A segurança e os dados; Concretos ou abstratos.  
Diretamente os ativos; Abstratos ou concretos.  
A credibilidade e integridade; Parciais ou totais.   INCORRETO
Os dados de uma organização; Diretos ou indiretos. 
A organização inteira; Abstratos ou concretos. 
Resolução comentada:
Uma zona desmilitarizada propicia a separação das redes em duas camadas: a
primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se
concentram os serviços que utilizam diretamente a Web; ambas as redes só
se comunicam via firewall, que também as protege do acesso direto da internet.  
Resolução comentada:
Uma informação só pode ser considerada de valor se existir algo que a coloque em
risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. 
Resolução comentada:
6)
7)
Código da questão: 55132
Para implantar uma estrutura de governança de TI em uma organização, analise as
afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
(   ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.  
(   ) É necessário eleger o presidente da governança. 
(  ) Deve ocorrer quebra de paradigmas.  
(   ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
(   ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – F – F – V – V. 
V – F – V – F – F. 
F – F – V – V – F.   CORRETO
F – V – V – V – V. 
F – V – V – V – F. 
Código da questão: 55116
Leia e associe as duas colunas. 
Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de
cada setor de uma organização – motivo pelo qual a governança de TI precisa ser
composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o
nível dos dados, informação e conhecimento que são trafegados em seus
respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. 
Neste ínterim, é necessário que cada colaborador da organização – e primordialmente
aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é
um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. 
Neste contexto, analise o quadro a seguir, relacionando as colunas. 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
I-A; II-B; III-C. 
I-C; II-A; III-B.   CORRETO
I-C; II-B; III-A. 
Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os
ativos abstratos têm maior subjetividade, pois não possuem uma forma ou escopo
quantitativo, mas sim, qualitativo. 
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança de
TI.  
8)
9)
I-B; II-C; III-A. 
I-B; II-A; III-C. 
Código da questão: 55118
Quanto aos erros e falhas abordados por Laudon e Laudon (2007), analise as seguintes
proposições: 
I. Erros e falhas são similares, mas o primeiro ocorre em redes e o segundo, em softwares. 
II. Falhas são caracterizadas por um comportamento inesperado, seja de uma rede
ou software. 
III. Erros produzem algum resultado diferente do esperado em um sistema computacional
ou infraestrutura de rede. 
IV. Existe uma ligação direta entre erro e defeito, sendo que este segundo é descoberto por
meio do primeiro. 
V. Defeito e erro podem ser caracterizados como tipos de falhas. 
São verdadeiras: 
Alternativas:
I - II - III - V. 
I - IV. 
I - III - V. 
II - III - IV.   CORRETO
I - II - III. 
Código da questão: 55146
A nível de sistema de informação, pode-se considerar que: 
I. As ameaças também podem ser denominadas como vulnerabilidades (ou brechas no
sistema). 
II. Existem ameaças que estão ligadas ao comportamento humano.  
III. Keyloggers são exemplos de ameaças que afetam a segurança da informação.  
IV. A criptografia simétrica possui duas chaves: pública e privada. 
V. A criptografia assimétrica realiza validação em duas etapas. 
São verdadeiras: 
Resolução comentada:
Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários
para que se possa mensurar o valor de uma informação à organização; Mapas de
risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. 
Resoluçãocomentada:
Um comportamento inesperado não é propriamente um erro, mas sim uma falha. 
Um erro é a ocorrência de um resultado diferente do esperado, por ex.: dois
números quaisquer, sempre que multiplicados entre si resultam em “0”. Todo
erro, quando descoberto, evidencia um defeito em um sistema/rede. 
Já uma falha é um comportamento inesperado do software mediante a
ocorrência do erro. Veja a continuidade do exemplo anterior, mas focado em
falhas: em decorrência do cálculo incorreto na multiplicação de dois números
(erro), o sistema deixa de emitir um relatório, pois considera que não existe
relatório para resultados do tipo “0”. 
10)
Alternativas:
I - IV. 
I - III - V. 
I - II - III.   CORRETO
II - III - IV. 
I - II - III - V. 
Código da questão: 55137
O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas
adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na
execução de determinada tarefa, atividade ou trabalho. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Uma norma; Conjunto de atividades. 
Uma norma; Rol de processos. 
Um guia; Esforço temporário.   CORRETO
Uma biblioteca; Conjunto de critérios. 
Um framework; Processo. 
Código da questão: 55124
Resolução comentada:
A criptografia simétrica utiliza apenas uma chave para realizar os procedimentos
criptográficos. 
Resolução comentada:
Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta
orientações de melhores práticas na gestão de projetos – cuja definição é
empiricamente conhecida como sendo um esforço temporário para resolução de
determino problema. 
Arquivos e Links