Prévia do material em texto

Avaliação Gestão de riscos em TI
1)
Leia e associe as duas colunas. 
Realizar a gestão de riscos é um processo que engloba um conhecimento profundo de cada setor de uma organização – motivo pelo qual a governança de TI precisa ser composta por membros de várias áreas e hierarquias. Apenas esses membros saberão o nível dos dados, informação e conhecimento que são trafegados em seus respectivos rols de atuação, bem como, os tipos de riscos e impactos que os afetam. 
Neste ínterim, é necessário que cada colaborador da organização – e primordialmente aqueles que compõem a governança de TI – detenham pleno conhecimento sobre o que é um Mapa de Riscos e saibam diferenciar dados, informação e conhecimento. 
Neste contexto, analise o quadro a seguir, relacionando as colunas. 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-B; II-C; III-A. 
· I-B; II-A; III-C. 
· I-A; II-B; III-C. 
· I-C; II-A; III-B. 
· I-C; II-B; III-A. 
checkINCORRETO
Resolução comentada:
Um dado é a matéria-prima para se chegar à informação; Os riscos são necessários para que se possa mensurar o valor de uma informação à organização; Mapas de risco categorizam esses riscos para se averiguar os níveis de tolerância aceitáveis. 
Código da questão: 55118
2)
Conhecer, identificar e saber lidar com riscos, é algo essencial a qualquer organização que atue de forma preventiva e não reativa. Para que isso seja possível, é necessário que todos os departamentos e setores da organização estejam alinhados no mesmo objetivo. Assim, a gestão de riscos, gerida pela ___________________, apontará o nível de _____________________ que a organização está disposta a aceitar para determinado risco. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Gestão de TI; Segurança. 
· Equipe executiva; Disponibilidade. 
· Equipe de TI; Integridade. 
· Governança de TI; Tolerância. 
checkCORRETO
· Organização; Disponibilidade. 
Resolução comentada:
É a governança de TI que define (em comum acordo com todos os membros) o nível de tolerância que pode ser aceito para todos os riscos incluídos no mapa de riscos 
Código da questão: 55114
3)
Considere que você, membro da governança de TI da ABC S/A, precisa implantar a filosofia de gestão de riscos em TI dentro da organização utilizando a família de normas ISO 31000. Um dos primeiros passos que você dará será quanto:  
Alternativas:
· A preparar um plano para diminuição dos riscos, já que é impossível removê-los. 
· À elaboração de um mapa de riscos, expondo as potenciais ameaças à fluidez dos processos. 
· A definir os riscos que podem afetar a organização. 
· À definição do contexto da organização. 
checkCORRETO
· Ao estabelecimento de critérios para se transformar um risco em um projeto a ser sanado. 
Resolução comentada:
Considerando como base a família de normas ISO 31000, o primeiro passo é estabelecer o contexto da organização para que seja possível conhecer o ambiente no qual os riscos estarão atuando e, só então, seja possível identificá-los, mensurá-los e iniciar o processo de tratamento. 
Código da questão: 55129
4)
Leia e associe as duas colunas quanto aos níveis de segurança da informação: 
Assinale a alternativa que traz a associação correta entre as duas colunas: 
Alternativas:
· I-B; II-A; III-C. 
· I-A; II-B; III-C. 
checkINCORRETO
· I-B; II-C; III-A. 
· I-C; II-A; III-B. 
· I-A; II-C; III-B. 
Resolução comentada:
Informação ultrassecreta está ligada às questões de segurança territorial, enquanto as confidenciais estão ligadas à segurança da sociedade e Estado. O nível reservado impede que planos sejam frustrados mediante revelação não autorizada. 
Código da questão: 55136
5)
Algumas medidas preventivas podem ser adotadas para minimizar o nível de ocorrência de um determinado tipo de risco. Considerando apenas os fatores tecnológicos e informáticos, investimentos na proteção da infraestrutura de hardware e software podem trazer resultados bastante benéficos neste sentido. Em uma _________________, por exemplo, procura-se separar as camadas que utilizam os serviços de informação daquelas que acessam conteúdo da WEB. Assim, que uma rede não tenha acesso direto à outra, senão ________________, que também protege ambas as redes de ___________________. 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· DMZ; Por meio de um firewall; Ameaças externas.   
· Zona desmilitarizada; Para encaminhar pacotes de dados; Acesso não autorizado. 
· Rede local; Por uma sub-rede; Ataques cibernéticos. 
checkINCORRETO
· Rede externa; Por meio de um roteador; Invasão interna. 
· IPS; Por meio de uma DMZ; Acessos via internet. 
Resolução comentada:
Uma zona desmilitarizada propicia a separação das redes em duas camadas: a primeira é onde os dados e serviços essenciais funcionam; a segunda é onde se concentram os serviços que utilizam diretamente a Web; ambas as redes só se comunicam via firewall, que também as protege do acesso direto da internet.  
Código da questão: 55142
6)
Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que: 
Alternativas:
· Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização. 
· São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos. 
· Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos. 
· Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. 
checkCORRETO
· É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT. 
Resolução comentada:
Conforme demonstra a família de normas ISO 31000, a identificação dos riscos deve ocorrer de forma integral após o estabelecimento do contexto da organização e nenhum risco pode ser deixado de fora, caso contrário, ele não poderá receber um tratamento nos passos seguintes do processo de gestão de riscos. 
Código da questão: 55130
7)
Quanto a sistemas de informação, analise as afirmações a seguir e classifique-as em verdadeiras (V) ou falsas (F). 
(   ) Em sistemas de informação a etapa intermediária é o processamento. 
(   ) Em sistemas de informação a etapa final é a saída de dados processados. 
(  ) Sistemas de informação também auxiliam no apoio à tomada de decisão. 
(   ) Sistemas de informação têm como etapa inicial a aquisição de conhecimento. 
(  ) O processamento de dados ocorre antes da geração do conhecimento.  
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· V – F – V – F – F.  
· F – F – F – V – F. 
· F – F – V – F – F. 
· V – V – V – F – V. 
checkCORRETO
· V – F – V – F – V
Resolução comentada:
As etapas de um sistema de informação são: entrada de dados, processamento e saída de dados (ou disparo de eventos). Essas saídas são informações que podem gerar conhecimento (que é precedido pela informação, gerada pela captação de dados). 
Código da questão: 55117
8)
Os riscos de segurança da informação podem ser alocados em quatro categorias: _________________ (quanto à funcionalidade de um sistema ou hardware), ______________________ (quanto à comprovação de que o remetente é mesmo quem diz ser), ____________________ (quanto ao sigilo da informação trafegada), ______________________ (quanto à garantia de que o conteúdo permaneceu da mesma forma desde o transmissor até o receptor). 
Assinale a alternativa que completa adequadamente as lacunas acima: 
Alternativas:
· Autenticidade; Integridade; Disponibilidade; Confidencialidade. 
· Autenticidade; Integridade; Confidencialidade; Disponibilidade. 
· Integridade; Confidencialidade; Autenticidade; Disponibilidade. 
· Integridade; Disponibilidade; Confidencialidade; Autenticidade.  
· Disponibilidade; Autenticidade; Confidencialidade; Integridade. 
checkCORRETO
Resolução comentada:
O critério que verificase um sistema está ativo é chamado de disponibilidade; a autenticidade verifica a identidade do remetente de uma informação; a confidencialidade, como o próprio nome alude, refere-se ao sigilo das informações trafegadas; já a integridade verifica se o conteúdo da informação se manteve inalterado, ou seja, íntegro. 
Código da questão: 55115
9)
A alteração da probabilidade de ocorrência de um risco pode ser feita: 
Alternativas:
· Com base em uma estimativa futura. 
· Por meio do cálculo da média de ocorrências nocivas. 
· Por meio da geração de dados fictícios. 
· Utilizando informações de eventos anteriores. 
· Via manipulação das variáveis envolvidas. 
checkCORRETO
Resolução comentada:
A manipulação das variáveis envolvidas em um cálculo probabilístico alterará o valor final. Desta forma, a probabilidade pode ser modificada ao serem considerados outros fatores que haviam sido deixados de fora nos cálculos iniciais. 
Código da questão: 55148
10)
Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F): 
(   ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.  
(   ) É necessário eleger o presidente da governança. 
(  ) Deve ocorrer quebra de paradigmas.  
(   ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo). 
(   ) Todos os membros devem ser do alto escalão da TI. 
Assinale a alternativa que contenha a sequência correta: 
Alternativas:
· F – F – F – V – V. 
· F – V – V – V – F. 
· V – F – V – F – F. 
· F – V – V – V – V. 
· F – F – V – V – F. 
checkCORRETO
Resolução comentada:
O alto escalão da organização deve apoiar e compor (parcialmente) a governança de TI.  
Código da questão: 55116
image1.png
image2.png