GESTÃO DE RISCOS EM TI

Prévia do material em texto

31/01/2023 14:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2796926/5873765 1/5
Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Considere que você, membro da governança de TI da ABC S/A, precisa implantar a
filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas
ISO 31000. Um dos primeiros passos que você dará será quanto:  
Alternativas:
À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos
processos. 
A preparar um plano para diminuição dos riscos, já que é impossível removê-los. 
À definição do contexto da organização.   CORRETO
Ao estabelecimento de critérios para se transformar um risco em um projeto a ser
sanado. 
A definir os riscos que podem afetar a organização. 
Código da questão: 55129
Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em
verdadeiras (V) ou falsas (F). 
(   ) Em sistemas de informação a etapa intermediária é o processamento. 
(   ) Em sistemas de informação a etapa final é a saída de dados processados. 
(  ) Sistemas de informação também auxiliam no apoio à tomada de decisão. 
(   ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. 
(  ) O processamento de dados ocorre antes da geração do conhecimento.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – F – V – F – F.  
V – V – V – F – V.  CORRETO
F – F – F – V – F. 
F – F – V – F – F.   INCORRETO
V – F – V – F – V
Código da questão: 55117
Resolução comentada:
Considerando como base a família de normas ISO 31000, o primeiro passo é
estabelecer o contexto da organização para que seja possível conhecer o ambiente
no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-
los e iniciar o processo de tratamento. 
Resolução comentada:
As etapas de um sistema de informação são: entrada de dados, processamento
e saída de dados (ou disparo de eventos). Essas saídas são informações que podem
gerar conhecimento (que é precedido pela informação, gerada pela captação de
dados). 
31/01/2023 14:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2796926/5873765 2/5
3)
4)
5)
O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas
adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na
execução de determinada tarefa, atividade ou trabalho. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Um guia; Esforço temporário.   CORRETO
Uma norma; Conjunto de atividades. 
Uma norma; Rol de processos. 
Um framework; Processo. 
Uma biblioteca; Conjunto de critérios. 
Código da questão: 55124
A nível de sistema de informação, pode-se considerar que: 
I. As ameaças também podem ser denominadas como vulnerabilidades (ou brechas no
sistema). 
II. Existem ameaças que estão ligadas ao comportamento humano.  
III. Keyloggers são exemplos de ameaças que afetam a segurança da informação.  
IV. A criptografia simétrica possui duas chaves: pública e privada. 
V. A criptografia assimétrica realiza validação em duas etapas. 
São verdadeiras: 
Alternativas:
I - II - III - V. 
I - III - V. 
II - III - IV. 
I - II - III.   CORRETO
I - IV. 
Código da questão: 55137
Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar
que: 
I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica
da TI na organização 
II. Cobit pode ser considerado como um framework.   
III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de
infraestrutura.  
Resolução comentada:
Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta
orientações de melhores práticas na gestão de projetos – cuja definição é
empiricamente conhecida como sendo um esforço temporário para resolução de
determino problema. 
Resolução comentada:
A criptografia simétrica utiliza apenas uma chave para realizar os procedimentos
criptográficos. 
31/01/2023 14:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2796926/5873765 3/5
6)
7)
IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as
implementações e prover melhorias necessárias. 
V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. 
São verdadeiras: 
Alternativas:
I - III - V. 
I - II - III.   CORRETO
I - II - IV - V. 
II - III - IV.
I - IV
Código da questão: 55119
O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes
danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar
_________________ para que seja possível sua identificação clara e objetiva, além de citar
______________________ para fins de categorização. Neste raciocínio, recomenda-se elencar
___________________ da ameaça para que tratativas específicas possam ser aplicadas. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
A origem; O impacto; O modo de solução.  
O nível de criticidade; Sua origem; O modo de solução. 
O nome da ameaça; Os impactos; O prazo de solução. 
O nome da ameaça; Seu tipo; A origem.   CORRETO
O tipo de ameaça; Seu nome; Os prazos de solução. 
Código da questão: 55133
Considerando a inevitabilidade de um risco, existem algumas medidas que podem ser
tomadas para minimizar seus impactos. Quando essas medidas não se adequam ao cenário
da organização, é possível maximizar ou simplesmente aceitar o risco. Considerando esta
afirmação, a aceitação de um risco deve ocorrer quando: 
Alternativas:
Seus impactos forem baixos ou o tratamento tenha custo elevado.   CORRETO
Não existir um plano de tratamento de riscos pré-estabelecido. 
A governança de TI determinar que não há forma de evitá-lo. 
Não houver mão de obra apta a prover uma resolução para o problema. 
O departamento de TI não conseguir sanar a situação. 
Resolução comentada:
Sendo um framework, o Cobit enfatiza que um dos principais objetivos
da governança de TI em uma organização é enfatizar a importância da Tecnologia da
Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco)
maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura
de TI. 
Resolução comentada:
Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de
ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de
forma clara o nome da ameaça, categorizando-a pelo seu tipo e apontando sua
origem (interna ou externa). 
31/01/2023 14:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2796926/5873765 4/5
8)
9)
Código da questão: 55140
Quanto aos ativos dentro de uma organização, considere as afirmativas a seguir e
classifique-as em verdadeiras (V) ou falsas (F). 
(   ) A informação é um ativo do tipo abstrato.  
(   ) Os dados podem ser considerados ativos quantitativos. 
(  ) Ativos podem ser impactados por ameaças, danosas ou não.  
(   ) Recursos humanos são ativos concretos, mas com aspectos abstratos. 
(   ) As características dos recursos humanos são ativos de menor valor. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – V – V – V – V. 
F – F – F – V – V. 
V – F – V – V – F.   CORRETO
V – F – V – F – F. 
F – F – V – V – F. 
Código da questão: 55134
Leia e associe as duas colunas. 
Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de
cada setor de uma organização – motivo pelo qual agovernança de TI precisa ser
composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o
nível dos dados, informação e conhecimento que são trafegados em seus
respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. 
Neste ínterim, é necessário que cada colaborador da organização – e primordialmente
aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é
um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. 
Neste contexto, analise o quadro a seguir, relacionando as colunas. 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Resolução comentada:
Em situações em que os custos de tratamento de um risco forem exorbitantes e
desproporcionais aos impactos do risco, pode ocorrer sua aceitação; ademais,
quando o risco tiver um impacto ínfimo e seu tratamento tornar-se mais custoso que
sua aceitação, pode-se optar por aceitá-lo. 
Resolução comentada:
Os dados e a informação são ativos abstratos (qualitativos), que podem ser afetados
pela ocorrência de uma ameaça, seja ela positiva ou negativa. Recursos humanos são
ativos concretos, mas suas características (conhecimento, ética, formalismo, etc.), são
abstratas. 
31/01/2023 14:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2796926/5873765 5/5
10)
Alternativas:
I-C; II-B; III-A. 
I-B; II-A; III-C. 
I-B; II-C; III-A. 
I-A; II-B; III-C. 
I-C; II-A; III-B.   CORRETO
Código da questão: 55118
Ameaças utilizam-se de brechas ou vulnerabilidades para entrarem em ação dentro de
um determinado cenário, podendo causar perdas ou danos, desta forma, uma ameaça
pode ter um impacto diferente de acordo com o seu tipo ou com a própria organização. 
Em uma forma resumida, ameaças podem ser consideradas como: 
Alternativas:
Ativos de valor negativo. 
Passivos que requerem tratativa específica. 
Ativos que precisam receber algum tipo de tratativa. 
Sinônimo de riscos e que devem sempre ser eliminadas. 
Tudo aquilo que pode causar prejuízo aos ativos.   CORRETO
Código da questão: 55131
Resolução comentada:
Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários
para que se possa mensurar o valor de uma informação à organização; Mapas de
risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. 
Resolução comentada:
As ameaças são situações concretas ou não que podem causar algum tipo de dano
aos ativos de uma organização.  
Arquivos e Links