Prévia do material em texto
Gestão de riscos em TI Professor(a): Márcio dos Santos (Especialização) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Alguns mecanismos de software podem ser utilizados em um ambiente de rede para prover maior nível de proteção contra ataques e invasão. Essas proteções contribuem na diminuição dos riscos, uma vez que as ameaças também são minimizadas. De acordo com Stallings (2015), analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) IPS e IDS atuam no servidor e cliente, respectivamente. ( ) IPS é um meio de proteção mais eficaz. ( ) IDS realiza a detecção quando o intruso já acessou a rede. ( ) IDS não pode ser utilizado em conjunto com um firewall. ( ) IPS necessita de um firewall para que sua atuação seja eficiente. Assinale a alternativa que contenha a sequência correta: Alternativas: F – F – F – V – F. V – F – V – F – V. V – F – V – F – F. F – V – V – F – F. CORRETO V – V – V – V – F. Código da questão: 55144 O quadro de ameaças é uma forma mais prática de elencar os possíveis componentes danosos e que deve ser conhecido por toda a organização. Este quadro deve especificar _________________ para que seja possível sua identificação clara e objetiva, além de citar ______________________ para fins de categorização. Neste raciocínio, recomenda-se elencar ___________________ da ameaça para que tratativas específicas possam ser aplicadas. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: O nome da ameaça; Seu tipo; A origem. CORRETO O nível de criticidade; Sua origem; O modo de solução. O tipo de ameaça; Seu nome; Os prazos de solução. O nome da ameaça; Os impactos; O prazo de solução. A origem; O impacto; O modo de solução. Código da questão: 55133 Resolução comentada: IPS mostra-se mais seguro, pois é um sistema de prevenção de intrusão, ou seja, antes que o acesso não autorizado ocorra, o sistema já dispara um alerta. Na contramão, o IDS apenas realiza o alerta quando a intrusão já se concretizou. Resolução comentada: Embora não seja obrigatório e nem possuam um modelo pré-definido, o quadro de ameaças, se elaborado, precisa seguir alguns critérios, como por exemplo, definir de forma clara o nome da ameaça, categorizando-a pelo seu tipo e apontando sua origem (interna ou externa). 3) 4) 5) Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização II. Cobit pode ser considerado como um framework. III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura. IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. São verdadeiras: Alternativas: II - III - IV. I - II - IV - V. I - II - III. CORRETO I - III - V. I - IV Código da questão: 55119 Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): ( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. ( ) É necessário eleger o presidente da governança. ( ) Deve ocorrer quebra de paradigmas. ( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). ( ) Todos os membros devem ser do alto escalão da TI. Assinale a alternativa que contenha a sequência correta: Alternativas: F – V – V – V – V. F – F – V – V – F. CORRETO F – F – F – V – V. V – F – V – F – F. F – V – V – V – F. Código da questão: 55116 Leia e associe as duas colunas. Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, Resolução comentada: Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. Resolução comentada: O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI. 6) 7) informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. Neste contexto, analise o quadro a seguir, relacionando as colunas. Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: I-B; II-A; III-C. I-C; II-B; III-A. I-C; II-A; III-B. CORRETO I-B; II-C; III-A. I-A; II-B; III-C. Código da questão: 55118 É correto afirmar que a norma ISSO 27001 estabelece: Alternativas: Regras que devem ser seguidas à risca para que os resultados sejam de acordo com o esperado. Critérios mandatórios para implantação de uma estrutura de gestão de riscos. Orientações técnicas para avaliação de riscos em TI. Requisitos para gestão de sistemas de informação baseada em um código de prática. CORRETO Recomendações para gestão de riscos de TI. Código da questão: 55122 Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto: Alternativas: Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. A preparar um plano para diminuição dos riscos, já que é impossível removê-los. A definir os riscos que podem afetar a organização. À definição do contexto da organização. CORRETO Resolução comentada: Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. Resolução comentada: Esta definição é exposta já no próprio título da norma e corroborada por Hintzbergen (2018). 8) 9) À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. Código da questão: 55129 Quanto ao processo de gerenciamento de riscos apresentado pela família de normas ISO 31000, analise as seguintes asserções: I. O tratamento de riscos só pode ser executado após o processo de análise, e ele retroalimenta a estrutura por meio do monitoramento e revisão. II. O monitoramento e revisão engloba todas as etapas do processo de gerenciamento de riscos. III. A identificação dos riscos depende do estabelecimento de um contexto organizacional. IV. Estabelecer um contexto apenas fornece dados, mas não os recebe. V. A etapa de avaliação de riscos possui três subetapas. São verdadeiras: Alternativas: II - III - IV. I - IV. III - V. I - II - III - V. CORRETO II - IV - V. Código da questão: 55128 Quanto aos ativos dentro de uma organização, considere as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) A informação é um ativo do tipo abstrato. ( ) Os dados podem ser consideradosativos quantitativos. ( ) Ativos podem ser impactados por ameaças, danosas ou não. ( ) Recursos humanos são ativos concretos, mas com aspectos abstratos. ( ) As características dos recursos humanos são ativos de menor valor. Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – V – F – F. F – F – F – V – V. F – V – V – V – V. F – F – V – V – F. Resolução comentada: Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo de tratamento. Resolução comentada: Como o processo de gerenciamento de riscos é cíclico, cada etapa passa por um monitoramento e revisão, responsável por realizar ajustes necessários no processo. Depois de um risco ser tratado, a revisão também ocorre, retroalimentando o contexto da organização, que poderá adaptar sua cultura e princípios de acordo com os resultados obtidos, reiniciando o ciclo. O processo de avaliação de riscos compreende três subcategorias: identificação do risco, análise do risco, avaliação do risco. Por padrão, a identificação de riscos só ocorre depois que um contexto é estabelecido. 10) V – F – V – V – F. CORRETO Código da questão: 55134 Quanto aos riscos em uma organização, é correto afirmar que: Alternativas: Devem ser resolvidos pelo corpo executivo da governança de TI. São essenciais para que se avalie a importância da informação. CORRETO Devem ser eliminados pelo plano de gestão de riscos. São de responsabilidade do departamento de TI. Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. Código da questão: 55121 Resolução comentada: Os dados e a informação são ativos abstratos (qualitativos), que podem ser afetados pela ocorrência de uma ameaça, seja ela positiva ou negativa. Recursos humanos são ativos concretos, mas suas características (conhecimento, ética, formalismo, etc.), são abstratas. Resolução comentada: Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. Arquivos e Links