gestão de risco TI

Prévia do material em texto

Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de
cumprir o prazo estabelecido. Boa prova!
Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em
verdadeiras (V) ou falsas (F): 
(   ) Deve ocorrer quando o risco não for tratável. 
(   ) Deve ocorrer apenas quando o gestor de TI definir. 
(   ) É uma opção, quando o risco for de baixo impacto. 
(   ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. 
(   ) Deve ser adotada quando os impactos forem medianos. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – F – V – V – F.   CORRETO
F – F – F – V – V. 
V – F – V – V – F. 
V – F – V – F – F. 
F – V – V – V – V. 
Código da questão: 55143
Leia e associe as duas colunas: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
I-C; II-A; III-B. 
I-B; II-C; III-A. 
I-C; II-B; III-A. 
I-B; II-A; III-C.   CORRETO
I-A; II-B; III-C. 
Resolução comentada:
Algumas situações em que um risco pode ser aceitável são: 
1. Quando o tratamento dele for mais custoso que seu impacto na organização. 
2. Quando seu impacto for ínfimo em seu tratamento. 
Resolução comentada:
Controles de gerenciamento de riscos devem ser monitorados e 
revistos constantemente; a organização deve estar comprometida com o processo
de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura
3)
4)
5)
Código da questão: 55127
Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é
possível afirmar que: 
Alternativas:
É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise
SWOT. 
São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes
etapas da implantação da gestão de riscos. 
Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele
não será tratado nos passos seguintes.   CORRETO
Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação
de aumento exponencial de receita à organização. 
Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será
aplicada a gestão de riscos. 
Código da questão: 55130
Uma das formas de manter os critérios de segurança da informação é por meio da
comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que
auxiliam neste processo: 
Alternativas:
Simétrica e hash
Simétrica e assimétrica.   CORRETO
Ação e verificação. 
Coding e hash. 
Hash e coding. 
Código da questão: 55139
O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes
danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar
_________________ para que seja possível sua identificação clara e objetiva, além de citar
______________________ para fins de categorização. Neste raciocínio, recomenda-se elencar
___________________ da ameaça para que tratativas específicas possam ser aplicadas. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
A origem; O impacto; O modo de solução.  
O nível de criticidade; Sua origem; O modo de solução. 
da organização. 
Resolução comentada:
Conforme demonstra a família de normas ISO 31000, a identificação dos riscos
deve ocorrer de forma integral após o estabelecimento do contexto da organização
e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um
tratamento nos passos seguintes do processo de gestão de riscos. 
Resolução comentada:
Por meio da criptografia simétrica/assimétrica a integridade de uma
mensagem/dado/informação pode ser protegida e assegurada. 
6)
7)
O tipo de ameaça; Seu nome; Os prazos de solução. 
O nome da ameaça; Seu tipo; A origem.   CORRETO
O nome da ameaça; Os impactos; O prazo de solução. 
Código da questão: 55133
Toda informação é composta por dados, e todo conhecimento se origina na informação.
Desta maneira, é possível afirmar que: 
Alternativas:
Conhecimento pode ser obtido de dados brutos. 
Dados são fragmentos de uma informação.   CORRETO
Toda informação é composta por partículas de conhecimento. 
Conhecimento bruto é o mesmo que uma informação desorganizada. 
Conhecimentos são fragmentos de um dado. 
Código da questão: 55113
Para implantar uma estrutura de governança de TI em uma organização, analise as
afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
(   ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.  
(   ) É necessário eleger o presidente da governança. 
(  ) Deve ocorrer quebra de paradigmas.  
(   ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
(   ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – V – V – V – F. 
V – F – V – F – F. 
F – F – V – V – F.   CORRETO
F – F – F – V – V. 
F – V – V – V – V. 
Código da questão: 55116
Resolução comentada:
Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de
ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de
forma clara o nome da ameaça, categorizando-a pelo seu tipo e apontando sua
origem (interna ou externa). 
Resolução comentada:
Os dados quando organizados geram a informação, ou seja, a informação é
composta por vários fragmentos de dados.  
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança
de TI.  
8)
9)
10)
O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas
adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na
execução de determinada tarefa, atividade ou trabalho. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Uma biblioteca; Conjunto de critérios. 
Um framework; Processo. 
Uma norma; Conjunto de atividades. 
Uma norma; Rol de processos. 
Um guia; Esforço temporário.   CORRETO
Código da questão: 55124
Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar
que: 
I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica
da TI na organização 
II. Cobit pode ser considerado como um framework.   
III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de
infraestrutura.  
IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as
implementações e prover melhorias necessárias. 
V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. 
São verdadeiras: 
Alternativas:
I - IV
I - II - III.   CORRETO
II - III - IV.
I - III - V. 
I - II - IV - V. 
Código da questão: 55119
Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste
basicamente em: 
(   ) Apontar as características da organização.  
(   ) Definir as atividades e processos que a organização executa. 
Resolução comentada:
Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta
orientações de melhores práticas na gestão de projetos – cuja definição é
empiricamente conhecida como sendo um esforço temporário para resolução de
determino problema. 
Resolução comentada:
Sendo um framework, o Cobit enfatiza que um dos principais objetivos
da governança de TI em uma organização é enfatizar a importância da Tecnologia
da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco)
maiores decisões de TI em uma instituição é uma correta estratégia de
infraestrutura de TI. 
(  ) Conhecer cada recursohumano e seu papel em meio ao todo. 
(   ) Conhecer a filosofia da organização. 
(   ) Reconhecer os riscos que podem afetar negativamente a organização. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – V – V – V – F.   CORRETO
F – F – V – V – F. 
F – V – V – V – F. 
F – V – F – V – V. 
F – F – V – V – V. 
Código da questão: 55125
Resolução comentada:
Conhecer o contexto da organização é o primeiro passo no processo de
implantação da gestão de riscos. Os riscos só começam a ser visualizados, de fato,
a partir da próxima etapa, que é a identificação dos riscos.  
Arquivos e Links