Prova fina Governança de Tecnologia da Informação

Prévia do material em texto

Prova fina lGovernança de Tecnologia da Informação 
Acertos 6 de 10 
Nota 30 pontos 
 
Questão 1 
Respondida 
A ISO/IEC 27001 é o padrão mais conhecido da família, fornecendo requisitos 
para um sistema de gerenciamento de segurança da informação (ISMS). Um 
ISMS é uma abordagem sistemática para gerenciar informações confidenciais da 
empresa para que ela permaneça segura. 
Assinale a alternativa que contém a correta interpretação do papel da ISO 
27000 e sua família a partir do texto-base desta questão. 
• Criar mecanismos de segurança da informação. 
• Gerenciar pessoas, processos e sistemas de TI. 
• Disponibilizar as informações de forma íntegra e assegurando 
confidencialidade. 
• Gerenciar a segurança de ativos, tais como informações financeiras, 
propriedade intelectual, detalhes de empregados ou informações 
confiadas por terceiros. 
• Gerenciar incidentes na segurança da informação, gerenciar a 
continuidade e a conformidade dos negócios. 
Sua resposta 
Gerenciar pessoas, processos e sistemas de TI. 
 
A família ISO 27000 surgiu para cuidar do processo de segurança da informação e, 
dentro desse processo, o papel principal é cuidar dos chamados ativos das organizações, 
que são: financeiro, intelectual, informações de empregados e de terceiros. 
 
Questão 2 
Respondida 
As melhores práticas de TI ou governança de TI (braço da governança 
corporativa) são um conjunto de metodologias que visam a melhoria dos 
processos organizacionais através da transparência das informações, seja para o 
público interno como para o público externo. Considere o conceito a 
seguir: "Modelo abrangente aplicável para a auditoria e controle de processos de 
T.I., desde o planejamento da tecnologia até a monitoração e auditoria de todos 
os processos." 
Assinale a alternativa que se refere corretamente ao framework apresentado: 
• eSCM – Service Provider Capability Outsourcing. 
• SAS 70 – Statement on Auditing. 
• ITIL – Information Technology Infrastructure. 
• CMMI – Capability Maturity Model. 
• CobiT – Control Objectives for Information. 
Sua resposta 
CobiT – Control Objectives for Information. 
 
CobiT – Objetivo de Controle para Tecnologia da Informação e Áreas Relacionadas. O 
COBIT é uma estrutura de gerenciamento que se dedica ao ciclo de vida completo do 
investimento de TI. A estrutura suporta as realizações de TI as metas corporativas, 
garante o alinhamento de TI corporativo e melhora a eficiência e produtividade de TI”, 
disse Roger Debreceny, diretor do Comitê Geral COBIT do 
ITGI. ISACA. Estrutura atualizada do COBIT reduz os riscos de TI e 
melhora conformidade com as diretrizes. 2007. Disponível em:< 
http://www.isaca.org/About-ISACA/Press-room/News-
Releases/Portuguese/Pages/Estrutura-Atualizada-do-COBIT-Reduz-os-Riscos-de-TI-e-
Melhora-Conformidade-com-as-Diretrizes.aspx> Acesso em: 05/01/2018. eSCM – 
Melhores práticas em relacionamento de terceirização. SAS 70 – Regras de Auditoria. 
ITIL – Biblioteca de Informações de Infraestrutura de Tecnologia CMMI – Modelo 
Integrado de Maturidade em Capacitação. 
 
Questão 3 
Respondida 
A biblioteca ITIL representa um conjunto de processos que podem ser 
adequados às necessidades de cada empresa, independentemente do seu porte 
preenchendo as lacunas deixadas pelo COBIT.POISA Identificação das 
necessidades dos clientes e dos drivers dos requisitos de TI, o projeto e 
implementação do serviço e o monitoramento e melhoria do serviço 
representam o ciclo de vida de serviços. 
Analise as asserções expostas no texto-base e determine qual a alternativa a 
seguir representa a opção correta. 
• As duas asserções são verdadeiras, porém, a segunda não justifica a 
primeira. 
• As duas asserções são falsas. 
• A primeira asserção é verdadeira e a segunda é falsa. 
• As duas asserções são verdadeiras e a segunda justifica a primeira. 
• A primeira asserção é falsa e a segunda é verdadeira. 
Sua resposta 
As duas asserções são verdadeiras, porém, a segunda não justifica a primeira. 
 
As duas afirmações são verdadeiras, porém, a segunda não justifica a primeira devido às 
lacunas deixadas pelo COBIT não serem supridas pelo ciclo de vida de serviços e sim 
pelas respostas previamente estabelecidas pelo ITIL que permitem um modelo 
padronizado de métodos e ferramentas a serem utilizados. 
 
Questão 4 
Respondida 
Para aplicar as _____________ do BSC à área de TI é _____________, como já dito 
anteriormente, trabalhar o alinhamento da TI às _____________ do negócio. Da 
mesma forma que no mundo dos negócios, a _____________ apenas financeira 
deixou de ser _____________ também na TI. Assim, avaliar os resultados e a 
_____________ de retorno dos investimentos (entre outros indicadores) não era 
mais suficiente. 
Escolha a alternativa a seguir que preenche as lacunas de forma correta: 
• Perspectivas-necessário-estratégias-avaliação-suficiente-taxa 
• Estratégias-suficiente-perspectivas-avaliação-necessário-taxa 
• Perspectivas-suficiente-estratégias-taxa-necessário-avaliação 
• Estratégias-suficiente-perspectivas-taxa-necessário-avaliação 
• Perspectivas-suficiente-estratégias-avaliação-necessário-taxa 
Sua resposta 
Perspectivas-necessário-estratégias-avaliação-suficiente-taxa 
 
Para aplicar as perspectivas do BSC à área de TI é necessário, como já dito 
anteriormente, trabalhar o alinhamento da TI às estratégias do negócio. Da mesma 
forma que no mundo dos negócios, a avaliação apenas financeira deixou de ser 
suficiente também na TI. Assim, avaliar os resultados e a taxa de retorno dos 
investimentos (entre outros indicadores) não era mais suficiente. 
 
Questão 5 
Respondida 
"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o 
resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, 
para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem 
o inimigo nem a si mesmo, perderá todas as batalhas.” Considere as 
afirmativas a seguir: I. A gestão da segurança da informação pode ser dividida 
em três camadas para garantir que todos os seus dados sejam salvos com o 
máximo de segurança. São elas: física, lógica e humana. II. Ameaças (externas) 
podem ser minimizadas (ou mitigadas). III. São exemplos de crimes cibernéticos: 
roubo de identidade, espionagem industrial, calúnia. 
Agora, assinale a alternativa CORRETA: 
• Apenas a afirmativa I está correta. 
• Apenas as afirmativas I e II estão corretas. 
• Apenas as afirmativas II e III estão corretas 
• Apenas as afirmativas I e III estão corretas. 
• Apenas as afirmativas I, II e III estão corretas. 
Sua resposta 
Apenas as afirmativas I, II e III estão corretas. 
 
“De acordo com especialistas, as ameaças do mundo virtual são espelhadas nas do 
mundo físico. Seguindo essa lógica, o crime no ambiente on-line inclui tudo o que pode 
se esperar do off-line, como roubo, extorsão, vandalismo, exploração e fraude, por 
exemplo. Desta forma, é preciso entender bem em quais níveis a segurança deve 
acontecer, para, assim, garantir que todos os dados corporativos estejam a salvo. De 
modo geral, a gestão da segurança da informação pode ser dividida em três camadas: 
Física: é o ambiente em que o hardware (computadores, servidores, meios de 
comunicação) está fisicamente instalado. Representa o lugar onde estão os 
computadores e a rede de telecomunicação com o modem, cabos e memória física (CDs, 
HDs). A segurança desta camada é feita a partir do controle de acesso aos recursos de 
TI (autorizando apenas pessoas específicas), do uso de equipamentos para fornecimento 
ininterrupto de energia e da instalação de firewalls, por exemplo. Lógica: é 
caracterizada pelo uso de softwares. Eles são os responsáveis pelo funcionamento dos 
hardwares, pela realização de transações em base de dados organizacionais e pela 
criptografia de senhas e de mensagens. Esta camada de segurança está ligada ao acesso 
dos indivíduosàs aplicações e as ferramentas de controle são “invisíveis” aos olhos das 
pessoas externas aos ambientes de informática. Uma forma de minimizar os riscos nesta 
camada é manter o sistema operacional sempre atualizado. Humana: é constituída pelos 
colaboradores da organização, principalmente aqueles que têm acesso aos recursos de 
TI (para manutenção ou uso). Nesta camada é preciso levar em conta a percepção das 
pessoas em relação aos riscos cibernéticos (como elas lidam com os incidentes de 
segurança), se são instruídas sobre o uso da TI e quanto ao perigo dos intrusos 
maliciosos e a engenharia social (manipulação psicológica para que realizem ações ou 
divulguem informações confidenciais). Esta camada é a mais difícil de gerenciar, por 
envolver fatores humanos como psicológicos, sócio-culturais e emocionais”. 
NUVME. Como garantir a segurança da informação na sua empresa. 2017. 
Disponìvel em:< http://blog.nuvme.com.br/como-garantir-seguranca-da-informacao-na-
sua-empresa/> Acesso em: 30/12/2017 * Ameaças (externas) normalmente NÃO 
podem ser controladas. É impossível impedir uma inundação, um homem-bomba ou 
uma greve em andamento. Ameaças podem ser identificadas, mas geralmente estão fora 
do nosso controle. * Riscos (externos e/ou internos) PODEM ser minimizados (ou 
mitigados). Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos 
que acarretam quando se realizam. * Vulnerabilidades (internas) PODEM ser tratadas. 
Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações 
proativas para correção das vulnerabilidades. MARINHO, F. Ameaças x Riscos x 
Vulnerabilidade: o que eu tenho a ver com isso ? 2015. Disponível em:< 
https://cryptoid.com.br/banco-de-noticias/ameacas-x-riscos-x-vulnerabilidade-o-que-eu-
tenho-ver-com-isso/> Acesso em: 30/12/2017. Os crimes virtuais praticados por 
hackers têm acontecido com mais frequência e assustam pequenos empresários e 
empresas de tecnologia. Entre os problemas mais frequentes estão: roubo de identidade, 
calúnia e difamação, ameaça, espionagem industrial, pedofilia e discriminação, sendo 
um dos temas mais discutidos nos últimos dias. Com 94,2 milhões de pessoas utilizando 
a internet no Brasil e 45% delas usando redes sociais diariamente, a facilidade de acesso 
aos dados aumenta. Os prejuízos aos que compram serviços de boa fé e perdem dados 
pessoais e até confidenciais são incontáveis. FADISP. O aumento dos crimes virtuais. 
2014. Disponível em: <http://www.fadisp.com.br/publicacoes/noticias/o-aumento-dos-
crimes-virtuais> Acesso em: 30/12/2017. 
 
Questão 6 
Sem resposta 
Os indicadores de desempenho são fundamentais para um bom 
monitoramento do processo de Gerenciamento de Riscos, e gerenciar os riscos 
permite às empresas um diferencial cada vez mais competitivo no mercado. 
Complete as lacunas a seguir: O PMI reforça que o processo de ____________ 
utiliza técnicas, como ____________ e ____________ , que requerem o uso das 
____________ geradas durante a execução do projeto. 
Com base nas informações sobre como o PMI reforça o processo para controlar 
os riscos, assinale a alternativa que completa corretamente as lacunas: 
• Controlar os riscos, análises de variações, tendências, informações de 
desempenho. 
• Análise de variações, controlar riscos, tendências, informações de 
desempenho. 
• Informações de desempenho, controlar riscos, análise de variação, 
tendências. 
• Tendências, controlar riscos, análise de variações, informações de 
desempenho. 
• Controlar riscos, informações de desempenho, tendências, análises de 
variações. 
Sua resposta 
Tendências, controlar riscos, análise de variações, informações de desempenho. 
 
O texto correto é: O PMI reforça que o processo de controlar os riscos utiliza técnicas, 
como análises de variações e tendências, que requerem o uso das informações de 
desempenho geradas durante a execução do projeto. 
 
Questão 7 
Sem resposta 
O planejamento do Gerenciamento dos Recursos Humanos tem por objetivo 
definir as responsabilidades, a hierarquia e as habilidades. Quanto mais 
profundo o conhecimento sobre as pessoas melhor o resultado que pode ser 
extraído do time de projetos. 
Considerando as informações apresentadas, quais são os passos que 
contemplam o Gerenciamento dos Recursos Humanos? 
• Gerenciar as pessoas do projeto; Planejar a gestão das pessoas; 
Desenvolver as pessoas do projeto; Mobilização das pessoas do projeto. 
• Gerenciar as pessoas do projeto; Planejar a gestão das pessoas; 
Mobilização das pessoas do projeto; Desenvolver as pessoas do projeto. 
• Planejar a gestão das pessoas; Mobilização das pessoas do projeto; 
Desenvolver as pessoas do projeto; Gerenciar as pessoas do projeto. 
• Mobilização das pessoas do projeto; Gerenciar as pessoas do projeto; 
Desenvolver as pessoas do projeto; Planejar a gestão das pessoas. 
• Desenvolver as pessoas do projeto; Planejamento da gestão das pessoas; 
Mobilização das pessoas do projeto; Gerenciar as pessoas do projeto. 
Sua resposta 
Planejar a gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver as 
pessoas do projeto; Gerenciar as pessoas do projeto. 
 
O gerenciamento das pessoas possui quatro processos principais. São eles: 
Planejamento da gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver 
as pessoas do projeto e; Gerenciar as pessoas do projeto. 
 
Questão 8 
Sem resposta 
A imagem a seguir representa parte do fluxo de entradas e saídas do plano de 
gerenciamento do projeto. As entradas apontadas na figura, após aplicação de 
ferramentas e técnicas geram as saídas deste processo que alimentará um 
processo seguinte. 
 
Analise a imagem contida no texto-base e determine quais as saídas para esse 
processo. 
• Entregas; Dados de desempenho do trabalho; Solicitação de mudança; 
Atualizações no plano de gerenciamento do projeto; Atualizações nos 
documentos do projeto. 
• Solicitação de mudança aprovada; Registro das mudanças; Atualização 
no plano de gerenciamento do projeto; Atualização dos documentos do 
projeto. 
• Transição do produto, serviço ou resultado final; Atualizações nos ativos 
de processos organizacionais. 
• Documentação dos requisitos; Matriz de rastreabilidade dos requisitos. 
• Entregas aceitas; Solicitações de mudança; Informações sobre o 
desempenho do trabalho; Atualização nos documentos do projeto. 
Sua resposta 
Entregas; Dados de desempenho do trabalho; Solicitação de mudança; Atualizações no 
plano de gerenciamento do projeto; Atualizações nos documentos do projeto. 
 
As entradas apontadas na figura 4.11, após aplicação de ferramentas e técnicas geram as 
saídas deste processo que alimentará um processo seguinte. Se nos atentarmos as saídas 
da figura, veremos:· Entregas· Dados de desempenho do trabalho· Solicitação de 
mudança· Atualizações no plano de gerenciamento do projeto· Atualizações nos 
documentos do projeto Figura: 4.11 | Orientar e gerenciar o trabalho do 
projeto 
Fonte: PMI (2013, p. 79) 
 
Questão 9 
Sem resposta 
As reservas de contingência são calculadas com base na análise quantitativa dos 
riscos do projeto e os limites de riscos da organização. Fazem parte da baseline 
de custos alocado para riscos identificados que são aceitos e para as quais 
respostas contingentes ou mitigadoras são desenvolvidas. 
Assinale a alternativa que contém a correta interpretação acerca das reservas de 
contingência. 
• A reserva de contingência é somada ao orçamento base. 
• A reserva de contingência não faz parte do orçamento. 
• A reserva de contingência é usada para fim de controle de 
gerenciamento. 
• A reserva de contingências é destinada para atividades inesperadas. 
• A reserva de contingência é destinada à identificação de riscos. 
Sua resposta 
A reserva de contingências é destinada para atividades inesperadas. 
 
A reserva de contingência é gerada a partir de uma análise detalhadados riscos e 
incorporada ao orçamento do projeto. Todos os riscos avaliados e considerados 
aceitáveis para o projeto tem seu valor adicionado ao orçamento base, ou seja, a reserva 
de contingência é a aceitação do risco 'calculado". 
 
Questão 10 
Sem resposta 
O principal objetivo da governança é alinhar a TI aos requisitos do negócio. Este 
alinhamento tem como base a continuidade do negócio, o atendimento às 
estratégias do negócio e o atendimento aos pontos externos de 
regularização. A tabela a seguir apresenta modelos de melhores práticas e suas 
definições em ordem aleatória: 
Modelos Definições 
(1) BSC (2) 
CobiT (3) 
eSCM (4) ISO 
27001 (5) ITIL (6) 
SAS 70 
( ) Modelo abrangente aplicável para auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de 
todos os processos. ( ) Código de práticas cujo principio geral é a adoção pela organização de um conjunto de requisitos, processos e controles com 
o objetivo de mitigarem e gerirem adequadamente o risco da organização. ( ) Regras de auditoria para empresas de serviços. ( ) Seu principal 
objetivo é alcançar o alinhamento entre o planejamento estratégico da empresa e as atividades operacionais que ela exerce. Essa prática traduz a 
missão e a estratégia em objetivos e medidas, organizados através de indicadores que irão informar os funcionários sobre os vetores do sucesso atual 
e futuro. ( ) Biblioteca que reúne as melhores práticas Gestão de Serviços de Tecnologia da Informação (TI). Trata-se de um conjunto de livros onde 
estão documentados o que as empresas ao redor do mundo conhecem de melhor sobre a gestão de TI, após décadas de acúmulo de aprendizado. ( ) 
Melhores práticas em relacionamento de terceirização. 
Assinale a alternativa que contém a correta associação dos modelos de 
melhores práticas e suas definições: 
• 3 – 4 – 5 – 1 – 6 - 2 
• 2 – 4 – 6 – 1 – 5 - 3 
• 2 – 3 – 6 – 4 – 5 - 1 
• 1 – 2 – 4 – 6 – 5 - 3 
• 5 – 4 – 2 – 1 – 6 - 3 
Sua resposta 
2 – 4 – 6 – 1 – 5 - 3 
 
Os modelos de melhores práticas (frameworks) mais conhecidos são: CobiT – Objetivo 
de Controle para Tecnologia da Informação e Áreas Relacionadas. CMMI – Modelo 
Integrado de Maturidade em Capacitação. ITIL – Biblioteca de Informações de 
Infraestrutura de Tecnologia. ISO 27001 – Melhores práticas em Segurança da 
Informação. eSCM – Melhores práticas em relacionamento de terceirização. PMBOK – 
Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. BSC – 
Indicadores balanceados de desempenho. Six Sigma – Metodologia para melhoramento 
da qualidade de processos. SAS 70 – Regras de Auditoria. SILVA, S. Introdução à 
governança em tecnologia da informação. Londrina, Educacional, 2017.