Prévia do material em texto
Gestão de riscos em TI Professor(a): Márcio dos Santos (Especialização) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) Deve ocorrer quando o risco não for tratável. ( ) Deve ocorrer apenas quando o gestor de TI definir. ( ) É uma opção, quando o risco for de baixo impacto. ( ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. ( ) Deve ser adotada quando os impactos forem medianos. Assinale a alternativa que contenha a sequência correta: Alternativas: F – F – V – V – F. CORRETO F – F – F – V – V. V – F – V – V – F. V – F – V – F – F. F – V – V – V – V. Código da questão: 55143 Leia e associe as duas colunas: Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I-C; II-A; III-B. I-B; II-C; III-A. I-C; II-B; III-A. I-B; II-A; III-C. CORRETO I-A; II-B; III-C. Resolução comentada: Algumas situações em que um risco pode ser aceitável são: 1. Quando o tratamento dele for mais custoso que seu impacto na organização. 2. Quando seu impacto for ínfimo em seu tratamento. Resolução comentada: Controles de gerenciamento de riscos devem ser monitorados e revistos constantemente; a organização deve estar comprometida com o processo de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura 3) 4) 5) Código da questão: 55127 Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: Alternativas: É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. CORRETO Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização. Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. Código da questão: 55130 Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que auxiliam neste processo: Alternativas: Simétrica e hash Simétrica e assimétrica. CORRETO Ação e verificação. Coding e hash. Hash e coding. Código da questão: 55139 O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar _________________ para que seja possível sua identificação clara e objetiva, além de citar ______________________ para fins de categorização. Neste raciocínio, recomenda-se elencar ___________________ da ameaça para que tratativas específicas possam ser aplicadas. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: A origem; O impacto; O modo de solução. O nível de criticidade; Sua origem; O modo de solução. da organização. Resolução comentada: Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos passos seguintes do processo de gestão de riscos. Resolução comentada: Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. 6) 7) O tipo de ameaça; Seu nome; Os prazos de solução. O nome da ameaça; Seu tipo; A origem. CORRETO O nome da ameaça; Os impactos; O prazo de solução. Código da questão: 55133 Toda informação é composta por dados, e todo conhecimento se origina na informação. Desta maneira, é possível afirmar que: Alternativas: Conhecimento pode ser obtido de dados brutos. Dados são fragmentos de uma informação. CORRETO Toda informação é composta por partículas de conhecimento. Conhecimento bruto é o mesmo que uma informação desorganizada. Conhecimentos são fragmentos de um dado. Código da questão: 55113 Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): ( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. ( ) É necessário eleger o presidente da governança. ( ) Deve ocorrer quebra de paradigmas. ( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). ( ) Todos os membros devem ser do alto escalão da TI. Assinale a alternativa que contenha a sequência correta: Alternativas: F – V – V – V – F. V – F – V – F – F. F – F – V – V – F. CORRETO F – F – F – V – V. F – V – V – V – V. Código da questão: 55116 Resolução comentada: Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de forma clara o nome da ameaça, categorizando-a pelo seu tipo e apontando sua origem (interna ou externa). Resolução comentada: Os dados quando organizados geram a informação, ou seja, a informação é composta por vários fragmentos de dados. Resolução comentada: O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI. 8) 9) 10) O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na execução de determinada tarefa, atividade ou trabalho. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: Uma biblioteca; Conjunto de critérios. Um framework; Processo. Uma norma; Conjunto de atividades. Uma norma; Rol de processos. Um guia; Esforço temporário. CORRETO Código da questão: 55124 Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização II. Cobit pode ser considerado como um framework. III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura. IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. São verdadeiras: Alternativas: I - IV I - II - III. CORRETO II - III - IV. I - III - V. I - II - IV - V. Código da questão: 55119 Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste basicamente em: ( ) Apontar as características da organização. ( ) Definir as atividades e processos que a organização executa. Resolução comentada: Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta orientações de melhores práticas na gestão de projetos – cuja definição é empiricamente conhecida como sendo um esforço temporário para resolução de determino problema. Resolução comentada: Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. ( ) Conhecer cada recursohumano e seu papel em meio ao todo. ( ) Conhecer a filosofia da organização. ( ) Reconhecer os riscos que podem afetar negativamente a organização. Assinale a alternativa que contenha a sequência correta: Alternativas: V – V – V – V – F. CORRETO F – F – V – V – F. F – V – V – V – F. F – V – F – V – V. F – F – V – V – V. Código da questão: 55125 Resolução comentada: Conhecer o contexto da organização é o primeiro passo no processo de implantação da gestão de riscos. Os riscos só começam a ser visualizados, de fato, a partir da próxima etapa, que é a identificação dos riscos. Arquivos e Links