Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prova fina lGovernança de Tecnologia da Informação Acertos 6 de 10 Nota 30 pontos Questão 1 Respondida A ISO/IEC 27001 é o padrão mais conhecido da família, fornecendo requisitos para um sistema de gerenciamento de segurança da informação (ISMS). Um ISMS é uma abordagem sistemática para gerenciar informações confidenciais da empresa para que ela permaneça segura. Assinale a alternativa que contém a correta interpretação do papel da ISO 27000 e sua família a partir do texto-base desta questão. • Criar mecanismos de segurança da informação. • Gerenciar pessoas, processos e sistemas de TI. • Disponibilizar as informações de forma íntegra e assegurando confidencialidade. • Gerenciar a segurança de ativos, tais como informações financeiras, propriedade intelectual, detalhes de empregados ou informações confiadas por terceiros. • Gerenciar incidentes na segurança da informação, gerenciar a continuidade e a conformidade dos negócios. Sua resposta Gerenciar pessoas, processos e sistemas de TI. A família ISO 27000 surgiu para cuidar do processo de segurança da informação e, dentro desse processo, o papel principal é cuidar dos chamados ativos das organizações, que são: financeiro, intelectual, informações de empregados e de terceiros. Questão 2 Respondida As melhores práticas de TI ou governança de TI (braço da governança corporativa) são um conjunto de metodologias que visam a melhoria dos processos organizacionais através da transparência das informações, seja para o público interno como para o público externo. Considere o conceito a seguir: "Modelo abrangente aplicável para a auditoria e controle de processos de T.I., desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos." Assinale a alternativa que se refere corretamente ao framework apresentado: • eSCM – Service Provider Capability Outsourcing. • SAS 70 – Statement on Auditing. • ITIL – Information Technology Infrastructure. • CMMI – Capability Maturity Model. • CobiT – Control Objectives for Information. Sua resposta CobiT – Control Objectives for Information. CobiT – Objetivo de Controle para Tecnologia da Informação e Áreas Relacionadas. O COBIT é uma estrutura de gerenciamento que se dedica ao ciclo de vida completo do investimento de TI. A estrutura suporta as realizações de TI as metas corporativas, garante o alinhamento de TI corporativo e melhora a eficiência e produtividade de TI”, disse Roger Debreceny, diretor do Comitê Geral COBIT do ITGI. ISACA. Estrutura atualizada do COBIT reduz os riscos de TI e melhora conformidade com as diretrizes. 2007. Disponível em:< http://www.isaca.org/About-ISACA/Press-room/News- Releases/Portuguese/Pages/Estrutura-Atualizada-do-COBIT-Reduz-os-Riscos-de-TI-e- Melhora-Conformidade-com-as-Diretrizes.aspx> Acesso em: 05/01/2018. eSCM – Melhores práticas em relacionamento de terceirização. SAS 70 – Regras de Auditoria. ITIL – Biblioteca de Informações de Infraestrutura de Tecnologia CMMI – Modelo Integrado de Maturidade em Capacitação. Questão 3 Respondida A biblioteca ITIL representa um conjunto de processos que podem ser adequados às necessidades de cada empresa, independentemente do seu porte preenchendo as lacunas deixadas pelo COBIT.POISA Identificação das necessidades dos clientes e dos drivers dos requisitos de TI, o projeto e implementação do serviço e o monitoramento e melhoria do serviço representam o ciclo de vida de serviços. Analise as asserções expostas no texto-base e determine qual a alternativa a seguir representa a opção correta. • As duas asserções são verdadeiras, porém, a segunda não justifica a primeira. • As duas asserções são falsas. • A primeira asserção é verdadeira e a segunda é falsa. • As duas asserções são verdadeiras e a segunda justifica a primeira. • A primeira asserção é falsa e a segunda é verdadeira. Sua resposta As duas asserções são verdadeiras, porém, a segunda não justifica a primeira. As duas afirmações são verdadeiras, porém, a segunda não justifica a primeira devido às lacunas deixadas pelo COBIT não serem supridas pelo ciclo de vida de serviços e sim pelas respostas previamente estabelecidas pelo ITIL que permitem um modelo padronizado de métodos e ferramentas a serem utilizados. Questão 4 Respondida Para aplicar as _____________ do BSC à área de TI é _____________, como já dito anteriormente, trabalhar o alinhamento da TI às _____________ do negócio. Da mesma forma que no mundo dos negócios, a _____________ apenas financeira deixou de ser _____________ também na TI. Assim, avaliar os resultados e a _____________ de retorno dos investimentos (entre outros indicadores) não era mais suficiente. Escolha a alternativa a seguir que preenche as lacunas de forma correta: • Perspectivas-necessário-estratégias-avaliação-suficiente-taxa • Estratégias-suficiente-perspectivas-avaliação-necessário-taxa • Perspectivas-suficiente-estratégias-taxa-necessário-avaliação • Estratégias-suficiente-perspectivas-taxa-necessário-avaliação • Perspectivas-suficiente-estratégias-avaliação-necessário-taxa Sua resposta Perspectivas-necessário-estratégias-avaliação-suficiente-taxa Para aplicar as perspectivas do BSC à área de TI é necessário, como já dito anteriormente, trabalhar o alinhamento da TI às estratégias do negócio. Da mesma forma que no mundo dos negócios, a avaliação apenas financeira deixou de ser suficiente também na TI. Assim, avaliar os resultados e a taxa de retorno dos investimentos (entre outros indicadores) não era mais suficiente. Questão 5 Respondida "Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas.” Considere as afirmativas a seguir: I. A gestão da segurança da informação pode ser dividida em três camadas para garantir que todos os seus dados sejam salvos com o máximo de segurança. São elas: física, lógica e humana. II. Ameaças (externas) podem ser minimizadas (ou mitigadas). III. São exemplos de crimes cibernéticos: roubo de identidade, espionagem industrial, calúnia. Agora, assinale a alternativa CORRETA: • Apenas a afirmativa I está correta. • Apenas as afirmativas I e II estão corretas. • Apenas as afirmativas II e III estão corretas • Apenas as afirmativas I e III estão corretas. • Apenas as afirmativas I, II e III estão corretas. Sua resposta Apenas as afirmativas I, II e III estão corretas. “De acordo com especialistas, as ameaças do mundo virtual são espelhadas nas do mundo físico. Seguindo essa lógica, o crime no ambiente on-line inclui tudo o que pode se esperar do off-line, como roubo, extorsão, vandalismo, exploração e fraude, por exemplo. Desta forma, é preciso entender bem em quais níveis a segurança deve acontecer, para, assim, garantir que todos os dados corporativos estejam a salvo. De modo geral, a gestão da segurança da informação pode ser dividida em três camadas: Física: é o ambiente em que o hardware (computadores, servidores, meios de comunicação) está fisicamente instalado. Representa o lugar onde estão os computadores e a rede de telecomunicação com o modem, cabos e memória física (CDs, HDs). A segurança desta camada é feita a partir do controle de acesso aos recursos de TI (autorizando apenas pessoas específicas), do uso de equipamentos para fornecimento ininterrupto de energia e da instalação de firewalls, por exemplo. Lógica: é caracterizada pelo uso de softwares. Eles são os responsáveis pelo funcionamento dos hardwares, pela realização de transações em base de dados organizacionais e pela criptografia de senhas e de mensagens. Esta camada de segurança está ligada ao acesso dos indivíduosàs aplicações e as ferramentas de controle são “invisíveis” aos olhos das pessoas externas aos ambientes de informática. Uma forma de minimizar os riscos nesta camada é manter o sistema operacional sempre atualizado. Humana: é constituída pelos colaboradores da organização, principalmente aqueles que têm acesso aos recursos de TI (para manutenção ou uso). Nesta camada é preciso levar em conta a percepção das pessoas em relação aos riscos cibernéticos (como elas lidam com os incidentes de segurança), se são instruídas sobre o uso da TI e quanto ao perigo dos intrusos maliciosos e a engenharia social (manipulação psicológica para que realizem ações ou divulguem informações confidenciais). Esta camada é a mais difícil de gerenciar, por envolver fatores humanos como psicológicos, sócio-culturais e emocionais”. NUVME. Como garantir a segurança da informação na sua empresa. 2017. Disponìvel em:< http://blog.nuvme.com.br/como-garantir-seguranca-da-informacao-na- sua-empresa/> Acesso em: 30/12/2017 * Ameaças (externas) normalmente NÃO podem ser controladas. É impossível impedir uma inundação, um homem-bomba ou uma greve em andamento. Ameaças podem ser identificadas, mas geralmente estão fora do nosso controle. * Riscos (externos e/ou internos) PODEM ser minimizados (ou mitigados). Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos que acarretam quando se realizam. * Vulnerabilidades (internas) PODEM ser tratadas. Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações proativas para correção das vulnerabilidades. MARINHO, F. Ameaças x Riscos x Vulnerabilidade: o que eu tenho a ver com isso ? 2015. Disponível em:< https://cryptoid.com.br/banco-de-noticias/ameacas-x-riscos-x-vulnerabilidade-o-que-eu- tenho-ver-com-isso/> Acesso em: 30/12/2017. Os crimes virtuais praticados por hackers têm acontecido com mais frequência e assustam pequenos empresários e empresas de tecnologia. Entre os problemas mais frequentes estão: roubo de identidade, calúnia e difamação, ameaça, espionagem industrial, pedofilia e discriminação, sendo um dos temas mais discutidos nos últimos dias. Com 94,2 milhões de pessoas utilizando a internet no Brasil e 45% delas usando redes sociais diariamente, a facilidade de acesso aos dados aumenta. Os prejuízos aos que compram serviços de boa fé e perdem dados pessoais e até confidenciais são incontáveis. FADISP. O aumento dos crimes virtuais. 2014. Disponível em: <http://www.fadisp.com.br/publicacoes/noticias/o-aumento-dos- crimes-virtuais> Acesso em: 30/12/2017. Questão 6 Sem resposta Os indicadores de desempenho são fundamentais para um bom monitoramento do processo de Gerenciamento de Riscos, e gerenciar os riscos permite às empresas um diferencial cada vez mais competitivo no mercado. Complete as lacunas a seguir: O PMI reforça que o processo de ____________ utiliza técnicas, como ____________ e ____________ , que requerem o uso das ____________ geradas durante a execução do projeto. Com base nas informações sobre como o PMI reforça o processo para controlar os riscos, assinale a alternativa que completa corretamente as lacunas: • Controlar os riscos, análises de variações, tendências, informações de desempenho. • Análise de variações, controlar riscos, tendências, informações de desempenho. • Informações de desempenho, controlar riscos, análise de variação, tendências. • Tendências, controlar riscos, análise de variações, informações de desempenho. • Controlar riscos, informações de desempenho, tendências, análises de variações. Sua resposta Tendências, controlar riscos, análise de variações, informações de desempenho. O texto correto é: O PMI reforça que o processo de controlar os riscos utiliza técnicas, como análises de variações e tendências, que requerem o uso das informações de desempenho geradas durante a execução do projeto. Questão 7 Sem resposta O planejamento do Gerenciamento dos Recursos Humanos tem por objetivo definir as responsabilidades, a hierarquia e as habilidades. Quanto mais profundo o conhecimento sobre as pessoas melhor o resultado que pode ser extraído do time de projetos. Considerando as informações apresentadas, quais são os passos que contemplam o Gerenciamento dos Recursos Humanos? • Gerenciar as pessoas do projeto; Planejar a gestão das pessoas; Desenvolver as pessoas do projeto; Mobilização das pessoas do projeto. • Gerenciar as pessoas do projeto; Planejar a gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver as pessoas do projeto. • Planejar a gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver as pessoas do projeto; Gerenciar as pessoas do projeto. • Mobilização das pessoas do projeto; Gerenciar as pessoas do projeto; Desenvolver as pessoas do projeto; Planejar a gestão das pessoas. • Desenvolver as pessoas do projeto; Planejamento da gestão das pessoas; Mobilização das pessoas do projeto; Gerenciar as pessoas do projeto. Sua resposta Planejar a gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver as pessoas do projeto; Gerenciar as pessoas do projeto. O gerenciamento das pessoas possui quatro processos principais. São eles: Planejamento da gestão das pessoas; Mobilização das pessoas do projeto; Desenvolver as pessoas do projeto e; Gerenciar as pessoas do projeto. Questão 8 Sem resposta A imagem a seguir representa parte do fluxo de entradas e saídas do plano de gerenciamento do projeto. As entradas apontadas na figura, após aplicação de ferramentas e técnicas geram as saídas deste processo que alimentará um processo seguinte. Analise a imagem contida no texto-base e determine quais as saídas para esse processo. • Entregas; Dados de desempenho do trabalho; Solicitação de mudança; Atualizações no plano de gerenciamento do projeto; Atualizações nos documentos do projeto. • Solicitação de mudança aprovada; Registro das mudanças; Atualização no plano de gerenciamento do projeto; Atualização dos documentos do projeto. • Transição do produto, serviço ou resultado final; Atualizações nos ativos de processos organizacionais. • Documentação dos requisitos; Matriz de rastreabilidade dos requisitos. • Entregas aceitas; Solicitações de mudança; Informações sobre o desempenho do trabalho; Atualização nos documentos do projeto. Sua resposta Entregas; Dados de desempenho do trabalho; Solicitação de mudança; Atualizações no plano de gerenciamento do projeto; Atualizações nos documentos do projeto. As entradas apontadas na figura 4.11, após aplicação de ferramentas e técnicas geram as saídas deste processo que alimentará um processo seguinte. Se nos atentarmos as saídas da figura, veremos:· Entregas· Dados de desempenho do trabalho· Solicitação de mudança· Atualizações no plano de gerenciamento do projeto· Atualizações nos documentos do projeto Figura: 4.11 | Orientar e gerenciar o trabalho do projeto Fonte: PMI (2013, p. 79) Questão 9 Sem resposta As reservas de contingência são calculadas com base na análise quantitativa dos riscos do projeto e os limites de riscos da organização. Fazem parte da baseline de custos alocado para riscos identificados que são aceitos e para as quais respostas contingentes ou mitigadoras são desenvolvidas. Assinale a alternativa que contém a correta interpretação acerca das reservas de contingência. • A reserva de contingência é somada ao orçamento base. • A reserva de contingência não faz parte do orçamento. • A reserva de contingência é usada para fim de controle de gerenciamento. • A reserva de contingências é destinada para atividades inesperadas. • A reserva de contingência é destinada à identificação de riscos. Sua resposta A reserva de contingências é destinada para atividades inesperadas. A reserva de contingência é gerada a partir de uma análise detalhadados riscos e incorporada ao orçamento do projeto. Todos os riscos avaliados e considerados aceitáveis para o projeto tem seu valor adicionado ao orçamento base, ou seja, a reserva de contingência é a aceitação do risco 'calculado". Questão 10 Sem resposta O principal objetivo da governança é alinhar a TI aos requisitos do negócio. Este alinhamento tem como base a continuidade do negócio, o atendimento às estratégias do negócio e o atendimento aos pontos externos de regularização. A tabela a seguir apresenta modelos de melhores práticas e suas definições em ordem aleatória: Modelos Definições (1) BSC (2) CobiT (3) eSCM (4) ISO 27001 (5) ITIL (6) SAS 70 ( ) Modelo abrangente aplicável para auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. ( ) Código de práticas cujo principio geral é a adoção pela organização de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente o risco da organização. ( ) Regras de auditoria para empresas de serviços. ( ) Seu principal objetivo é alcançar o alinhamento entre o planejamento estratégico da empresa e as atividades operacionais que ela exerce. Essa prática traduz a missão e a estratégia em objetivos e medidas, organizados através de indicadores que irão informar os funcionários sobre os vetores do sucesso atual e futuro. ( ) Biblioteca que reúne as melhores práticas Gestão de Serviços de Tecnologia da Informação (TI). Trata-se de um conjunto de livros onde estão documentados o que as empresas ao redor do mundo conhecem de melhor sobre a gestão de TI, após décadas de acúmulo de aprendizado. ( ) Melhores práticas em relacionamento de terceirização. Assinale a alternativa que contém a correta associação dos modelos de melhores práticas e suas definições: • 3 – 4 – 5 – 1 – 6 - 2 • 2 – 4 – 6 – 1 – 5 - 3 • 2 – 3 – 6 – 4 – 5 - 1 • 1 – 2 – 4 – 6 – 5 - 3 • 5 – 4 – 2 – 1 – 6 - 3 Sua resposta 2 – 4 – 6 – 1 – 5 - 3 Os modelos de melhores práticas (frameworks) mais conhecidos são: CobiT – Objetivo de Controle para Tecnologia da Informação e Áreas Relacionadas. CMMI – Modelo Integrado de Maturidade em Capacitação. ITIL – Biblioteca de Informações de Infraestrutura de Tecnologia. ISO 27001 – Melhores práticas em Segurança da Informação. eSCM – Melhores práticas em relacionamento de terceirização. PMBOK – Guia do Conjunto de Conhecimentos em Gerenciamento de Projetos. BSC – Indicadores balanceados de desempenho. Six Sigma – Metodologia para melhoramento da qualidade de processos. SAS 70 – Regras de Auditoria. SILVA, S. Introdução à governança em tecnologia da informação. Londrina, Educacional, 2017.
Compartilhar