Prévia do material em texto
Avaliação Gestão de riscos em TI 1) Leia e associe as duas colunas. Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. Neste contexto, analise o quadro a seguir, relacionando as colunas. Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: · I-B; II-C; III-A. · I-B; II-A; III-C. · I-A; II-B; III-C. · I-C; II-A; III-B. · I-C; II-B; III-A. checkINCORRETO Resolução comentada: Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. Código da questão: 55118 2) Conhecer, identificar e saber lidar com riscos, é algo essencial a qualquer organização que atue de forma preventiva e não reativa. Para que isso seja possível, é necessário que todos os departamentos e setores da organização estejam alinhados no mesmo objetivo. Assim, a gestão de riscos, gerida pela ___________________, apontará o nível de _____________________ que a organização está disposta a aceitar para determinado risco. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · Gestão de TI; Segurança. · Equipe executiva; Disponibilidade. · Equipe de TI; Integridade. · Governança de TI; Tolerância. checkCORRETO · Organização; Disponibilidade. Resolução comentada: É a governança de TI que define (em comum acordo com todos os membros) o nível de tolerância que pode ser aceito para todos os riscos incluídos no mapa de riscos Código da questão: 55114 3) Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto: Alternativas: · A preparar um plano para diminuição dos riscos, já que é impossível removê-los. · À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. · A definir os riscos que podem afetar a organização. · À definição do contexto da organização. checkCORRETO · Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. Resolução comentada: Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo de tratamento. Código da questão: 55129 4) Leia e associe as duas colunas quanto aos níveis de segurança da informação: Assinale a alternativa que traz a associação correta entre as duas colunas: Alternativas: · I-B; II-A; III-C. · I-A; II-B; III-C. checkINCORRETO · I-B; II-C; III-A. · I-C; II-A; III-B. · I-A; II-C; III-B. Resolução comentada: Informação ultrassecreta está ligada às questões de segurança territorial, enquanto as confidenciais estão ligadas à segurança da sociedade e Estado. O nível reservado impede que planos sejam frustrados mediante revelação não autorizada. Código da questão: 55136 5) Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e informáticos, investimentos na proteção da infraestrutura de hardware e software podem trazer resultados bastante benéficos neste sentido. Em uma _________________, por exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra, senão ________________, que também protege ambas as redes de ___________________. Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · DMZ; Por meio de um firewall; Ameaças externas. · Zona desmilitarizada; Para encaminhar pacotes de dados; Acesso não autorizado. · Rede local; Por uma sub-rede; Ataques cibernéticos. checkINCORRETO · Rede externa; Por meio de um roteador; Invasão interna. · IPS; Por meio de uma DMZ; Acessos via internet. Resolução comentada: Uma zona desmilitarizada propicia a separação das redes em duas camadas: a primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se concentram os serviços que utilizam diretamente a Web; ambas as redes só se comunicam via firewall, que também as protege do acesso direto da internet. Código da questão: 55142 6) Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: Alternativas: · Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização. · São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. · Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. · Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. checkCORRETO · É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. Resolução comentada: Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos passos seguintes do processo de gestão de riscos. Código da questão: 55130 7) Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). ( ) Em sistemas de informação a etapa intermediária é o processamento. ( ) Em sistemas de informação a etapa final é a saída de dados processados. ( ) Sistemas de informação também auxiliam no apoio à tomada de decisão. ( ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. ( ) O processamento de dados ocorre antes da geração do conhecimento. Assinale a alternativa que contenha a sequência correta: Alternativas: · V – F – V – F – F. · F – F – F – V – F. · F – F – V – F – F. · V – V – V – F – V. checkCORRETO · V – F – V – F – V Resolução comentada: As etapas de um sistema de informação são: entrada de dados, processamento e saída de dados (ou disparo de eventos). Essas saídas são informações que podem gerar conhecimento (que é precedido pela informação, gerada pela captação de dados). Código da questão: 55117 8) Os riscos de segurança da informação podem ser alocados em quatro categorias: _________________ (quanto à funcionalidade de um sistema ou hardware), ______________________ (quanto à comprovação de que o remetente é mesmo quem diz ser), ____________________ (quanto ao sigilo da informação trafegada), ______________________ (quanto à garantia de que o conteúdo permaneceu da mesma forma desde o transmissor até o receptor). Assinale a alternativa que completa adequadamente as lacunas acima: Alternativas: · Autenticidade; Integridade; Disponibilidade; Confidencialidade. · Autenticidade; Integridade; Confidencialidade; Disponibilidade. · Integridade; Confidencialidade; Autenticidade; Disponibilidade. · Integridade; Disponibilidade; Confidencialidade; Autenticidade. · Disponibilidade; Autenticidade; Confidencialidade; Integridade. checkCORRETO Resolução comentada: O critério que verificase um sistema está ativo é chamado de disponibilidade; a autenticidade verifica a identidade do remetente de uma informação; a confidencialidade, como o próprio nome alude, refere-se ao sigilo das informações trafegadas; já a integridade verifica se o conteúdo da informação se manteve inalterado, ou seja, íntegro. Código da questão: 55115 9) A alteração da probabilidade de ocorrência de um risco pode ser feita: Alternativas: · Com base em uma estimativa futura. · Por meio do cálculo da média de ocorrências nocivas. · Por meio da geração de dados fictícios. · Utilizando informações de eventos anteriores. · Via manipulação das variáveis envolvidas. checkCORRETO Resolução comentada: A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor final. Desta forma, a probabilidade pode ser modificada ao serem considerados outros fatores que haviam sido deixados de fora nos cálculos iniciais. Código da questão: 55148 10) Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): ( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança. ( ) É necessário eleger o presidente da governança. ( ) Deve ocorrer quebra de paradigmas. ( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). ( ) Todos os membros devem ser do alto escalão da TI. Assinale a alternativa que contenha a sequência correta: Alternativas: · F – F – F – V – V. · F – V – V – V – F. · V – F – V – F – F. · F – V – V – V – V. · F – F – V – V – F. checkCORRETO Resolução comentada: O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI. Código da questão: 55116 image1.png image2.png