Questões sobre Gestão do Risco

A respeito da gestão de riscos, julgue os próximos itens.

São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.

• C. Certo
• E. Errado

O processo de planejamento de riscos considera cada um dos principais riscos que foram identificados e desenvolve estratégias para gerenciar esses riscos. Para cada um dos riscos, é necessário pensar em ações que possam tomar para minimizar o impacto, caso ele ocorra. As estratégias de gerenciamento de riscos estão divididas em 3 categorias, sendo elas

• A.

  identificação, catalogação e acompanhamento.

• B.

  identificação, análise e monitoração de riscos.

• C.

  estratégias de prevenção, estratégias de minimização e planos de contingência.

• D.

  mapeamento, testes e solução.

• E.

  métodos de prevenção, monitoração e solução.

Sobre o gerenciamento de riscos é correto afirmar:

• A.

  Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto.

• B.

  Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.

• C.

  A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio, porém, não deve ser repetida periodicamente.

• D.

  Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.

• E.

  A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes.

No que se refere a políticas organizacionais e gestão e análise de riscos, julgue os itens seguintes.

Em virtude de o risco estar sempre presente, evitar sua ocorrência é uma atividade não compreendida na gestão de riscos, que abrange exclusivamente a busca de soluções para minimizar o impacto do risco.

• C. Certo
• E. Errado

No que se refere a políticas organizacionais e gestão e análise de riscos, julgue os itens seguintes.

A avaliação de riscos, uma atividade do processo de gestão de riscos, inclui a identificação e a análise dos riscos, as quais geram saídas para o tratamento desses riscos.

• C. Certo
• E. Errado

Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em

• A.

  elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes.

• B.

  minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes.

• C.

  registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar problemas semelhantes no futuro.

• D.

  detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a execução de um projeto de TI.

• E.

  elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco, dentro do plano de contingência.

Na gestão de riscos de um projeto que envolva a TI, há diversas técnicas que podem ser empregadas em sua análise. Do ponto de vista técnico, a análise de riscos deve levar em consideração os 3 principais aspectos que podem levar um projeto a enfrentar riscos. Esses aspectos são:

• A.

  clientes, fornecedores e questões legais.

• B.

  escopo, prazos e recursos.

• C.

  recursos humanos, prazos e agências governamentais.

• D.

  recursos financeiros, fornecedores e questões ambientais.

• E.

  questões regulatórias, escopo e fornecedores.

De acordo com a norma ABNT NBR ISO/IEC 27.005, os processos da análise de riscos incluem

• A.

  a identificação de consequências.

• B.

  a definição e mensuração da efetividade de controles.

• C.

  a detecção de erros no resultado de processamento de informações.

• D.

  o contato com autoridades.

• E.

  os acordos de confidencialidade.

Sobre a gerência de riscos é INCORRETO afirmar:

• A.

  Pode-se responder ao risco de cinco formas diferentes: evitando, transferindo, reduzindo, aceitando e ignorando.

• B.

  As ameaças precisam ser definidas quanto ao grau de exposição que apresentam para o ativo em questão. Quando se define o grau da ameaça, deseja-se determinar o quanto existe daquela ameaça, independente do ativo ao qual se está referindo para aquela ameaça.

• C.

  Além de avaliar as ameaças e vulnerabilidades, é importante chegar a um indicador de impacto, ou seja, do prejuízo estimado para um incidente de segurança da informação envolvendo um determinado ativo de um determinado processo de negócio.

• D.

  A avaliação do risco propriamente dita nada mais é do que comparar a estimativa de risco contra os critérios de risco para determinar os níveis de riscos de incidentes de segurança da informação. Normalmente, quanto maior o impacto e a probabilidade, maior será o risco.

• E.

  A análise de risco é a parte principal do sistema de gestão da segurança da informação, pois sem essa análise seria praticamente impossível determinar o conjunto adequado de medidas de segurança e garantir qualquer nível de sinergia nas ações tomadas.

Um checklist de verificação de tipos diferentes de risco pode ser usado como ponto de partida na gestão de riscos. Existem diversos tipos de riscos que podem ser incluídos em um checklist de verificação de riscos, entre eles riscos organizacionais. Nesta categoria se inclui o seguinte risco:

• A.

  Problemas financeiros forçam reduções no orçamento do projeto.

• B.

  O banco de dados usado no sistema não pode processar tantas transações por segundo, quanto o esperado.

• C.

  Os componentes de software reusáveis contêm defeitos que significam que eles não podem ser reusados como o planejado.

• D.

  As ferramentas de software não podem trabalhar juntas de forma integrada.

• E.

  Os clientes não conseguem compreender o impacto das mudanças nos requisitos.