Gestão de riscos em TI

Prévia do material em texto

29/02/2024, 08:55 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2895371/6729754 1/5
Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode
responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V)
ou falsas (F): 
(   ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.  
(   ) É necessário eleger o presidente da governança. 
(  ) Deve ocorrer quebra de paradigmas.  
(   ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
(   ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – V – V – V – V. 
F – F – V – V – F.   CORRETO
F – V – V – V – F. 
F – F – F – V – V. 
V – F – V – F – F. 
Código da questão: 55116
Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da
organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto:  
Alternativas:
A preparar um plano para diminuição dos riscos, já que é impossível removê-los. 
À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. 
Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. 
À definição do contexto da organização.   CORRETO
A definir os riscos que podem afetar a organização. 
Código da questão: 55129
Quanto ao processo de gerenciamento de riscos apresentado pela família de normas ISO 31000, analise as seguintes asserções: 
I. O tratamento de riscos só pode ser executado após o processo de análise, e ele retroalimenta a estrutura por meio do monitoramento e
revisão. 
II. O monitoramento e revisão engloba todas as etapas do processo de gerenciamento de riscos.   
III. A identificação dos riscos depende do estabelecimento de um contexto organizacional. 
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI.  
Resolução comentada:
Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja
possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo
de tratamento. 
29/02/2024, 08:55 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2895371/6729754 2/5
4)
5)
IV. Estabelecer um contexto apenas fornece dados, mas não os recebe. 
V. A etapa de avaliação de riscos possui três subetapas. 
São verdadeiras: 
Alternativas:
I - IV. 
I - II - III - V.   CORRETO
III - V. 
II - IV - V. 
II - III - IV. 
Código da questão: 55128
Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de
minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o
primeiro item é mais subjetivo que o segundo. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
Os dados de uma organização; Diretos ou indiretos. 
A organização inteira; Abstratos ou concretos. 
A credibilidade e integridade; Parciais ou totais. 
Diretamente os ativos; Abstratos ou concretos.    CORRETO
A segurança e os dados; Concretos ou abstratos.  
Código da questão: 55132
Quanto aos erros e falhas abordados por Laudon e Laudon (2007), analise as seguintes proposições: 
I. Erros e falhas são similares, mas o primeiro ocorre em redes e o segundo, em softwares. 
II. Falhas são caracterizadas por um comportamento inesperado, seja de uma rede ou software. 
III. Erros produzem algum resultado diferente do esperado em um sistema computacional ou infraestrutura de rede. 
IV. Existe uma ligação direta entre erro e defeito, sendo que este segundo é descoberto por meio do primeiro. 
V. Defeito e erro podem ser caracterizados como tipos de falhas. 
São verdadeiras: 
Alternativas:
I - IV. 
II - III - IV.   CORRETO
I - III - V. 
I - II - III - V. 
Resolução comentada:
Como o processo de gerenciamento de riscos é cíclico, cada etapa passa por um monitoramento e revisão, responsável por realizar
ajustes necessários no processo. Depois de um risco ser tratado, a revisão também ocorre, retroalimentando o contexto da organização,
que poderá adaptar sua cultura e princípios de acordo com os resultados obtidos, reiniciando o ciclo. O processo de avaliação de riscos
compreende três subcategorias: identificação do risco, análise do risco, avaliação do risco. Por padrão, a identificação de riscos só
ocorre depois que um contexto é estabelecido. 
Resolução comentada:
Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os ativos abstratos têm maior subjetividade, pois não
possuem uma forma ou escopo quantitativo, mas sim, qualitativo. 
29/02/2024, 08:55 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2895371/6729754 3/5
6)
7)
8)
I - II - III. 
Código da questão: 55146
Considerando a inevitabilidade de um risco, existem algumas medidas que podem ser tomadas para minimizar seus impactos. Quando
essas medidas não se adequam ao cenário da organização, é possível maximizar ou simplesmente aceitar o risco. Considerando esta
afirmação, a aceitação de um risco deve ocorrer quando: 
Alternativas:
A governança de TI determinar que não há forma de evitá-lo. 
O departamento de TI não conseguir sanar a situação. 
Seus impactos forem baixos ou o tratamento tenha custo elevado.   CORRETO
Não existir um plano de tratamento de riscos pré-estabelecido. 
Não houver mão de obra apta a prover uma resolução para o problema. 
Código da questão: 55140
Quanto aos riscos em uma organização, é correto afirmar que: 
Alternativas:
Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. 
São de responsabilidade do departamento de TI. 
Devem ser eliminados pelo plano de gestão de riscos. 
São essenciais para que se avalie a importância da informação.   CORRETO
Devem ser resolvidos pelo corpo executivo da governança de TI. 
Código da questão: 55121
Quanto às famílias ISO 31000, analise as seguintes afirmações, assinalando V para verdadeiro e F para falso. 
(   ) O gerenciamento de riscos é parte de todos os processos de uma organização. 
(   ) Tomadas de decisão podem se basear no gerenciamento de riscos. 
(  ) O gerenciamento de riscos é estático, recursivo e inerte a mudanças. 
(   ) É possível customizar o gerenciamento de riscos. 
(  ) Gerenciar riscos é o mesmo que lidar com incertezas. 
Resolução comentada:
Um comportamento inesperado não é propriamente um erro, mas sim uma falha. 
Um erro é a ocorrência de um resultado diferente do esperado, por ex.: dois números quaisquer, sempre que multiplicados entre
si resultam em “0”. Todo erro, quando descoberto, evidencia um defeito em um sistema/rede. 
Já uma falha é um comportamento inesperado do software mediante a ocorrência do erro. Veja a continuidade do exemplo
anterior, mas focado em falhas: em decorrência do cálculo incorreto na multiplicação de dois números (erro), o sistema deixa de
emitir um relatório, pois considera que não existe relatório para resultados do tipo “0”. 
Resolução comentada:
Em situações em que os custos de tratamento de um risco forem exorbitantes e desproporcionais aos impactos do risco, pode ocorrer
sua aceitação; ademais, quando o risco tiver um impacto ínfimo e seu tratamento tornar-semais custoso que sua aceitação, pode-se
optar por aceitá-lo. 
Resolução comentada:
Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a
importância de uma informação. 
29/02/2024, 08:55 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2895371/6729754 4/5
9)
10)
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – V – F – V – V.    CORRETO
F – F – V – F – F. 
V – V – V – F – V.  
V – F – V – F – V. 
F – F – F – V – F. 
Código da questão: 55126
Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta
dois tipos de criptografia que auxiliam neste processo: 
Alternativas:
Coding e hash. 
Simétrica e hash
Hash e coding. 
Simétrica e assimétrica.   CORRETO
Ação e verificação. 
Código da questão: 55139
Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos
mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(   ) O valor da informação ou conhecimento muda com o tempo. 
(   ) Toda informação tem um ciclo de vida. 
(  ) O valor da informação é mutável, de acordo com o público-alvo. 
(   ) A origem dos dados facilita a identificação do usuário. 
(  ) O nível ostensivo de segurança de dados torna-o secreto/confidencial.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – F – V – F – V. 
V – F – V – F – F.  
F – F – F – V – F. 
V – V – V – V – F.   CORRETO
F – F – V – F – F. 
Código da questão: 55135
Resolução comentada:
A única frase incorreta é a terceira, pois o gerenciamento de riscos é dinâmico, iterativo e totalmente responsivo a mudanças. 
Resolução comentada:
Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. 
Resolução comentada:
O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. 
29/02/2024, 08:55 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2895371/6729754 5/5
Arquivos e Links