Baixe o app para aproveitar ainda mais
Prévia do material em texto
Lista de Exercício – Governança de Segurança da Informação 1) A Dra. Ana Carolina possui um escritório especializado em Direito Internacional. Um dos seus clientes, a empresa brasileira XPTO, representada pelo seu CEO Henrique Brandão, procurou o escritório para informar que sua empresa passaria a negociar ações ADR (American Depositary Receipt) nas bolsas norte-americanas e se, por conta disso, a organização estaria submetida a alguma lei específica. A Dra. Ana Carolina explicou ao Sr. Henrique Brandão que existe uma lei americana, de julho de 2002, que afeta a divulgação financeira de empresas que têm ações negociadas nas bolsas dos Estados Unidos. Disse também que o não cumprimento dessa lei pode ocasionar a prisão do CEO e do CFO, além de sanções pecuniárias. Que lei é essa? a) Lei Sarbanes-Oxley c) Lei Rockefeller e) Lei Protection b) Lei Protecionista d) Lei Firewall R: a) A Lei Sarbanes-Oxley, apelidada de SOX ou Sarbox, foi sancionada pelo presidente dos Estados Unidos, George W. Bush, em julho de 2002. Esta lei afeta a divulgação financeira de empresas que têm ações negociadas em bolsas dos Estados Unidos da América. 2) O conceito aqui descrito se relaciona com o modo como as empresas são dirigidas e controladas. Nesse contexto, é criada uma expectativa que nem sempre atingida, relacionando o esforço dos administradores para aumentar o valor da empresa visando aos acionistas. Existe ainda uma preocupação com a transparência, a equidade, a prestação de contas e a responsabilidade corporativa. A opção que melhor define o conceito descrito acima é: a) Acordo de Basileia c) Governança de valor b) Governança Corporativa d) Governança Contábil e) Resolução 3380 do Banco Central do Brasil R: b) Podemos entender a Governança Corporativa como um sistema baseado em um conjunto de mecanismos pelo qual os negócios e as corporações possam ser dirigidos e controlados, fazendo com que as decisões corporativas sejam sempre tomadas com a finalidade de maximizar a perspectiva de geração de valor de longo prazo para o negócio. 3) Segundo essa teoria, existe uma explicação para os problemas de desalinhamento de interesses que ocorrem nas empresas e quais mecanismos podem ser empregados para reduzir seus custos. A teoria sustenta que as relações humanas levam, inevitavelmente, a conflitos de interesse. Nas relações hierárquicas, não se pode afirmar que o subordinado sempre agirá no melhor interesse do principal. A opção que melhor define o conceito descrito acima é: a) Teoria de interesses c) Teoria do agente-principal e) Teoria vanguardista b) Teoria hierárquica d) Teoria maximizadora de utilidade R: c) Essa teoria é fundamentada no agente-principal e na compreensão entre agente (tomadores de decisão) e principal (pessoas que confiam as decisões para terceiros). Segundo a teoria, não se pode afirmar que o agente sempre agirá no melhor interesse do principal. Isto implicará num problema entre ambos, conhecido como problema do agente-principal ou problema de agência. 4) Esse acordo fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. A opção que melhor define o conceito descrito acima é: a) Acordo de globalização c) Acordo internacional b) Acordo bancário d) Acordo de Basileia II e) Acordo entre os países mais ricos R: d) O Acordo da Basileia II fez com que as principais autoridades bancárias de vários países criassem seus modelos derivados. Em junho de 2006, o Banco Central do Brasil publicou a Resolução 3380, determinando que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central criassem e implantassem sua própria estrutura de gerenciamento de riscos. 5) Segundo Weill & Ross (2006), o lado comportamental da governança de TI define os relacionamentos formais e informais, e confere direitos decisórios a indivíduos ou grupo de indivíduos específicos. O lado normativo define mecanismos, formalizando os relacionamentos e estabelecendo regras e procedimentos operacionais para assegurar que os objetivos sejam atingidos. Neste contexto, a Governança de TI eficaz deve tratar de três questões: I) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? II) Quem deve tomar essas decisões? III) Como essas decisões serão tomadas e monitoradas? Destas três questões, quais aparecem diretamente na Matriz de Arranjos de Governança de TI? a) Apenas a questão I c) Apenas a questão III e) Apenas as questões I e II b) Apenas a questão II d) As questões I, II e III R: e) Os títulos das colunas da Matriz de Arranjos listam as decisões que devem ser tomadas e as linhas quem deve tomá-las. 6) Segundo Weill & Ross (2006), na Matriz de Arranjos de Governança de TI os princípios de TI motivam a arquitetura de TI, que leva à infraestrutura de TI. Já a infraestrutura habilita o desenvolvimento das aplicações com base nas necessidades de negócio. Por fim, os investimentos devem ser motivados pelas necessidades de aplicações. A questão de Weill & Ross (2006) relacionada com este contexto é: a) Quais decisões devem ser tomadas para garantir a gestão e o uso eficazes da TI? b) Quem deve tomar essas decisões? c) Como essas decisões serão tomadas e monitoradas? d) Quais estereótipos estão envolvidos na tomada dessas decisões? e) Quais unidades de negócio devem tomar essas decisões? R: a) Os títulos das colunas da Matriz de Arranjos de Governança de TI listam as cinco decisões de TI inter-relacionadas. 7) Analise as seguintes afirmações: I) Trata das questões relacionadas às decisões que devem ser tomadas para garantir a gestão e o uso eficazes da TI, quem deve tomar essas decisões e como essas decisões serão tomadas e monitoradas. II) Envolve os conceitos básicos de confidencialidade, integridade e disponibilidade. III) Cada modelo de governança se junta a outros modelos para configurar os modelos que a compõe. Estas afirmações estão associadas respectivamente a: a) Governança Ambiental, Governança de Segurança da Informação e Governança Corporativa. b) Governança Administrativa, Governança de Segurança da Informação e Governança Corporativa. c) Governança de TI, Governança de Segurança da Informação e Governança Corporativa. d) Governança de TI, Governança de Seguros e Governança Administrativa. e) Governança Ambiental, Governança de Seguros e Governança Administrativa. R: c) O item I está relacionado com as questões de Weill & Ross (2006) para Governança de TI; o item II trata do CID (Confidencialidade, Integridade e Disponibilidade), se relacionando com a Governança de Segurança da Informação; e o item III sugere que cada modelo de governança se junta a outros modelos para configurar os modelos que compõem a Governança Corporativa. 8) A Segurança da Informação se propõe a proteger a informação e a preservar o seu valor. Um dos elementos que a compõe é a __________, responsável pela fidedignidade e totalidade da informação, mantendo as características originais e sua validade de acordo com os valores e expectativas do negócio. a) Confidencialidade c) Auditabilidade e) Elasticidade b) Disponibilidade d) Integridade R: d) A integridade mantém as características originais da informação, estabelecidas pelo dono da informação. 9) Sêmola (2014) cunhou o termo “visão do iceberg” para representar a deficiência na visão de muitos executivos quando o assunto é segurança da informação. “A porção de gelo que vemos fora da linha d’água é comumente correspondente a apenas 1/7 de todo o bloco do gelo que permanece submerso e, portanto, escondido dos nossos olhos”. A probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, chama-se: a)Impacto c) Desvio padrão e) Ataque b) Incidente d) Risco R: d) Risco é a probabilidade de ameaças explorarem vulnerabilidades, provocando perdas de confidencialidade, integridade e disponibilidade, causando, possivelmente impacto no negócio. 10) Muitos executivos ainda associam a Segurança da Informação exclusivamente à área de Tecnologia. Este entendimento parcial acaba fazendo com que algumas ações sejam tomadas de forma equivocada. Qual das opções abaixo representa uma decisão equivocada: a) Definir os investimentos em segurança sem subestimá-los. b) Elaborar planos de ação de Segurança da Informação orientados à proatividade. c) Tratar as atividades de segurança como investimento. d) Tratar a segurança como processo e não como projeto. e) Pensar que a segurança não possui interferência no negócio. R: e) A Segurança da Informação é definitivamente um importante componente do negócio. 11) Em todo momento, as empresas são vítimas de __________ que buscam __________ que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada. a) Ameaças / fragilidades c) Fragilidades / riscos e) Riscos / impactos b) Impactos / riscos d) Ameaças / impactos R: a) Em todo momento, as empresas são vítimas de ameaças buscando fragilidades que possam ajudar a concretizar um ataque. E, quando essa possibilidade aparece, e o ataque é realizado, a segurança é quebrada. 12) Para implementar a Segurança da Informação, na empresa, deve-se estabelecer um escopo com conteúdo que contemple todas as etapas necessárias para fazer sua gestão de forma corporativa. Associe a coluna da direita de acordo com o modelo de Sêmola na coluna da esquerda: Algumas etapas de Sêmola (2014) Descrição 1. Mapeamento de segurança ( ) Elaborar uma política de Segurança da Informação 2. Estratégia de segurança ( ) Criar sinergia entre os cenários atual e desejado. 3. Planejamento de segurança ( ) Divulgar corporativamente a política de segurança. 4. Implementação da segurança ( ) Inventariar os ativos físicos, tecnológicos, humanos e ambientais. a) 1, 2, 3, 4 c) 1, 3, 4, 2 e) 2, 3, 1, 4 b) 3, 2, 4, 1 d) 4, 3, 1, 2 R: b) O modelo de Sêmola (2014) é composto de sete etapas: (1) comitê corporativo de segurança da informação, (2) mapeamento de segurança, (3) estratégia de segurança, (4) planejamento de segurança, (5) implementação de segurança, (6) administração de segurança e (7) segurança na cadeia produtiva. 13) A área, o processo de negócio e o ativo de informação compõem os itens organizacionais. Esses componentes devem ser identificados e mapeados durante a realização do projeto de Segurança da Informação Corporativa. Com relação aos componentes organizacionais podemos afirmar que: a) São utilizados para definir a abrangência da Segurança da Informação na empresa. b) Devem ser identificados após a conclusão do projeto de Segurança da Informação. c) Os processos nunca devem ser priorizados porque se equivalem. d) As entrevistas devem ficar restritas à alta direção da empresa. e) Os processos devem ser detalhados em subprocessos. R: a) Os componentes organizacionais são utilizados para definir a abrangência da Segurança da Informação na empresa. O resultado desse trabalho permitirá que se faça uma análise servindo de base para diagnosticar a situação atual da Segurança da Informação na empresa, e também para endereçar o escopo da gestão de riscos. 14) Após a realização do mapeamento das áreas da empresa é feito o mapeamento dos processos de negócio. Para cada processo de negócio é identificada a sua área, o seu responsável e a sua relevância para a organização, bem como os resultados do estudo de impacto e prioridade dos processos. Com relação ao estudo de impacto podemos afirmar que: a) Não possui relação com a confidencialidade, a integridade e a disponibilidade. b) Auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação. c) Trata de a probabilidade de ameaças explorarem vulnerabilidades. d) São exclusivamente decorrentes de fenômenos da natureza, como incêndios e enchentes. e) São decorrentes de ameaças involuntárias causadas por agentes humanos como invasores e espiões. R: b) O estudo de impacto auxilia na identificação da sensibilidade de cada processo na eventualidade de uma possível quebra dos princípios básicos de Segurança da Informação. 15) Trata-se de um recurso utilizado para auxiliar na priorização de resolução de problemas. Ele classifica cada problema utilizando três variáveis. A prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada uma das três dimensões, esses valores de classificação são multiplicados, gerando o resultado final. O recurso descrito acima se chama: a) Matriz BSC c) Matriz GUT e) Matriz BCG b) Matriz ABC d) Matriz SWOT R: c) A matriz GUT é um recurso utilizado para auxiliar na priorização de resolução de problemas. Ela classifica cada problema utilizando três variáveis: a gravidade (G) do problema; a urgência (U) de resolução do problema; e a tendência (T) do problema piorar com mais rapidez ou de forma mais lenta. A prioridade é obtida aplicando valores dentro da faixa de 1 a 5, aumentando a priorização à medida que a pontuação se aproxima de 5. Uma vez obtidos os valores de cada dimensão (G, U, T), esses valores de classificação são multiplicados (G x U x T), gerando o GUT final. 16) Após o mapeamento dos componentes organizacionais é hora de planejar as ações a partir da consolidação dos resultados. Porém, antes disso, ainda fica faltando montar um mapa de relacionamento e dependência entre os processos de negócio, as aplicações e a infraestrutura física, tecnológica e humana. Em outras palavras, devem ser estudados todos os ativos que sustentam os processos de negócio. Serão entrevistados os gestores capacitados para ajudar a levantar números e informações topológicas, físicas e tecnológicas, ligadas aos processos de negócio. Com tudo inventariado, é hora de elaborar o: a) Plano Diretor Corporativo. b) Plano Diretor de TI. c) Plano Estratégico de Tecnologia da Informação. d) Plano Diretor de Segurança da Informação. e) Plano Estratégico Corporativo. R: d) Plano Diretor de Segurança da Informação, estabelecendo as diretrizes básicas que nortearão as atividades e os projetos necessários que serão distribuídos ao longo do tempo e de acordo com a prioridade relacionada com a relevância de cada processo de negócio. 17) A adoção de um modelo de Governança de Segurança da Informação exige que o foco desse trabalho seja estudado tanto nos aspectos que se relacionam ao seu segmento de negócio da empresa quanto nos aspectos que se referem à segurança da informação propriamente dita. A modelagem da Segurança da Informação e o consequente estabelecimento da governança influenciarão na credibilidade do ambiente de TI, possibilitando um maior e melhor controle sobre os ativos de informação, assim como sobre os serviços disponibilizados pela empresa e que são sustentados pela área de TI. Considerando o contexto apresentado, segundo a ABNT NBR ISO/IEC 27014:2013, um dos itens para que o projeto de Governança de Segurança da Informação seja bem- sucedido é: a) Desenvolver a estratégia de Segurança da Informação em função da estratégia estabelecida para se alcançar os objetivos do negócio. b) Desenvolver a estratégia do negócio em função da estratégia estabelecida para se alcançar os objetivos da Segurança da Informação. c) Desenvolver a Governança de Segurança da Informação desconsiderando as informações sobre a estratégia do negócio. d) Ter como premissa que os objetivos e a estratégia do negócio não influenciarão na implementação da Governança de Segurança da Informação. e) Não utilizar o mapeamento das ameaças relacionadas com a Segurança da Informaçãona implementação da Governança da Segurança da Informação. R: a) A estratégia da área de TI deve se alinhar com a estratégia da área de negócio para poder ajudar a empresa a agregar valor nas suas atividades diárias. 18) A norma ABNT NBR ISO/IEC 27014:2013, define seis princípios orientadores da Governança de Segurança da Informação. São declarações de alto nível que definem como a Segurança da Informação será utilizada no negócio da organização. NÃO é um dos princípios orientadores da Governança de Segurança da Informação: a) Estabelecer a segurança da informação em toda a organização. b) Adotar uma abordagem baseada em riscos. c) Estabelecer a direção de decisões de investimento. d) Assegurar a não conformidade com os requisitos internos e externos. e) Analisar criticamente o desempenho em relação aos resultados de negócios. R: d) Assegurar a conformidade com os requisitos internos e externos. 19) A norma ABNT NBR ISO/IEC 27014:2013 possui um modelo baseado em processos. Um desses processos considera que as trocas de informação com as partes interessadas são realizadas, considerando os objetivos da Segurança da Informação e também as ações pertinentes que foram implantadas. O nome desse processo é: a) Processo de comunicação c) Processo de garantia e) Processo de monitoração b) Processo de direção d) Processo de avaliação R: a) Trocas de informação com as partes interessadas. 20) A criação da estratégia da Governança de Segurança da Informação necessita de alguma ferramenta de gestão estratégica que possa ajudar a materializá-la. Tal ferramenta deve apoiar a modelagem, a mensuração e o gerenciamento dos processos de formulação, e a gestão dessa estratégia. Deve ainda proporcionar uma visão sistêmica das principais decisões e ações que direcionarão a evolução da Governança de Segurança da Informação, traduzidas em objetivos, indicadores e metas, além de projetos e planos de ação. Para atender a essas necessidades, a ferramenta indicada é: a) SWOT c) GUT e) Val IT b) TOGAF d) Balanced Scorecard (BSC) R: d) O Balanced Scorecard (BSC) é muito utilizado para materializar a estratégia da empresa. 21) Associe a coluna da direita de acordo com as definições de Sêmola (2014), aplicadas no Sistema de Gestão de Segurança da Informação (SGSI): A sequência que mostra a associação correta é: Descrição da atividade (Sêmola, 2014) Atividade I. Aponta o caminho e tudo o que é necessário para suprir as necessidades de segurança do negócio, conduzindo-o a operar com risco controlado. ( ) Implementação de controles de segurança. II. Planeja a continuidade das atividades de negócio, caso ocorra alguma falha ou desastre significativos. Permite a retomada das atividades em tempo hábil, sempre que necessário. ( ) Equipe para resposta a incidentes. III.Aplica mecanismos de controle de segurança para atingir o nível de risco adequado. ( ) Plano de Continuidade de Negócios (PCN). IV.Cuida para que as fragilidades e os eventos relacionados à Segurança da Informação possam ser tratados em tempo hábil. ( ) Plano Diretor de Segurança (PDS). a) IV, II, I e III c) III, I, II e IV e) II, IV, III e I b) I, III, II e IV d) III, IV, II e I R: d) Os conceitos são estabelecidos de acordo com cada definição. 22) A norma ABNT NBR ISO/IEC 27001:2013 propõe um Sistema de Gestão de Segurança da Informação (SGSI) com base no PDCA. Associe a coluna da direita de acordo com as descrições das fases do PDCA: A sequência que mostra a associação correta é: Descrição da fase Fase I. Manter e melhorar o SGSI. ( ) Planejar II. “Estabelecer a política, os objetivos, os processos e os procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização”. (ABNT NBR ISO/IEC 27001:2013) ( ) Agir III. “Implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) ( ) Checar IV.Monitorar e analisar criticamente o SGSI. ( ) Fazer a) II, I, IV e III c) III, II, I e IV e) II, I, III e IV b) I, II, IV e III d) IV, II, I e III R: a) Utilização das fases do PDCA associadas ao SGSI, de acordo com a norma ABNT NBR ISO/IEC 27001:2013. 23) Considere a seguinte afirmação: “Evitar violações de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais, e de quaisquer requisitos de segurança da informação”. (ABNT NBR ISO/IEC 27002:2013). Esta afirmação está relacionada mais especificamente com: a) Confidencialidade c) Integridade e) Conformidade b) Auditabilidade d) Disponibilidade R: e) Conformidade, significando o cumprimento das obrigações, das políticas e das regras estabelecidas interna e externamente. 24) As informações existentes, em cada empresa, possuem importâncias e valores que transpassam os vários ambientes para sustentar os processos de negócio. Informações distintas necessitam de proteções distintas e, nesse sentido, há necessidade de se estabelecer um modelo de Gestão de Segurança da Informação (GSI) que possa se adequar aos atuais e futuros desafios de cada empresa. Analise as seguintes proposições: I) O modelo do Sistema de Gestão de Segurança da Informação (SGSI) proposto pela norma ABNT NBR ISO/IEC 27001:2013 utiliza o PDCA. II) A fase Check - Checar (C) do PDCA está relacionada com “avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção”. (ABNT NBR ISO/IEC 27001:2013) III) A fase Do - Fazer (D) do PDCA está relacionada com “implementar e operar a política, controles, processos e procedimentos do SGSI”. (ABNT NBR ISO/IEC 27001:2013) IV) Com relação à segurança da informação, a análise de risco realiza um diagnóstico da situação atual da empresa. De acordo com as proposições, estão corretas: a) Apenas a proposição I. b) Apenas a proposição II. c) Apenas as proposições II e III. d) Apenas as proposições I, II e III. e) As proposições I, II, III e IV. R: e) Todas as proposições estão corretas e alinhadas com a norma ABNT NBR ISO/IEC 27001:2013. 25) Avalie as proposições a seguir e identifique com (V) as proposições Verdadeiras e com (F) as proposições Falsas: ( ) Em geral, a classificação da informação determina como essa informação será tratada e protegida. ( ) As pessoas devem ser treinadas e conscientizadas porque é nas pessoas que começa e termina a segurança. ( ) Confiar exclusivamente nos recursos físicos e tecnológicos para fazer segurança da informação é se limitar a controles técnicos, preventivos e reativos, sem que tenha uma solução completa. ( ) A conscientização, em segurança da informação, é um pré-requisito para a implantação de uma Governança de Segurança da Informação bem-sucedida. A sequência correta da avaliação das proposições é: a) V, V, V, V c) F, F, F, F e) F, V, V, F b) V, F, V, F d) V, V, F, V R: a) Todas as proposições estão corretas. 26) O ciclo de vida da informação existe para todo e qualquer tipo de informação. No estabelecimento da cultura de Segurança da Informação, todos devem ter esse conhecimento e saber que esse ciclo de vida é composto por quatro momentos. A sequência que melhor representa, respectivamente, os momentos do ciclo de vida da informação, é: a) Manuseio; armazenamento; transporte; e descarte. b) Armazenamento; manuseio; transporte; e descarte. c) Armazenamento; transporte; manuseio; e descarte. d) Preparo; armazenamento; transporte; e descarte. e) Preparo; manuseio; armazenamento; e descarte. R: a) Toda informação possui um ciclo de vida que vai desde o manuseio, onde a informação é criada e manipulada; até o descarte, onde a informação é descartada. 27) Na cultura em Segurança da Informação, é importante mostrar as camadas que estabelecem barreiras para as ameaças aos ativos da organização. Considere as quatro primeiras camadas apresentadas por Sêmola (2014): 1. Detectar 2. Desencorajar3. Dificultar 4. Discriminar A opção que representa a sequência correta dessas barreiras é: a) 2, 3, 4, 1. c) 4, 3, 1, 2. e) 3, 2, 4, 1. b) 1, 2, 4, 3. d) 3, 4, 2, 1. R: a) Sequência correta: desencorajar; dificultar; discriminar; e detectar. 28) Todos, na empresa, devem ter conhecimento e consciência sobre o valor da informação que dispõem e manipulam independente dela ser pessoal ou institucional. O treinamento e a conscientização em Segurança da Informação devem ter o objetivo de influenciar as pessoas para mudarem seus comportamentos e atitudes relacionados com a proteção dos ativos de informações da empresa. Existem vários recursos de apoio para disseminação da cultura em Segurança da Informação, na empresa, conforme exemplos citados por Sêmola (2014), exceto: a) Seminários abertos para toda empresa. b) Campanha de divulgação para toda empresa. c) Carta do presidente para área de Informática. d) Termo de responsabilidade para toda a empresa. e) Termo de confidencialidade para toda empresa. R: c) Carta do presidente para toda a empresa. 29) A costura entre as fronteiras das vidas profissional e pessoal encontra-se cada vez mais fraca. Os profissionais tendem a utilizar dispositivos móveis particulares também no trabalho, querendo acessar a rede corporativa e armazenar as informações da empresa no próprio dispositivo. Esta tendência recebeu o nome de: a) Bring Your Own Device (BYOD) d) Geração Z b) Geração X e) Geração baby bommer c) Geração Y R: a) Bring Your Own Device (BYOD). 30) Considere a seguinte definição do National Institute of Standard and Technology — NIST —, em 2011: “um modelo para permitir o acesso conveniente, sob demanda, a uma rede com um conjunto compartilhado de recursos de computação configuráveis (ex.: redes, servidores, armazenamento, aplicações e serviços), que podem ser rapidamente provisionados e liberados com o mínimo de esforço gerencial e interação com o provedor de serviço”. Trata-se de uma definição de: a) Computação em nuvem (cloud computing) c) TOGAF b) Big data e) DAMA DMBOK d) Business Process Outsourcing (BPO) R: a) Computação em nuvem permite acesso sob demanda. 31) As empresas costumam terceirizar sempre que, por algum motivo, não compensar para elas desenvolver determinada atividade internamente. Apesar da impulsividade de alguns empresários, terceirizar pode ser um grande desastre se não for respaldado por um planejamento bem feito, incluindo o mapeamento de riscos e um plano de ação, fixando objetivos e definindo as melhores condições para atingi-los. Analise as seguintes proposições: I) A terceirização da área de TI não influencia na Governança de Segurança da Informação. II) Uma das justificativas da terceirização da área de TI é a empresa querer se concentrar na sua atividade principal — core business. III) A empresa que estiver em processo de terceirização deve escolher o provedor de serviços baseada no menor custo, uma vez que todos eles oferecem um ambiente seguro e com os riscos mitigados. IV) A terceirização de TI pode ser total ou parcial. De acordo com as proposições, estão corretas: a) Apenas as proposições II e IV. b) Apenas a proposição I. c) Apenas a proposição II. d) Apenas as proposições I e III. e) As proposições I, II, III e IV. R: a) A terceirização influencia a área de TI. O custo é apenas um dos itens a serem avaliados. 32) Considere a seguinte definição de Siewert citado por Fernandes; Abreu (2014): “Definido genericamente como a captura, gerenciamento é a análise de dados que vão além dos dados tipicamente estruturados, que podem ser consultados e pesquisados através de bancos de dados relacionais. Frequentemente são dados obtidos de arquivos não estruturados como vídeo digital, imagens, dados de sensores, arquivos de logs e de qualquer tipo de dados não contidos em registros típicos com campos que podem ser pesquisados”. Trata-se de uma definição de: a) Computação em nuvem (cloud computing) b) Big data c) TOGAF d) Business Process Outsourcing (BPO) e) DAMA DMBOK R: b) Definição de big data.
Compartilhar