Questões de Ciência da Computação do ano 2012

A respeito da gestão de riscos, julgue os próximos itens.

São consideradas entradas para o processo de análise/avaliação de riscos de segurança da informação os critérios básicos, o escopo, os limites e a organização do processo de gestão de riscos de segurança da informação.

• C. Certo
• E. Errado

A respeito da gestão de riscos, julgue os próximos itens.

São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.

• C. Certo
• E. Errado

O processo de planejamento de riscos considera cada um dos principais riscos que foram identificados e desenvolve estratégias para gerenciar esses riscos. Para cada um dos riscos, é necessário pensar em ações que possam tomar para minimizar o impacto, caso ele ocorra. As estratégias de gerenciamento de riscos estão divididas em 3 categorias, sendo elas

• A.

  identificação, catalogação e acompanhamento.

• B.

  identificação, análise e monitoração de riscos.

• C.

  estratégias de prevenção, estratégias de minimização e planos de contingência.

• D.

  mapeamento, testes e solução.

• E.

  métodos de prevenção, monitoração e solução.

Sobre o gerenciamento de riscos é correto afirmar:

• A.

  Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto.

• B.

  Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.

• C.

  A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente.

• D.

  Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.

• E.

  A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes.

No que se refere a políticas organizacionais e gestão e análise de riscos, julgue os itens seguintes.

Em virtude de o risco estar sempre presente, evitar sua ocorrência é uma atividade não compreendida na gestão de riscos, que abrange exclusivamente a busca de soluções para minimizar o impacto do risco.

• C. Certo
• E. Errado

No que se refere a políticas organizacionais e gestão e análise de riscos, julgue os itens seguintes.

A avaliação de riscos, uma atividade do processo de gestão de riscos, inclui a identificação e a análise dos riscos, as quais geram saídas para o tratamento desses riscos.

• C. Certo
• E. Errado

Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em

• A.

  elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes.

• B.

  minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes.

• C.

  registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar problemas semelhantes no futuro.

• D.

  detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a execução de um projeto de TI.

• E.

  elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco, dentro do plano de contingência.

Na gestão de riscos de um projeto que envolva a TI, há diversas técnicas que podem ser empregadas em sua análise. Do ponto de vista técnico, a análise de riscos deve levar em consideração os 3 principais aspectos que podem levar um projeto a enfrentar riscos. Esses aspectos são:

• A.

  clientes, fornecedores e questões legais.

• B.

  escopo, prazos e recursos.

• C.

  recursos humanos, prazos e agências governamentais.

• D.

  recursos financeiros, fornecedores e questões ambientais.

• E.

  questões regulatórias, escopo e fornecedores.

De acordo com a norma ABNT NBR ISO/IEC 27.005, os processos da análise de riscos incluem

• A.

  a identificação de consequências.

• B.

  a definição e mensuração da efetividade de controles.

• C.

  a detecção de erros no resultado de processamento de informações.

• D.

  o contato com autoridades.

• E.

  os acordos de confidencialidade.

Sobre a gerência de riscos é INCORRETO afirmar:

• A.

  Pode-se responder ao risco de cinco formas diferentes: evitando, transferindo, reduzindo, aceitando e ignorando.

• B.

  As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para o ativo em questão. Quando se define o grau da ameaça, deseja-se determinar o quanto existe daquela ameaça, independente do ativo ao qual se está referindo para aquela ameaça.

• C.

  Além de avaliar as ameaças e vulnerabilidades, é importante chegar a um indicador de impacto, ou seja, do prejuízo estimado para um incidente de segurança da informação envolvendo um determinado ativo de um determinado processo de negócio.

• D.

  A avaliação do risco propriamente dita nada mais é do que comparar a estimativa de risco contra os critérios de risco para determinar os níveis de riscos de incidentes de segurança da informação. Normalmente, quanto maior o impacto e a probabilidade, maior será o risco.

• E.

  A análise de risco é a parte principal do sistema de gestão da segurança da informação, pois sem essa análise seria praticamente impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas.