Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prover a segurança da informação é um dos propósitos da gestão de risco. De acordo com Freitas (2009), a ameaça que infesta uma rede sobrecarregando recursos, é chamada de: Alternativas: · Keylogger. · Trojan. · Spyware · Vírus. · Worm. CORRETO Resolução comentada: O objetivo do worm (verme) é sobrecarregar recursos de uma rede por meio da autorreplicação. Ele pode permitir acesso remoto a recursos do computador. Código da questão: 55138 Quanto aos riscos em uma organização, é correto afirmar que: Alternativas: · Devem ser eliminados pelo plano de gestão de riscos. · São essenciais para que se avalie a importância da informação. CORRETO · Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. · Devem ser resolvidos pelo corpo executivo da governança de TI. · São de responsabilidade do departamento de TI. Resolução comentada: Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. Código da questão: 55121 Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização II. Cobit pode ser considerado como um framework. III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura. IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. São verdadeiras: Alternativas: · I - II - III. CORRETO · I - IV · I - III - V. · I - II - IV - V. · II - III - IV. Resolução comentada: Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. Código da questão: 55119 O encerramento das atividades que originam um risco é: Alternativas: · Uma maneira de tratar as ameaças. · Uma alternativa para detectar ameaças. · Um recurso para minimizar os impactos. · Uma forma de modificar os riscos. CORRETO · Um meio de mensurar os ativos. Resolução comentada: A modificação dos riscos pode ocorrer de formas diversas. Uma delas é por meio do encerramento da atividade que dá origem ao risco em questão. Código da questão: 55147 Todo processo de gestão de riscos em TI requer um plano de contingência e formas estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que exista uma predefinição dos passos e procedimentos a serem adotados quando uma ameaça se concretizar, gerando algum tipo de impacto. Desta forma, o ___________________ deve assegurar que trabalhos da organização retome às atividades no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as atividades novamente em operação em caso de desastres. Ambas as abordagens visam ___________________ à organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · BCP; DRP; Minimizar os impactos. CORRETO · DRP; BCP; Dar segurança. · Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. · DRP; BCP; Maximizar impactos positivos. · Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. Resolução comentada: É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens visam diminuir os impactos financeiros e de imagem à organização. Código da questão: 55141 Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): ( ) Deve ocorrer quando o risco não for tratável. ( ) Deve ocorrer apenas quando o gestor de TI definir. ( ) É uma opção, quando o risco for de baixo impacto. ( ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. ( ) Deve ser adotada quando os impactos forem medianos. Assinale a alternativa que contenha a sequência correta: Alternativas: · F – F – F – V – V. · F – F – V – V – F. CORRETO · V – F – V – F – F. · V – F – V – V – F. · F – V – V – V – V. Resolução comentada: Algumas situações em que um risco pode ser aceitável são: 1. Quando o tratamento dele for mais custoso que seu impacto na organização. 2. Quando seu impacto for ínfimo em seu tratamento. Código da questão: 55143 Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir ___________________, por meio da descoberta de características da organização. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · Na análise SWOT; A ISO 31000; No contexto. · Na ISO 31000; O contexto; Na análise SWOT. · No contexto; A análise SWOT; Na ISO 31000. · Na análise SWOT; O contexto; Com a ISO 31000. · Na ISO 31000; A análise SWOT; No contexto. CORRETO Resolução comentada: Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao evidenciar as fraquezas, forças, oportunidades e ameaças. Código da questão: 55123 Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o primeiro item é mais subjetivo que o segundo. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · Diretamente os ativos; Abstratos ou concretos. CORRETO · Os dados de uma organização; Diretos ou indiretos. · A organização inteira; Abstratos ou concretos. · A segurança e os dados; Concretos ou abstratos. · A credibilidade e integridade; Parciais ou totais. Resolução comentada: Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os ativos abstratos têm maior subjetividade, pois não possuem uma forma ou escopo quantitativo, mas sim, qualitativo. Código da questão: 55132 Leia e associe as duas colunas. Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. Neste contexto, analise o quadro a seguir, relacionando as colunas. Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: · I-C; II-B; III-A. · I-C; II-A; III-B. CORRETO · I-A; II-B; III-C. · I-B; II-A; III-C. · I-B; II-C; III-A. Resolução comentada: Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. Código da questão: 55118 Os riscos de segurança da informação podem ser alocados em quatro categorias: _________________ (quanto à funcionalidade de um sistema ou hardware), ______________________ (quanto à comprovação de que o remetente é mesmo quem diz ser), ____________________ (quantoao sigilo da informação trafegada), ______________________ (quanto à garantia de que o conteúdo permaneceu da mesma forma desde o transmissor até o receptor). Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · Autenticidade; Integridade; Confidencialidade; Disponibilidade. · Autenticidade; Integridade; Disponibilidade; Confidencialidade. · Integridade; Disponibilidade; Confidencialidade; Autenticidade. · Integridade; Confidencialidade; Autenticidade; Disponibilidade. · Disponibilidade; Autenticidade; Confidencialidade; Integridade. CORRETO Resolução comentada: O critério que verifica se um sistema está ativo é chamado de disponibilidade; a autenticidade verifica a identidade do remetente de uma informação; a confidencialidade, como o próprio nome alude, refere-se ao sigilo das informações trafegadas; já a integridade verifica se o conteúdo da informação se manteve inalterado, ou seja, íntegro. Código da questão: 55115
Compartilhar