Atividade - 02 -UNIDADE 1 - Introdução à governança em Tecnologias da Informação

Prévia do material em texto

Correção dos exercícios da unidade 
Disciplina Governança de Tecnologia da Informação 
Acertos 3 de 5 questões 
Nota 12 pontos 
 
Questão 1Errada 
A implantação do processo de governança de TI, por natureza, é repleta de dificuldades, 
dos mais variados tipos. Por exemplo, uma dificuldade do processo é entregar as 
informações necessárias, de forma íntegra, uniforme e com a transparência exigidas, o 
que já torna o processo complexo. 
Assinale a alternativa que contém outro aspecto que também interfere no processo de 
implantação de governança de TI. 
Sua resposta 
Disponibilidade de investimento. 
 
A realidade da área de TI demonstra grande dificuldade em mostrar que a TI não é 
apenas custo, mas gera resultados para o negócio a curto, médio e longo prazos. 
Portanto, é um equívoco dizer que há facilidade em demonstrar a relação custo x 
benefício da TI. 
 
Questão 2Errada 
"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de 
cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória ganha 
sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, 
perderá todas as batalhas.” 
 
Considere as afirmativas a seguir: 
 
I. A gestão da segurança da informação pode ser dividida em três camadas para garantir 
que todos os seus dados sejam salvos com o máximo de segurança. São elas: física, 
lógica e humana. 
II. Ameaças (externas) podem ser minimizadas (ou mitigadas). 
III. São exemplos de crimes cibernéticos: roubo de identidade, espionagem industrial, 
calúnia. 
Agora, assinale a alternativa CORRETA: 
Sua resposta 
Apenas as afirmativas II e III estão corretas 
 
“De acordo com especialistas, as ameaças do mundo virtual são espelhadas nas do 
mundo físico. Seguindo essa lógica, o crime no ambiente on-line inclui tudo o que pode 
se esperar do off-line, como roubo, extorsão, vandalismo, exploração e fraude, por 
exemplo. Desta forma, é preciso entender bem em quais níveis a segurança deve 
acontecer, para, assim, garantir que todos os dados corporativos estejam a salvo. De 
modo geral, a gestão da segurança da informação pode ser dividida em três camadas: 
Física: é o ambiente em que o hardware (computadores, servidores, meios de 
comunicação) está fisicamente instalado. Representa o lugar onde estão os 
computadores e a rede de telecomunicação com o modem, cabos e memória física (CDs, 
HDs). A segurança desta camada é feita a partir do controle de acesso aos recursos de 
TI (autorizando apenas pessoas específicas), do uso de equipamentos para fornecimento 
ininterrupto de energia e da instalação de firewalls, por exemplo. Lógica: é 
caracterizada pelo uso de softwares. Eles são os responsáveis pelo funcionamento dos 
hardwares, pela realização de transações em base de dados organizacionais e pela 
criptografia de senhas e de mensagens. Esta camada de segurança está ligada ao acesso 
dos indivíduos às aplicações e as ferramentas de controle são “invisíveis” aos olhos das 
pessoas externas aos ambientes de informática. Uma forma de minimizar os riscos nesta 
camada é manter o sistema operacional sempre atualizado. Humana: é constituída pelos 
colaboradores da organização, principalmente aqueles que têm acesso aos recursos de 
TI (para manutenção ou uso). Nesta camada é preciso levar em conta a percepção das 
pessoas em relação aos riscos cibernéticos (como elas lidam com os incidentes de 
segurança), se são instruídas sobre o uso da TI e quanto ao perigo dos intrusos 
maliciosos e a engenharia social (manipulação psicológica para que realizem ações ou 
divulguem informações confidenciais). Esta camada é a mais difícil de gerenciar, por 
envolver fatores humanos como psicológicos, sócio-culturais e emocionais”. 
NUVME. Como garantir a segurança da informação na sua empresa. 2017. 
Disponìvel em:< http://blog.nuvme.com.br/como-garantir-seguranca-da-informacao-na-
sua-empresa/> Acesso em: 30/12/2017 * Ameaças (externas) normalmente NÃO 
podem ser controladas. É impossível impedir uma inundação, um homem-bomba ou 
uma greve em andamento. Ameaças podem ser identificadas, mas geralmente estão fora 
do nosso controle. * Riscos (externos e/ou internos) PODEM ser minimizados (ou 
mitigados). Riscos podem ser gerenciados em relação às vulnerabilidades ou impactos 
que acarretam quando se realizam. * Vulnerabilidades (internas) PODEM ser tratadas. 
Fraquezas podem ser identificadas e até mesmo eliminadas com a aplicação de ações 
proativas para correção das vulnerabilidades. MARINHO, F. Ameaças x Riscos x 
Vulnerabilidade: o que eu tenho a ver com isso ? 2015. Disponível em:< 
https://cryptoid.com.br/banco-de-noticias/ameacas-x-riscos-x-vulnerabilidade-o-que-eu-
tenho-ver-com-isso/> Acesso em: 30/12/2017. Os crimes virtuais praticados por 
hackers têm acontecido com mais frequência e assustam pequenos empresários e 
empresas de tecnologia. Entre os problemas mais frequentes estão: roubo de identidade, 
calúnia e difamação, ameaça, espionagem industrial, pedofilia e discriminação, sendo 
um dos temas mais discutidos nos últimos dias. Com 94,2 milhões de pessoas utilizando 
a internet no Brasil e 45% delas usando redes sociais diariamente, a facilidade de acesso 
aos dados aumenta. Os prejuízos aos que compram serviços de boa fé e perdem dados 
pessoais e até confidenciais são incontáveis. FADISP. O aumento dos crimes virtuais. 
2014. Disponível em: <http://www.fadisp.com.br/publicacoes/noticias/o-aumento-dos-
crimes-virtuais> Acesso em: 30/12/2017. 
 
Questão 3Correta 
“A Lei Sarbanes Oxley, de 30 de julho de 2002, nos Estados Unidos, foi precursora das 
novas regras de segurança e auditoria confiáveis nas empresas, incluindo as de criação 
de comitês encarregados de supervisionar suas atividades e operações, de modo a 
mitigar riscos, evitar fraudes ou assegurar meios de identificá-las quando ocorram, 
garantindo transparência na gestão. 
No Brasil, a Lei 12.846, de 1° de agosto de 2013, veio disciplinar atos lesivos à 
administração pública nacional e estrangeira. Entre outras coisas, visa a responsabilizar 
pessoas jurídicas nos âmbitos administrativo e civil por atos lesivos praticados em seu 
interesse ou benefício. 
Cada vez mais as corporações, independentemente de tamanho ou estrutura jurídica, 
bem como seus dirigentes e proprietários, estão sujeitas às novas regras de compliance e 
governança corporativa. Para isso, gestores devem estar cientes de suas 
responsabilidades objetivas perante a lei, tanto no Brasil — no que diz respeito a 
entidades públicas nacionais ou estrangeiras — quanto no exterior, no âmbito da Lei 
Sarbanes Oxley. Só o conhecimento profundo sobre as regras e a determinação de 
segui-las poderão garantir a sobrevivência dos negócios e segurança de todos numa 
corporação. Mas não só. A sociedade, como um todo, será a grande beneficiada”. 
 
Considere as asserções a seguir: 
 
I. O ato Sarbanes-Oxley afeta as empresas, tornando-se um requisito que exige dos 
administradores um nível elevado de entendimento das mudanças nos mecanismos e 
processos empresariais que este ato acarreta sobre cada corporação. 
 
PORQUE 
 
II. Praticamente, todas as informações financeiras e de resultados são oriundas de 
processos de negócio que geram fatos contábeis e financeiros para a empresa e que 
podem estar automatizados ou não. 
A respeito dessas asserções, assinale a alternativa correta: 
Sua resposta 
As asserções I e II são proposições verdadeiras e a II justifica a I. 
 
CERTA. “Em suas 1107 seções, o Ato Sarbanes-Oxley imputa responsabilidades 
nunca vistas perante os diretores de corporações, que vão desde o pagamento de multas 
ao cumprimento de penas de reclusão e sanções estendidas aos auditores que atestarem 
balanços com números fraudulentos. As seções 302 e 404 são as mais comentadas, 
sendo que a seção 302 trata da responsabilidade pessoal dos diretores executivos e 
diretores financeirose a seção 404 determina uma avaliação anual dos controles e 
procedimentos internos para fins de emissão dos relatórios financeiros. É, portanto, a 
seção que mais impacta a área de TI. Como não é possível separar processos de 
negócios e tecnologia no panorama corporativo atual, uma avaliação da infra-estrutura 
operacional e pessoal de TI das empresas é igualmente requerida. A Seção 404 do Ato 
Sarbanes-Oxley é o principal foco de atenção das empresas neste particular, por trazer 
as determinações sobre os controles de processos internos e sistemas contábeis da 
empresa”. PINHEIRO, J. O ato Sarbanes-Oxley e o impacto sobre a governança de 
TI das corporações. 2006. Disponível em:< 
http://revistas.unifoa.edu.br/index.php/cadernos/article/view/890/734> Acesso em: 
05/01/2018. 
 
Questão 4Correta 
Na Governança de TI, os diretores e executivos são responsáveis pela intermediação da 
compreensão das estratégias e objetivos da organização por parte da área de TI. O 
estudo da Governança de TI considera algumas dimensões. Sobre algumas dimensões 
consideradas em Governança de TI, analise as seguintes sentenças: 
 
I - O ambiente de negócio. 
 
II - A segurança da Informação. 
 
III - A questão da conformidade regulatória. 
 
IV - Alinhamento entre iniciativas de TI e a estratégia do negócio. 
 
V - Estrutura que permite melhor gestão de riscos. 
É correto o que se afirma apenas em: 
Sua resposta 
Apenas as afirmativas I, II e III estão corretas. 
 
Sabendo que: Alinhamento entre iniciativas de TI e a estratégia do negócio, e Estrutura 
que permite melhor gestão de riscos, fazem parte dos objetivos em governança de TI. 
Como exemplo de dimensões temos: O ambiente de negócio, a segurança da 
Informação, e a questão da conformidade regulatória. 
 
Questão 5Correta 
O COBIT (Objetivo de Controle para Tecnologia da Informação e áreas Relacionadas), 
o CMMI (Modelo Integrado de Maturidade em Capacitação), a ITIL (Biblioteca de 
Informações de Infraestrutura de Tecnologia), a ISO 27001 (Melhores práticas em 
Segurança da Informação), o eSCM (Melhores práticas em relacionamento de 
terceirização), o PMBOK (Guia do Conjunto de Conhecimentos em Gerenciamento de 
Projetos), o BSC (Indicadores balanceados de desempenho), o Six Sigma (Metodologia 
para melhoramento da qualidade de processos) e o SAS 70 (Regras de auditoria) fazem 
parte de governança. 
Considerando os dados mencionados acima, como se dá o sucesso em governança de 
TI? 
Sua resposta 
A governança de TI atingirá o sucesso por meio da implementação de um ou 
mais frameworks. 
 
COBIT, CMMI, ITIL, ISO 27001, eSCM, PMBOK, BSC, Six Sigma e SAS 70 
representam frameworks que podem ser utilizados no processo de governança de 
acordo com os objetivos organizacionais. A definição de quais e quantos utilizar 
variará de organização para organização.