Avaliação Gestão de Riscos em TI UNOPAR

Prévia do material em texto

Prover a segurança da informação é um dos propósitos da gestão de risco. De acordo com Freitas (2009), a ameaça que infesta uma rede sobrecarregando recursos, é chamada de:  
Alternativas:
· Keylogger. 
· Trojan. 
· Spyware
· Vírus. 
· Worm. CORRETO
Resolução comentada:
O objetivo do worm (verme) é sobrecarregar recursos de uma rede por meio da autorreplicação. Ele pode permitir acesso remoto a recursos do computador. 
Código da questão: 55138
Quanto aos riscos em uma organização, é correto afirmar que: 
Alternativas:
· Devem ser eliminados pelo plano de gestão de riscos. 
· São essenciais para que se avalie a importância da informação. CORRETO
· Podem ser evitados, mas devem ocorrer para se comprovar a importância da informação. 
· Devem ser resolvidos pelo corpo executivo da governança de TI. 
· São de responsabilidade do departamento de TI. 
Resolução comentada:
Uma informação só pode ser considerada de valor se existir algo que a coloque em risco, logo, os riscos são essenciais para se avaliar a importância de uma informação. 
Código da questão: 55121
Quanto ao Cobit e seus procedimentos aplicáveis à governança de TI, podemos afirmar que: 
I. A governança de TI tem como um dos objetivos compreender a necessidade estratégica da TI na organização 
II. Cobit pode ser considerado como um framework.   
III. Para a governança de TI, uma das maiores decisões está ligada à estratégia de infraestrutura.  
IV. Uma das iniciativas descritas no Cobit é: medir e aprimorar, que visa mensurar as implementações e prover melhorias necessárias. 
V. Para o Cobit, eficácia e eficiência são derivações do mesmo conceito. 
São verdadeiras: 
Alternativas:
· I - II - III. CORRETO
· I - IV
· I - III - V. 
· I - II - IV - V. 
· II - III - IV.
Resolução comentada:
Sendo um framework, o Cobit enfatiza que um dos principais objetivos da governança de TI em uma organização é enfatizar a importância da Tecnologia da Informação como ferramenta estratégica, e, deixa claro que uma das 5 (cinco) maiores decisões de TI em uma instituição é uma correta estratégia de infraestrutura de TI. 
Código da questão: 55119
O encerramento das atividades que originam um risco é: 
Alternativas:
· Uma maneira de tratar as ameaças. 
· Uma alternativa para detectar ameaças.  
· Um recurso para minimizar os impactos. 
· Uma forma de modificar os riscos. CORRETO
· Um meio de mensurar os ativos. 
Resolução comentada:
A modificação dos riscos pode ocorrer de formas diversas. Uma delas é por meio do encerramento da atividade que dá origem ao risco em questão. 
Código da questão: 55147
Todo processo de gestão de riscos em TI requer um plano de contingência e formas estruturadas para que os impactos não sejam tão danosos e duradouros. Espera-se que exista uma predefinição dos passos e procedimentos a serem adotados quando uma ameaça se concretizar, gerando algum tipo de impacto. Desta forma, o ___________________ deve assegurar que trabalhos da organização retome às atividades no mesmo ritmo de antes, enquanto o ____________________ foca em colocar as atividades novamente em operação em caso de desastres. Ambas as abordagens visam ___________________ à organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· BCP; DRP; Minimizar os impactos. CORRETO
· DRP; BCP; Dar segurança. 
· Plano de Continuidade de Negócios; BCP; Prover eliminação de riscos. 
· DRP; BCP; Maximizar impactos positivos. 
· Plano de Recuperação de Desastres; BCP; Garantir redução de riscos. 
Resolução comentada:
É o plano de Continuidade dos Negócios (BCP) que retoma as atividades no nível de antes; já o DRP – Plano de Recuperação de Desastres é o responsável por colocar as atividades em operação quando um desastre ocorrer. Ambas as abordagens visam diminuir os impactos financeiros e de imagem à organização. 
Código da questão: 55141
Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F): 
(   ) Deve ocorrer quando o risco não for tratável. 
(   ) Deve ocorrer apenas quando o gestor de TI definir. 
(   ) É uma opção, quando o risco for de baixo impacto. 
(   ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto. 
(   ) Deve ser adotada quando os impactos forem medianos. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· F – F – F – V – V. 
· F – F – V – V – F. CORRETO
· V – F – V – F – F. 
· V – F – V – V – F. 
· F – V – V – V – V. 
Resolução comentada:
Algumas situações em que um risco pode ser aceitável são: 
1. Quando o tratamento dele for mais custoso que seu impacto na organização. 
2. Quando seu impacto for ínfimo em seu tratamento. 
Código da questão: 55143
Realizar a gestão de riscos em TI consiste em realizar um monitoramento constante, aprimorando as práticas anteriores com base nos novos conhecimentos adquiridos. Este efeito cíclico é defendido __________________. Paralelamente, ___________________ pode contribuir ___________________, por meio da descoberta de características da organização. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Na análise SWOT; A ISO 31000; No contexto. 
· Na ISO 31000; O contexto; Na análise SWOT. 
· No contexto; A análise SWOT; Na ISO 31000.   
· Na análise SWOT; O contexto; Com a ISO 31000.  
· Na ISO 31000; A análise SWOT; No contexto. CORRETO
Resolução comentada:
Tanto a ISO 31000 promove a ideia de ciclo quanto aos seus processos. Já a análise SWOT ajuda no contexto da organização ao evidenciar as fraquezas, forças, oportunidades e ameaças. 
Código da questão: 55123
Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o primeiro item é mais subjetivo que o segundo. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Diretamente os ativos; Abstratos ou concretos. CORRETO
· Os dados de uma organização; Diretos ou indiretos. 
· A organização inteira; Abstratos ou concretos. 
· A segurança e os dados; Concretos ou abstratos.  
· A credibilidade e integridade; Parciais ou totais. 
Resolução comentada:
Os componentes afetados pela ameaça são os ativos (concretos ou abstratos). Os ativos abstratos têm maior subjetividade, pois não possuem uma forma ou escopo quantitativo, mas sim, qualitativo. 
Código da questão: 55132
Leia e associe as duas colunas. 
Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. 
Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. 
Neste contexto, analise o quadro a seguir, relacionando as colunas. 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-C; II-B; III-A. 
· I-C; II-A; III-B. CORRETO
· I-A; II-B; III-C. 
· I-B; II-A; III-C. 
· I-B; II-C; III-A. 
Resolução comentada:
Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. 
Código da questão: 55118
Os riscos de segurança da informação podem ser alocados em quatro categorias: _________________ (quanto à funcionalidade de um sistema ou hardware), ______________________ (quanto à comprovação de que o remetente é mesmo quem diz ser), ____________________ (quantoao sigilo da informação trafegada), ______________________ (quanto à garantia de que o conteúdo permaneceu da mesma forma desde o transmissor até o receptor). 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Autenticidade; Integridade; Confidencialidade; Disponibilidade. 
· Autenticidade; Integridade; Disponibilidade; Confidencialidade. 
· Integridade; Disponibilidade; Confidencialidade; Autenticidade.  
· Integridade; Confidencialidade; Autenticidade; Disponibilidade. 
· Disponibilidade; Autenticidade; Confidencialidade; Integridade. CORRETO
Resolução comentada:
O critério que verifica se um sistema está ativo é chamado de disponibilidade; a autenticidade verifica a identidade do remetente de uma informação; a confidencialidade, como o próprio nome alude, refere-se ao sigilo das informações trafegadas; já a integridade verifica se o conteúdo da informação se manteve inalterado, ou seja, íntegro. 
Código da questão: 55115