GESTÃO E ANALISE DE RISCOS QUESTIONARIOS 01, 02, 03 e 04 e ATIVIDADES - 01, 02, 03, 04

Prévia do material em texto

QUESTIONARIO - 01
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	QUESTIONÁRIO UNIDADE I
	Iniciado
	11/10/22 11:44
	Enviado
	11/10/22 11:55
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	11 minutos
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Estudar o risco é compreender suas origens. Determinar as causas e efeitos é fundamental, pois assim é possível mitigar possíveis danos e como controlá-los. O tratamento e a gestão dos riscos passam por um processo que, resumidamente contempla:
	
	
	
	
		Resposta Selecionada:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	Respostas:
	a. 
Identificar ameaças e vulnerabilidades – Estimar o risco de cada vulnerabilidade – Decidir sobre a melhor forma de tratar o risco.
	
	b. 
Acionar o responsável pelo risco – Notificar os gestores – Contatar os órgãos estaduais de riscos.
	
	c. 
Avaliar a economia nacional – Acionar o Sistema Financeiro Nacional – Identificar ameaças e vulnerabilidades.
	
	d. 
Avaliar a parte interessada – Notificar a Alta direção – Implantar sistema informatizado para gestão de riscos.
	
	e. 
Modificar os processos de tomada de decisão – Decidir sobre a melhor forma de tratar o risco – Notificar a Alta direção.
	Comentário da resposta:
	Resposta: A
Comentário: O primeiro passo para o tratamento e gestão dos riscos passa por identificar as ameaças e vulnerabilidades, antes de partir para qualquer tomada de decisão, pois primeiro deve-se conhecer as ameaças e vulnerabilidades às quais há exposição. Uma vez com essa lista, pode-se estimar o risco de cada ameaça e vulnerabilidade para assim decidir e definir a melhor forma de tratar o risco.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A ISO 31000 (2018) apresenta princípios que levam à gestão eficaz dos riscos. Isso porque a intenção da gestão de riscos é a criação e a proteção de valor. Os princípios apresentados na ISO 31000 (2018) devem ser respeitados antes do estabelecimento da estrutura e dos processos que irão suportar a gestão corporativa dos riscos. Considerando o exposto, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	Respostas:
	a. 
A visão integrada tem como foco analisar como o comportamento e cultura interferem nos aspectos da gestão de riscos em cada nível e estágio.
	
	b. 
A visão dinâmica tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	c. 
A visão baseada na Melhor Informação Disponível tem como objetivo manter sempre atualizadas as informações históricas, pois são a base da gestão de riscos, por permitir conhecer o passado.
	
	d. 
A visão nos Fatores Humanos e Culturais foca no aprimoramento continuado por meio de aprendizado e experiências.
	
	e. 
A visão Estrutura e abrangente atua na organização das pessoas envolvidas na gestão de riscos.
	Comentário da resposta:
	Resposta: C
Comentário: Manter sempre atualizadas as informações permite conhecer o passado, alia as expectativas futuras que levam a gestão de riscos a considerar as limitações e incertezas ligadas a essas expectativas. Isso é função da visão Baseada na Melhor Informação Disponível.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	A estrutura da gestão de riscos tem como propósito apoiar a Organização na integralização da gestão de riscos em atividades relevantes e atribuições. Por esse motivo, o sucesso da gestão de riscos depende da integração com a governança em todas as áreas da Organização. Isso inclui a análise de riscos no processo decisório da Alta Direção. Baseado nisso e considerando a estrutura da gestão de riscos apresentada na ISO 31000 (2018), pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Respostas:
	a. 
A respeito da Liderança e comprometimento, a Alta Direção não é a responsável por gerenciar riscos.
	
	b. 
A respeito da Liderança e comprometimento, a área de Conformidade é a responsável por gerenciar riscos.
	
	c. 
Apenas a Alta Direção deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	d. 
Apenas a área de Conformidade deve demonstrar seu comprometimento contínuo com a gestão de riscos.
	
	e. 
No caso da Integração da gestão de riscos, a ISO 31000 (2018) orienta que a gestão de riscos seja uma parte do todo e que não seja separada do propósito organizacional.
	Comentário da resposta:
	Resposta: E
Comentário: No que se refere à Liderança e comprometimento é responsabilidade da Alta Direção gerenciar os riscos, e não a área de Conformidade. Sobre a integração de riscos, a gestão de riscos deve ser uma parte do todo e não separada do propósito da organização. Tanto a Alta Direção quanto a área de Conformidade devem demonstrar e articular o seu comprometimento contínuo com a gestão de riscos.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O processo de gestão de riscos é crítico para qualquer organização. Isso pois requer aplicação sistemática de políticas, normas, procedimentos e práticas para as atividades de comunicação e consulta, entre outras. O processo de gestão de riscos aplica-se aos níveis estratégico, operacional, de programa e de projeto. Por isso, pode-se afirmar:
	
	
	
	
		Resposta Selecionada:
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	Respostas:
	a. 
O processo de gestão de riscos muitas vezes não é interativo e sim sequencial.
	
	b. 
O objetivo da comunicação e consulta é auxiliar as partes interessadas na compreensão do risco. A comunicação busca promover a conscientização e o entendimento do risco.
	
	c. 
A comunicação e consulta não se preocupa em reunir diferentes áreas de especialização, nem fornece informações suficientes para facilitar a supervisão dos riscos.
	
	d. 
A natureza dinâmica e variável do comportamento humano não é considerada ao longo do processo de gestão de riscos.
	
	e. 
O escopo, contexto e critérios têm o mesmo objetivo da comunicação e consulta.
	Comentário da resposta:
	Resposta: B
Comentário: O processo de gestão de riscos é interativo e não sequencial. O objetivo da comunicação é realmente auxiliar todos os interessados e busca conscientizar, entender o risco, além de expor o retorno e informação para ajudar na tomada de decisão. Segundo a ISO 31000 (2018) há várias seções estabelecidas na seção de processos de gestão de riscos, sendo que atividades “Comunicação e consulta” e “Escopo, contexto e critérios” têm objetivos distintos.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Mesmo em meio às incertezas, é possível medir ou estimar o risco. O risco é determinado pela combinação da probabilidade de ocorrência de um evento e sua gravidade, o que leva à análise do risco e determinar a aceitação ou não desse risco. Considerando a medição de risco é possível afirmar:
 
I.  Segundo o princípio do “tão baixo quanto possível”, o risco é sempre inaceitável mesmo depois de todas as medidas de prevenção, mitigação e de transferência terem sido devidamente mapeadas e implantadas.
II.  Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos que se referem aos riscos sempre inaceitáveis.
III.  O princípio “tão baixo quanto possível” parte do pressuposto de que um risco somente é aceitável se todas as medidas de prevenção, mitigação ou transferência estiverem devidamente mapeadas e implantadas.
IV. O “princípio daprecaução” deve ser devidamente analisado e mapeado para poder subsidiar as decisões sobre a aceitação ou não dos riscos.
Está correto o que se apresenta nas afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
III e IV.
	Respostas:
	a. 
I, apenas.
	
	b. 
I e II.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
III e IV.
	Comentário da resposta:
	Resposta: E
Comentário: Os princípios “tão baixo quanto possível” e “princípio da precaução” são termos próximos e se referem em que o risco deve ser analisado, mapeado e mitigado para poder deliberar sobre sua aceitação ou não, mas não indicam que todos os riscos são inaceitáveis.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	É importante definir a diferença entre perigo e risco, pois essa diferença deve ser bem caracterizada para uma análise de risco eficaz. Considerando que há diferenças entre risco e perigo analise as afirmações a seguir:
 
I.  O risco é a entidade a ser administrada, uma vez que decorre da interação com o perigo.
II.  O risco é proporcional à razão entre o perigo e as medidas de segurança.
III. O perigo é a condição inerente a uma exposição ou atividade capaz de causar danos a ativos.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	d. 
I, II e III.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I, II e III.
	
	e. 
I e III, apenas.
	Comentário da resposta:
	Resposta: D
Comentário: Todas as afirmações estão corretas, uma vez que há diferenças entre risco e perigo, mas eles estão relacionados.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Considerando que o Risco é prioritário e que o processo de gestão de riscos é crítico para qualquer organização, pode-se definir um modelo de priorização de riscos, segundo Galante (2015). Por isso pode-se estabelecer que a priorização considera a frequência, severidade e cenários. Baseado nisso, pode-se afirmar que:
	
	
	
	
		Resposta Selecionada:
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	Respostas:
	a. 
Baixa severidade e impacto sempre implicam em riscos mínimos.
	
	b. 
Baixa frequência sempre implica em riscos mínimos.
	
	c. 
Alta frequência sempre implica em riscos mínimos.
	
	d. 
Os riscos mínimos se encontram na combinação de baixa severidade e impacto com baixa frequência.
	
	e. 
Os riscos máximos se encontram na combinação de baixa severidade e impacto com alta frequência.
	Comentário da resposta:
	Resposta: D
Comentário: A combinação entre frequência e severidade e impacto permite concluir a região dos riscos (máximos ou mínimos). Alta frequência de ocorrência, mesmo para riscos de severidade e impacto baixos, os colocam em riscos máximos. O mesmo ocorre para um risco de baixa frequência, mas de alta severidade.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Poder definir os riscos em máximos e mínimos auxilia a futura tomada de decisões na Organização. Uma forma de facilitar a visualização dos riscos se dá com o Mapa de Calor de Riscos. Acerca do Mapa de Calor de Riscos, analise as afirmações a seguir.
 
I.  O Mapa de Calor de Riscos não considera a frequência de ocorrência dos riscos.
II.  O Mapa de Calor de Riscos se baseia na severidade e impacto em conjunto com a frequência e se refere a uma forma diferente de apresentar os resultados da análise de riscos de maneira visual.
III.  O Mapa de Riscos contempla apenas três categorias possíveis: Baixo, Moderado e Alto.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	b. 
II, apenas.
	Respostas:
	a. 
I, apenas.
	
	b. 
II, apenas.
	
	c. 
III, apenas.
	
	d. 
I e II.
	
	e. 
I, II e III.
	Comentário da resposta:
	Resposta: B
Comentário: O Mapa de Calor de Riscos compreende uma forma visual de demonstrar e identificar os riscos. Contudo, as categorias dependem da organização e podem contemplar além de Baixo, Moderado e Alto, categorias intermediárias como Muito Baixo, entre outras.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A gestão de riscos e a segurança da informação estão intrinsecamente ligadas, pois a gestão de riscos leva às ações de segurança da informação a serem aplicadas pelas Organizações. Acerca dos Riscos e a Segurança da Informação, conforme a NBR ISO 27001 (2018), analise as afirmações a seguir.
 
I.  A NBR ISO 27001 (2018) contempla assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados.
II.  Não faz parte do processo de avaliação de riscos de segurança da informação a contínua avaliação dos riscos de segurança da informação.
III.  No processo de avaliação de riscos de segurança da informação deve-se avaliar as consequências da materialização dos riscos avaliando a probabilidade real da ocorrência dos riscos, bem como determinar os níveis de risco.
Estão corretas as afirmações:
	
	
	
	
		Resposta Selecionada:
	e. 
I e III.
	Respostas:
	a. 
II, apenas.
	
	b. 
III, apenas.
	
	c. 
I e II.
	
	d. 
I, II e III.
	
	e. 
I e III.
	Comentário da resposta:
	Resposta: E
Comentário: É parte integrante da gestão de riscos alinhada à segurança da informação assegurar que o Sistema de Gestão de Segurança da Informação alcance os resultados indicados, a contínua avaliação dos riscos de segurança da informação e avaliar a materialização dos riscos e sua probabilidade de ocorrência.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	Considerando a Equação do Risco à Segurança da Informação proposto por Sêmola (2014), analise o risco considerando o cenário a seguir. Uma determinada organização, em uma análise de riscos, identificou 25 vulnerabilidades em seu sistema de atendimento virtual baseado em chatbot. As ameaças estão disponíveis para cada um de seus 50 clientes, contudo, o impacto é baixo e incluído na categoria 4. Há 100 medidas de segurança existentes na Organização capazes de mitigar as vulnerabilidades. Na Organização os riscos acima ou iguais a 50 são considerados altos e devem ser tratados. Além disso, o atendimento virtual baseado em chatbot é de fundamental importância com relação à visibilidade da Organização no mercado. Por esse motivo, é possível afirmar que:
	
	
	
	
		Resposta Selecionada:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	Respostas:
	a. 
O gerente de segurança deve reservar capital proporcional ao impacto identificado, uma vez que o Risco é igual ou superior a 50.
	
	b. 
Como o risco é igual a 50 a Organização deve desconsiderar qualquer tratamento, pois o Risco está abaixo do valor considerado para tratamento pela Organização.
	
	c. 
O risco está abaixo do definido pela empresa para qualquer atuação pelo gerente de segurança.
	
	d. 
O risco está abaixo do definido pela empresa para tratamento, contudo deve ser tratado pelo gerente de segurança.
	
	e. 
O risco é superior a 50, mas não deve ser tratado.
	Comentário da resposta:
	Resposta: A
Comentário: Considerando que, segundo Sêmola (2014), o Risco é a proporção da combinação de vulnerabilidades, ameaças e impacto, em razão das medidas de segurança, conclui-se que o Risco é igual a 50. Na Organização os riscos iguais ou superiores a 50 são considerados altos e devem ser tratados, o que consta na alternativa correta.
	
	
	
ATIVIDADE - 01
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	ATIVIDADE TELEAULA I
	Iniciado
	11/10/22 11:39
	Enviado
	11/10/22 11:41
	Status
	Completada
	Resultado da tentativa
	0 em 0 pontos  
	Tempo decorrido
	1 minuto
	Autoteste
	O aluno responde e o resultado do aluno não é visível ao professor.
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0 em 0 pontos
	
	
	
	Qual dos princípios da gestão de riscos expressa claramente a necessidade de evolução do próprio processo de gestão de riscos?
	
	
	
	
		Resposta Selecionada:
	c. 
Melhoria contínua.
	Respostas:
	a. 
Integrada.
	
	b. 
Fatores humanos e culturais.
	
	c. 
Melhoriacontínua.
	
	d. 
Melhor informação disponível.
	
	e. 
Inclusiva.
	Comentário da resposta:
	Resposta: c)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	No processo de gestão de riscos sugerido pela ABNT NBR ISO 31000, há diferenças entre evitar e atuar diretamente no risco?
	
	
	
	
		Resposta Selecionada:
	e. 
Evitar significa deixar de realizar um processo para evitar o risco, enquanto atuar significa agir diretamente para diminuir o risco.
	Respostas:
	a. 
Não, ambas significam que o risco deve ser resolvido.
	
	b. 
Não, ambas significam que o risco deve ser aceito.
	
	c. 
Evitar significa deixar de realizar um processo para evitar o risco, enquanto atuar significa não realizar um processo para que o risco não aconteça.
	
	d. 
Evitar significa tentar resolver o risco, enquanto atuar significa agir diretamente para diminuir o risco.
	
	e. 
Evitar significa deixar de realizar um processo para evitar o risco, enquanto atuar significa agir diretamente para diminuir o risco.
	Comentário da resposta:
	Resposta: e)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	O mapa de calor de riscos de uma determinada atividade aponta que um processo. A executado sob a circunstância B está na zona de risco alta. Porém, claramente essa situação não representa risco algum para a empresa. Uma explicação plausível pode ser:
	
	
	
	
		Resposta Selecionada:
	b. 
O mapa pode ter ficado desatualizado. Isso é comum ao longo do tempo.
	Respostas:
	a. 
A avaliação da atividade está errada. Isso é comum quando um processo é avaliado.
	
	b. 
O mapa pode ter ficado desatualizado. Isso é comum ao longo do tempo.
	
	c. 
O risco agora é baixo porque a circunstância nunca tinha sido avaliada.
Isso é comum em processos repetitivos.
	
	d. 
O impacto do risco baixou, por isso o mapa mostra baixo risco. Isso não é muito comum, mas pode acontecer.
	
	e. 
O impacto do risco subiu, por isso o mapa mostra alto risco. Isso é muito comum.
	Comentário da resposta:
	Resposta: b)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	A concretização de um prejuízo, em geral, acontece quando:
	
	
	
	
		Resposta Selecionada:
	d. 
Uma ameaça é explorada por meio de uma vulnerabilidade.
	Respostas:
	a. 
Uma ameaça tem uma probabilidade alta de ocorrência.
	
	b. 
Uma vulnerabilidade é explorada por meio de uma ameaça de baixo impacto.
	
	c. 
Uma vulnerabilidade é explorada por meio de uma ameaça de alto impacto.
	
	d. 
Uma ameaça é explorada por meio de uma vulnerabilidade.
	
	e. 
Uma vulnerabilidade é explorada por meio do impacto.
QUESTIONARIO - 02
	Comentário da resposta:
	Resposta: d)
	
	
	
	urso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	QUESTIONÁRIO UNIDADE II
	Iniciado
	11/10/22 16:12
	Enviado
	11/10/22 16:22
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	10 minutos
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Há uma série de termos relacionados com a análise de risco. Marque a alternativa que melhor explica o que vem a ser o “critério de risco”.
	
	
	
	
		Resposta Selecionada:
	b. 
Termo de referência pelo qual a relevância do risco é avaliada.
	Respostas:
	a. 
Um evento que resulta em prejuízo.
	
	b. 
Termo de referência pelo qual a relevância do risco é avaliada.
	
	c. 
Um parâmetro usado para validar um controle de segurança.
	
	d. 
Um parâmetro usado para validar o desempenho de um sistema exposto ao risco.
	
	e. 
Um parâmetro concreto usado para avaliar custos e gastos.
	Comentário da resposta:
	Resposta: B
Comentário: É muito importante que a relevância de um risco seja bem conhecida. Isso é feito por meio de critérios bem escolhidos.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	Em uma análise de risco, quem é o stakeholder?
	
	
	
	
		Resposta Selecionada:
	a. 
Aquele indivíduo ou empresa que afeta ou é afetado pelo risco.
	Respostas:
	a. 
Aquele indivíduo ou empresa que afeta ou é afetado pelo risco.
	
	b. 
A empresa ou indivíduo que assume seus próprios riscos.
	
	c. 
O indivíduo ou empresa que calcula o risco dentro da empresa.
	
	d. 
Um terceiro que não está envolvido diretamente no risco estudado.
	
	e. 
O diretor da empresa que está passando por uma análise de risco.
	Comentário da resposta:
	Resposta: A
Comentário: Aquele envolvido com o risco é o stakeholder.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Há várias entradas que devem ser consideradas em um método para definição e cálculo do nível de risco. Assinale a alternativa que traz uma entrada que não precisa ser considerada na definição do nível de risco.
	
	
	
	
		Resposta Selecionada:
	c. 
Tempo que a análise leva para ser concluída.
	Respostas:
	a. 
Probabilidade de uma ameaça ou vulnerabilidade acontecer.
	
	b. 
Controles de segurança.
	
	c. 
Tempo que a análise leva para ser concluída.
	
	d. 
Impacto das ameaças.
	
	e. 
O ativo que passa por análise de risco.
	Comentário da resposta:
	Resposta: C
Comentário: O tempo de análise não precisa ser levado em conta.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	O que a norma ISO Guide 73 define como evasão do risco?
	
	
	
	
		Resposta Selecionada:
	c. 
Decisão de não se envolver, ou ação de fuga de uma situação de risco.
	Respostas:
	a. 
Ação tomada quando a análise de risco não gera resultados.
	
	b. 
Ação tomada quando a análise de risco gera resultados.
	
	c. 
Decisão de não se envolver, ou ação de fuga de uma situação de risco.
	
	d. 
É o risco que sobra após o tratamento.
	
	e. 
Ocorre quando todo o risco é eliminado.
	Comentário da resposta:
	Resposta: C
Comentário: É um desvio ou alteração de processo que tem por objetivo evitar uma situação de risco. O risco continua, mas a opção foi de se afastar dele.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	No contexto da segurança da informação a ameaça é algo normalmente externo ao ativo que se deseja proteger. É algo com potencial de causar um prejuízo, mas ainda não causou. Marque a alternativa que não traz uma ameaça.
	
	
	
	
		Resposta Selecionada:
	d. 
Uma falha.
	Respostas:
	a. 
Vírus cibernético.
	
	b. 
Falha de energia.
	
	c. 
Ataque cibernético.
	
	d. 
Uma falha.
	
	e. 
Um incêndio.
	Comentário da resposta:
	Resposta: D
Comentário: Uma falha é uma vulnerabilidade, não uma ameaça.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Há um certo relacionamento entre os termos associados aos riscos da segurança da informação. Marque a alternativa que retrata corretamente a sequência desse relacionamento.
	
	
	
	
		Resposta Selecionada:
	a. 
Agente (provoca) Ameaça (explorada) Vulnerabilidade (produz) Ataque (causa) Incidente (gera) Impacto.
	Respostas:
	a. 
Agente (provoca) Ameaça (explorada) Vulnerabilidade (produz) Ataque (causa) Incidente (gera) Impacto.
	
	b. 
Ameaça (cria) Agente (provoca) Ataque (causa) Vulnerabilidade (produz) Incidente (gera) Impacto.
	
	c. 
Impacto (gera) Ameaça (explorada) Agente (provoca) Vulnerabilidade (produz) Ataque (causa) Incidente.
	
	d. 
Impacto (gera) Ameaça (explorada) Ataque (causa) Incidente (cria) Agente (provoca) Vulnerabilidade.
	
	e. 
Agente (provoca) Ataque (causa) Incidente (gera) Ameaça (explorada) Vulnerabilidade (produz) Impacto.
	Comentário da resposta:
	Resposta: A
Comentário: O agente é o atacante que explora uma ameaça por meio de uma vulnerabilidade causando incidentes com impactos nocivos.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	Há algumas ameaças que impactam diretamente alguns serviços de segurança. Assinale a alternativa que mostra de maneira errada a associação entre ameaças e os serviços de confidencialidade, integridade e disponibilidade.
	
	
	
	
		Resposta Selecionada:
	e. 
Falha humana afeta a confidencialidade dos dados, mas não afeta a integridade e a disponibilidade.
	Respostas:
	a. 
Vírus cibernéticos têm impacto na integridade e na disponibilidade. Porém, não geram impactos na confidencialidade.
	
	b. 
Código maliciosoescondido em programas impactam a confidencialidade, a integridade e a disponibilidade.
	
	c. 
Furtos impactam a confidencialidade e a disponibilidade, mas não afetam a integridade dos dados.
	
	d. 
Ataques cibernéticos afetam a confidencialidade, a integridade e a disponibilidade dos dados.
	
	e. 
Falha humana afeta a confidencialidade dos dados, mas não afeta a integridade e a disponibilidade.
	Comentário da resposta:
	Resposta: E
Comentário: As consequências das falhas humanas podem se estender para todos os serviços de segurança.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Qual a função da etapa de “estabelecimento de contexto” da gestão de riscos?
	
	
	
	
		Resposta Selecionada:
	d. 
Serve para definir o ativo que vai ser analisado pelo gerenciamento de risco.
	Respostas:
	a. 
Serve para definir e calcular o risco.
	
	b. 
Serve para avaliação do risco.
	
	c. 
Serve para definir a forma de tratamento do risco.
	
	d. 
Serve para definir o ativo que vai ser analisado pelo gerenciamento de risco.
	
	e. 
Serve para analisar o impacto dos riscos.
	Comentário da resposta:
	Resposta: D
Comentário: É a primeira etapa. Serve para definir o ativo e parte do escopo da análise.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Muitas classificações estão disponíveis para as medidas de proteção a serem utilizadas para reduzir os riscos de segurança da informação. Marque a alternativa errada a respeito destas classificações.
	
	
	
	
		Resposta Selecionada:
	e. 
Medidas de aceitação: recuperam o que se perdeu em um ataque.
	Respostas:
	a. 
Medidas reativas: são medidas tomadas durante ou após a ocorrência do evento e que reduzem o impacto de um incidente.
	
	b. 
Medidas preventivas: controles que diminuem a probabilidade de uma ameaça ocorrer.
	
	c. 
Métodos detectivos: detectam ameaças quando acontecem e disparam medidas reativas para contenção.
	
	d. 
Medidas conectivas: são medidas tomadas durante ou após a ocorrência do evento e que reduzem o impacto de um incidente.
	
	e. 
Medidas de aceitação: recuperam o que se perdeu em um ataque.
	Comentário da resposta:
	Resposta: E
Comentário: Existem apenas medidas reativas (também chamadas de conectivas), preventivas e métodos detectivos. Não existem medidas de aceitação.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	As ferramentas de análise e avaliação de riscos possuem algumas classificações. Anote a alternativa correta em relação a essas classificações.
	
	
	
	
		Resposta Selecionada:
	d. 
Quanto ao resultado: quantitativa e qualitativa. Quanto à análise: em árvores e em planilhas.
	Respostas:
	a. 
Quanto à análise: em árvores e em gráficos. Quanto ao resultado: sistemática e analítica.
	
	b. 
Quanto à qualidade: causal e com nexo. Quanto ao resultado: cadeia e árvore de eventos.
	
	c. 
Quanto ao resultado: relevância e falha. Quanto à análise: qualitativa e quantitativa.
	
	d. 
Quanto ao resultado: quantitativa e qualitativa. Quanto à análise: em árvores e em planilhas.
	
	e. 
Quanto ao resultado: falhas e operabilidade. Quanto à análise: sistemática e técnica.
	Comentário da resposta:
	Resposta: D
Comentário: Quanto à análise, as ferramentas de análise de risco estão sempre baseadas em árvores ou em planilhas. Cada uma delas pode ser classificada em qualitativa e quantitativa.
	
	
	
ATIVIDADE - 02
	
GESTÃO E ANÁLISE DE RISCOS
	Teste
	ATIVIDADE TELEAULA II
	Iniciado
	11/10/22 16:09
	Enviado
	11/10/22 16:10
	Status
	Completada
	Resultado da tentativa
	0 em 0 pontos  
	Tempo decorrido
	1 minuto
	Autoteste
	O aluno responde e o resultado do aluno não é visível ao professor.
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0 em 0 pontos
	
	
	
	Por que o furto de equipamentos não costuma ter impacto na integridade?
	
	
	
	
		Resposta Selecionada:
	a. 
Porque o objeto roubado não passou por alterações que vão impactar a empresa.
	Respostas:
	a. 
Porque o objeto roubado não passou por alterações que vão impactar a empresa.
	
	b. 
Porque se trata de um incidente que não precisa ser reportado.
	
	c. 
Porque o objeto roubado está indisponível e não gera mais valor para a empresa.
	
	d. 
Porque o objeto indisponível, mesmo sendo confidencial, pode ser aberto indevidamente.
	
	e. 
Porque o objeto roubado não aparece mais e o impacto para a empresa é nulo.
	Comentário da resposta:
	Resposta: a)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	Everaldo instalou um sistema de monitoramento de rede, já que inconsistências estão sendo notadas na rede. Também se desconfia que há muito tempo dados estão sendo roubados. Em relação à classificação desse tipo de proteção, podemos dizer que:
	
	
	
	
		Resposta Selecionada:
	d. 
Trata-se de um equipamento de detecção, já que analisa um problema acontecendo.
	Respostas:
	a. 
Trata-se de um equipamento de prevenção, já que analisa um problema acontecendo.
	
	b. 
Trata-se de um equipamento proativo, já que analisa um problema que ainda não ocorreu.
	
	c. 
Trata-se de um equipamento proativo, já que analisa um problema que já ocorreu.
	
	d. 
Trata-se de um equipamento de detecção, já que analisa um problema acontecendo.
	
	e. 
Trata-se de um equipamento reativo, já que analisa um problema que ainda não ocorreu.
	Comentário da resposta:
	Resposta: d)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	Marque a alternativa errada em relação às várias técnicas e metodologias de análise e avaliação de riscos:
	
	
	
	
		Resposta Selecionada:
	d. 
Matrizes de risco quantitativas tratam o impacto e a frequência de maneira independente.
	Respostas:
	a. 
A FMEA é uma ferramenta baseada na análise de falhas.
	
	b. 
Uma matriz de relevância estabelece prioridades de acordo com a importância dos riscos.
	
	c. 
A APR é uma ferramenta quantitativa.
	
	d. 
Matrizes de risco quantitativas tratam o impacto e a frequência de maneira independente.
	
	e. 
Na análise e na avaliação, a APR não leva em conta o histórico de riscos.
	Comentário da resposta:
	Resposta: d)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Analisando a matriz de relevância em relação ao impacto/severidade e à frequência, em que cada célula diz respeito ao risco de um evento particular, marque a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	e. 
As células E3 e E4 possuem a mesma frequência.
	Respostas:
	a. 
Por ter a frequência menor, o risco da célula A1 é menos prioritário que o da célula B3.
	
	b. 
O impacto do risco da célula C2 é menor que o impacto da célula E3.
	
	c. 
A célula A3 tem a mesma prioridade da célula C4.
	
	d. 
As células marcadas em vermelho são as que têm prioridade mais baixa.
	
	e. 
As células E3 e E4 possuem a mesma frequência.
	Comentário da resposta:
	Resposta: e)
	
	
	
ATIVIDADE - 03
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	ATIVIDADE TELEAULA III
	Iniciado
	13/10/22 10:16
	Enviado
	13/10/22 10:17
	Status
	Completada
	Resultado da tentativa
	0 em 0 pontos  
	Tempo decorrido
	0 minuto
	Autoteste
	O aluno responde e o resultado do aluno não é visível ao professor.
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0 em 0 pontos
	
	
	
	Por que a cadeia de valor é uma variável importante na composição da análise e avaliação de riscos?
	
	
	
	
		Resposta Selecionada:
	b. 
Porque pode ser usada na definição do escopo dos processos.
	Respostas:
	a. 
Porque define os custos da análise de riscos.
	
	b. 
Porque pode ser usada na definição do escopo dos processos.
	
	c. 
Porque gera uma individualização do risco com base no valor.
	
	d. 
Porque permite ordenar os riscos pelo valor.
	
	e. 
Porque evita erros na definição dos impactos.
	Comentário da resposta:
	Resposta: b)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	José tinha um sistema que travava quando o servidor executava, ao mesmo tempo, as funções de gerenciamento de contas e atualização. A fimde evitar o problema, José passou a programar as atualizações para a madrugada. Nesse caso, qual tratamento de risco foi adotado por José?
	
	
	
	
		Resposta Selecionada:
	a. 
Ele está evitando o risco, já que simplesmente está evitando a dupla execução.
	Respostas:
	a. 
Ele está evitando o risco, já que simplesmente está evitando a dupla execução.
	
	b. 
Ele está transferindo o risco, já que transferiu o horário da atualização.
	
	c. 
Ele está controlando o risco, já que agiu diretamente no problema.
	
	d. 
Ele está aceitando o risco, já que percebeu que o risco existia.
	
	e. 
Ele está mudando o risco de lugar, já que conseguiu resolvê-lo por completo.
	Comentário da resposta:
	Resposta: a)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	A empresa A produz propaganda com fotos de clientes e dados de empresas, muitas vezes sem uma autorização expressa. A empresa B utiliza alguns serviços de propaganda da empresa A que envolvem o uso de fotos de clientes e dados de empresas, sem conhecimento de eventuais irregularidades relacionadas à privacidade. A empresa C teve algum de seus dados divulgados indevidamente pela empresa B. Sob a luz da LGPD, marque a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	d. 
A lei não se aplica a empresas, apenas a dados pessoais.
	Respostas:
	a. 
A empresa C é a titular do conteúdo divulgado e está coberta pela LGPD.
	
	b. 
A empresa A é a titular do conteúdo divulgado e está coberta pela LGPD.
	
	c. 
A empresa B é a titular do conteúdo divulgado e está coberta pela LGPD.
	
	d. 
A lei não se aplica a empresas, apenas a dados pessoais.
	
	e. 
Pela lei, a empresa B está errada ao divulgar conteúdo pertencente à empresa A.
	Comentário da resposta:
	Resposta: d)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Uma equipe interna da empresa gerou um produto inovador na área de biotecnologia. Pelo contrato e Política de Segurança vigente, todos os produtos gerados por funcionários da empresa pertencem à empresa. Maurício, entretanto, questionou a empresa a respeito de possíveis ganhos individuais que os membros da equipe deveriam ter. A respeito da propriedade intelectual envolvida nesse caso, marque a alternativa correta.
	
	
	
	
		Resposta Selecionada:
	e. 
Trata-se de uma propriedade industrial da empresa.
	Respostas:
	a. 
Trata-se de uma propriedade intelectual que deveria pertencer aos funcionários.
	
	b. 
Trata-se de uma propriedade industrial que deveria estar de posse dos funcionários.
	
	c. 
Trata-se de um direito autoral da equipe envolvida na criação.
	
	d. 
Trata-se de um direito autoral da empresa.
	
	e. 
Trata-se de uma propriedade industrial da empresa.
	Comentário da resposta:
	Resposta: e)
	
	
	
QUESTIONARIO - 03
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	QUESTIONÁRIO UNIDADE III
	Iniciado
	13/10/22 10:19
	Enviado
	13/10/22 10:32
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	12 minutos
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	A definição e direcionamento do sistema de gestão da segurança da informação é o primeiro passo para uma governança eficaz e isso exige necessariamente a compreensão dos riscos da Organização. Quais são as três etapas do planejamento do sistema de segurança?
	
	
	
	
		Resposta Selecionada:
	a. 
(1) Definição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
	Respostas:
	a. 
(1) Definição do escopo; (2) Análise de risco; (3) Planejamento de tratamento de risco.
	
	b. 
(1) Definição de relevância; (2) Estruturação; (3) Implementação de ferramentas de risco.
	
	c. 
(1) Definição de controle; (2) Análise e controle de danos; (3) Comunicação do risco.
	
	d. 
(1) Organização; (2) Vendas; (3) Produção.
	
	e. 
(1) Definição de relevância; (2) Definição do escopo; (3) Implementação de ferramentas de risco.
	Comentário da resposta:
	Resposta: A
Comentário: Essas 3 etapas listadas na alternativa A são o trio que garante a governança do sistema de gestão da segurança.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	A cadeia de valor é uma ferramenta/método que é usado em conjunto com a Gestão da Segurança da Informação. O que é a cadeia de valor?
	
	
	
	
		Resposta Selecionada:
	c. 
É uma ferramenta que auxilia na definição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
	Respostas:
	a. 
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente não calculado.
	
	b. 
É uma ferramenta que auxilia a determinar o custo do impacto de um incidente já calculado.
	
	c. 
É uma ferramenta que auxilia na definição do escopo da gestão e análise de riscos e na priorização dos tratamentos.
	
	d. 
É uma ferramenta que permite a troca de dados entre as etapas iniciais e finais de uma análise de segurança (ameaças e vulnerabilidades).
	
	e. 
É uma ferramenta que permite a definição de valores (custo) desde as etapas iniciais da governança da segurança.
	Comentário da resposta:
	Resposta: C
Comentário: Uma das principais metodologias para identificar a melhor maneira de definir o escopo para o SGSI é realizar uma análise de cadeia de valor da Organização.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Aponte qual alternativa traz uma vantagem da definição do grau de relevância dos processos para uma organização.
	
	
	
	
		Resposta Selecionada:
	a. 
É possível perceber e priorizar os processos mais importantes.
	Respostas:
	a. 
É possível perceber e priorizar os processos mais importantes.
	
	b. 
O custo pode ser mais bem calculado, pois está diretamente ligado à relevância.
	
	c. 
Isso permite que o escopo da análise de risco possa ser alterado ao longo dos processos.
	
	d. 
Isso impede que o escopo da análise de risco possa ser alterado ao longo dos processos.
	
	e. 
Com isso a documentação do escopo não precisa passar por reavaliações.
	Comentário da resposta:
	Resposta: A
Comentário: Se o risco levar em conta a relevância do processo, isto significa dizer que o tratamento de risco, de algum modo, atenderá primeiro ou de forma mais definitiva aos processos mais relevantes.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Payback é um termo técnico usado em várias áreas, inclusive na análise de risco. Qual alternativa melhor define o termo?
	
	
	
	
		Resposta Selecionada:
	d. 
É o período que um investimento leva para dar retorno à empresa.
	Respostas:
	a. 
Trata-se do retorno sobre a documentação implantada em análise de risco.
	
	b. 
É uma análise que mede se a comunicação de risco foi ou não efetuada de forma coerente durante a análise de risco.
	
	c. 
Trata-se do custo de mudança em um projeto de análise de risco.
	
	d. 
É o período que um investimento leva para dar retorno à empresa.
	
	e. 
Período que leva para um risco ser eliminado.
	Comentário da resposta:
	Resposta: D
Comentário: O conceito se refere ao tempo que a organização vai levar para fazer com que algum dinheiro aplicado retorne ao caixa.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Há diferenças entre os métodos quantitativos e qualitativos. Marque a alternativa correta a respeito das características que definem esses dois métodos.
	
	
	
	
		Resposta Selecionada:
	b. 
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
	Respostas:
	a. 
O quantitativo usa cálculos mais simples. O qualitativo usa cálculos mais complexos.
	
	b. 
O qualitativo não faz valoração do risco. O quantitativo faz valoração do risco.
	
	c. 
O qualitativo facilita a determinação do custo/benefício. O quantitativo dificulta a determinação do custo-benefício.
	
	d. 
O quantitativo facilita a atribuição das taxas de risco, ao contrário do qualitativo.
	
	e. 
No qualitativo, os resultados são baseados em objetivos; enquanto no quantitativo, os resultados se baseiam em dados mais subjetivos.
	Comentário da resposta:
	Resposta: B
Comentário: No método quantitativo,os valores financeiros são atribuídos ao risco; enquanto no qualitativo, não há essa valoração de riscos.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Para o cálculo de risco algumas variáveis são muito importantes. Marque a alternativa que traz uma explicação errada sobre estas variáveis.
	
	
	
	
		Resposta Selecionada:
	e. 
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
	Respostas:
	a. 
Probabilidade: se refere à chance que existe de o incidente acontecer.
	
	b. 
Impacto: se refere ao impacto no negócio que o incidente vai provocar caso ocorra.
	
	c. 
Ocorrências: se refere ao número de vezes que este incidente já ocorreu no passado.
	
	d. 
Relevância do processo: se refere à importância do processo para a organização.
	
	e. 
Controles de segurança: se refere à condução organizacional da análise de risco para um incidente.
	Comentário da resposta:
	Resposta: E
Comentário: Os controles de segurança são as medidas protetivas de segurança para barrar um incidente.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O ativo de pessoal também deve ser levado em conta na análise de riscos. Há várias ameaças e vulnerabilidades que podem acontecer com as pessoas e/ou por causa delas. Marque a alternativa que não traz uma ameaça ou vulnerabilidade associada ao ativo de pessoal.
	
	
	
	
		Resposta Selecionada:
	b. 
Tecnologia.
	Respostas:
	a. 
Doença.
	
	b. 
Tecnologia.
	
	c. 
Cansaço.
	
	d. 
Descontentamento.
	
	e. 
Corrupção.
	Comentário da resposta:
	Resposta: B
Comentário: A tecnologia não está diretamente ligada ao ativo de pessoal quando se analisa a geração de ameaças ou vulnerabilidades.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Após o processo de identificação e categorização é necessário dar uma resposta ao risco e isso pode ocorrer basicamente de quatro formas de tratamento. Marque a alternativa que não expressa uma destas formas de tratamento do risco.
	
	
	
	
		Resposta Selecionada:
	a. 
Medir o risco.
	Respostas:
	a. 
Medir o risco.
	
	b. 
Evitar o risco.
	
	c. 
Controlar o risco.
	
	d. 
Transferir o risco.
	
	e. 
Aceitar o risco.
	Comentário da resposta:
	Resposta: A
Comentário: Medir o risco não é uma resposta/tratamento ao risco. Pode ser encarado mais como uma análise.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	A conformidade é uma sugestão presente na norma ABNT NBR ISO/IEC 27002. A ideia de conformidade preconizada na lei e que pode ser aplicada ao processo de análise de risco pode ser entendida como:
	
	
	
	
		Resposta Selecionada:
	b. 
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
	Respostas:
	a. 
Não pode haver desvios entre os objetivos de uma análise de riscos.
	
	b. 
Os procedimentos de segurança e de análise de risco devem estar de acordo com as leis vigentes.
	
	c. 
Sistemas devem estar em conformidade com as diretrizes traçadas pelos programadores.
	
	d. 
Uma organização deve estar de acordo com os critérios, escopos e parâmetros definidos durante o planejamento da segurança.
	
	e. 
Métodos e controles de segurança devem estar em conformidade e alinhados com as estratégias da empresa.
	Comentário da resposta:
	Resposta: B
Comentário: A conformidade sugerida na ABNT 27002 está no amparo legal (leis).
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	O processo para tratamento de não conformidades tem 5 etapas. Assinale a alternativa errada em relação a esses passos.
	
	
	
	
		Resposta Selecionada:
	c. 
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
	Respostas:
	a. 
Etapa 1: Identifique as causas da não conformidade.
	
	b. 
Etapa 2: Avalie se ações devem ser tomadas para atender à não conformidade.
	
	c. 
Etapa 3: Implemente uma análise de riscos para saber o impacto da não conformidade.
	
	d. 
Etapa 4: Divida a implementação da ação em módulos de análise.
	
	e. 
Etapa 5: Registre os resultados para futuras aferições.
	Comentário da resposta:
	Resposta: C
Comentário: Na verdade, a etapa 3 é: Implemente ação corretiva apropriada.
	
	
	
QUESTIONARIO - 04
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	QUESTIONÁRIO UNIDADE IV
	Iniciado
	13/10/22 10:55
	Enviado
	13/10/22 11:20
	Status
	Completada
	Resultado da tentativa
	2,5 em 2,5 pontos  
	Tempo decorrido
	24 minutos
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0,25 em 0,25 pontos
	
	
	
	Os projetos são marcados por algumas características básicas que são comuns a todos os processos. Marque a alternativa que não é uma característica básica de um projeto.
	
	
	
	
		Resposta Selecionada:
	a. 
Ter um início definido e fim que depende das interações que vão acontecer durante o projeto.
	Respostas:
	a. 
Ter um início definido e fim que depende das interações que vão acontecer durante o projeto.
	
	b. 
Conter um plano organizado para a implementação do projeto.
	
	c. 
Possuir uma equipe competente.
	
	d. 
Ter metas estabelecidas previamente.
	
	e. 
Possuir recursos para sua execução.
	Comentário da resposta:
	Resposta: A
Comentário: O fim do projeto também deve estar bem definido.
	
	
	
· Pergunta 2
0,25 em 0,25 pontos
	
	
	
	O que é a singularidade (unicidade), uma característica bastante comum em projetos?
	
	
	
	
		Resposta Selecionada:
	b. 
Mostra que projetos sempre são diferentes entre si em alguma característica.
	Respostas:
	a. 
Trata-se da unificação dos recursos de um projeto.
	
	b. 
Mostra que projetos sempre são diferentes entre si em alguma característica.
	
	c. 
Indefinição causada pelos níveis de risco.
	
	d. 
Trata-se do nível de complexidade único de um projeto.
	
	e. 
Trata-se da divisão de um projeto em tarefas únicas.
	Comentário da resposta:
	Resposta: B
Comentário: Sempre há diferenças entre projetos diferentes. Isso os torna únicos.
	
	
	
· Pergunta 3
0,25 em 0,25 pontos
	
	
	
	Durante a criação de um projeto, existem pessoas afetadas pelo resultado do projeto, como clientes, fornecedores ou executivos de outras áreas da empresa. Há alguns termos técnicos que definem estes elementos. Dentre estes termos, quem é o membro-chave?
	
	
	
	
		Resposta Selecionada:
	b. 
Dá assistência ao gerente e fornece a quantidade de conhecimento necessária.
	Respostas:
	a. 
Pessoa que, em tempo integral ou não, executa tarefas para o andamento do projeto.
	
	b. 
Dá assistência ao gerente e fornece a quantidade de conhecimento necessária.
	
	c. 
Responsável pela obtenção dos objetivos do projeto e pela liderança da equipe.
	
	d. 
Inicia um projeto, reforça a autoridade na equipe e, nela, é o membro mais graduado.
	
	e. 
Com isso a documentação do escopo não precisa passar por reavaliações.
	Comentário da resposta:
	Resposta: B
Comentário: As definições das alternativas, na ordem dizem respeito a: a) membro; b) membro-chave; c) gerente do projeto; d) patrocinador; e) fornece materiais, produtos ou serviços necessários para o andamento do projeto.
	
	
	
· Pergunta 4
0,25 em 0,25 pontos
	
	
	
	Há uma série de complexidades que envolvem um projeto. Muitas vezes fatores externos podem influenciar os rumos de um projeto. Há as chamadas forças impulsoras e forças resistentes. Marque a alternativa que melhor explica estes termos.
	
	
	
	
		Resposta Selecionada:
	d. 
Resistentes: razões pelas quais um projeto pode não dar certo. Impulsoras: razões pelas quais um projeto pode dar certo.
	Respostas:
	a. 
Impulsoras: garantem os baixos custos que impulsionam um projeto. Resistentes: garantem os altos custos que dificultam o projeto.
	
	b. 
Impulsoras: impedem ameaças ao projeto pela introdução de medidas de segurança. Resistentes: medem a resistência de um projeto às ameaças e incidentes.
	
	c. 
Resistentes: impedem ameaças ao projeto pela introdução de medidas de segurança. Impulsoras: medem a resistência de um projeto às ameaças e incidentes.
	
	d. 
Resistentes: razões pelasquais um projeto pode não dar certo. Impulsoras: razões pelas quais um projeto pode dar certo.
	
	e. 
Impulsoras: razões pelas quais um planejamento pode não dar certo. Resistentes: razões pelas quais um incidente pode ser resolvido.
	Comentário da resposta:
	Resposta: D
Comentário: As forças impulsoras criam impulsos para que um projeto esteja sempre em andamento. As resistentes são os entraves para o funcionamento do projeto.
	
	
	
· Pergunta 5
0,25 em 0,25 pontos
	
	
	
	Há três elementos essenciais para o sucesso dos projetos: tempo, custo e qualidade. Contudo, a relação entre esses três elementos não é amistosa, visto que a melhora de um deles pode significar a piora de outro. Baseado nisso, há uma série de fatores que juntos, indicam o sucesso de um projeto. Qual alternativa não representa um fator para o sucesso de um projeto?
	
	
	
	
		Resposta Selecionada:
	b. 
Conclusão com grandes alterações no escopo.
	Respostas:
	a. 
Conclusão dentro do prazo previsto.
	
	b. 
Conclusão com grandes alterações no escopo.
	
	c. 
Conclusão dentro do orçamento previsto.
	
	d. 
Uso eficiente dos recursos alocados.
	
	e. 
Ter atingido o nível esperado de qualidade.
	Comentário da resposta:
	Resposta: B
Comentário: Para que um projeto seja considerado um sucesso, poucas alterações devem ser realizadas no escopo original. Isso indica aumento de custos e tempo.
	
	
	
· Pergunta 6
0,25 em 0,25 pontos
	
	
	
	Segundo o PMBOK (2013), devido ao seu caráter temporário, todo projeto apresenta um ciclo de vida que nada mais é do que as fases em que o projeto está dividido. O PMBOK (2013) divide o ciclo de vida do gerenciamento do projeto em 5 processos:
	
	
	
	
		Resposta Selecionada:
	a. 
Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento.
	Respostas:
	a. 
Iniciação, Planejamento, Execução, Monitoramento/Controle e Encerramento.
	
	b. 
Plano de Gerenciamento, Entradas, Ferramentas, Geração de alternativas e Saídas.
	
	c. 
Especificação, Escopo, Business Case, Acordos e Encerramento.
	
	d. 
Especificação, Desenvolvimento, Implantação, Operação e Descarte.
	
	e. 
Planejamento, Escopo, Entradas, Operação e Conclusão.
	Comentário da resposta:
	Resposta: A
Comentário: Iniciação: identificação da necessidade e do escopo do projeto.
Planejamento: detalhamento do projeto.
Execução: executar as atividades do projeto.
Monitoramento e controle: controle do que está sendo executado e ações corretivas.
Encerramento: avaliação de tudo o que foi feito no projeto.
	
	
	
· Pergunta 7
0,25 em 0,25 pontos
	
	
	
	O Control Objectives for Information and Related Technologies (Cobit) é um modelo de boas práticas que define um modelo de análise de capacidades que podem ser usadas como metodologia para a análise de riscos. As Capacidades a serem analisadas são cinco, Governança, Organização, Processos, Tecnologia e Métrica que ao final resultam em um plano de ação factível e orientado a projetos. O que vem a ser a Capacidade de Métrica?
	
	
	
	
		Resposta Selecionada:
	c. 
É quem define os indicadores para medir a gestão e análise de risco no atendimento das estratégias.
	Respostas:
	a. 
É quem define quais são os valores reais que foram investidos ao longo do desenrolar do projeto de análise de risco.
	
	b. 
É quem define quais são os valores previstos que serão investidos no projeto de análise de risco.
	
	c. 
É quem define os indicadores para medir a gestão e análise de risco no atendimento das estratégias.
	
	d. 
É quem define a execução das atividades da gestão de risco a partir de uma ótica voltada para a medição dos tempos e períodos necessários.
	
	e. 
É quem define a medição das competências que as pessoas envolvidas no projeto de análise de risco devem ter.
	Comentário da resposta:
	Resposta: C
Comentário: Cada indicador deve ser relativo ao atendimento aos controles e direcionadores indicados nas demais capacidades analisadas e deve fornecer informações para que os gestores da Organização possam tomar decisões.
	
	
	
· Pergunta 8
0,25 em 0,25 pontos
	
	
	
	Existem riscos em todas as atividades, inclusive naquelas em que os riscos não são aceitáveis, um bom exemplo disso são os processos de Auditoria, por isso é importante identificar esses riscos e procurar reduzir sua probabilidade. Os riscos que produzam erros nas diversas áreas devem ser identificados. Existem cinco passos sugeridos para essa identificação. Marque a alternativa que traz um passo inválido, que não
existe quando se identificam riscos na auditoria.
	
	
	
	
		Resposta Selecionada:
	a. 
1 – Planejamento de análise.
	Respostas:
	a. 
1 – Planejamento de análise.
	
	b. 
2 – Identificação dos sistemas.
	
	c. 
3 – Avaliação preliminar do risco.
	
	d. 
4 – Provas sobre sistemas de controle interno.
	
	e. 
5 – Avaliação definitiva do risco.
	Comentário da resposta:
	Resposta: A
Comentário: Não existe planejamento de análise. O passo correto é: Identificação dos itens mais importantes.
	
	
	
· Pergunta 9
0,25 em 0,25 pontos
	
	
	
	Uma atividade, ativo ou processo que possui riscos em sua própria estrutura, cuja natureza contém ameaças e vulnerabilidades intrínsecas, em relação ao risco, pode ser classificada como:
	
	
	
	
		Resposta Selecionada:
	b. 
Risco inerente.
	Respostas:
	a. 
Risco relativo.
	
	b. 
Risco inerente.
	
	c. 
Risco estratégico.
	
	d. 
Risco de controle.
	
	e. 
Risco de detecção.
	Comentário da resposta:
	Resposta: B
Comentário: É o risco que se origina da natureza própria da conta ou do tipo de operação analisada.
	
	
	
· Pergunta 10
0,25 em 0,25 pontos
	
	
	
	O risco de detecção é aquele que não foi detectado pelos processos normais. É relativo à combinação das possibilidades de que nem os procedimentos de verificação analítica, nem as provas substantivas dos controles impostos aos ativos de segurança reduzam os erros não detectados a um montante que em conjunto não tenham importância. O risco de detecção pode, então, ser analisado por dois aspectos:
	
	
	
	
		Resposta Selecionada:
	d. 
Risco de verificação analítica e risco de procedimentos substantivos.
	Respostas:
	a. 
Risco de verificação substantiva e risco de verificação linear.
	
	b. 
Risco de procedimento substantivo e risco de procedimento estratégico.
	
	c. 
Risco de imposição e risco de revisão.
	
	d. 
Risco de verificação analítica e risco de procedimentos substantivos.
	
	e. 
Risco de controle e risco de ingerência.
	Comentário da resposta:
	Resposta: D
Comentário: Risco de verificação analítica: é o erro significativo que pode não ser detectado pelas verificações utilizadas. Risco de procedimentos substantivos, que representa a variável dependente da equação do risco de auditoria.
	
	
	
ATIVIDADE - 04
	Curso
	GESTÃO E ANÁLISE DE RISCOS
	Teste
	ATIVIDADE TELEAULA IV
	Iniciado
	13/10/22 10:54
	Enviado
	13/10/22 10:55
	Status
	Completada
	Resultado da tentativa
	0 em 0 pontos  
	Tempo decorrido
	0 minuto
	Autoteste
	O aluno responde e o resultado do aluno não é visível ao professor.
	Resultados exibidos
	Todas as respostas, Respostas enviadas, Respostas corretas, Comentários, Perguntas respondidas incorretamente
· Pergunta 1
0 em 0 pontos
	
	
	
	Gomes está alocado em um projeto da empresa. Sua função é auxiliar diretamente o gestor/gerente do projeto, com ajuda técnica especializada dando suporte às decisões tomadas. Gomes também ajuda no monitoramento do andamento das atividades. Dada a função que Gomes exerce, podemos caracterizá-lo como qual “ator” no projeto?
	
	
	
	
		Resposta Selecionada:
	c. 
Membro-chave.
	Respostas:
	a. 
Patrocinador.
	
	b. 
Interessado.
	
	c. 
Membro-chave.
	
	d. 
Fornecedor.
	
	e. 
Cliente.
	Comentário da resposta:
	Resposta: c)
	
	
	
· Pergunta 2
0 em 0 pontos
	
	
	
	Marque a resposta errada a respeito do gerenciamento de um projeto.
	
	
	
	
		Resposta Selecionada:
	e. 
O escopo de um projeto deve ser definido quando o projeto estiver concluído.
	Respostas:
	a. 
A abordagem deve ser em etapas.
	
	b. 
Uma das competênciasnecessárias é a capacidade de organização.
	
	c. 
A checagem dos requisitos legais é um exemplo de componente exigido em um projeto de gestão de riscos.
	
	d. 
O PMBOK é um guia voltado para o gerenciamento de projetos.
	
	e. 
O escopo de um projeto deve ser definido quando o projeto estiver concluído.
	Comentário da resposta:
	Resposta: e)
	
	
	
· Pergunta 3
0 em 0 pontos
	
	
	
	Qual das alternativas mostra, respectivamente, uma vantagem e uma desvantagem da estrutura funcional de implantação de riscos?
	
	
	
	
		Resposta Selecionada:
	a. 
Comunicação vertical e falta de foco no cliente.
	Respostas:
	a. 
Comunicação vertical e falta de foco no cliente.
	
	b. 
Decisões que favorecem a área e bom uso de recursos humanos especializados.
	
	c. 
Comunicação horizontal e respostas lentas.
	
	d. 
Foco no cliente e decisões que favorecem a área.
	
	e. 
Resposta rápida e comunicação vertical.
	Comentário da resposta:
	Resposta: a)
	
	
	
· Pergunta 4
0 em 0 pontos
	
	
	
	Qual das alternativas mostra uma opção que não pode ser considerada um passo para a identificação de riscos de auditoria?
	
	
	
	
		Resposta Selecionada:
	a. 
Definir os controles de segurança que serão usados na auditoria.
	Respostas:
	a. 
Definir os controles de segurança que serão usados na auditoria.
	
	b. 
Realizar a identificação dos itens mais importantes.
	
	c. 
Realizar uma avaliação definitiva do risco.
	
	d. 
Realizar a identificação dos componentes do sistema.
	
	e. 
Realizar uma avaliação preliminar do risco do sistema.
	Comentário da resposta:
	Resposta: a)