NFRAESTRUTURA E SERVIÇOS DE TI (Lista de exercícios - RESPOSTA)

Prévia do material em texto

6 - D; 7 - A; 8 - E; 9 - B; 10 - D; 12 - B; 13 - B; 14 - B; 15 - 
E; 16 - C; 17 
Lista de exercícios – Gestão de Tecnologia da Informação 
 
1) (FADESP, 2012) Dada a amplitude e a complexidade do papel de Segurança da Informação, 
dispõem-se os desafios em um modelo conceitual em camadas ou fases, particionando o 
trabalho, para tornar mais claro o entendimento de cada camada. Essas camadas constituem as 
chamadas barreiras de segurança. 
 
A última barreira de segurança do modelo conceitual encarregada da análise de riscos (em que 
são considerados aspectos tecnológicos, físicos e humanos e as necessidades específicas dos 
processos de negócios da empresa) é 
 
a) Desencorajar as ameaças aos ativos da empresa 
b) Diagnosticar os riscos que as ameaças representam para os ativos da empresa 
c) Dificultar o acesso indevido aos ativos da empresa 
d) Deter a ameaça para que não atinja os ativos da empresa 
 
2) O COBIT é um framework que define e recomenda boas práticas para a gestão de TI, 
transformando os objetivos da organização em objetivos da área de TI. 
Esses processos mapeiam as áreas de responsabilidade de TI de planejamento, construção, 
processamento e monitoramento, provendo direções para a entrega de soluções e de serviços. 
Mediante estas afirmações, podemos refletir que no COBIT, o processo que trata acerca desses 
processos são 
a) Entregar e Suportar 
b) Planejar e Organizar 
c) Adquirir e Implementar 
d) Avaliar e Monitorar 
 
3) A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da 
organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão 
relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, 
software, pessoa ou ambiente físico). 
GAT. Gestão de Risco de Ativos de Segurança da Informação. 2021. Disponível em: 
www.gat.digital. Acesso em: 16 abr. 2021. 
De acordo com a norma ISO 31000, bem como a ISO 27002, na segurança da informação, a 
fragilidade de um ativo ou grupo de ativos é chamada de: 
a) Risco 
b) Ameaça 
c) Desastre 
d) Incidente 
e) Vulnerabilidade 
 
4) Orienta sobre como visualizar o gerenciamento de serviços não somente como uma 
capacidade organizacional, e sim como um ativo estratégico, e descreve os princípios inerentes 
http://www.gat.digital/
à prática desta disciplina que são úteis para criar políticas, diretrizes e processos de 
gerenciamento de serviços ao longo do ciclo de vida de serviço. 
FERNANDES, Aguinaldo Aragon; FERNANDES, Vladimir Ferraz de Abreu. 
Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. 
ed. Rio de Janeiro: Brasport, 2014. (adaptado) 
De acordo com o ITIL, o texto acima é a definição de 
a) Transição de Serviços. 
b) Estratégia de Serviços. 
c) Melhoria Contínua de Serviço. 
d) Arquitetura de Serviços. 
e) Operação de Serviços. 
 
5) Descreve a fase do ciclo de vida do gerenciamento de serviços que é responsável pelas 
atividades do dia a dia, orientando sobre como garantir a entrega e o suporte a serviços de forma 
eficiente e eficaz em ambientes operacionais gerenciados, e detalhando os processos de 
gerenciamento de eventos, incidentes, problemas, acesso e de cumprimento de requisições. 
FERNANDES, Aguinaldo Aragon; FERNANDES, Vladimir Ferraz de Abreu. 
Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. 
ed. Rio de Janeiro: Brasport, 2014. (adaptado) 
De acordo com o ITIL, o texto acima é a definição de 
a) Transição de Serviços. 
b) Estratégia de Serviços. 
c) Melhoria Contínua de Serviço. 
d) Arquitetura de Serviços. 
e) Operação de Serviços. 
6) Vivemos em um mundo conectado, onde a dependência da tecnologia é percebida em 
qualquer dimensão da vida. Ao tratarmos de negócios, essa dependência é inquestionável. Por 
menor ou mais local que seja o seu negócio, o mínimo de infraestrutura de TI é necessário. Seja 
para entrar em contato com clientes e fornecedores ou simplesmente para aceitar pagamentos 
com cartão. 
Microcity. Infraestrutura de TI: qual a sua importância nas empresas. 2020. 
Disponível em: https://www.microcity.com.br. Acesso em: 16. abr. 2021. 
Considerando o contexto apresentado, avalie as asserções a seguir e a relação proposta entre 
elas. 
I. Quanto maior a empresa, maior a exigência na demanda por tecnologia e pelo 
gerenciamento de dispositivos, de automação de processos, de softwares de gestão 
e de dados em apenas setores específicos. 
 
PORQUE 
 
II. O investimento em TI é importante para qualquer organização que pretende alcançar 
os melhores resultados de negócio, sendo a infraestrutura de TI de uma empresa 
composta por recursos de serviços que valorizam o fluxo de processos. 
http://www.microcity.com.br/
a) As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. 
b) As asserções I e II são proposições verdadeiras, e a II não é uma justificativa correta da 
I. 
c) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
d) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
e) As asserções I e II são proposições falsas. 
 
7) (TRE/SP 2012) Sobre a gerência de riscos é INCORRETO afirmar que: 
a) Pode-se responder ao risco de cinco formas diferentes: evitando, transferindo, 
reduzindo, aceitando e ignorando. 
b) As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para o 
ativo em questão. Quando se define o grau da ameaça, deseja-se determinar o quanto 
existe daquela ameaça, independente do ativo ao qual se está referindo para aquela 
ameaça. 
c) Além de avaliar as ameaças e vulnerabilidades, é importante chegar a um indicador de 
impacto, ou seja, do prejuízo estimado para um incidente de segurança da informação 
envolvendo um determinado ativo de um determinado processo de negócio. 
d) A avaliação do risco propriamente dita nada mais é do que comparar a estimativa de 
risco contra os critérios de risco para determinar os níveis de riscos de incidentes de 
segurança da informação. Normalmente, quanto maior o impacto e a probabilidade, 
maior será o risco. 
e) A análise de risco é a parte principal do sistema de gestão da segurança da informação, 
pois sem essa análise seria praticamente impossível determinar o conjunto adequado de 
medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas. 
8) COBIT significa Objetivos de Controle de Informação e Tecnologia Relacionada. É uma 
estrutura criada pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação) 
para governança e gerenciamento de TI. Ele deve ser uma ferramenta de suporte para os 
gerentes e permite aproximar o fosso existente entre questões técnicas, riscos comerciais e 
requisitos de controle. Os gerentes de negócios estão equipados com um modelo para oferecer 
valor à organização e praticar melhores práticas de gerenciamento de risco associadas aos 
processos de TI. É um modelo de controle que garante a integridade do sistema de informação. 
No geral, garante qualidade, controle e confiabilidade dos sistemas de informação na 
organização, que também é o aspecto mais importante de cada negócio moderno. 
CHIARI, Renê. O que é COBIT? Compreenda os principais conceitos do framework. 
2017. Disponível em: www.itsmnapratica.com.br/. Acesso em: 16 abr. 2021. (adaptado) 
 
De acordo com o terceiro princípio, o COBIT 5 pode ser considerado um modelo único e 
integrado porque 
 
I. Está alinhado com outros frameworks importantes. 
II. Engloba todo o conhecimento que estava espalhado por outros modelos, como Val IT, 
Risk IT, BMIS. 
III. Define um conjunto de habilitadores para governança e gerenciamento e provê uma base 
abrangente de boas práticas. 
 
É correto o que se afirma em: 
http://www.fm2s.com.br/desdobramento-estrategico/
http://www.fm2s.com.br/lideres-gerentes-e-administradores/
http://www.itsmnapratica.com.br/
a) I, apenas. 
b) III, apenas. 
c)I e II, apenas. 
d) II e III, apenas 
e) I, II e III. 
 
9) Os 37 processos do COBIT estão organizadas em 5 domínios (antes eram 4) que se 
relacionam de forma primária ou secundária com as 4 dimensões do balanced scorecard para 
objetivos de negócio descritos no COBIT. 
DOROW, Emerson. Chegou o CobiT 5.0!. 2012. Disponível em: 
www.governancadeti.com. Acesso em: 16 abr. 2021. 
Analisando os domínios do COBIT 5 e a afirmativa acima, podemos refletir que o domínio 
correspondente que possui a abrangência estratégica e tática, e identifica as formas através das 
quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo 
planejamento, comunicação e gerenciamento em diversas perspectivas, satisfaz a 
a) Avaliar, Dirigir e Monitorar 
b) Alinhar, Planejar e Organizar 
c) Construir, Adquirir e Implementar 
d) Entregar, Reparar e Suportar 
e) Monitorar, Avaliar e Medir 
 
10) O Scrum é uma metodologia dentro do qual as pessoas podem tratar e resolver problemas 
de forma ágil, com atividades que discutem funcionalidades de modo a atualizar o que já foi 
feito. Sobre os princípios do método de desenvolvimento Scrum, julgue as seguintes 
afirmativas. 
I. Pequenas equipes de trabalho são organizadas de modo a maximizar a comunicação, 
minimizar a supervisão e maximizar o compartilhamento de conhecimento tácito 
informal. 
II. O processo precisa ser adaptável tanto a modificações técnicas quanto a negócios 
para garantir que o melhor produto possível seja produzido. 
III. Testes e documentação constantes são realizados à medida que o produto é 
construído. 
 
É correto afirmar que 
 
a) Somente as afirmativas I e II são corretas. 
b) Somente as afirmativas I e III são corretas. 
c) Somente as afirmativas II e III são corretas. 
d) As afirmativas I, II e III são corretas. 
e) Nenhuma das afirmativas é correta. 
 
11) Em relação à norma ISO/IEC 27001, seguem as afirmações: 
 
I. O objetivo da política da segurança da informação é prover uma orientação e apoio da 
direção para a segurança da informação de acordo com os requisitos do negócio e com 
as leis e regulamentações relevantes. 
http://www.governancadeti.com/
II. O controle uso aceitável dos ativos define que regras para o uso aceitável das 
informações, dos ativos associados com informação e os recursos de processamento da 
informação, devem ser identificados, documentados e implementados. 
III. O controle classificação da informação define que a informação deve ser classificada 
em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar 
modificação ou divulgação não autorizada. 
IV. Deve existir um processo disciplinar formal para os funcionários que tenham cometido 
uma violação da segurança da informação. 
 
Está correto o que se afirma em: 
a) Somente I, II e III. 
b) Somente I, III e IV. 
c) Somente III e IV. 
d) Somente I e III. 
e) I, II, III e IV. 
 
 
12) A informação é um fator bastante importante em nosso dia-a-dia, pois a todo instante somos 
bombardeados por dados e informações vastas, que, se soubermos usar, enriqueceremos nossos 
conhecimentos e fornecemos subsídios para não cairmos em nenhuma armadilha virtual. Deste 
modo, a informação é obtida e repassada de forma que a mesma seja disseminada corretamente 
e segura sem danos ou interferências. Com isto, iremos abordar a segurança junto à tecnologia 
da informação, ou seja, se as duas caminham lado a lado corretamente ou se sofre algum tipo 
de dificuldade. Sendo assim, o objetivo deste artigo é avaliar estes riscos e trazer conhecimentos 
a respeito da segurança para que se tenham possíveis soluções. 
 
OLIVEIRA, Gabriella D. de; MOURA, Rafaela K. G. de; ARAÚJO, Francisco de A. 
N. G. de. Gestão da segurança da informação: perspectivas baseadas na tecnologia 
da informação (T.I.). 2012. 
Suponha que você é o responsável pela segurança de informação da empresa em que trabalha e 
recebeu um e-mail do sistema de controle de acesso dos servidores da empresa, informando que 
houve um evento inesperado com probabilidade de ameaça a segurança da informação. Nesse 
contexto, é correto afirmar que, de acordo com a ISO/IEC 27001, houve 
a) Um problema de indisponibilidade de um dos servidores. 
b) Um incidente de segurança da informação. 
c) A detecção de uma vulnerabilidade nos servidores. 
d) A ocorrência de um risco. 
e) Uma falha na segurança da informação. 
 
13) Muitos sistemas de informação não foram projetados para serem seguros. A segurança da 
informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma 
gestão e por procedimentos apropriados. A identificação de controles a serem implantados 
requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da 
informação requer pelo menos a participação de todos os funcionários da organização. Pode ser 
que seja necessária também a participação de acionistas, fornecedores, terceiras partes, clientes 
ou outras partes externas. Uma consultoria externa especializada pode ser também necessária. 
ISO/IEC 27002. Tecnologia da informação - Técnicas de segurança - Código de 
prática para a gestão da segurança da informação. 2005. 
Considerando o contexto apresentado, e analisando a norma ISO/IEC 27002:2005, avalie as 
asserções a seguir e a relação proposta entre elas. 
I - Os requisitos de segurança da informação são identificados por meio de uma 
análise/avaliação sistemática dos riscos de segurança de informação. 
PORQUE 
II - Convém que a análise de riscos seja repetida periodicamente para contemplar quaisquer 
mudanças que possam influenciar os resultados da mesma. 
 
 
a) As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. 
b) As asserções I e II são proposições verdadeiras, e a II não é uma justificativa correta da 
I. 
c) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. 
d) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. 
e) As asserções I e II são proposições falsas. 
 
14) (FAURGS, 2018) Considere as seguintes afirmações sobre Scrum. 
I - Um sprint do Scrum é uma unidade de planejamento na qual o trabalho a ser feito é 
avaliado, os recursos para o desenvolvimento são selecionados e o software é 
implementado. 
II - O ponto de partida para o planejamento é o backlog do produto, que é a lista do 
trabalho que será feito no projeto. Durante a fase de avaliação do sprint, esta lista é 
revista e as prioridades e os riscos são identificados. O cliente está totalmente envolvido 
nesse processo e, no início de cada sprint, pode introduzir novos requisitos ou tarefas. 
III - No Scrum, há o papel do product owner, que é um facilitador que organiza reuniões 
diárias, controlando o backlog de trabalho, registrando decisões, medindo o progresso, 
comparando-o ao backlog e se comunica com os clientes e a gerência externa à equipe. 
Quais estão corretas? 
a) Apenas I. 
b) Apenas I e II. 
c) Apenas I e III. 
d) Apenas II e III. 
e) I, II e III. 
 
 
15) (FGV, 2013) Com relação aos princípios do modelo ágil de processo Scrum, analise as 
afirmativas a seguir. 
I. O processo precisa ser adaptável tanto a modificações técnicas quanto de negócios 
"para garantir que o melhor produto possível seja produzido". 
II. O trabalho de desenvolvimento e o pessoal que o realiza é dividido "em partições 
claras, de baixo acoplamento ou em pacotes". 
III. O processo produz frequentes incrementos de software "que podem ser 
inspecionados, ajustados, testados, documentados e expandidos". 
Assinale: 
a) Se somente a afirmativa I estiver correta. 
b) Se somente a afirmativa II estiver correta. 
c) Se somente a afirmativa III estiver correta 
d) Se somente as afirmativas I e II estiverem corretas. 
e) Se todas as afirmativas estiverem corretas. 
16) De acordo com a ISO 27002, a segurança da informação objetiva um maior controlede 
ativos e informações sensíveis a proteção da informação contra acessos não autorizados e 
alterações indevidas, estando preocupada em garantir que uma comunicação é verdadeira, 
sendo considerada, ainda, uma prática de gestão de riscos. Mediante esta análise, a garantia de 
que as entidades identificadas em um processo de comunicação sejam identificadas através da 
origem, sejam e tenham seus dados exatamente fiéis, tais quais mencionados nela, pode ser 
conceituada como 
a) Confidencialidade 
b) Criticidade 
c) Autenticidade 
d) Disponibilidade 
e) Não repúdio 
17) QUESTÃO DISCURSIVA 
A gestão de riscos compreende todas as ações tomadas para controlar os riscos em uma 
organização, incluindo análise/avaliação, tratamento, aceitação e comunicação dos riscos. A 
análise de riscos identifica e estima riscos, considerando o uso sistemático de informações, bem 
como, engloba a análise de ameaças, vulnerabilidades e impactos, e é considerada o ponto chave 
da política de segurança da informação de uma organização. 
BARRETO, Jeaninedos S. Fundamentos de segurança da informação. Porto Alegre: 
SAGAH, 2018. (adaptado) 
 
Tendo o texto como referência e considerando o desenvolvimento interno de uma empresa, 
compreendemos que o tratamento de riscos corresponde à seleção e implementação de medidas 
para modificar um dado risco às informações. Agora, faça o que se pede. 
a) Levando em conta a necessidade na transformação organizacional da empresa, utilize a 
sequência para a mudança de conduta e prevenção dos riscos, informando quais passos 
você irá seguir. 
b) Descreva duas vantagens de se optar por uma implementação de gestão de riscos. 
c) Descreva quais as vantagens de utilizar uma matriz de relacionamentos, bem como, quais os 
processos que precisam ser definidos para montá-la.