Gestão de riscos em TI

Prévia do material em texto

Gestão de riscos em TI
Professor(a): Márcio dos Santos (Especialização)
1)
2)
3)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e
corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode
responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova!
Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos
conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir
___________________, por meio da descoberta de características da organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
No contexto; A análise SWOT; Na ISO 31000.   
Na ISO 31000; O contexto; Na análise SWOT. 
Na análise SWOT; O contexto; Com a ISO 31000.  
Na ISO 31000; A análise SWOT; No contexto.   CORRETO
Na análise SWOT; A ISO 31000; No contexto. 
Código da questão: 55123
Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: 
Alternativas:
São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. 
É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. 
Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes.  
CORRETO
Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. 
Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à
organização. 
Código da questão: 55130
Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta
dois tipos de criptografia que auxiliam neste processo: 
Alternativas:
Hash e coding. 
Simétrica e assimétrica.   CORRETO
Simétrica e hash
Ação e verificação. 
Coding e hash. 
Resolução comentada:
Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao
evidenciar as fraquezas, forças, oportunidades e ameaças. 
Resolução comentada:
Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento
do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos
passos seguintes do processo de gestão de riscos. 
Resolução comentada:
4)
5)
6)
Código da questão: 55139
Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste basicamente em: 
(   ) Apontar as características da organização.  
(   ) Definir as atividades e processos que a organização executa. 
(  ) Conhecer cada recurso humano e seu papel em meio ao todo. 
(   ) Conhecer a filosofia da organização. 
(   ) Reconhecer os riscos que podem afetar negativamente a organização. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
F – V – F – V – V. 
F – F – V – V – F. 
F – F – V – V – V. 
F – V – V – V – F. 
V – V – V – V – F.   CORRETO
Código da questão: 55125
A alteração da probabilidade de ocorrência de um risco pode ser feita: 
Alternativas:
Por meio da geração de dados fictícios. 
Utilizando informações de eventos anteriores. 
Por meio do cálculo da média de ocorrências nocivas. 
Via manipulação das variáveis envolvidas.   CORRETO
Com base em uma estimativa futura. 
Código da questão: 55148
Prover a segurança da informação é um dos propósitos da gestão de risco. De acordo com Freitas (2009), a ameaça que infesta uma rede
sobrecarregando recursos, é chamada de:  
Alternativas:
Worm.   CORRETO
Vírus. 
Trojan. 
Spyware
Keylogger. 
Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. 
Resolução comentada:
Conhecer o contexto da organização é o primeiro passo no processo de implantação da gestão de riscos. Os riscos só começam
a ser visualizados, de fato, a partir da próxima etapa, que é a identificação dos riscos.  
Resolução comentada:
A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor final. Desta forma, a probabilidade pode ser
modificada ao serem considerados outros fatores que haviam sido deixados de fora nos cálculos iniciais. 
7)
8)
9)
Código da questão: 55138
O encerramento das atividades que originam um risco é: 
Alternativas:
Um recurso para minimizar os impactos. 
Uma alternativa para detectar ameaças.  
Um meio de mensurar os ativos. 
Uma maneira de tratar as ameaças. 
Uma forma de modificar os riscos.   CORRETO
Código da questão: 55147
Ameaças utilizam-se de brechas ou vulnerabilidades para entrarem em ação dentro de um determinado cenário, podendo causar perdas ou
danos, desta forma, uma ameaça pode ter um impacto diferente de acordo com o seu tipo ou com a própria organização. 
Em uma forma resumida, ameaças podem ser consideradas como: 
Alternativas:
Passivos que requerem tratativa específica. 
Ativos de valor negativo. 
Sinônimo de riscos e que devem sempre ser eliminadas. 
Ativos que precisam receber algum tipo de tratativa. 
Tudo aquilo que pode causar prejuízo aos ativos.   CORRETO
Código da questão: 55131
Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos
mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(   ) O valor da informação ou conhecimento muda com o tempo. 
(   ) Toda informação tem um ciclo de vida. 
(  ) O valor da informação é mutável, de acordo com o público-alvo. 
(   ) A origem dos dados facilita a identificação do usuário. 
(  ) O nível ostensivo de segurança de dados torna-o secreto/confidencial.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – F – V – F – V. 
V – F – V – F – F.  
Resolução comentada:
O objetivo do worm (verme) é sobrecarregar recursos de uma rede por meio da autorreplicação. Ele pode permitir acesso remoto a
recursos do computador. 
Resolução comentada:
A modificação dos riscos pode ocorrer de formas diversas. Uma delas é por meio do encerramento da atividade que dá origem ao risco
em questão. 
Resolução comentada:
As ameaças são situações concretas ou não que podem causar algum tipo de dano aos ativos de uma organização.  
10)
F – F – F – V – F. 
F – F – V – F – F. 
V – V – V – V – F.   CORRETO
Código da questão: 55135
Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(   ) Deve ocorrer quando o risco não for tratável. 
(   ) Deve ocorrer apenas quando o gestor de TI definir. 
(   ) É uma opção, quando o risco for de baixo impacto. 
(   ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. 
(   ) Deve ser adotada quando os impactos forem medianos. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
V – F – V – V – F. 
V – F – V – F – F. 
F – V – V – V – V. 
F – F – V – V – F.   CORRETO
F – F – F – V – V. 
Código da questão: 55143
Resolução comentada:
O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. 
Resolução comentada:
Algumas situações em que um risco pode ser aceitável são: 
1. Quando o tratamento dele for mais custoso que seu impacto na organização. 
2. Quando seu impacto for ínfimo em seu tratamento. 
Arquivos e Links