Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão de riscos em TI Professor(a): Márcio dos Santos (Especialização) 1) 2) 3) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir ___________________, por meio da descoberta de características da organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: No contexto; A análise SWOT; Na ISO 31000. Na ISO 31000; O contexto; Na análise SWOT. Na análise SWOT; O contexto; Com a ISO 31000. Na ISO 31000; A análise SWOT; No contexto. CORRETO Na análise SWOT; A ISO 31000; No contexto. Código da questão: 55123 Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: Alternativas: São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. CORRETO Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização. Código da questão: 55130 Uma das formas de manter os critérios de segurança da informação é por meio da comprovação de integridade. Freitas (2009) nos aponta dois tipos de criptografia que auxiliam neste processo: Alternativas: Hash e coding. Simétrica e assimétrica. CORRETO Simétrica e hash Ação e verificação. Coding e hash. Resolução comentada: Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao evidenciar as fraquezas, forças, oportunidades e ameaças. Resolução comentada: Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos passos seguintes do processo de gestão de riscos. Resolução comentada: 4) 5) 6) Código da questão: 55139 Definir um contexto em uma organização, à luz da ISO 31000 e do Cobit, consiste basicamente em: ( ) Apontar as características da organização. ( ) Definir as atividades e processos que a organização executa. ( ) Conhecer cada recurso humano e seu papel em meio ao todo. ( ) Conhecer a filosofia da organização. ( ) Reconhecer os riscos que podem afetar negativamente a organização. Assinale a alternativa que contenha a sequência correta: Alternativas: F – V – F – V – V. F – F – V – V – F. F – F – V – V – V. F – V – V – V – F. V – V – V – V – F. CORRETO Código da questão: 55125 A alteração da probabilidade de ocorrência de um risco pode ser feita: Alternativas: Por meio da geração de dados fictícios. Utilizando informações de eventos anteriores. Por meio do cálculo da média de ocorrências nocivas. Via manipulação das variáveis envolvidas. CORRETO Com base em uma estimativa futura. Código da questão: 55148 Prover a segurança da informação é um dos propósitos da gestão de risco. De acordo com Freitas (2009), a ameaça que infesta uma rede sobrecarregando recursos, é chamada de: Alternativas: Worm. CORRETO Vírus. Trojan. Spyware Keylogger. Por meio da criptografia simétrica/assimétrica a integridade de uma mensagem/dado/informação pode ser protegida e assegurada. Resolução comentada: Conhecer o contexto da organização é o primeiro passo no processo de implantação da gestão de riscos. Os riscos só começam a ser visualizados, de fato, a partir da próxima etapa, que é a identificação dos riscos. Resolução comentada: A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor final. Desta forma, a probabilidade pode ser modificada ao serem considerados outros fatores que haviam sido deixados de fora nos cálculos iniciais. 7) 8) 9) Código da questão: 55138 O encerramento das atividades que originam um risco é: Alternativas: Um recurso para minimizar os impactos. Uma alternativa para detectar ameaças. Um meio de mensurar os ativos. Uma maneira de tratar as ameaças. Uma forma de modificar os riscos. CORRETO Código da questão: 55147 Ameaças utilizam-se de brechas ou vulnerabilidades para entrarem em ação dentro de um determinado cenário, podendo causar perdas ou danos, desta forma, uma ameaça pode ter um impacto diferente de acordo com o seu tipo ou com a própria organização. Em uma forma resumida, ameaças podem ser consideradas como: Alternativas: Passivos que requerem tratativa específica. Ativos de valor negativo. Sinônimo de riscos e que devem sempre ser eliminadas. Ativos que precisam receber algum tipo de tratativa. Tudo aquilo que pode causar prejuízo aos ativos. CORRETO Código da questão: 55131 Quanto ao artigo de Freitas (2009), Estudo bibliográfico em gestão de riscos visando identificar as ferramentas, métodos e relacionamentos mais referenciados, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) O valor da informação ou conhecimento muda com o tempo. ( ) Toda informação tem um ciclo de vida. ( ) O valor da informação é mutável, de acordo com o público-alvo. ( ) A origem dos dados facilita a identificação do usuário. ( ) O nível ostensivo de segurança de dados torna-o secreto/confidencial. Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – V – F – V. V – F – V – F – F. Resolução comentada: O objetivo do worm (verme) é sobrecarregar recursos de uma rede por meio da autorreplicação. Ele pode permitir acesso remoto a recursos do computador. Resolução comentada: A modificação dos riscos pode ocorrer de formas diversas. Uma delas é por meio do encerramento da atividade que dá origem ao risco em questão. Resolução comentada: As ameaças são situações concretas ou não que podem causar algum tipo de dano aos ativos de uma organização. 10) F – F – F – V – F. F – F – V – F – F. V – V – V – V – F. CORRETO Código da questão: 55135 Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) Deve ocorrer quando o risco não for tratável. ( ) Deve ocorrer apenas quando o gestor de TI definir. ( ) É uma opção, quando o risco for de baixo impacto. ( ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. ( ) Deve ser adotada quando os impactos forem medianos. Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – V – V – F. V – F – V – F – F. F – V – V – V – V. F – F – V – V – F. CORRETO F – F – F – V – V. Código da questão: 55143 Resolução comentada: O nível ostensivo, citado por Freitas (2009), é quando não há classificação específica apontada, ou cujo acesso possa ser franqueado. Resolução comentada: Algumas situações em que um risco pode ser aceitável são: 1. Quando o tratamento dele for mais custoso que seu impacto na organização. 2. Quando seu impacto for ínfimo em seu tratamento. Arquivos e Links
Compartilhar