Questões sobre Gestão do Risco

No que se refere à gerência de riscos, julgue o próximo item. Ao estabelecer um SGSI, a organização deverá analisar e avaliar os riscos e, nesse contexto, avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, bem como de impactos associados aos ativos e aos controles atualmente implementados.

• C. Certo
• E. Errado

Acerca da gestão de risco e continuidade de negócios, julgue os próximos itens. A gestão da continuidade do negócio é um processo que estabelece uma estrutura estratégica e operacional adequada para proteger marca e reputação, assim como para obter reconhecida capacidade de gerenciar uma interrupção no negócio.

• C. Certo
• E. Errado

Acerca da gestão de risco e continuidade de negócios, julgue os próximos itens. São consideradas saídas na identificação dos riscos: a lista de componentes com responsáveis e o escopo definido e os limites para a análise e(ou) avaliação de riscos.

• C. Certo
• E. Errado

Acerca do processo de avaliação de riscos de TI, assinale a alternativa incorreta.

• A. O risco de segurança da informação pode ser definido como a possibilidade de uma ameaça explorar vulnerabilidades de um ativo ou conjunto deles, prejudicando assim a organização.
• B. Entre as opções de tratamento de riscos, a transferência do risco compreende a aceitação do ônus da perda associada a um determinado risco.
• C. Ação de evitar o risco é uma decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.
• D. O risco remanescente, após o tratamento de riscos, é chamado de residual.
• E. A norma ABNT, que trata da gestão de riscos de segurança da informação, é a NBR ISO/IEC 27005.

Considere, hipoteticamente, que um gerente de projeto realizou análise sobre a área de conhecimento/gerenciamento de risco de projeto e identificou seis processos. Com base nessas informações, assinale a alternativa que apresenta o processo correspondente à área de conhecimento mencionada.

• A. Planejar a qualidade.
• B. Estimar os recursos da atividade.
• C. Monitorar e controlar os riscos.
• D. Mobilizar a equipe do projeto.
• E. Realizar o orçamento de resposta aos riscos.

Acerca de gestão, risco e conformidade, julgue os itens a seguir. Entre as formas de abordagem do risco inclui-se a transferência do risco, atividade que não se confunde com a abstenção do tratamento do risco.

• C. Certo
• E. Errado

Acerca de gestão, risco e conformidade, julgue os itens a seguir. Gestão de risco consiste no conjunto de procedimentos que permitem a proteção, de forma absoluta, contra quebras de confidencialidade.

• C. Certo
• E. Errado

Um risco é uma condição incerta que pode ter tanto um efeito positivo quanto um efeito negativo sobre o projeto. Em geral, a análise de riscos vai tentar identificar, principalmente,

• A. quais são os riscos e os problemas que podem trazer.
• B. quantos são os riscos e como tratá-los.
• C. qual é a causa-raiz do risco e o que fazer caso o risco se torne um problema.
• D. quais são as pessoas envolvidas no tratamento dos riscos.
• E. qual a probabilidade de ocorrência e o impacto de cada risco.

Existem várias estratégias de respostas a riscos de projetos de software. As estratégias a seguir se aplicam a ameaças ou riscos que, se ocorrerem, podem ter impactos negativos nos objetivos do projeto, bem como estratégias que podem ser usadas tanto para riscos negativos ou ameaças como para riscos positivos ou oportunidades.

I. Indica que a equipe do projeto decidiu não alterar o plano de gerenciamento do projeto para lidar com um risco ou não conseguiu identificar outra estratégia de resposta adequada. Pode ser passiva ou ativa. A passiva não requer nenhuma ação exceto documentar a estratégia, deixando que a equipe do projeto trate dos riscos quando eles ocorrerem. A ativa mais comum é estabelecer uma reserva para contingências, incluindo tempo, dinheiro ou recursos para lidar com os riscos.

II. Implica na redução da probabilidade e/ou do impacto de um evento de risco adverso para dentro de limites aceitáveis. Adotar uma ação antecipada para reduzir a probabilidade e/ou o impacto de um risco ocorrer no projeto em geral é mais eficaz do que tentar reparar o dano depois de o risco ter ocorrido. Adotar processos menos complexos, fazer mais testes ou escolher um fornecedor mais estável são exemplos de ações.

III. Procura eliminar a incerteza associada com um determinado risco positivo, garantindo que a oportunidade realmente aconteça. Exemplos incluem designar os recursos mais talentosos da organização para o projeto a fim de reduzir o tempo de conclusão ou para proporcionar um custo mais baixo do que foi originalmente planejado.

A associação correta, das estratégias de risco com sua definição, está expressa em

• A.

  I-Aceitar; II-Mitigar; III-Explorar.

• B.

  I-Compartilhar; II-Remover; III-Transferir.

• C.

  I-Explorar; II-Mitigar; III-Eliminar.

• D.

  I-Compartilhar; II-Transferir; III-Melhorar.

• E.

  I-Aceitar; II-Eliminar; III-Mitigar.

A Instrução Normativa 04 da Secretaria de Logística e Tecnologia da Informação do MPOG, de 12/11/2010, dispõe sobre o processo de contratação de Soluções de Tecnologia da Informação pelos órgãos integrantes do Sistema de Administração dos Recursos de Informação e Informática (SISP) do Poder Executivo Federal.

Em seu artigo 16 (nos parágrafos 1 e 2) o referido documento diz que a análise de riscos permeia todas as etapas da fase de Planejamento da Contratação e será consolidada no documento final de Análise de Riscos e que será aprovada e assinada pela Equipe de Planejamento da Contratação.

O mesmo artigo define que a Análise de Riscos será elaborada pela Equipe de Planejamento da Contratação contendo os itens abaixo relacionados, EXCETO

• A.

  definição das ações de contingência a serem tomadas caso os eventos correspondentes aos riscos se concretizem, bem como definição dos responsáveis pelas ações de prevenção dos riscos e dos procedimentos de contingência.

• B.

  elaboração de um plano de contingência que inclua o teste da eficácia do mesmo, em que esteja prevista a simulação de um desastre quando deverão ser executados os procedimentos elaborados e realmente utilizados os recursos de forma a esgotar todas as possibilidades de possíveis eventos.

• C.

  mensuração das probabilidades de ocorrência e dos danos potenciais relacionados a cada risco identificado.

• D.

  definição das ações previstas a serem tomadas para reduzir ou eliminar as chances de ocorrência dos eventos relacionados a cada risco.

• E.

  identificação dos principais riscos que possam comprometer o sucesso dos processos de contratação e de gestão contratual e que possam fazer com que a Solução de Tecnologia da Informação não alcance os resultados que atendam às necessidades da contratação.