Cada ameaça precisa receber um conjunto de tratativas específicas para que, em caso de concretização, a organização tenha meios de minimizar seus impactos. Caso uma ameaça se concretize, ela irá afetar ___________________, que podem ser _____________________, sendo que o primeiro item é mais subjetivo que o segundo.
Assinale a alternativa que completa adequadamente as lacunas acima:
Alternativas:
- A segurança e os dados; Concretos ou abstratos.
- A organização inteira; Abstratos ou concretos.
- Os dados de uma organização; Diretos ou indiretos.
- Diretamente os ativos; Abstratos ou concretos. CORRETO
- A credibilidade e integridade; Parciais ou totais.
A nível de sistema de informação, pode-se considerar que:
I. As ameaças também podem ser denominadas como vulnerabilidades (ou brechas no sistema).
II. Existem ameaças que estão ligadas ao comportamento humano.
III. Keyloggers são exemplos de ameaças que afetam a segurança da informação.
IV. A criptografia simétrica possui duas chaves: pública e privada.
V. A criptografia assimétrica realiza validação em duas etapas.
São verdadeiras:
Alternativas:
- I – III – V.
- I – IV.
- II – III – IV.
- I – II – III – V.
- I – II – III. CORRETO
Considerando a inevitabilidade de um risco, existem algumas medidas que podem ser tomadas para minimizar seus impactos. Quando essas medidas não se adequam ao cenário da organização, é possível maximizar ou simplesmente aceitar o risco. Considerando esta afirmação, a aceitação de um risco deve ocorrer quando:
- Seus impactos forem baixos ou o tratamento tenha custo elevado. CORRETO
- Não houver mão de obra apta a prover uma resolução para o problema.
- Não existir um plano de tratamento de riscos pré-estabelecido.
- A governança de TI determinar que não há forma de evitá-lo.
- O departamento de TI não conseguir sanar a situação.
Para implantar uma estrutura de governança de TI em uma organização, analise as afirmações a seguir e classifique-as como verdadeiras (V) ou falsas (F):
( ) É necessário requerer aprovação do gerente de TI, que será o diretor da governança.
( ) É necessário eleger o presidente da governança.
( ) Deve ocorrer quebra de paradigmas.
( ) Deve-se obter o apoio do alto escalão (presidência, diretoria, corpo executivo).
( ) Todos os membros devem ser do alto escalão da TI.
Assinale a alternativa que contenha a sequência correta:
Alternativas
- F – F – V – V – F. CORRETO
- V – F – V – F – F.
- F – V – V – V – F.
- F – V – V – V – V.
- F – F – F – V – V.
Quanto à identificação de riscos em TI, baseado na família de normas ISO 31000, é possível afirmar que:
Alternativas:
- Deve contemplar todos os riscos possíveis, pois se algum risco for deixado de fora, ele não será tratado nos passos seguintes. CORRETO
- Pode não ocorrer, para riscos cuja oportunidade seja positiva, por exemplo, uma situação de aumento exponencial de receita à organização.
- São incrementais, ou seja, seguem uma execução cíclica, podendo ocorrer em diferentes etapas da implantação da gestão de riscos.
- Ocorre paralelamente ao estabelecimento do contexto organizacional no qual será aplicada a gestão de riscos.
- É uma etapa obrigatória e ocorre após a criação de um diagrama representativo da análise SWOT.
Quanto à aceitação de riscos, analise as afirmativas a seguir e classifique-as em verdadeiras (V) ou falsas (F):
( ) Deve ocorrer quando o risco não for tratável.
( ) Deve ocorrer apenas quando o gestor de TI definir.
( ) É uma opção, quando o risco for de baixo impacto.
( ) Pode ser uma opção caso o tratamento seja desproporcional ao impacto.
( ) Deve ser adotada quando os impactos forem medianos.
Assinale a alternativa que contenha a sequência correta:
Alternativas:
- V – F – V – F – F.
- F – F – V – V – F. CORRETO
- F – V – V – V – V.
- V – F – V – V – F.
- F – F – F – V – V.
É correto afirmar que a norma ISSO 27001 estabelece:
Alternativas:
- Regras que devem ser seguidas à risca para que os resultados sejam de acordo com o esperado.
- Recomendações para gestão de riscos de TI.
- Critérios mandatórios para implantação de uma estrutura de gestão de riscos.
- Orientações técnicas para avaliação de riscos em TI.
- Requisitos para gestão de sistemas de informação baseada em um código de prática. CORRETO
O PMBOK é considerado _________________ , ou seja, é mais maleável quanto às suas adaptações organizacionais de gerenciamento de projetos, cujo __________________ foca na execução de determinada tarefa, atividade ou trabalho.
Assinale a alternativa que completa adequadamente as lacunas acima:
Alternativas:
- Um framework; Processo.
- Uma norma; Rol de processos.
- Uma norma; Conjunto de atividades.
- Um guia; Esforço temporário. CORRETO
- Uma biblioteca; Conjunto de critérios.
Quanto ao processo de gerenciamento de riscos apresentado pela família de normas ISO 31000, analise as seguintes asserções:
I. O tratamento de riscos só pode ser executado após o processo de análise, e ele retroalimenta a estrutura por meio do monitoramento e revisão.
II. O monitoramento e revisão engloba todas as etapas do processo de gerenciamento de riscos.
III. A identificação dos riscos depende do estabelecimento de um contexto organizacional.
IV. Estabelecer um contexto apenas fornece dados, mas não os recebe.
V. A etapa de avaliação de riscos possui três subetapas.
São verdadeiras:
Alternativas:
- II – III – IV.
- I – II – III – V. CORRETO
- II – IV – V.
- I – IV.
- III – V.
Comment on “Questões sobre Gerenciamento de Riscos”