Gestão de Riscos em TI

Prévia do material em texto

Prova Gestão de Riscos em TI
1) Todo processo de gestão de riscos em TI requer um plano de contingência e formas estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que exista uma predefinição dos passos e procedimentos a serem adotados quando uma ameaça se concretizar, gerando algum tipo de impacto. Desta forma, o ___________________ deve assegurar que trabalhos da organização retome às atividades no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as atividades novamente em operação em caso de desastres. Ambas as abordagens visam ___________________ à organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. 
· BCP; DRP; Minimizar os impactos. CORRETO
· Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. 
· DRP; BCP; Dar segurança. 
· DRP; BCP; Maximizar impactos positivos. 
Resolução comentada:
É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens visam diminuir os impactos financeiros e de imagem à organização. 
2) Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(V) O valor da informação ou conhecimento muda com o tempo. 
(V) Toda informação tem um ciclo de vida. 
(V) O valor da informação é mutável, de acordo com o público-alvo. 
(V) A origem dos dados facilita a identificação do usuário. 
(F) O nível ostensivo de segurança de dados torna-o secreto/confidencial.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· F – F – V – F – F. 
· V – F – V – F – V. 
· F – F – F – V – F. 
· V – F – V – F – F.  
· V – V – V – V – F. CORRETO
Resolução comentada:
O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. 
3) Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que auxiliam neste processo: 
Alternativas:
· Simétrica e assimétrica. CORRETO
· Ação e verificação. 
· Coding e hash. 
· Simétrica e hash
· Hash e coding. 
Resolução comentada:
Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. 
4) No tráfego de informações dentro de uma mesma rede interna, um determinado dado foi interceptado por um invasor, funcionário da própria organização. Este dado foi posteriormente encaminhado ao destinatário inicial, mas já com as modificações feitas pelo invasor. Este tipo de falha de segurança da informação é um risco de TI que precisa constar no mapa de riscos e:
Alternativas:
· Ser categorizado como quebra de disponibilidade. 
· Ser classificado como ataque do tipo Man in the Middle, causando quebra de segurança, afetando a autenticidade e integridade. CORRETO
· Ser tratado como um erro a ser sanado pela governança de TI. 
· Ser direcionado ao alto escalão da organização para sanar a quebra de integridade. 
· Não ser considerado um risco, pois não houve roubo de dados, apenas modificações. 
Resolução comentada:
Como a informação foi interceptada, então ocorreu o ataque do tipo Man in the Middle (homem no meio). A informação sofreu reencaminhamento, logo, o remetente inicial não é o mesmo remetente final. Isso causa quebra de autenticidade e, como o conteúdo foi modificado, ocorreu quebra de integridade. 
5) Quanto aos erros e falhas abordados por Laudon e Laudon (2007), analise as seguintes proposições: 
I. Erros e falhas são similares, mas o primeiro ocorre em redes e o segundo, em softwares. 
II. Falhas são caracterizadas por um comportamento inesperado, seja de uma rede ou software. 
III. Erros produzem algum resultado diferente do esperado em um sistema computacional ou infraestrutura de rede. 
IV. Existe uma ligação direta entre erro e defeito, sendo que este segundo é descoberto por meio do primeiro. 
V. Defeito e erro podem ser caracterizados como tipos de falhas. 
São verdadeiras: 
Alternativas:
· I - II - III - V. 
· I - IV. 
· I - III - V. 
· II - III - IV. CORRETO
· I - II - III. 
Resolução comentada:
Um comportamento inesperado não é propriamente um erro, mas sim uma falha. 
Um erro é a ocorrência de um resultado diferente do esperado, por ex.: dois números quaisquer, sempre que multiplicados entre si resultam em “0”. Todo erro, quando descoberto, evidencia um defeito em um sistema/rede. 
Já uma falha é um comportamento inesperado do software mediante a ocorrência do erro. Veja a continuidade do exemplo anterior, mas focado em falhas: em decorrência do cálculo incorreto na multiplicação de dois números (erro), o sistema deixa de emitir um relatório, pois considera que não existe relatório para resultados do tipo “0”. 
6) Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto:  
Alternativas:
· Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. 
· À definição do contexto da organização. CORRETO
· A preparar um plano para diminuição dos riscos, já que é impossível removê-los. 
· À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. 
· A definir os riscos que podem afetar a organização. 
Resolução comentada:
Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo de tratamento. 
7) Leia e associe as duas colunas quanto aos níveis de segurança da informação: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-B; II-C; III-A. 
· I-C; II-A; III-B. 
· I-A; II-B; III-C. 
· I-B; II-A; III-C. 
· I-A; II-C; III-B. CORRETO
Resolução comentada:
Informação ultrassecreta está ligada às questões de segurança territorial, enquanto as confidenciais estão ligadas à segurança da sociedade e Estado. O nível reservado impede que planos sejam frustrados mediante revelação não autorizada. 
8) Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: 
I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização 
II. Cobit pode ser considerado como um framework.   
III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura.  
IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. 
V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. 
São verdadeiras: 
Alternativas:
· I - III - V. 
· I - II - III. CORRETO
· I - IV
· I - II - IV - V. 
· II - III - IV.
Resolução comentada:
Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. 
9) Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). 
(V) Em sistemas de informação a etapa intermediária é o processamento. 
(V) Em sistemas de informação a etapa final é a saída de dados processados. 
(V) Sistemas de informação também auxiliam no apoio à tomada de decisão. 
(F) Sistemas de informação têm como etapa inicial a aquisição deconhecimento. 
(V) O processamento de dados ocorre antes da geração do conhecimento.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· V – V – V – F – V. CORRETO
· V – F – V – F – V
· F – F – F – V – F. 
· F – F – V – F – F. 
· V – F – V – F – F.  
Resolução comentada:
As etapas de um sistema de informação são: entrada de dados, processamento e saída de dados (ou disparo de eventos). Essas saídas são informações que podem gerar conhecimento (que é precedido pela informação, gerada pela captação de dados). 
10) Conhecer, identificar e saber lidar com riscos, é algo essencial a qualquer organização que atue de forma preventiva e não reativa. Para que isso seja possível, é necessário que todos os departamentos e setores da organização estejam alinhados no mesmo objetivo. Assim, a gestão de riscos, gerida pela ___________________, apontará o nível de _____________________ que a organização está disposta a aceitar para determinado risco. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Governança de TI; Tolerância. CORRETO
· Organização; Disponibilidade. 
· Equipe executiva; Disponibilidade. 
· Gestão de TI; Segurança. 
· Equipe de TI; Integridade. 
Resolução comentada:
É a governança de TI que define (em comum acordo com todos os membros) o nível de tolerância que pode ser aceito para todos os riscos incluídos no mapa de riscos