Questões sobre Gestão de TI

Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, um plano de continuidade de negócios deve conter

• A.

  a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais.

• B.

  a definição dos controles técnicos que mitigam os riscos de segurança da informação.

• C.

  uma lista das vulnerabilidades presentes nos ativos de processos organizacionais.

• D.

  a definição da equipe de pessoas responsáveis pela operação do programa de continuidade.

• E.

  uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.

De acordo com as normas NBR 15999 e ABNT NBR 15999-2, assinale a opção correta acerca da gestão de continuidade do negócio (GCN).

• A.

  A definição da estratégia de continuidade determina o valor dos períodos máximos toleráveis de interrupção das atividades críticas da organização.

• B.

  A implementação da resposta de GCN compreende a realização dos testes dos planos de resposta a incidentes, de continuidade e de comunicação.

• C.

  A análise de impacto no negócio resulta em melhor entendimento acerca dos produtos, serviços e(ou) atividades críticas e recursos de suporte de uma organização.

• D.

  GCN é uma abordagem alternativa à gestão de riscos de segurança da informação.

• E.

  GCN é a fase inicial da implantação da gestão de continuidade em uma organização.

De acordo com a norma ABNT NBR ISO/IEC 27.001, a gestão da continuidade do negócio tem como objetivo evitar a interrupção de atividades e processos críticos para o negócio, razão por que, no âmbito dessa gestão, devem ser desenvolvidos planos que sejam testados e reavaliados sempre que necessário ou em intervalos de tempos determinados. Nesse sentido, uma mudança que pode provocar a atualização dos planos de continuidade do negócio de uma organização consiste

• A.

  no treinamento em um sistema gerenciador de banco de dados.

• B.

  na troca de equipamento de refrigeração que tenha acarretado defeito das instalações físicas do centro de dados.

• C.

  na alteração da localização das instalações físicas do centro de dados.

• D.

  na troca de extintores de incêndio das instalações físicas.

• E.

  no treinamento de segurança do trabalho.

Sobre Auditoria de TI, analise:

I. Nos projetos de TI a auditoria tem ênfase na análise do passado e não na avaliação atual dos processos da empresa para definir ações futuras.

II. Todos os processos de auditoria são reativos, ou seja, buscam culpados por determinadas ocorrências geradas, as quais tenham ou não trazido determinados riscos operacionais ou mesmo de imagem à corporação.

III. O CobiT pode ampliar a visão da auditoria interna possibilitando uma melhor identificação dos riscos relacionados com a TI e a apresentação de resultados consistentes, com baixo grau de refutação por parte dos auditados.

IV. Os resultados das auditorias podem provocar discussões internas e a identificação da necessidade de evolução da maturidade dos processos e do modelo de governança de TI, que deve estar sustentada pela Governança Corporativa.

Está correto o que consta em

• A.

  III, apenas.

• B.

  II e IV, apenas.

• C.

  III e IV, apenas.

• D.

  I, II e III, apenas.

• E.

  I, II, III e IV.

Sobre as etapas do processo de auditoria interna de TI é correto afirmar:

• A.

  Possui 6 etapas: Planejamento, Análise, Projeto, Execução, Relatório e Plano de Ação.

• B.

  A identificação e apresentação dos Pontos de Auditoria ocorrem apenas em duas fases do processo de auditoria: no Planejamento da Auditoria e no Relatório de Auditoria.

• C.

  Os documentos resultantes da Auditoria de TI são apresentados apenas à área de TI, pois mostra a direção a ser tomada e os investimentos prioritários e necessários apenas nessa área.

• D.

  Tem como resultado alguns documentos que geralmente contêm informações sobre os riscos encontrados e a avaliação desses riscos, os controles em conformidade ou não com normas, e recomendações de melhoria.

• E.

  Apesar do relatório de auditoria funcionar como um mapa que mostra a direção a ser tomada pela área de TI, ele não serve como um guia para auxiliar a administração no planejamento estratégico e na priorização de investimentos, pois apresenta informações técnicas de interesse exclusivo da área de TI.

São objetivos da auditoria, EXCETO:

• A.

  Assegurar a adequação do sistema de controles que está implantado e que está sendo utilizado.

• B.

  Determinar se os recursos estão sendo utilizados em função da análise de custo e benefício.

• C.

  Gerenciar os riscos da organização e tomar ações para solucionar os problemas porventura identificados.

• D.

  Checar se os ativos estão salvaguardados apropriadamente.

• E.

  Revisar a integridade, confiabilidade e eficiência do sistema de informação e dos relatórios financeiros nele produzidos.

Analise:

I. É importante ter um executivo patrocinador que assuma a sua liderança e garanta os fundos necessários para o empreendimento. Um Programa de TI que não possui um patrocinador da alta direção da empresa pode ter problemas na sua implementação.

II. O Programa de Governança de TI necessita do envolvimento dos executivos da organização, pois a implantação de novos processos de TI pode alterar a forma como as áreas da empresa são atendidas pela TI.

III. Deve-se entender em que estágio se encontra os diversos processos de TI da organização, de forma que se possa realizar um planejamento adequado do Programa de Governança de TI e identificar aquelas vulnerabilidades mais gritantes, que merecem uma atenção imediata.

IV. A implantação da Governança de TI é um Programa realizado através de vários projetos, considerando perspectivas de curto, médio e longo prazo. Portanto, requer abordagens consistentes e profissionais de gerenciamento de projetos.

São requisitos que devem ser atendidos para que a implantação da Governança de TI seja bem sucedida, o que consta em

• A.

  II, apenas.

• B.

  II e III, apenas.

• C.

  I e III, apenas.

• D.

  I, II e III, apenas.

• E.

  I, II, III e IV.

Muitas empresas estão adotando a terceirização dos serviços de TI. Podem ser citados diversos benefícios que justificam esse procedimento, tal como

• A.

  utilização de software e hardware mais baratos disponíveis no mercado.

• B.

  aumento do quadro de colaboradores com contratação de experts em TI.

• C.

  utilização de um mesmo aplicativo genérico que sirva a todos os departamentos da empresa.

• D.

  aumento de foco no desenvolvimento e operação das atividades−fim da empresa.

• E.

  aquisição de licenças de software por valores compatíveis com aplicações acadêmicas.

No tocante a auditoria de TI, principalmente aos fundamentos de controles internos, considere:

I. Os principais objetivos de um sistema geral de controle, entre outros, são salvaguardar o ativo de uma organização, manter a integridade, correção e confiabilidade dos registros contábeis.

II. A gerência por objetivos, procedimentos e tomada de decisões deve manter um controle que a capacite a uma supervisão efetiva dentro do ambiente de tecnologia da informação.

III. As responsabilidades e ocupações compatíveis devem estar segregadas de maneira a minimizar as possibilidades de perpetuação de fraudes e até de suprimir erro e irregularidade na operação normal.

Está correto o que consta em

• A.

  III, apenas.

• B.

  I e III, apenas.

• C.

  I e II, apenas.

• D.

  II e III, apenas.

• E.

  I, II e III.

Empresas que possuem várias unidades de negócio devem decidir sobre o nível e tipo de infraestrutura mais adequados a cada unidade. No entanto, tal decisão é difícil de ser tomada, pois geralmente há diferenças entre as unidades. Na gestão de TI, há um método que reúne executivos, gerentes de unidades e de TI em sessões de planejamento, de forma a poder determinar os investimentos mais adequados na infraestrutura mencionada. Esse método é de

• A.

  política top down.

• B.

  controle de suprimentos.

• C.

  modelo diagonal.

• D.

  gestão participativa.

• E.

  gestão por máximas.