Curso de Sistemas de Informação

Disciplina de Auditoria de Sistemas

LISTA DE EXERCÍCIOS
NP3
Prof. Me. Luiz Gonzaga
luiz.gonzaga.lgmb@gmail.com
1. No contexto da Segurança da Informação, qual a definição de Risco?

“Potencial associado à exploração de uma ou mais vulnerabilidades de um

ativo, por parte de uma ou várias ameaças, com impacto negativo nos
recursos afetados, e por conseguinte na atividade e negócio da
organização.”

Risco = Probabilidade x Impacto

2. “Gerenciar os riscos consiste em eliminá-los completamente e não precisar mais tratá-
los”. Julgue a afirmação, comentando se é Verdadeira ou Falsa.

➢
Identificação e avaliação de riscos
Entendimento e comunicação da
Processo contínuo, estruturado e
➢

probabilidade e consequências da ocorrência

sistemático cujo objetivo é assegurar de riscos

uma proteção adequada para os ➢

Priorização no tratamento e redução de riscos

elementos de valor da organização.

➢
Auxílio ao processo de tomada de decisões
➢
Monitoramento e revisão periódica
➢
Obtenção de informações para
aprimoramento do processo
➢
Conscientização de gerentes e de toda a
equipe
3. Gerenciar Projetos, segundo o COBIT, é um processo de TI pertencente ao
domínio de

a. Planejamento e Organização.

b. Planejamento e Controle.

c. Aquisição e Implementação.

d. Entrega e Suporte.

e. Monitoração e Controle.
4. A estrutura dos objetos de controle do COBIT pode ser representada em três
dimensões:

a. domínio, processos e atividades.

b. domínios, processos e critérios de informação.

c. processos, recursos de TI e requisitos de

negócios.

d. instalações, sistemas e dados.

e. Domínios, objetos de controle de alto nível e

detalhados.
5. (ESAF/AFC-CGU-TI-Sis 2008) Para que as atividades de Tecnologia da Informação sejam
efetivamente governadas, é importante considerar as atividades e riscos da área de TI a serem
gerenciadas. As atividades são classificadas em domínios de responsabilidade. No COBIT, estes
domínios são denominados

a. Planejar e Organizar; Adquirir e Implementar, Entregar e dar Suporte, Monitorar e

Avaliar.

b. Planejar e Organizar; Adquirir e Executar, Entregar e dar Suporte, Monitorar e Medir.

c. Planejar e Organizar; Implementar, Entregar e dar Suporte, Medir e Avaliar.

d. Planejar e Organizar; Adquirir e Desenvolver, Entregar e dar Suporte, Monitorar e Melhorar.

e. Planejar e Organizar; Adquirir e Implementar, Entregar e dar Suporte, Medir e Melhorar.

6. (FCC/ANALISTA-TRT2 2009) O processo de Gerenciamento de Problemas,
segundo o ITIL, deve ser executado no estágio do ciclo de vida de serviços
denominado

a. estratégia de serviços.

b. projeto de serviços.

c. transição de serviços.

d. operação de serviços.

e. melhoria contínua de serviços.

7. No processo de Gestão de Riscos de Segurança da Informação, após a fase de análise e avaliação dos
riscos devem ser identificadas as opções de tratamento de risco. Estas são: redução do risco, retenção do
risco, ação para evitar o risco e transferência do risco. Descreva cada uma dessas opções.

➢
Redução: ➢
Ação de evitar:
➢
Seleção de controles: ➢
Elevado risco associado e alto custo de
implementação → evitar as condições que
➢
Correção, eliminação, prevenção,
minimização do impacto, recuperação,
dão origem ao risco.
conscientização, monitoramento ou ➢
Ex.: Ameaças naturais → mover
detecção. fisicamente o ativo.

➢
Retenção: ➢
Transferência:
➢
Sem ações adicionais; Assumir o ➢
Envolvimento de uma entidade externa
risco. capaz de gerenciar o risco em questão.
Bons estudos e
boa prova!