Gestão de riscos em TI - Segurança da informação

Prévia do material em texto

1)O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na execução de determinada tarefa, atividade ou trabalho. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Uma norma; Conjunto de atividades. 
· Um guia; Esforço temporário. 
checkCORRETO
· Uma biblioteca; Conjunto de critérios. 
· Uma norma; Rol de processos. 
· Um framework; Processo. 
Resolução comentada:
Uma das características do PMBOK é sua maleabilidade. Sendo um guia, aponta orientações de melhores práticas na gestão de projetos – cuja definição é empiricamente conhecida como sendo um esforço temporário para resolução de determino problema. 
2)Quanto aos riscos em uma organização, é correto afirmar que: 
Alternativas:
· Devem ser eliminados pelo plano de gestão de riscos. 
· Devem ser resolvidos pelo corpo executivo da governança de TI. 
· São essenciais para que se avalie a importância da informação. 
checkCORRETO
· São de responsabilidade do departamento de TI. 
· Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. 
Resolução comentada:
Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. 
3)Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir ___________________, por meio da descoberta de características da organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Na ISO 31000; O contexto; Na análise SWOT. 
· Na análise SWOT; O contexto; Com a ISO 31000.  
· No contexto; A análise SWOT; Na ISO 31000.   
· Na ISO 31000; A análise SWOT; No contexto. 
checkCORRETO
· Na análise SWOT; A ISO 31000; No contexto. 
Resolução comentada:
Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao evidenciar as fraquezas, forças, oportunidades e ameaças. 
4)Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(   ) O valor da informação ou conhecimento muda com o tempo. 
(   ) Toda informação tem um ciclo de vida. 
(  ) O valor da informação é mutável, de acordo com o público-alvo. 
(   ) A origem dos dados facilita a identificação do usuário. 
(  ) O nível ostensivo de segurança de dados torna-o secreto/confidencial.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· F – F – F – V – F. 
· V – F – V – F – F.  
· V – F – V – F – V. 
· V – V – V – V – F. 
checkCORRETO
· F – F – V – F – F. 
Resolução comentada:
O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. 
5)Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e informáticos, investimentos na proteção da infraestrutura de hardware e software podem trazer resultados bastante benéficos neste sentido. Em uma _________________, por exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra, senão ________________, que também protege ambas as redes de ___________________. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Rede externa; Por meio de um roteador; Invasão interna. 
· Zona desmilitarizada; Para encaminhar pacotes de dados; Acesso não autorizado. 
· DMZ; Por meio de um firewall; Ameaças externas.   
checkCORRETO
· IPS; Por meio de uma DMZ; Acessos via internet. 
· Rede local; Por uma sub-rede; Ataques cibernéticos. 
Resolução comentada:
Uma zona desmilitarizada propicia a separação das redes em duas camadas: a primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se concentram os serviços que utilizam diretamente a Web; ambas as redes só se comunicam via firewall, que também as protege do acesso direto da internet.  
6)Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
(   ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.  
(   ) É necessário eleger o presidente da governança. 
(  ) Deve ocorrer quebra de paradigmas.  
(   ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
(   ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· F – V – V – V – F. 
· F – F – V – V – F. 
checkCORRETO
· V – F – V – F – F. 
· F – F – F – V – V. 
· F – V – V – V – V. 
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI.  
7)Leia e associe as duas colunas quanto aos níveis de segurança da informação: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-A; II-B; III-C. 
· I-B; II-A; III-C. 
· I-B; II-C; III-A. 
· I-A; II-C; III-B. 
· I-C; II-A; III-B. 
checkCORRETO
Resolução comentada:
IPS, por ser mais seguro, fica alocado entre o firewall e o switch/hub, ou seja, mesmo antes de o intruso entrar na rede ele já é interceptado. Já o IDS aguarda o ingresso do intruso para então disparar o alerta. O roteador, por sua vez, não tem um papel relevante quanto à segurança da rede, visto que sua atuação se concentra na conexão de redes distintas, apenas (internet e rede local).  
8)Leia e associe as duas colunas: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-B; II-A; III-C. 
checkCORRETO
· I-C; II-A; III-B. 
· I-C; II-B; III-A. 
· I-A; II-B; III-C. 
· I-B; II-C; III-A. 
Resolução comentada:
Controles de gerenciamento de riscos devem ser monitorados e  revistos constantemente; a organização deve estar comprometida com o processo de gestão de riscos; gerenciar riscos deve ser algo que esteja enraizado na cultura da organização. 
9)É correto afirmar que a norma ISSO 27001 estabelece:  
Alternativas:
· Requisitos para gestão de sistemas de informação baseada em um código de prática.  
checkCORRETO
· Recomendações para gestão de riscos de TI. 
· Orientações técnicas para avaliação de riscos em TI. 
· Regras que devem ser seguidas à risca para que os resultados sejam de acordo com o esperado. 
· Critérios mandatórios para implantação de uma estrutura de gestão de riscos. 
Resolução comentada:
Esta definição é exposta já no próprio título da norma e corroborada por Hintzbergen (2018).  
10)Quanto ao processo de gerenciamento de riscos apresentado pela família de normas ISO 31000, analise as seguintes asserções: 
I. O tratamento de riscos só pode ser executado após o processo de análise, e ele retroalimenta a estrutura por meio do monitoramento e revisão. 
II. O monitoramento e revisão engloba todas as etapas do processo de gerenciamento de riscos.   
III. A identificação dos riscos depende do estabelecimento de um contexto organizacional. 
IV. Estabelecer um contexto apenas fornece dados, mas não os recebe. 
V. A etapa de avaliação de riscos possui três subetapas. 
São verdadeiras: 
Alternativas:
· II - IV - V. 
· III - V. 
· I - II - III - V. 
checkCORRETO
· II - III - IV. 
· I - IV. 
Resolução comentada:
Como o processo de gerenciamento de riscos é cíclico, cada etapa passa por um monitoramento e revisão, responsável por realizar ajustes necessários no processo. Depois de um risco ser tratado, a revisão também ocorre, retroalimentando o contexto da organização,que poderá adaptar sua cultura e princípios de acordo com os resultados obtidos, reiniciando o ciclo. O processo de avaliação de riscos compreende três subcategorias: identificação do risco, análise do risco, avaliação do risco. Por padrão, a identificação de riscos só ocorre depois que um contexto é estabelecido.