Baixe o app para aproveitar ainda mais
Prévia do material em texto
6 - D; 7 - A; 8 - E; 9 - B; 10 - D; 12 - B; 13 - B; 14 - B; 15 - E; 16 - C; 17 Lista de exercícios – Gestão de Tecnologia da Informação 1) (FADESP, 2012) Dada a amplitude e a complexidade do papel de Segurança da Informação, dispõem-se os desafios em um modelo conceitual em camadas ou fases, particionando o trabalho, para tornar mais claro o entendimento de cada camada. Essas camadas constituem as chamadas barreiras de segurança. A última barreira de segurança do modelo conceitual encarregada da análise de riscos (em que são considerados aspectos tecnológicos, físicos e humanos e as necessidades específicas dos processos de negócios da empresa) é a) Desencorajar as ameaças aos ativos da empresa b) Diagnosticar os riscos que as ameaças representam para os ativos da empresa c) Dificultar o acesso indevido aos ativos da empresa d) Deter a ameaça para que não atinja os ativos da empresa 2) O COBIT é um framework que define e recomenda boas práticas para a gestão de TI, transformando os objetivos da organização em objetivos da área de TI. Esses processos mapeiam as áreas de responsabilidade de TI de planejamento, construção, processamento e monitoramento, provendo direções para a entrega de soluções e de serviços. Mediante estas afirmações, podemos refletir que no COBIT, o processo que trata acerca desses processos são a) Entregar e Suportar b) Planejar e Organizar c) Adquirir e Implementar d) Avaliar e Monitorar 3) A ISO 31000 define risco como sendo o “efeito da incerteza no alcance dos objetivos da organização”. Quando falamos sobre Segurança da Informação, essas incertezas estão relacionadas a vulnerabilidades presentes em ativos (informação digital ou física, hardware, software, pessoa ou ambiente físico). GAT. Gestão de Risco de Ativos de Segurança da Informação. 2021. Disponível em: www.gat.digital. Acesso em: 16 abr. 2021. De acordo com a norma ISO 31000, bem como a ISO 27002, na segurança da informação, a fragilidade de um ativo ou grupo de ativos é chamada de: a) Risco b) Ameaça c) Desastre d) Incidente e) Vulnerabilidade 4) Orienta sobre como visualizar o gerenciamento de serviços não somente como uma capacidade organizacional, e sim como um ativo estratégico, e descreve os princípios inerentes http://www.gat.digital/ à prática desta disciplina que são úteis para criar políticas, diretrizes e processos de gerenciamento de serviços ao longo do ciclo de vida de serviço. FERNANDES, Aguinaldo Aragon; FERNANDES, Vladimir Ferraz de Abreu. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. (adaptado) De acordo com o ITIL, o texto acima é a definição de a) Transição de Serviços. b) Estratégia de Serviços. c) Melhoria Contínua de Serviço. d) Arquitetura de Serviços. e) Operação de Serviços. 5) Descreve a fase do ciclo de vida do gerenciamento de serviços que é responsável pelas atividades do dia a dia, orientando sobre como garantir a entrega e o suporte a serviços de forma eficiente e eficaz em ambientes operacionais gerenciados, e detalhando os processos de gerenciamento de eventos, incidentes, problemas, acesso e de cumprimento de requisições. FERNANDES, Aguinaldo Aragon; FERNANDES, Vladimir Ferraz de Abreu. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 4. ed. Rio de Janeiro: Brasport, 2014. (adaptado) De acordo com o ITIL, o texto acima é a definição de a) Transição de Serviços. b) Estratégia de Serviços. c) Melhoria Contínua de Serviço. d) Arquitetura de Serviços. e) Operação de Serviços. 6) Vivemos em um mundo conectado, onde a dependência da tecnologia é percebida em qualquer dimensão da vida. Ao tratarmos de negócios, essa dependência é inquestionável. Por menor ou mais local que seja o seu negócio, o mínimo de infraestrutura de TI é necessário. Seja para entrar em contato com clientes e fornecedores ou simplesmente para aceitar pagamentos com cartão. Microcity. Infraestrutura de TI: qual a sua importância nas empresas. 2020. Disponível em: https://www.microcity.com.br. Acesso em: 16. abr. 2021. Considerando o contexto apresentado, avalie as asserções a seguir e a relação proposta entre elas. I. Quanto maior a empresa, maior a exigência na demanda por tecnologia e pelo gerenciamento de dispositivos, de automação de processos, de softwares de gestão e de dados em apenas setores específicos. PORQUE II. O investimento em TI é importante para qualquer organização que pretende alcançar os melhores resultados de negócio, sendo a infraestrutura de TI de uma empresa composta por recursos de serviços que valorizam o fluxo de processos. http://www.microcity.com.br/ a) As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. b) As asserções I e II são proposições verdadeiras, e a II não é uma justificativa correta da I. c) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. d) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. e) As asserções I e II são proposições falsas. 7) (TRE/SP 2012) Sobre a gerência de riscos é INCORRETO afirmar que: a) Pode-se responder ao risco de cinco formas diferentes: evitando, transferindo, reduzindo, aceitando e ignorando. b) As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para o ativo em questão. Quando se define o grau da ameaça, deseja-se determinar o quanto existe daquela ameaça, independente do ativo ao qual se está referindo para aquela ameaça. c) Além de avaliar as ameaças e vulnerabilidades, é importante chegar a um indicador de impacto, ou seja, do prejuízo estimado para um incidente de segurança da informação envolvendo um determinado ativo de um determinado processo de negócio. d) A avaliação do risco propriamente dita nada mais é do que comparar a estimativa de risco contra os critérios de risco para determinar os níveis de riscos de incidentes de segurança da informação. Normalmente, quanto maior o impacto e a probabilidade, maior será o risco. e) A análise de risco é a parte principal do sistema de gestão da segurança da informação, pois sem essa análise seria praticamente impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas. 8) COBIT significa Objetivos de Controle de Informação e Tecnologia Relacionada. É uma estrutura criada pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação) para governança e gerenciamento de TI. Ele deve ser uma ferramenta de suporte para os gerentes e permite aproximar o fosso existente entre questões técnicas, riscos comerciais e requisitos de controle. Os gerentes de negócios estão equipados com um modelo para oferecer valor à organização e praticar melhores práticas de gerenciamento de risco associadas aos processos de TI. É um modelo de controle que garante a integridade do sistema de informação. No geral, garante qualidade, controle e confiabilidade dos sistemas de informação na organização, que também é o aspecto mais importante de cada negócio moderno. CHIARI, Renê. O que é COBIT? Compreenda os principais conceitos do framework. 2017. Disponível em: www.itsmnapratica.com.br/. Acesso em: 16 abr. 2021. (adaptado) De acordo com o terceiro princípio, o COBIT 5 pode ser considerado um modelo único e integrado porque I. Está alinhado com outros frameworks importantes. II. Engloba todo o conhecimento que estava espalhado por outros modelos, como Val IT, Risk IT, BMIS. III. Define um conjunto de habilitadores para governança e gerenciamento e provê uma base abrangente de boas práticas. É correto o que se afirma em: http://www.fm2s.com.br/desdobramento-estrategico/ http://www.fm2s.com.br/lideres-gerentes-e-administradores/ http://www.itsmnapratica.com.br/ a) I, apenas. b) III, apenas. c)I e II, apenas. d) II e III, apenas e) I, II e III. 9) Os 37 processos do COBIT estão organizadas em 5 domínios (antes eram 4) que se relacionam de forma primária ou secundária com as 4 dimensões do balanced scorecard para objetivos de negócio descritos no COBIT. DOROW, Emerson. Chegou o CobiT 5.0!. 2012. Disponível em: www.governancadeti.com. Acesso em: 16 abr. 2021. Analisando os domínios do COBIT 5 e a afirmativa acima, podemos refletir que o domínio correspondente que possui a abrangência estratégica e tática, e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, envolvendo planejamento, comunicação e gerenciamento em diversas perspectivas, satisfaz a a) Avaliar, Dirigir e Monitorar b) Alinhar, Planejar e Organizar c) Construir, Adquirir e Implementar d) Entregar, Reparar e Suportar e) Monitorar, Avaliar e Medir 10) O Scrum é uma metodologia dentro do qual as pessoas podem tratar e resolver problemas de forma ágil, com atividades que discutem funcionalidades de modo a atualizar o que já foi feito. Sobre os princípios do método de desenvolvimento Scrum, julgue as seguintes afirmativas. I. Pequenas equipes de trabalho são organizadas de modo a maximizar a comunicação, minimizar a supervisão e maximizar o compartilhamento de conhecimento tácito informal. II. O processo precisa ser adaptável tanto a modificações técnicas quanto a negócios para garantir que o melhor produto possível seja produzido. III. Testes e documentação constantes são realizados à medida que o produto é construído. É correto afirmar que a) Somente as afirmativas I e II são corretas. b) Somente as afirmativas I e III são corretas. c) Somente as afirmativas II e III são corretas. d) As afirmativas I, II e III são corretas. e) Nenhuma das afirmativas é correta. 11) Em relação à norma ISO/IEC 27001, seguem as afirmações: I. O objetivo da política da segurança da informação é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. http://www.governancadeti.com/ II. O controle uso aceitável dos ativos define que regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação, devem ser identificados, documentados e implementados. III. O controle classificação da informação define que a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada. IV. Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação. Está correto o que se afirma em: a) Somente I, II e III. b) Somente I, III e IV. c) Somente III e IV. d) Somente I e III. e) I, II, III e IV. 12) A informação é um fator bastante importante em nosso dia-a-dia, pois a todo instante somos bombardeados por dados e informações vastas, que, se soubermos usar, enriqueceremos nossos conhecimentos e fornecemos subsídios para não cairmos em nenhuma armadilha virtual. Deste modo, a informação é obtida e repassada de forma que a mesma seja disseminada corretamente e segura sem danos ou interferências. Com isto, iremos abordar a segurança junto à tecnologia da informação, ou seja, se as duas caminham lado a lado corretamente ou se sofre algum tipo de dificuldade. Sendo assim, o objetivo deste artigo é avaliar estes riscos e trazer conhecimentos a respeito da segurança para que se tenham possíveis soluções. OLIVEIRA, Gabriella D. de; MOURA, Rafaela K. G. de; ARAÚJO, Francisco de A. N. G. de. Gestão da segurança da informação: perspectivas baseadas na tecnologia da informação (T.I.). 2012. Suponha que você é o responsável pela segurança de informação da empresa em que trabalha e recebeu um e-mail do sistema de controle de acesso dos servidores da empresa, informando que houve um evento inesperado com probabilidade de ameaça a segurança da informação. Nesse contexto, é correto afirmar que, de acordo com a ISO/IEC 27001, houve a) Um problema de indisponibilidade de um dos servidores. b) Um incidente de segurança da informação. c) A detecção de uma vulnerabilidade nos servidores. d) A ocorrência de um risco. e) Uma falha na segurança da informação. 13) Muitos sistemas de informação não foram projetados para serem seguros. A segurança da informação que pode ser alcançada por meios técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos apropriados. A identificação de controles a serem implantados requer um planejamento cuidadoso e uma atenção aos detalhes. A gestão da segurança da informação requer pelo menos a participação de todos os funcionários da organização. Pode ser que seja necessária também a participação de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser também necessária. ISO/IEC 27002. Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação. 2005. Considerando o contexto apresentado, e analisando a norma ISO/IEC 27002:2005, avalie as asserções a seguir e a relação proposta entre elas. I - Os requisitos de segurança da informação são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança de informação. PORQUE II - Convém que a análise de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados da mesma. a) As asserções I e II são proposições verdadeiras, e a II é uma justificativa correta da I. b) As asserções I e II são proposições verdadeiras, e a II não é uma justificativa correta da I. c) A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. d) A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. e) As asserções I e II são proposições falsas. 14) (FAURGS, 2018) Considere as seguintes afirmações sobre Scrum. I - Um sprint do Scrum é uma unidade de planejamento na qual o trabalho a ser feito é avaliado, os recursos para o desenvolvimento são selecionados e o software é implementado. II - O ponto de partida para o planejamento é o backlog do produto, que é a lista do trabalho que será feito no projeto. Durante a fase de avaliação do sprint, esta lista é revista e as prioridades e os riscos são identificados. O cliente está totalmente envolvido nesse processo e, no início de cada sprint, pode introduzir novos requisitos ou tarefas. III - No Scrum, há o papel do product owner, que é um facilitador que organiza reuniões diárias, controlando o backlog de trabalho, registrando decisões, medindo o progresso, comparando-o ao backlog e se comunica com os clientes e a gerência externa à equipe. Quais estão corretas? a) Apenas I. b) Apenas I e II. c) Apenas I e III. d) Apenas II e III. e) I, II e III. 15) (FGV, 2013) Com relação aos princípios do modelo ágil de processo Scrum, analise as afirmativas a seguir. I. O processo precisa ser adaptável tanto a modificações técnicas quanto de negócios "para garantir que o melhor produto possível seja produzido". II. O trabalho de desenvolvimento e o pessoal que o realiza é dividido "em partições claras, de baixo acoplamento ou em pacotes". III. O processo produz frequentes incrementos de software "que podem ser inspecionados, ajustados, testados, documentados e expandidos". Assinale: a) Se somente a afirmativa I estiver correta. b) Se somente a afirmativa II estiver correta. c) Se somente a afirmativa III estiver correta d) Se somente as afirmativas I e II estiverem corretas. e) Se todas as afirmativas estiverem corretas. 16) De acordo com a ISO 27002, a segurança da informação objetiva um maior controlede ativos e informações sensíveis a proteção da informação contra acessos não autorizados e alterações indevidas, estando preocupada em garantir que uma comunicação é verdadeira, sendo considerada, ainda, uma prática de gestão de riscos. Mediante esta análise, a garantia de que as entidades identificadas em um processo de comunicação sejam identificadas através da origem, sejam e tenham seus dados exatamente fiéis, tais quais mencionados nela, pode ser conceituada como a) Confidencialidade b) Criticidade c) Autenticidade d) Disponibilidade e) Não repúdio 17) QUESTÃO DISCURSIVA A gestão de riscos compreende todas as ações tomadas para controlar os riscos em uma organização, incluindo análise/avaliação, tratamento, aceitação e comunicação dos riscos. A análise de riscos identifica e estima riscos, considerando o uso sistemático de informações, bem como, engloba a análise de ameaças, vulnerabilidades e impactos, e é considerada o ponto chave da política de segurança da informação de uma organização. BARRETO, Jeaninedos S. Fundamentos de segurança da informação. Porto Alegre: SAGAH, 2018. (adaptado) Tendo o texto como referência e considerando o desenvolvimento interno de uma empresa, compreendemos que o tratamento de riscos corresponde à seleção e implementação de medidas para modificar um dado risco às informações. Agora, faça o que se pede. a) Levando em conta a necessidade na transformação organizacional da empresa, utilize a sequência para a mudança de conduta e prevenção dos riscos, informando quais passos você irá seguir. b) Descreva duas vantagens de se optar por uma implementação de gestão de riscos. c) Descreva quais as vantagens de utilizar uma matriz de relacionamentos, bem como, quais os processos que precisam ser definidos para montá-la.
Compartilhar