SóProvas

Prova FGV - 2010 - FIOCRUZ - Tecnologista em Saúde - Segurança da Informação

ID
235912
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Com relação à estratégia geral de Tecnologia da Informação (TI) do Governo Federal, é correto afirmar que a Instrução Normativa número 04, de 19/05/2008:

Alternativas
Comentários
  • IN4
    Art. 10, IV, c) capacidade e alternativas do mercado, inclusive a existência de software livre ou software público;
  • Na INSTRUÇÃO NORMATIVA Nº 04 de 12 de novembro de 2010. mudou o artigo:
    Art. 11
    c) a capacidade e alternativas do mercado, inclusive a existência de software livre ou
    software público;
ID
235915
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Com relação à legislação em vigor para contratação de serviços e produtos de TI pela administração pública federal direta, autárquica e fundacional, analise as afirmativas a seguir.

I. Não poderá ser objeto de contratação, todo o conjunto dos serviços de TI de um órgão ou uma entidade em um único contrato.
II. Não poderão ser objeto de contratação, mais de uma solução de TI em um único contrato.
III. Não poderá ser objeto de contratação, gestão de processos de TI, incluindo gestão de segurança da informação.
IV. Não poderão ser objeto de contratação, soluções de TI disponíveis no mercado há menos de dois anos.

Assinale:

Alternativas
Comentários
  • INSTRUÇÃO NORMATIVA Nº  4, 19 de maio de 2008:
    Art. 5º  Não poderão ser objeto de contratação: I - todo o conjunto dos serviços de Tecnologia da Informação de um órgão ou uma entidade em um único contrato; II - mais de uma Solução de Tecnologia da Informação em um único contrato; e III - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação. § 1º  O suporte técnico aos processos de planejamento e avaliação da qualidade dos  serviços de Tecnologia da Informação poderão ser objeto de contratação, desde que sob supervisão exclusiva de servidores do órgão ou entidade. § 2º O disposto neste artigo não se aplica nos casos em que o serviço for prestado por empresas públicas de Tecnologia da Informação que tenham sido criadas para este fim específico, devendo acompanhar o processo a justificativa da vantajosidade para a administração.
  • e se  "todo o conjunto dos serviços de TI de um órgão ou uma entidade " for apenas uma solução de TI?

    existe algo na lei que explicita isso?

  • Wagner,

    Observe o comentário postado pelo outro colega. As vedações estão todas expressas no artigo 5º. Sendo assim, fica claro que um serviço, não sendo um processo de TI do órgão/entidade pode ser contratado. Na verdade, esta é justamente a finalidade da IN 4.

  • A primeira esta esta errada pois a sendo um conjunto se serviços de TI, entra na regra de mais de um serviço de TI no mesmo contrato.

  • Embora não tenha sido citado no enunciado, essa questão de 2010 faz referência ao Art. 5 da INSTRUÇÃO NORMATIVA Nº 4 de 2008.

     

    IN 04 - 2008

    Art. 5º Não poderão ser objeto de contratação:
    I - todo o conjunto dos serviços de Tecnologia da Informação de um órgão ou uma entidade em um único contrato;
    II - mais de uma Solução de Tecnologia da Informação em um único contrato; e
    III - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação.

     

    IN 04 - 2010

    Art. 5º Não poderão ser objeto de contratação:
    I - mais de uma Solução de Tecnologia da Informação em um único contrato; e
    II - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação.

     

    IN 04 - 2014

    Art. 5º Não poderão ser objeto de contratação:
    I - mais de uma Solução de Tecnologia da Informação em um único contrato; e
    II - gestão de processos de Tecnologia da Informação, incluindo gestão de segurança da informação.

ID
235918
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

A Instrução Normativa de 04 de 2008 define estratégias necessárias ao contratar bens e serviços de TI. Algumas estratégias estão listadas a seguir, à exceção de uma.

Assinale-a.

Alternativas
Comentários
  • Selecionar a opção de nível de serviço imediatamente superior igual ao requerido.
  • A IN 4 de 2010 revogou a de 2008:

    Art. 31. Esta Instrução Normativa entrará em vigor a partir de 2 de janeiro de 2011.
    Art. 32. Esta Instrução Normativa revogará a Instrução Normativa SLTI/MP nº 4, de 19
    de maio de 2008, em 2 de janeiro de 2011.
ID
235921
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Arquitetura de Software
Assuntos

Com relação ao padrão e-PING (Padrões de Interoperabilidade para Governo Eletrônico), analise as áreas a seguir.

I. Interconexão.
II. Segurança.
III. Meios de acesso.
IV. Organização e intercâmbio de informações.
V. Áreas de integração para governo eletrônico.

Assinale:

Alternativas
Comentários
  • Letra A.
    O e-PING abrange as áreas seguintes áreas:
    I. Interconexão.
    II. Segurança.
    III. Meios de acesso.
    IV. Organização e intercâmbio de informações.
    V. Áreas de integração para governo eletrônico.
    Fonte: Audiência Pública e-PING v2010 (Ministério do Planejamento)
    PS: Coloca no google e baixa a apresentação.Estudei por lá.
  • A estrutura do documento:

    PARTE 1 - VISÃO GERAL DA E-PING
    1. Introdução
    2. Escopo
    3. Politicas Gerais
    4. Segmentação
    5. Gestão da e-Ping
    PARTE 2 - ESPECIFICAÇÃO TECNICA DOS COMPONENTES DA E-PING
    6. Interconexão
    7. Segurança
    8. Meios de Acesso
    9. Organização e intercambio as informações
    10. Areas de integração para governo eletronico
    11. Glossário de siglas e termos tecnicos
    12. Integrantes

    A fonte é do e-Ping (Padrões de Interoperabilidade de Governo Eletrônico)

    Segue link para baixar a versão 2011 do documento.
     http://www.governoeletronico.gov.br/acoes-e-projetos/e-ping-padroes-de-interoperabilidade/versoes-do-documento-da-e-ping

     
  • Para gravar fácil: O-MAIS
ID
235924
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Com relação à contratação de bens e serviços de TI por requisitantes que pertençam à administração pública, analise as afirmativas a seguir.

I. É vedado estabelecer vínculo de subordinação com funcionários dos fornecedores.
II. É vedado prever em edital a remuneração dos funcionários dos fornecedores.
III. É vedado indicar pessoas para compor o quadro funcional dos fornecedores.
IV. É vedado reembolsar despesas com transporte e hospedagem de fornecedores.

Assinale:

Alternativas
Comentários

  • Alguém sabe porque esta questão foi anulada??? Pela IN 04, a letra A seria a opção correta, não vi nenhuma divergência com o texto da lei.

    Art. 7º É vedado:

    I - estabelecer vínculo de subordinação com funcionários da contratada;

    II - prever em edital a remuneração dos funcionários da contratada;

    III - indicar pessoas para compor o quadro funcional da contratada;

    IV - demandar ao preposto que os funcionários da contratada executem tarefas fora do escopo do objeto da contratação;

    V - reembolsar despesas com transporte, hospedagem e outros custos operacionais, que devem ser de exclusiva responsabilidade da contratada;

    VI - prever em edital exigências que constituam intervenção indevida da Administração na gestão interna dos fornecedores;

    VII - prever em edital exigência que os fornecedores apresentem, em seus quadros,funcionários capacitados ou certificados para o fornecimento da Solução, antes da contratação.


ID
235927
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

A alternativa que não faz parte da gestão de um contrato de serviços de TI é:

Alternativas
Comentários

  • Essa questão não foi anulada? No material do Estratégia para o TCU 2015 está dita que foi.

    Enfim o item E realmente não consta explicitamente, mas dizer que não faz parte é uma forçada de barrada que muitas bancas fazem.

     

    PS. O qconcursos me informou que o gabarito do site é preliminar.

     

  • Letra E

    A INSTRUÇÃO NORMATIVA Nº 1, DE 4 DE ABRIL DE 2019, em seu art. 43, revogou a Instrução Normativa SLTI/MP nº 4, de 11 de setembro de 2014.

    Na INA atual:

    Art. 10. A fase de Planejamento da Contratação terá início com o recebimento pela Área de TIC do Documento de Oficialização da Demanda, elaborado pela Área Requisitante da solução, que conterá no mínimo:

    II - explicitação da motivação e dos resultados a serem alcançados com a contratação da solução de TIC;

ID
235930
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Segundo a disciplina de gerenciamento de projetos aplicada à TI, com relação ao escopo de projetos, é correto afirmar que:

Alternativas
Comentários
  • É só lembrar do processo da área de Integração:
    "Gestão de mudanças"
  • a) não podem ocorrer mudanças.

    b) alterações ao escopo são aceitáveis em qualquer condição.

    c) mudanças podem ocorrer somente antes do estabelecimento da linha de base do projeto.

    d) em tais projetos, o escopo consiste unicamente na definição das necessidades do projeto.

    O escopo é caracterizado pelo trabalho que deve ser realizado, e somente por ele, para se obter um produto ou serviço com determiandas caracteristicas e recursos.

  • A

    não podem ocorrer mudanças.

    B

    alterações ao escopo são aceitáveis em qualquer condição.

    C

    mudanças podem ocorrer somente antes do estabelecimento da linha de base do projeto.

    D

    em tais projetos, o escopo consiste unicamente na definição das necessidades do projeto.

    E

    todas mudanças no escopo precisam ser aprovadas pelo gestor do projeto.

ID
235933
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Engenharia de Software
Assuntos

Dentre as alternativas a seguir assinale aquela que não está incluída na definição do escopo de um projeto de software.

Alternativas
Comentários

  • Essa questão deveria ser anulada. Pois a Identificação dos envolvidos no projeto faz parte do Gerenciamento de Comunicações.

    Fonte: GUIA OFICIAL DO PMBOK (Pág 209)

     

    10.1.3 Identificar as partes interessadas: saídas
    1 Registro das partes interessadas

    A principal saída deste processo de identificação é o registro das partes interessadas, que contém todos os detalhes relativos às partes identificadas, incluindo, entre outros:

    • Informações de identificação: nome, posição na organização, local, papel no projeto,
    informações de contato;
    • Informações de avaliação: requisitos essenciais, principais expectativas, influência
    potencial no projeto, fase de maior interesse no ciclo de vida e
    • Classificação das partes interessadas: interna/externa, apoiadora/neutra/resistente,
    etc.

    Como a questão também apresenta outra resposta correta (E), essa questão deveria ser anulada pela banca organizadora.

  • (    Comentado por Paulo Cortez há 3 meses. Essa questão deveria ser anulada. Pois a Identificação dos envolvidos no projeto faz parte do                                                                  Gerenciamento de Comunicações.)????
    Não entedi o comentario o comando da questão eh Dentre as alternativas a seguir assinale aquela que não está incluída na definição do escopo de um projeto de software. Então a Identificação dos envolvidos no projeto faz parte sim qual o pro???
     

  • De fato, o único elemento circunstancial entre as alternativas é o nome do SOFTWARE. Quem tem nome no escopo é o PROJETO para poder ser identificado. Contudo, o nome do SOFTWARE em si, não precisa ser definido até o momento da entrega.

ID
235936
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação ao gerenciamento de projetos de TI, assinale a alternativa que não se inclui entre as tarefas definidas para a área de gestão de riscos.

Alternativas
Comentários
  • Letra c) como é possível estabelecer resposta para riscos desconhecidos?
  • PMBOOK: Risco é um evento ou condição incerta que, se ocorrer, terá um efeito positivo ou negativo sobre pelo menos um objetivo do projeto.
    - Riscos conhecidos são identificados e analisados, e podem ser considerados no planejamento.
    - Riscos desconhecidos não podem ser gerenciados de forma pró-ativa e uma resposta prudente da equipe seria alocar contingência geral contra esses riscos.

     
  • O risco é um evento ou uma condição incerta que, se ocorrer, tem um efeito em pelo menos um objetivo do projeto.
    Os objetivos podem incluir escopo, cronograma, custo e qualidade.

    PMBOK 4 Edição
  • Os processos de gerenciamento de riscos são (PMBOK, 4a. edição):

    1. Planejar o gerenciamento dos riscos — O processo de definição de como conduzir as atividades de gerenciamento dos riscos de um projeto.
    2. Identificar os riscos — O processo de determinação dos riscos que podem afetar o projeto e de documentação de suas características.
    3. Realizar a análise qualitativa dos riscos — O processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto.
    4. Realizar a análise quantitativa dos riscos — O processo de analisar numericamente o efeito dos riscos identificados, nos objetivos gerais do projeto.
    5. Planejar as respostas aos riscos — O processo de desenvolvimento de opções e ações para aumentar as oportunidades e reduzir as ameaças aos objetivos do projeto.
    6. Monitorar e controlar os riscos — O processo de implementação de planos de respostas aos riscos, acompanhamento dos riscos identificados, monitoramento dos riscos residuais, identificação de novos riscos e avaliação da eficácia dos processos de tratamento dos riscos durante todo o projeto.
     
    Alternativa(s) A se enquadra(m) no processo 6; alternativa(s) B e C se enquadra(m) no processo 5; alternativa(s) E se enquadra(m) no processo 3.

  • D

    Contratar fornecedores de softwares antivírus.

ID
235939
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão de riscos em projetos de TI, analise os componentes de um projeto de TI a seguir.

I. Hardware.
II. Software.
III. Usuários.
IV. Prazos.
V. Custos.
VI. Fornecedores.

Assinale:

Alternativas
Comentários

  • Eita o que me matou nessa questão foi CUSTO dentro da gestão de riscos?

  • Qualquer ponto de um projeto gera risco. A alternativa "a" é a correta.

  • O risco é um evento ou uma condição incerta que, se ocorrer, tem um efeito em pelo menos um objetivo do projeto. Os objetivos podem incluir escopo, cronograma, custo e qualidade. Um risco pode ter uma ou mais causas e, se ocorrer, pode ter um ou mais impactos. As condições de risco podem incluir aspectos do ambiente da organização ou do projeto que podem contribuir para o risco do projeto, como práticas imaturas de gerenciamento de projetos, falta de sistemas integrados de gerenciamento, vários projetos simultâneos ou dependência de participantes externos que não podem ser controlados.

  • I. Hardware.  >>>> pode falhar >>> Tempo, Custos
    II. Software.  >>>> pode  falhar  >>> Tempo, Custos
    III. Usuários.  >>>> kkkkkkkkkkk , é o que mais falha, seja por falha técnica ou moral.
    IV. Prazos.  >>>> pode  metas, são objetivos a prazo definido >> extrapolou,>>>, tempo, custos ...
    V. Custos.  >>>>  podem exceder aos limites aceitáveis que os interessados definiram como econômicamente aceitável
    VI. Fornecedores. >>>> podem simplesmente não honrar com o estabelecido..

    Portanto todos são pontos de risco.

  • I. Hardware.

    II. Software.

    III. Usuários.

    IV. Prazos.

    V. Custos.

    VI. Fornecedores.

    A

    se todos os componentes

ID
235942
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Em relação à gestão de riscos em projetos de TI, assinale a alternativa correta.

Alternativas
Comentários
  • O comentário acima está equivocado, primeiro porque a questão não fala em eliminar todos os riscos e sim eliminar riscos.
    E mesmo quando se trata da eliminação de todos os riscos há um cenário em que isso é possível.
    Recorte do pmbok:
    "A estratégia de evitar mais radical é a suspensão total do projeto."
    Nesse cenário todos os riscos terão sido evitados/eliminados.

    Segundo o pmbok as estratégias para riscos negativos ou ameaças são:
    Eliminar, Transferir, Mitigar e Aceitar

    E para riscos positivos ou oportunidades:
    Explorar, Compartilhar, Melhorar e Aceitar.
ID
235945
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão de prazo de projetos de TI, considere as afirmativas a seguir.

I. O escopo do projeto tem grande importância para a definição dos prazos.
II. Os recursos disponíveis para um projeto não afetam seus prazos.
III. O prazo de um projeto não interfere em seus custos.
IV. A definição da linha de base é fundamental para estabelecer o prazo de um projeto.

Assinale:

Alternativas
Comentários
  • II. Os recursos disponíveis para um projeto não afetam seus prazos. 
    III. O prazo de um projeto não interfere em seus custos. 
  • vejam que questão mal feita

    I. O escopo do projeto tem grande importância para a definição dos prazos

    Ao meu ver este ítem estava certo, pois um projeto de escopo GRANDE pode ter que necessariamente ter prazos GRANDES. A não ser que as fases do projeto sejam "paralelizadas"......

  • b) se somente as afirmativas I e IV estiverem corretas.

    Os recursos disponíveis afetam os prazos e o prazo do projeto interfere nos custos

  • se somente as afirmativas I e IV estiverem corretas.

ID
235948
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Sobre a gestão de prazo de projetos de TI, analise as afirmativas a seguir.

I. O prazo influencia fortemente a satisfação do cliente em relação ao projeto.
II. O prazo pode ser efetivamente alterado apenas pelo gerente do projeto.
III. O prazo inclui os prazos de pagamento do fornecedor pelo cliente.

Assinale:

Alternativas
Comentários
  • O prazo de um projeto pode ser alterado apenas pelo gerente do projeto? Por decisão única e exclusiva do gerente do projeto? Em que mundo?
  • A afirmativa II está correta por causa da palavra "efetivamente" que se traduz em prazos que garantem o sucesso do projeto, pois quem melhor conhece os prazos com maiores chances de sucesso é quem controla o cronograma, o gerente do projeto.
  • Quando ele diz na afirmativa II que pode ser efetivamente alterado, não quer dizer que o cliente não pode dar sua opinião, ou influenciar o prazo, mas quem no fim das contas pode realmente alterar o prazo é GP.

    Minha humilde opinião.

    "Inútil vos será levantar de madrugada, repousar tarde, comer o pão de dores, pois assim dá ele aos seus amados o sono. Salmos 127:2 "
  • Mais outra questão com gabarito errado e da mesma prova.

  • O PMO também pode alterar o prazo do projeto. E não somente o gerente de projeto! 

    Questão errada!

  • O Gestor de Projeto fará a negociação do prazo. Lembrem-se que alterar TEMPO, CUSTO, ESCOPO ou QUALIDADE refletirá nas outras dimensões. Ou seja, por mais que a parte interessada exija um prazo menor ou qualquer alteração em uma das dimensões, não será a parte interessada que baterá o martelo sobre isso e sim o Gerente de Projeto.

    Além disso, se qualquer um pudesse alterar as dimensões, não faria sentido criar linhas de base e o processo Gerenciamento de Mudanças.

  • Concordo com o Rafael.

    O pulo do gato é 'efetivamente'.

    Vamos na fé.

  • I. O prazo influencia fortemente a satisfação do cliente em relação ao projeto.

    II. O prazo pode ser efetivamente alterado apenas pelo gerente do projeto.

    III. O prazo inclui os prazos de pagamento do fornecedor pelo cliente.

ID
235951
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Sobre a relação entre gestão de prazos e a dependência entre tarefas que compõem um projeto de TI, analise as afirmativas a seguir.

I. A dependência entre tarefas é peça-chave na determinação do prazo do projeto.
II. A dependência entre tarefas influencia a diferença de custos entre as tarefas.
III. A dependência entre tarefas não tem relação com os recursos humanos e materiais atribuídos às tarefas.

Assinale:

Alternativas
Comentários
  • A afirmativa II está errada porque o custo de uma tarefa continuará o mesmo independente das tarefas executadas em paralelo ou em sequencia.
    A afirmativa III está errada pelo fato de existir a técnica de nivelamento de recursos.
  • É, tem que arrumar isso aí! Fiquei com pontuação negativa por causa do gabarito errado...

  • Acho estranho a afirmativa III estar errada. Se um grupo de pessoas é necessário para atender a tarefa A e B, eles primeiro devem terminar a tarefa A para que se desloquem para realizar a tarefa B, sendo que B dependeu de A por causa dos recursos humanos. Minha dúvida...

  • DanJuh CasalConcurseiro a alternativa II está errada pois ela fala que NÃO tem relação e como você mesmo disse RH e materiais TÊM relação com Dependência entre tarefas.

  • Bem, meu problema foi a II, a princípio se as tarefas (A e B)  forem independentes ( significa que elas podem ser feitas a qualquer hora)

    A tarefa A custa  XA
    A tarefa B custa  XB

    Visto do lado de CUSTOS, o fato de serem dependentes ou não, não altera o preço, vejamos:

    Se A e B são dependentes, a dependência pode ser do tipo  "QUEM faz " ou  de "INSUMOS - B necessita do Resulatado de A"

    se a dependência for do tipo "quem faz" , o GP pode atribuir a tarefa a outra equipe e isso não altera seus custos apesar de poder afetar os custos do Projeto.
    Se for do tipo "Insumo", o custo da tarefa não muda,  e o GP vai procurar resgatar esse tempo de dependência em outro ponto do cronograma.
    Mas admito que os custos das tarefas não se relacionam com suas dependências. (II, está errada , e mais, indica que III também está errada ).



ID
235954
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão da comunicação em projetos de TI, assinale a afirmativa incorreta.

Alternativas
Comentários
    • a) Quando eficaz, a gestão da comunicação facilita a solução de problemas, conflitos e a tomada de decisão.
    • b) A comunicação eficiente em um projeto mantém a equipe unida.
    • c) O excesso de comunicação em um projeto pode prejudicar seus resultados.
    • d) O descarte de informações de um projeto é uma das responsabilidades da gestão da comunicação.
    • e) A gestão da comunicação sempre requer um gestor específico para esse fim.
    O gestor de comunicacao pode ser o proprio gerente do projeto. NAo necessariamente haverá um gestor apenas para isso...
  • Pessoal, gostaria de uma dica de como estudar gerenciamento de projetos e PMBOK para a  FGV. Estudo o PMBOK, porém essas questões não existem no pmbok. Se alguém souber o livro de onde a banca tirou essas questões eu agradeceria... Afinal, SENADO vem aí....

  • Chará eu estou estudando pelo site: provasdeti.com.br da uma olhada la.

  • E

    A gestão da comunicação sempre requer um gestor específico para esse fim.

ID
235957
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão de qualidade em projetos de TI, analise as afirmativas a seguir .

I. A gestão de qualidade deve ser realizada ao longo de toda a duração do projeto.
II. A gestão de qualidade deve ser realizada pelo cliente do projeto.
III. A gestão de qualidade deve ser realizada pelo fornecedor do projeto.
IV. A gestão de qualidade é compreendida como a gestão da qualidade dos softwares produzidos.

Assinale:

Alternativas
Comentários
  • IV - Errada. O PMBOK não se restringe apenas a empresas na área de TI, qualquer empresa que realize projetos pode usar este guia. 
  • Não entendi está questão...

    quando ele fala que "a gestão da qualidade deve ser realizada pelo cliente do projeto."

    da mesma forma quando ele fala que a gestão deve ser realizada pelo fornecedor...

    com isto ele não EXCLUI o gerente do projeto ??? CONFUSA, e mau formulada na minha opinião... :(

    concordo que TODOS (cliente, fornecedor, gerente) devem participar... porém o que está escrito na questão... fica dúbio :(
  • II - O cliente do projeto fornece requisitos de qualidade e verifica a adequação a eles, mas quem gere é fornecedor (empresa contratada para gerir o projeto.
    [não há exclusão do gerente de projeto, pois ele faz parte do fornecedor].

    IV - A gestão de qualidade, não foca apenas no produto produzido, mas também nos processos.
  • Pelo menos no gabarito que está disponível aqui no site do questoesdeconcurso em PDF está letra A.
    Por favor, pessoal do site, revejam o gabarito e a resposta considerava correta pelo site.

  • Realmente no gabarito da prova está marcado letra A.
    Abri um chamado no Atendimento para correção.

  • A letra A está correta,  a qualidade deve ser realizada por todos envolvidos no projeto.. se as alternativas tivessem a palavra "exclusivamente" ai poderiam estar erradas as alternativas I II e III.

  • Influenciar é bastante distinto de Gerir..

    Influenciar é dar as restrições, o que se quer e até como o que se deseja como resultado, e isso em última instância é do cliente, patrocinador, ou as partes interessadas, e isso não é gestão.

    Gerir ou Gestão  é que estes requisitos aceitos, estejam de acordo como acordado, chegando ao ponto do aceite o que pressupõe ter a qualidade esperada pelo interessado, assim Cliente não faz gestão, dá pitáculo !

    Gestão quem faz é o fornecedor.
    a IV está errada porque PMBOK é administração e não  apenas TI, o resultado pode ser uma viagem, uma casa.. e até um sw que funcione..rs


  • A assertiva IV ficou muito ambigua, por isso dando margem a duas interpretações.

    Interpretação alternativa: "A gestão de qualidade é compreendida como a gestão da qualidade dos softwares produzidos" pode ser vista como: [gestão de qualidade] = [gestão de qualidade] dos [produtos produzidos]; ela esta se referindo a gestão de qualidade e não aos produtos produzidos, estes são apenas mencionados como complemento nominal 

  • Na minha opinião, não houve ambiguidade em nenhum momento, em nenhuma das assertivas.

    Como que qualidade pode ser compreendido como qualidade de softwares produzidos?

    O conceito de qualidade é muito mais amplo do que o apresentado na assertiva IV.

    Gabarito a).

    Vamos na fé.

  • I. A gestão de qualidade deve ser realizada ao longo de toda a duração do projeto.

    II. A gestão de qualidade deve ser realizada pelo cliente do projeto.

    III. A gestão de qualidade deve ser realizada pelo fornecedor do projeto.

    IV. A gestão de qualidade é compreendida como a gestão da qualidade dos softwares produzidos.

ID
235960
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Assinale, dentre as alternativas a seguir, aquela que não constitui uma técnica de gestão de qualidade em projetos de TI.

Alternativas
Comentários
  • Só em empresas "comunistas" isso se enquadra, para haver qualidade de produto deve haver qualidade de processo.
  • Esta é aquela questão que se acerta por "lógica e bom senso", mas trazendo o embasamento do Pmbok 2008 (vejam a pagina 206, figura 8.10)

    O processo 8.3-CONTROLE DE QUALIDADE preve como ferramentas e técnicas:

    1)Diagrama de causa e efeito (ou "espinha de peixe" ou "ishikawa" ou "6m")
    2)Gráficos de controle
    3)fluxogramas
    4)histograma
    5)diagrama de pareto (o famoso 80-20)
    6)gráficos de execução
    7)Diagrama de dispersão (muito usado em processos de engenharia)
    8)amostragem estatística
    9)inspeção
    10)revisão das solicitacoes de mudancas aprovadas

    Pensando no ítem errado (d) Estabelecimento de sanções e multas por falhas de qualidade.) , basta lembrar que Multar a empresa simplesmente não fará o produto "melhorar" a qualidade, pois se esta multando é por que o produto ja esta ruim de fato.  Deveria ter sido feito o controle prévio por meio deste processo)
  • Desde quando  a "Definição de um gestor de qualidade para o projeto. " é uma TÉCNICA?
  • concordo com o alexandre.
    não acho a questão nem um pouco intuitiva, nem tão pouco concordo com o gabarito. definição de gerente não pode ser considerado "técnica".
  • Questão realmente bem bizarra, pois não é uma técnica. 

ID
235963
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão de qualidade em projetos de TI, assinale a afirmativa correta a respeito da terceirização de serviços no tocante à qualidade de projetos de TI.

Alternativas
Comentários
  • Perfeito. Na verdade, nem os próprios executantes-fim conseguem garantir a qualidade caso não sejam adotadas as técnicas pertinentes a ela. Terceirização não é sinônimo de qualidade. Nunca foi.

  • Se terceirização fosse sinônimo de qualidade, bastava terceirizar todas as atividades de um projeto.

  • A terceirização não garante por si só a qualidade do serviço.

    B

    A qualidade do projeto é o único motivo para justificar a terceirização.

    C

    Tarefas terceirizadas dispensam o acompanhamento da qualidade.

    D

    A terceirização reduz a responsabilidade do gerente do projeto pela sua qualidade.

    E

    A qualidade de um projeto é decorrência da quantidade de tarefas terceirizadas envolvidas.

ID
235966
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Com relação à gestão da comunicação em projetos de TI, considere as afirmativas a seguir.

I. O plano de comunicação do projeto deve ser ajustado à equipe.
II. A comunicação, num projeto, deve ser incorporada à rotina.
III. Todos os participantes do projeto devem estar presentes em cada reunião.
IV. As informações geradas e coletadas devem permanecer acessíveis apenas ao gestor da comunicação.
V. A comunicação interativa (conversas, reuniões e entrevistas, por exemplo) é sempre preferível à comunicação de uma única via (relatórios, memorandos e e-mails, por exemplo).

Assinale:

Alternativas
Comentários
  • Respostas:

    I. O plano de comunicação do projeto deve ser ajustado à equipe.

    C>> o processo "PLANEJAR COMUNICACOES" depende da entrada "registro das partes interessadas" para gerar a saida "plano de gerenciamento de comunicacoes" que é aquele que trata toda a forma de comunicacao de informacoes do projeto. Leia-se "equipe" como "ti + negocio (partes interessadas como um todo)".

    II. A comunicação, num projeto, deve ser incorporada à rotina.

    C>> O grande "calcanhar de aquiles" de vários projetos é justamente a comunicação. Uma comunicação mal planejada pode gerar malentendidos que prejudicam a execução do projeto.

    III. Todos os participantes do projeto devem estar presentes em cada reunião.

    E>> Existem reuniões que  algumas partes interessadas (como por exemplo diretores e patrocinadores do projeto) nao precisam participar, como por exemplo pontos de controle semanais

    IV. As informações geradas e coletadas devem permanecer acessíveis apenas ao gestor da comunicação.

    E>> O processo "Distribuir INformações" define quem receberá as informações a partir do plano de gerenciamento de projetos (os stakeholdes envolvidos TÊM que ter acesso as informações, senão o projeto não anda!). Imagina como ficaria o projeto se o próprio patrocinador deste não souber se o projeto esta tendo sucesso ou não.

    V. A comunicação interativa (conversas, reuniões e entrevistas, por exemplo) é sempre preferível à comunicação de uma única via (relatórios, memorandos e e-mails, por exemplo).

    E>> é como afirmar que uma famosa conversa estilo "rádio corredor" é melhor para solicitar algo de trabalho do que um documento formal.
  • Só para dar um exemplo, o PMBOK diz que para reportar o desempenho de um projeto, o gerente de projetos geralmente usa uma comunicação ativa (que é de uma via). Ou seja, o desempenho geralmente é reportado através de relatórios.

    Caso alguma das partes interessadas tenha algum questionamento, aí sim a comunicação interativa será mais útil. Mas imagine só reportar o desempenho para todas as partes interessadas através de métodos de comunicação interativa!

    Portanto, nem sempre a comunicação interativa é preferível.

  • I. O plano de comunicação do projeto deve ser ajustado à equipe.

    II. A comunicação, num projeto, deve ser incorporada à rotina.

    III. Todos os participantes do projeto devem estar presentes em cada reunião.

    IV. As informações geradas e coletadas devem permanecer acessíveis apenas ao gestor da comunicação.

    V. A comunicação interativa (conversas, reuniões e entrevistas, por exemplo) é sempre preferível à comunicação de uma única via (relatórios, memorandos e e-mails, por exemplo).

ID
235969
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Gerência de Projetos
Assuntos

Dentre as alternativas a seguir, assinale aquela que não representa uma prática saudável para a gestão eficaz da comunicação em projetos de TI.

Alternativas
Comentários
  • Esconder o que esta acontecendo atrapalha em diversas estimativas do projeto.
  • A comunicação num projeto é tão importante que ela possui status de área de conhecimento pelo PMI. As más notícias não devem ser minimizadas, atenuadas ou escondidas, pelo contrário: devem ser amplamente divulgadas, pois, caso não o sejam, podem levar o projeto a sucumbir.

  • Pensar objetivamente???? O que tem haver como a COMUNICAÇÃO???? 

  • Mas mesmo pelo bom senso você marcaria a b) em vez da e)?

    Vamos na fé.

  • Manter a comunicação de más notícias num nível superficial.

ID
235972
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à análise de risco em segurança da informação, considere os tipos de risco a seguir.

I. Dano físico, como fogo, vandalismo e desastres naturais.
II. Perda de dados, seja intencional ou não.
III. Falha de equipamento.
IV. Risco de mercado e perda de investimento.

Assinale:

Alternativas
Comentários
  • O risco de mercado e a perda de investimento deve ser levado em consideração âmbito empresarial e de estratégia de negócios, mas não no âmbito da segurança da informação. A norma ISO 27005 compreende os demais riscos citados na questão.
    Portanto, a letra A está correta.
  • Adriana o seu argumento está correto porém sua conclusão não. O gabarito é a letra A mesmo!
    O enunciado enfatiza ˜análise de risco em segurança da informação˜.

  • É mesmo, tinha trocado o gabarito do comentário. Mas agora já corrigi. Valeu.

  • Discordo.
    7.2 Critérios básicos
    Critérios para avaliação de riscos
    Convém que os critérios para a avalição de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
    ...
    Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.

    Critérios de impacto
    Convém que os critérios de impacto sejam desenvolvidos e especificados em função do montante dos danos ou custos à organização causados por um evento relacionado a segurança da informação, considerando o seguinte:
    ...
    Perda de oportunidades de negócio e de valor financeiro
    Dano à reputação

    Não há essa dissociação da segurança da informação e do negócio.
    Essa visão míope da tecnologia da informação é combatida pelos conceitos e pilares da Governança de TI.

    Se há na organização um ativo que possua riscos associados ao mercado ou a investimentos, a partir da análise/avaliação de riscos serão definidos controles/tratamento para ele.
    O problema é que quem fez a questão também é portador dessa miopia da TI.
  • Concordo com o Leonardo Marcelino Teixeira, 
    Mas a questão não afrontou esse princípio, pois da Governança deve se preocupar com o negócio mas somente com o que estiver sob sua alçada.
    Ao meu ver, o erro da alternativa IV está no "Risco de mercado", que é definido como "a possibilidade de ocorrência de perdas resultantes da flutuação nos valores de mercado de posições ativas e passivas detidas pelas instituições financeiras (..). O risco de mercado inclui os riscos das operações sujeitas à variação cambial, taxa de juros, preços das ações e dos preços de mercadorias (commodities)."
    Portanto, o Risco de Mercado é algo que vai muito além das capacidades de prevenção de qualquer empresa.
  • Segundo a norma 27005, em sua parte introdutória, o processo de gestão de riscos em segurança da informação faz parte de um processo maior, presente nas organizações: O processo de gestão de riscos corporativos. Sendo assim, os itens I, II e III são questões afetas à area de atuação do processo de gestão de segurança da informação, enquanto o item IV é gerido e tratado pelo processo de gestão de riscos corporativos.

  • Gabarito A

    Risco de mercado e perda de investimento, não são risco de Segurança da Informação.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235975
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao elaborar uma análise de risco, a principal abordagem em relação às ameaças deve ser de que:

Alternativas
Comentários

  • LETRA D.

    Segundo a ISO 27005,"

    8.2 Análise de riscos

    8.2.1 Identificação de riscos

    8.2.1.3 Identificação das ameaças

    Diretrizes para implementação:

    Convém que tanto as fontes das ameaças acidentais, quanto as intencionais, sejam identificadas. Uma ameaça pode surgir de dentro ou de fora da organização. Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo: ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o volume de trabalho exigido é limitado."

  • Gabarito D

    Muito óbvio.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ✅Gabarito(D) 

    Atualizando a resposta de acordo com a norma 27005 atualizada.

    8.2 Identificação de riscos

    8.2.3 Identificação das ameaças

    Diretrizes para implementação:

    Convém que as ameaças sejam identificadas genericamente e por classe (por exemplo, ações não autorizadas, danos físicos, falhas técnicas) e, quando apropriado, ameaças específicas identificadas dentro das classes genéricas. Isso significa que, nenhuma ameaça é ignorada, incluindo as não previstas, mas que o volume de trabalho exigido é limitado.

    Fonte: NORMA BRASILEIRA ABNT NBR ISO/IEC 27005 Terceira Edição 24.10.2019

ID
235978
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto ao tipo regulatório de política de segurança da informação, é correto dizer que:

Alternativas
Comentários
  • Fiquei em dúvida da letra b) ....

    "Além disso, a política de segurança também estipula as penalidades às quais estão sujeitos àqueles que a descumprem."

    p.15
    http://www.rlmti.com/documentos/Monografia_SegInfDoc.pdf
  • Fala, Cozer!!! Cara, a questão está falando de tipo regulatório. Quando há esse termo que dizer que a PSI deve "assegura que a organização está seguindo normas estabelecidas de forma específica à indústria". Ou seja, a PSI deve estar em conformidade com a letra D.

    A questão não está pedindo o que tem em uma PSI.

    Beleza?

    []s

  • Gabarito D

    O que faz uma boa política de segurança?

    As características de uma boa política de segurança são:

    Ela deve ser implementável através de procedimentos de administração, publicação das regras de uso aceitáveis, ou outros métodos apropriados.

    Ela deve ser exigida com ferramentas de segurança, onde apropriado, e com sanções onde a prevenção efetiva não seja tecnicamente possível.

    Ela deve definir claramente as áreas de responsabilidade para os usuários, administradores e gerentes.

    Os componentes de uma boa política de segurança incluem:

    Guias para a compra de tecnologia computacional que especifiquem os requisitos ou características que os produtos devem possuir.

    Uma política de privacidade que defina expectativas razoáveis de privacidade relacionadas a aspectos como a monitoração de correio eletrônico, logs de atividades, e acesso aos arquivos dos usuários.

    Uma política de acesso que define os direitos e os privilégios para proteger a organização de danos, através da especificação de linhas de conduta dos usuários, pessoal e gerentes. Ela deve oferecer linhas de condutas para conexões externas, comunicação de dados, conexão de dispositivos a uma rede, adição de novos softwares, etc. Também deve especificar quaisquer mensagens de notificação requeridas (por exemplo, mensagens de conexão devem oferecer aviso  sobre o uso autorizado, e monitoração de linha, e não simplesmente "welcome".

    Uma política de contabilidade que defina as responsabilidades dos usuários. Deve especificar a capacidade de auditoria, e oferecer a conduta no caso de incidentes (por exemplo, o que fazer e a quem contactar se for detectada uma possível intromissão.

    Uma política de autenticação que estabeleça confiança através de uma política de senhas efetiva, e através da linha de conduta para autenticação de acessos remotos e o uso de dispositivos de autenticação.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235981
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da análise de risco em segurança da informação, considere os objetivos a seguir.

I. Identificar os bens e seus valores.
II. Identificar vulnerabilidades e ameaças.
III. Quantificar a probabilidade e o impacto nos negócios das ameaças potenciais.
IV. Oferecer um equilíbrio econômico entre o impacto da ameaça e do custo da prevenção.

São objetivos principais da análise de risco:

Alternativas
Comentários

  • Todos os itens estão descritos na sessão 8.2 da norma ISO 27005

  • Gabarito E

    ISO 27005 descrita certinha... olhar a sessão 8.2.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • ✅Gabarito(Certo) 

    Nem todos os itens estão mencionados no tópico 8.2 como mencionado nos comentários anteriores.

    8 Processo de avaliação de riscos de segurança da informação

    8.2 Identificação de riscos

    8.2.2 Identificação dos ativos

     Identificar os bens e seus valores.

    8.2.3 Identificação das ameaças

     Identificar vulnerabilidades e ameaças.

    8.2.5 Identificação das vulnerabilidades

     Identificar vulnerabilidades e ameaças.

    8.3 Análise de riscos

    8.3.2 Avaliação das consequências

    Quantificar a probabilidade e o impacto nos negócios das ameaças potenciais.

    Oferecer um equilíbrio econômico entre o impacto da ameaça e do custo da prevenção.

    ➥ Assim, aos ativos podem ser atribuídos valores correspondendo tanto aos seus custos financeiros, quanto às consequências ao negócio se forem danificados ou comprometidos.

    ➥ O valor do impacto ao negócio pode ser expresso de forma qualitativa ou quantitativa, porém um

    método para designar valores monetários geralmente pode fornecer mais informações úteis para a

    tomada de decisões e, consequentemente, permitir que o processo de tomada de decisão seja mais

    eficiente.

    Fonte: ABNT/CB-21 PROJETO DE REVISÃO ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011) AGOSTO:2011

  • A questão levou como base a versão de 2008 em que a Análise de Riscos possuia as etapas de Identificação e Estimativa de riscos.

ID
235984
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No campo da análise de risco em segurança da informação, assinale a alternativa que apresenta a explicação verdadeira a respeito do conceito por trás da sigla ARO.

Alternativas
Comentários

  • Annualized Rate of Occurrence (ARO).

  • ALTERNATIVA C

    Para podermos avaliar o risco para um período mais longo de tempo precisamos     estimar também o número de ocorrências da ameaça em questão que esperamos sofrer ao longo deste período. Esse período é normalmente de um ano e o número é representado pelo ARO (Annualized Rate Occurrence ) 
  • link para o conteúdo: http://hercules-now.com/2010/01/12/gestao-de-riscos-%E2%80%93-topico-1-6/
  • Para podermos avaliar o risco para um período mais longo de tempo precisamos estimar também o número de ocorrências da ameaça em questão que esperamos sofrer ao longo deste período. Esse período é normalmente de um ano e o número é representado pelo ARO (Annualized Rate Occurrence) . Se esperarmos que a ameaça ocorra 10 vezes por ano então trabalhamos com um ARO igual a 10. Se esperamos que a ameaça ocorra uma vez a cada cinco anos, trabalhamos com um ARO de 0,2 (1 dividido pó 5). 

  • Annualized Rate of Occurrence (Definition)

    The probability that a risk will occur in a particular year.

    For example, if insurance data suggests that a serious fire is likely to occur once in 25 years, then the annualized rate of ocurrence is 1/25 = 0.04.

  • Gabarito C

    SLE (Single Loss Expectancy – Expectativa de uma única perda): dinheiro que se espera perder caso um incidente ocorra uma vez.

    ARO (Annual Rate of Occurrence – Taxa anual de ocorrência): quantas vezes dentro de um período de um ano se espera que o incidente ocorra.

    ALE (Annual Loss Expectancy – Expectativa de perda anual): dinheiro que se espera perder em um ano considerando o SLE e o ARO (ALE = SLE * ARO). Para a avaliação de risco quantitativa, este é o valor do risco.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235987
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Ao atribuir valores aos bens da corporação, não é determinante o custo:

Alternativas
Comentários
  • Não existe recuperação de uma ameaça, uma ameaça não tira de operação um sistema ou uma empresa. Portanto não há do que se recuperar.
    Estaria correto se fosse recuperação de um incidente.

  • Alguém tem algo sobre essa questão? A recuperação de uma ameça não tem um valor?

  • Gabarito E

    Na verdade Anne, existem ameaças que as empresas não querem ter que arcar com a recuperação... elas já têm isso como separadas e determinadas para uma eventual perda.

    Espero ter ajudado.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Fonte? mas q porr@ é essa?
ID
235990
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do fornecimento de energia elétrica, considere as afirmativas a seguir.

I. Não utilizar o sistema compartilhado de fornecimento de energia elétrica.
II. Evitar indução eletromagnética utilizando condutores isolados adequadamente.
III. Utilizar monitores de energia para identificar alterações relevantes na frequência e voltagem.
IV. Utilizar apenas equipamentos com indicação de 220V.

Assinale:

Alternativas
Comentários
  • Ô tristeza ter que chutar na menos errada! A indução eletromagnética não é evitada pelo isolamento, mas pela separação entre as redes, ou pela blindagem. O isolamento evita fugas de corrente, curto-circuito, faiscamento, queimas de equipamentos etc.

  • Sinceramente questão totalmente desnecessaria

  • Paro para estudar a norma 27005 e, de quebra, a 15999 e me deparo com um pergunta dessas....

  • FVG inveta moda d+++..

ID
235993
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas abaixo, a que representa um objetivo ou um dever da política de segurança da informação é:

Alternativas
Comentários

  • De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

    As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

    O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

    Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. Entre essas normas estão a BS 7799 (elaborada pela British Standards Institution) e a NBR ISO/IEC 17799 (a versão brasileira desta primeira). A ISO começou a publicar a série de normas 27000, em substituição à ISO 17799 (e por conseguinte à BS 7799), das quais a primeira, ISO 27001, foi publicada em 2005.

    Existem duas filosofias por trás de qualquer política de segurança: a proibitiva (tudo que não é expressamente permitido é proibido) e a permissiva (tudo que não é proibido é permitido).

    Os elementos da política de segurança devem ser considerados:

    • A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar, possa usar. Dados críticos devem estar disponíveis ininterruptamente.
    • A Legalidade
    • A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
    • A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
    • A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado.
ID
235996
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

De modo a oferecerem uma boa razão custo-benefício, os principais valores que devem ser apurados ao elaborar o orçamento para instalações de segurança:

Alternativas
Comentários
  • Não é prova de Português mas como o sujeito "principais valores" está no plural, já dá para eliminar as opções C e E.

    Dano não é valor (dano "tem" valor, em forma de prejuízo, de custo de correção), então eliminamos também a letra D.

    Faturamento em si não indica necessidade maior ou menor de investimento em segurança. Eliminamos também a A.

    Letra B é a correta.

  • Gabarito B

    Essa foi por eliminação hehe...

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
235999
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto à política de segurança da informação organizacional, considere as afirmativas a seguir.

I. A gestão determina como um programa de segurança será criado.
II. A gestão estabelece os objetivos do programa.
III. A gestão atribui responsabilidades e mostra o valor estratégico e tático de segurança.
IV. A gestão realiza a atualização dos sistemas legados que apresentam falhas de segurança.

Assinale:

Alternativas
Comentários
  • A gestão sempre está no alto nível das decisões, portanto não executa nada, apenas delega e ordena a execução.

    A alternativa IV está escancaradamente errada, logo eliminam-se alternativas B) e E).

    Das alternativas resultantes, tem-se que II está correto.

    Resta ao candidato saber que I e III estão corretas porque tais atribuições fazem parte do papel da Gestão, conforme ratificado nas normas ISO e nos modelos de Gestão de TI.

  • De acordo com a ISO 27.002, a política de segurança da informação deve conter:
    * Definição de Segurança da Informação, metas globais e escopo
    * Declaração do comprometimento da direção com a Segurança da Informação
    * Estrutura para estabelecer os objetivos de controle e os controles de Segurança da Informação
    * Definição de responsabilidades referentes à Segurança da Informação

  • O comentário do Junior não condiz com a questão. Política está relacionado ao nível estratégico e não tático, que é o que a questão pede.

    a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a IMA decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;

    b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;

    c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da IMA.

  • Letra A

    Complementando, uma PoSIC compreende todo arcabouço de:

    - Diretrizes: definem a estratégia. Por que proteger?

    - Normas: definem a tática. O que proteger? 

    - Procedimentos: definem o operacional. Como fazer para proteger?

ID
236002
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da política de segurança da informação, considere as afirmativas a seguir.

I. Uma política específica de sistema pode definir como o banco de dados será utilizado e protegido.
II. Uma política específica de sistema pode definir o nível de privacidade para os conteúdos dos e-mails corporativos.
III. Uma política específica de sistema pode definir como serão aplicados firewalls e sistemas de detecção de intrusos.
IV. Uma política específica de sistema pode atribuir responsabilidades aos funcionários em cargos de confiança.

Assinale:

Alternativas
Comentários

  • Questão muito estranha. De acordo com a ISO 27.002, a política de segurança da informação deve conter:
    * Definição de Segurança da Informação, metas globais e escopo
    * Declaração do comprometimento da direção com a Segurança da Informação
    * Estrutura para estabelecer os objetivos de controle e os controles de Segurança da Informação
    * Definição de responsabilidades referentes à Segurança da Informação

  • Repetindo a resposta da pelo colega abaixo, no fórum da timasters, com a qual concordo:
    "
    Revendo a questão acho que dá para justificar a resposta.

    Apesar do comando falar em política de segurança da informação, talvez
    intencionalmente para confundir, as alternativas falam de política
    específica e esta é feita sistema a sistema individualmente.
    Então temos:
    I - Política específica para BD
    III - Política especifica para firewall e para IDS

    II - Definição de nível de privacidade para conteúdo de emails é bastante
    geral e não corresponde a um sistema em si, está mais ligada a regras
    corporativas.
    IV - Atribuição de responsabilidades também está mas ligada a uma gestão de
    RH / controles de pessoal.

    --
    Leonardo Marcelino
    Belo Horizonte - MG
    "
  • Complementando, uma PoSIC compreende todo arcabouço de:
    - Diretrizes: definem a estratégia. Por que proteger?
    - Normas: definem a tática. O que proteger? 
    - Procedimentos: definem o operacional. Como fazer para proteger?

    Em suma, todos os itens podem estar compreendidos dentro da PoSIC, entretanto quando se refere a sistemas, a política está próximo dos procedimentos, o que torna as afirmativas I e III estiverem corretas.
ID
236005
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O roubo ou a perda de laptops é atualmente um dos piores problemas para a segurança da informação corporativa. A respeito da segurança da informação em ambientes e equipamentos, considere as afirmativas a seguir.

I. Realizar o inventário de todos os laptops, de forma que possam ser identificados caso sejam recuperados.
II. Criptografar todos os dados sensíveis.
III. Proteger o BIOS com senha.
IV. Em viagens aéreas, enviar o laptop separadamente com a bagagem.

Assinale:

Alternativas
Comentários
  • IV. Em viagens aéreas, enviar o laptop separadamente com a bagagem.

    ai q vc vai perder o laptop mesmo
    hehehe
  • II e III sem sombra de dúvidas ajudam a proteger o equipamento e os dados que contêm.

    IV oposto a isso.

    I. Realizar o inventário de todos os laptops, de forma que possam ser identificados caso sejam recuperados. 
    Mantê-los na base de gerenciamento de configuração é uma boa prática corporativa, no entanto, não adiciona proteção ao equipamento em si ou a seus dados.
  • Concordo totalmente com o Leandro,

    O máximo que você terá com isso, é um histórico do que foi perdido, mas quem roubou já estará de posse da informação!

    Bons estudos!
  • Muito estranho essa de "proteger o bios com senha", se qualquer técnico boqueta sabe remover essa proteção em 5 minutos.
    Mas pensando melhor, por pouquíssimo que seja, ajuda.

  • O erro da alternativa IV corrigido conforme a ISO 27002.

    Segundo a ISO 27002,"9.2.5 Segurança de equipamentos fora das dependências da organização

    Convém que sejam levadas em consideração as seguintes diretrizes para a proteção de equipamentos usados fora das dependências da organização:

    a) os equipamentos e suportes físicos de dados removidos das dependências da organização não fiquem sem supervisão em lugares públicos; os computadores portáteis sejam carregados como bagagem de mão e disfarçados, sempre que possível, quando se viaja;"

  • Gabarito A

    Não vejo necessidade de ser como íten de segurança levar um laptop separadamente com a bagagem em viajens aéreas.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236008
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quanto a supressão de focos de incêndio, assinale a única alternativa que indica a correta relação entre o tipo de fogo e o método de extinção.

Alternativas
Comentários
  • As classes de extintores são:
    Classe A: Incêndio em materiais sólidos cuja queima deixa resíduos ocorrendo em superfície e em profundidade, como madeira, papel, tecidos, borracha. Para esta classe é recomendado o uso de extintores contendo água ou espuma.

    Classe B: Incêndio em líquidos e gases cuja a queima não deixa resíduos e ocorre apenas na superfície, como a gasolina, o álcool, o GLP (gás liquefeito de petróleo). Para esta classe é recomendado o uso de extintores contendo espuma, dióxido de carbono e pó químico.

    Classe C: Incêndio que envolva materiais condutores que estejam potencialmente conduzindo corrente elétrica. Neste caso o agente extintor não pode ser um condutor para não eletrocutar o operador. Para esta classe devem ser utilizados apenas os extintores contendo dióxido de carbono e pó químico.

    Classe D: Incêndio que envolva metais pirofóricos como por exemplo potássio, alumínio, zinco ou titânio. Requerem extintores com agentes especiais que extinguem o fogo por abafamento, como os de cloreto de sódio.

    Fonte: Wikipedia
ID
236011
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O verdadeiro efeito que a alta umidade do ar pode causar em equipamentos elétricos é:

Alternativas
Comentários
  • Além de corroer, o excesso de umidade pode gerar condensação, que pode levar a curtos-circuitos.

  • Oxidação também.

ID
236014
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito do controle de acesso a redes e aplicações, assinale, dentre as alternativas a seguir, a única que contém a ordem correta dos procedimentos lógicos atravessados por um usuário para acessar um recurso:

Alternativas
Comentários
  • Basta pensar numa situação do dia-a-dia.

    Você liga para a central do cartão de crédito e se identifica: "Sou o Fulano de Tal".

    A identificação foi feita, mas ela poderia ser falsa, o que caracterizaria falsidade ideológica.

    Para evitar isso, o atendente solicita diversas informações pessoais para fazer a Validação da sua identificação.

    Em sistemas computacionais, a Validação pode ser feita por meio de senha de uso pessoal, ou por biometria (leitura das digitais, por exemplo).

    Após a validação, você está Autorizado a fazer solicitações ou obter informações do cartão informado.

    Por fim, resta a Auditoria do chamado feito.
ID
236017
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

O processo de autenticação consiste em:

Alternativas
Comentários
  • Nakamura, pg 364
    A identificação é a função em que o usuário declara uma determinada identidade para um sistema, enquanto a autenticação é a função responsável pela validação dessa declaração de identidade do usuário.
  • Basta pensar numa situação do dia-a-dia.

    Você liga para a central do cartão de crédito e se identifica: "Sou o Fulano de Tal".

    A identificação foi feita, mas ela poderia ser falsa, o que caracterizaria falsidade ideológica.

    Para evitar isso, o atendente solicita diversas informações pessoais para fazer a Validação da sua identificação.

    Em sistemas computacionais, a Validação pode ser feita por meio de senha de uso pessoal, ou por biometria (leitura das digitais, por exemplo).

    A Autenticação envolve, portanto, a validação de uma identificação fornecida.
ID
236020
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale, dentre as alternativas a seguir, aquela a que se refere a frase "Modificar imagens ou textos de um site ou substituí-los por informações ilegítimas".

Alternativas
Comentários
  • Para resolver esta questão sebosa, é necessário eliminar itens que são similares entre si, pois se um deles estiver correto, outros também estariam, logo a questão seria anulada por conter mais de uma resposta correta.

    Roubo de Informações Confidenciais se relaciona com Phishing, bem como com Fraude Financeira. A modificação de imagens ou textos de um site poderia ter a intenção de Phishing ou de Roubar dados confidenciais, mas genericamente não se pode afirmar isso. Logo dá para eliminar as três alternativas: A) B) e E).

    DoS não se aplica ao caso.

    Logo, sobra Vandalismo, opção D).

    Na minha opinião, a questão poderia explorar melhor o conhecimento dos ataques em vez de criar ciladas para fazer o candidato errar.
  • O "vandalismo" citado na questão seria o dafacement que seria a desfiguração da página.
  • Vandalismo, mais propriamente conhecido como deface (ou defacement).
  • O defacement também é conhecido no Brasil pelo termo pichação. Já este termo vandalismo eu nunca tinha visto não, mas como tem a ver um com o outro, acertei logo de cara.
  • Corrigindo o comentário anterior: phishing e defacement são coisas DISTINTAS! Possuem propósitos distintos.

    No defacement, o script kiddie simplesmente modifica o site para torná-lo inelegível. A finalidade é tão somente modificar o site como forma de protesto, para aparecer para outros kiddies, etc. No phishing, o atacante cria um site semelhante a um outro site legítimo. O meio é a criação do site semelhante, já a finalidade (o fim) é a prática de fraudes.

    A cartilha do CGI (Comitê Gestor da Internet) descreve mais sobre os golpes aplicados na Internet: http://cartilha.cert.br/golpes/

    Abraços. =)

  • Outra expressão para "vandalismo" é "Defacer" ou pixador.

  • Creio que a resposta correta seria LETRA E (Phishing).

    Definição:

    Uma tentativa de phishing pode acontecer através de websites ou e-mails falsos, que imitam a imagem de uma empresa famosa e confiável para poder chamar a atenção das vítimas. Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções extravagantes para o internauta ou solicitam para façam uma atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo.


    Vandalismo não tem nada haver!

  • Desfiguração de página ( Defacement)
    Desfiguracão de página, defacement ou pichacão, é uma técnica que consiste em alterar o conteúdo da pagina Web de um site.

    Cartilha Cert BR

    Gab. D (por eliminação!)

  • Gabarito D

    Foi por eliminação, já que a resposta correta é Defacement ou Deface.

    Defacement ou, como é conhecido de maneira popular, deface, é uma técnica que consiste na realização de modificações de conteúdo e estética de uma página da web. A palavra de origem inglesa é utilizada na segurança da informação para categorizar ataques realizados por defacers, que são usuários de computador que na maioria das vezes possuem pouco conhecimento técnico e, por isso, precisam de várias horas para explorar vulnerabilidades de um site a fim de alterar sua página principal através de um servidor.

    A exemplo de várias instituições e ONGs, os defacements são utilizados em cunho ativista ou político, com a intenção de degradar ou desmoralizar por meio da internet informações transmitidas por outras companhias ou instituições, privadas ou públicas. A motivação desses ataques também pode ser pessoal, seja apenas para que o usuário comprove para si mesmo sua capacidade hacker ou para que o usuário denigra a imagem de outra pessoa ou instituição.

    O deface é comparado com o ato de pichar um muro ou parede. Por conta disso, os defacers  também são chamados de pichadores.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

     

ID
236023
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Quando uma aplicação computacional falha, assinale a alternativa que indica o procedimento automático que deve ocorrer imediatamente.

Alternativas
Comentários
  • A aplicação deve entrar no ar o mais rápido possível.
  • Se for assim, o procedimento que deve ocorrer imediatamente é o reinício automático da aplicação.
    O modo seguro, além de ser um recurso disponível apenas para um pequeno número de aplicações, restringe algumas das funcionalidades, prejudicando os usuários.
    A entrada em operação no modo seguro deveria ser a segunda opção, após uma segunda falha em um curto período de tempo. Quem concorda?

  • Eu gostaria de saber que fonte a FGV utiliza para elaborar essas questões. O enunciado é muito vago e não contextualiza nada. Óbvio que a ação tomada depende da falha ocorrida e de quem observou a falha. Por exemplo, toda vez que o windows apresenta uma falha, é necessário entrar em modo seguro? Evidentemente que não.

    Desenvolvedores podem tomar determinadas ações como: entender e corrigir o problema; Usuários podem alertar os desenvolvedores; Responsáveis pela segurança podem identificar se a integridade e disponbilidade das informações foram afetadas....


  • Prezados,

    Algumas aplicações de software oferecem um modo de operação seguro. A exemplo, no PHP versões superiores a 5.4, o modo de segurança oferece medidas de segurança mais rigorosas. Dentre as alternativas possíveis, a alternativa B parece a única que poderia ser acionada de forma automática, como pede o enunciado. A alternativa E não fez muito sentido pois um software de antivírus em uma situação normal já estaria rodando.


    A  alternativa correta é : B.


  • Parece ridículo, tudo leva a crer que a banca remete ao WINDOWS, mas a questão é sobre continuidade dos negócios.Devemos descartar o que não serve, ou não faz sentido para a ocasião.
    (d) prematuro porque o problema pode não ser da aplicação.
    (c) ridículo, apenas aponta que o erro foi humano.
    (a) isso pode demorar muito tempo, a empresa tem que sobreviver ainda que sem sistema.
    (e) Não estava ? E como sabem que foi ataque e não falha técnica.

    (b) -- infelizmente só sobrou você,  modo "operação seguro", pode  remeter a plano de emergência, e são escalas sucessivas de  crise.continuidade de negócios , e ter planejado : planos B,C,D.;... Alfa, Beta....,  as vezes a atitude a ser tomada é não fazer!

  • Gabarito B

    Parece até que a banca esta falando do modo seguro do Windows... hehehe...

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236026
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas a seguir, assinale a única que lista os passos, na ordem correta, para o desenvolvimento de um plano de continuidade do negócio.

Alternativas
Comentários
  • Eu não sabia de cor a sequência de passos, mas acertei com a técnica de comparar os itens repetidos e mais frequentes para cada passo.

    No primeiro passo, não há dúvida que é o Início do Projeto; ele aparece em todas as opções.
    No segundo passo, o mais frequente é desenvolvimento da estratégia. Aqui já se eliminam as opções B) e C).
    No terceiro passo, das opções que restaram, o mais frequente é análise de impacto nos negócios. Aqui restaram apenas opções A) e E).
    No quarto passo, A) e E) trazem a mesma informação, que também é a mais frequente das 5 opções.
    No quinto passo, basta saber que implementação vem antes dos testes (exceto no TDD - Test Driven Development/Design).
    Restou a letra A).

    Esta técnica serve para maior parte das questões do gênero.
  • Na realidade o Gabarito deveria ser B, vejamos:


    Este consiste no ciclo de vida para GCN que traz a norma 15999-1.
    Na primeira etapa, Entendento a Organização, as seguintes etapas devem serem consideradas:
               1) AIN - análise de impacto do negócio;
               2) Análise/Avaliação de risco

    Portanto, a atividade AIN que faz parte do processo de Entender a Organização precede ao processo Determinar a estratégia.

    GABARITO B
  • Tenho de concordar com Thiago Caparelli, a letra B é a correta. Será que o gabarito dessa questão não está trocado por engano. Vou repassar aos administradores do site para verificarem. A sequencia da letra B está nítida na ISO 15999-1.
  • Concordo com os colegas, segundo a norma a sequencia correta é letra B.

  • Mas não faz sentido, desenvolver uma estratégia sem analise de impacto! 
    a não ser que desenvolver estratégia seja...vamos sobreviver, kkkk
    são 5 anos, será que dá pare usar essa informação para a prova? Mesmo indo contra a norma? rss

  • de acordo com a norma o gabarito é a alternativa B!! Nao entendo a FGV...

  • Não há nada mais lógico do que a sequência:

    - Início do projeto, (tem de iniciar)

    - análise de impacto nos negócios (BIA - é preciso saber quais as ameaças, os riscos, as vulnerabilidades e o impacto),

    - desenvolvimento da estratégia (tempo máximo de interrupção, custos, consequências de não agir...), 

    - desenvolvimento do plano (papeis e responsabilidades, PCN, PRD...), 

    - implementação (como executar o plano desenvolvido), 

    - teste e manutenção (falam por si só).

    E isso segue o Ciclo de Vida da Norma!

    Diferente disso é loucura!

ID
236029
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Governança de TI
Assuntos

Dentre as alternativas a seguir, assinale a única que explica a razão da importância da promoção da rotatividade das tarefas entre os funcionários.

Alternativas
Comentários
  • Supondo que temos alguém ainda não identificado praticando atividades fraudulentas na empresa.
    Alexandre trabalha no departamento Financeiro, é transferido para o de Compras e depois para o de Recursos Humanos.

    Se Alexandre continua fazendo suas ˜travessuras˜ ele consegue ser rastreado, pois as atividades fraudulentas estão mudando de setor, ou melhor, junto com o Alexandre.
  • Não deixa de ser uma forma de fazer um tipo de auditoria interna, visto que, ao colocar um outro funcionário para fazer uma ativiade que estava sendo feita de forma fraudulenta, há grandes chances desse novo funcionário perceber o problema que vinha acontecendo.

    Outra: É comun fazer esse tipo de coisa para que as pessoas dos setores possam entender o funcionamento o funcionamento geral da empresa e passem a conhecer as dificuldades e o descorrer do trabalho em cada setor da empresa (é comun um setor reclamar do outro que não faz bem o trabalho, que demora a fazê-lo, que é muito melhor de trabalhar do que o seu setor) e nessas ocasiões, muitos percebem que não é bem isso, que a coisa no setor do outro não é tão simples... que eles realmente trabalham, etc... além de promover uma forma melhor de comunicação interna da empresa (comunicação é um dos maiores problemas nas empresas)!
ID
236032
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale, dentre as alternativas a seguir, a única que não corresponde a um objetivo da realização de uma análise de risco.

Alternativas
Comentários
  • Complicado é saber qual a profundidade da questão.
    Em uma acepção genérica do conceito análise de risco a resposta correta coaduma com o gabarito.
    No entanto, em uma conceituação mais específica a atividade de análise de riscos se divide em:
    1. Identificação de riscos

    1.1 identificar os ativos
    1.2 identificar as ameaças
    1.3 identificar os controles existentes
    1.4 identificar as vulnerabilidades
    1.5 identificar as consequências

    2. Estimativa de riscos

    E a partir disso teremos:
    a) Avaliação do custo/benefício da medidas preventivas: tratamento
    b) Quantificação do impacto de eventuais ameaças: análise (estimativa)
    c) Identificação dos riscos: análise
    d) Definição dos cargos de confiança: ? fora do escopo
    e) Estudo de mecanismos de proteção: ?tratamento

  • Gabarito D

    Fala sério, questão dada... a única opção que não se encaixa é a letra D.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236035
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale, dentre as alternativas a seguir, a única que indica o fator mais importante ao se tomar a decisão sobre a implementação de um controle de segurança.

Alternativas
Comentários
  • Como o que se pede é o fator utilizado para decidir sobre a implementação de um controle de segurança, pressupõe-se que a análise de risco já foi realizada, sendo assim a atividade corrente é a de tratamento dos riscos, na qual se avalia o que fazer com o risco identificado, sendo importante assim a análise de custo/benefício de implementação de controles.

  • E lembrando que os Tratamentos dos Riscos de acordo com a ISO 27005 de 2011 são:

    - Modificar: "Durante a seleção de controles, é importante pesar o CUSTO da aquisição, implementação, administração, operação, monitoramento e manutenção dos controles em relação ao valor dos ativos sendo protegidos. Além disso, convém que o RETORNO do investimento, na forma da modificação do risco e da possibilidade de se explorar novas oportunidades de negócio em função da

    existência de certos controles, também seja considerado";

    - Reter (Aceitar);

    - Evitar;

    - Compartilhar;

ID
236038
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a alternativa que indica corretamente o tipo de análise de risco que se refere à definição "O método que atribui valores monetários para os itens na avaliação de risco".

Alternativas
Comentários
  • Bseado no conceito dos processo de Realizar a Análise Qualitativa de Riscos e Realizar a Análise Quantitativa do  PMBok, presentes na área de conhecimento Gestão de Risco do Projeto, podemos chegar a reposta.

     Realizar a Análise Qualitativa de Riscos: Avalia a prioridade dos riscos identificados com base na probabilidade de ocorrerem e seu impacto nos objetivos do projeto.

    Realizar a Análise Quantitativa: Após a priorização feita pela análise qualitativa a análise quantitativa atribuí uma classificação numérica a esses riscos.
  • Tá, mas isso não diz que tem que ser valores monetários... por tem que ser exatamente a letra a?
  • Análise e Avaliação de Risco

    Durante o processo de Analise e Avaliação de Riscos é que serão feitos todos os levantamentos em relação as ameaças, vulnerabilidades, probabilidades e impactos aos quais os ativos estão sujeitos , esse é o processo mais trabalhoso  e de maior duração da Gestão de Riscos.

    Todas as informações identificadas aqui irão embasar decisões estratégicas e táticas relacionadas a segurança um erro nesse processo pode levar a julgamentos incorretos,comprometendo a efetividade de todo o programa de segurança de uma organização.

    Existem dois métodos que podem ser utilizados para executar esse processo: Quantitativo e Qualitativo

    Método Quantitativo – A métrica do risco é feita através de uma metodologia na qual tentamos quantificar em termos numéricos os componentes associados ao risco. Como resultado, o risco é representado em termos de possíveis perdas financeiras, isto é, em termos monetários. Método Qualitativo – Nesse método usarmos valores numéricos para estimar os componentes do risco, trabalharmos como menções mais subjetivas como alto, médio e baixo. Dessa forma, não há a necessidade que se levantem valores numéricos para os componentes do risco, o que torna o processo muito mais rápido.

    Nesse tipo de analise, os resultados dependem muito do conhecimento do profissional que atribui as notas aos componentes do risco que foram levantados. Por isso , a necessidade de se ter profissionais capacitados no processo é maior.

    Nesse exemplo temos os dois componentes do risco, impacto e probabilidade, sendo avaliados por meios de formas subjetivas. No caso da probabilidade, temos ainda seus dois componentes, ameaça e vulnerabilidade, também avaliados da mesma forma.

    Uma tabela entrecruzando os julgamentos leva uma escala numérica que , por sua vez, é avaliada perante uma segunda tabela que define o que é risco alto, médio e baixo.

    Essa tabela é baseada em três níveis de notas.Porem não significa que esse seja um modelo –padrão. Existe um consenso de que três níveis são insuficientes e mais do que cinco tornam o processo desnecessariamente complicado.
    Fonte:http://hercules-now.com/2010/01/12/gestao-de-riscos-%E2%80%93-topico-1-6/

  • Que lembre no PMBOK ele não cita a necessidade de estimar valores MONETÁRIOS na análise quantitavida e sim pesos atribuídos aos riscos.

  • A Norma 27005 não deixa isso claro - pelo menos não vi.
    Mas é importante não misturar ISO 27005 com PMBok.

    Acredito que, como a Avaliação Quantitativa traz valores numéricos, ela traduz maior granularidade de informação e acaba criando indicadores mais precisos, inclusive financeiro. A Avaliação Qualitativa dá uma dimensão nominal (baixo, médio ou alto risco), sendo mais rápida de implementar e não abrangendo detalhes específicos.
    Assim, daria para multiplicar "probabilidade 3 x impacto 4 x valor R$", mas não "probabilidade médio x impacto alto x valor R$".

  • Resposta: A

    -------------------------------------------

    Segundo a NBR ISO/IEC 27005

    8.2.2 Estimativa de riscos

    8.2.2.1 Metodologias para a estimativa de riscos

    b) Estimativa quantitativa:

    A estimativa quantitativa utiliza uma escala com valores numéricos (e não as escalas descritivas usadas na estimativa qualitativa)


  • Gabarito A

    Análise Qualitativa = Subjetiva

    Depois de termos identificado os riscos do projeto, iremos realizar a análise qualitativa dos riscos. Este é o processo de priorização dos riscos para análise ou ação adicional através da avaliação e combinação de sua probabilidade de ocorrência e impacto. Neste processo, faremos uma análise subjetiva com o propósito de priorizar riscos a partir da probabilidade de impacto medida durante a análise dos riscos e, também, determinar o que precisa ser analisado quantitativamente ou não antes de ser construído o plano de resposta aos riscos.

    As Entradas

    As entradas deste processo são o plano de análise de riscos, o registro dos riscos, a linha de base do escopo e os ativos de processos organizacionais. Com o plano de gerenciamento dos riscos temos o como fazer a análise e como priorizar os riscos, pois no plano encontraremos a matriz de impacto e e probabilidade. A linha de base do escopo irá nos apresentar as entregas que precisam de maior atenção devido a “estranhezas”, como tecnologias modernas ou entregas que nunca foram geradas pela organização. O registro dos riscos é fundamental, pois a partir do registro poderá ser feita a análise e a priorização. Por fim temos os ativos de processos organizacionais, que irão nos dar os subsídios para a elaboração da análise.

    As Técnicas

    As técnicas são seis: avaliação de probabilidade e impacto dos riscos, matriz de probabilidade e impacto, avaliação de qualidade dos dados sobre os riscos, categorização dos riscos, avaliação da urgência dos riscos e opinião especializada.

    Quando falamos em avaliação de probabilidade, acredito que seja mais importante apresentar a fórmula ER=P*I . Determinar probabilidades é algo subjetivo, mas uma vez que você tenha chegado ao número provável, pode ser produzido o Escore de Risco (ER) multiplicando a probabilidade (P) pelo impacto (I). É na matriz de probabilidade e impacto que podemos de fato utilizar a fórmula, pois iremos definir escalas de probabilidade e escalas de impacto. Em artigos futuros iremos apresentar no detalhe as ferramentas e técnicas, por ora é importante você manter em mente que tendo determinado as escalas, pode calcular o escore facilmente e, em consequência, montar sua matriz de probabilidade e impacto.

    Avaliar a qualidade dos dados sobre os riscos é validar os dados relacionados aos riscos. Categorizar os riscos é aprofundar o trabalho iniciado na identificação dos riscos a partir da matriz de impacto e probabilidade para poder utilizar este trabalho como entrada para o planejamento de resposta aos riscos. A avaliação da urgência dos riscos é a aplicação de uma escala pré-determinada de urgência ao escore de risco (ER) por meio da fórmula ER=P*I*U, sendo U a escala de urgência. Por fim, como quase sempre, temos a opinião especializada que, mais uma vez, dispensa comentários.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236041
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Assinale a seguir a única alternativa que apresenta a definição de políticas de segurança.

Alternativas
Comentários

  • A norma ISO 27002 traz a seguinte passagem:

    Convém que a política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. 

  • De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.

    As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.

  • Outra definição segundo a norma 03/IN01/DSIC/GSIPR

    4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado  pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes,  critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;

    Fonte:

    http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf



  • Letra B.

    Complementando, uma PoSIC compreende todo arcabouço de:

    - Diretrizes: definem a estratégia. Por que proteger?

    - Normas: definem a tática. O que proteger? 

    - Procedimentos: definem o operacional. Como fazer para proteger?

    Pense numa pirâmide em que as diretrizes (regras) encontram-se no topo e apresentam as regras gerais de alto nível.

    Abaixo delas, no meio da pirâmide, encontram-se as normas em que já podem conter algum regramento mais específico.

    E, na base da pirâmide, encontram-se os procedimentos que entra na seara das atividades necessárias para se implementar a política da informação.

ID
236044
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da instalação de sistemas de monitoramento e detecção de intrusos, é correto dizer que:

Alternativas
Comentários
  •     os itens a) e b)  são pegadinhas ! rsrs
  • Um IDS pode ter, Falsos Positivos:
    É quando o IDS detecta intrusão (POSITIVO), porém não existia a intrusão, muitos falsos positivos desacreditam um IDS.
    Nesse caso ele emite alarmes falsos.

    Correta B

  • Gabarito B

    O IDS pode emitir alarmes falsos.

     

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

ID
236047
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as alternativas abaixo, assinale a única em que um extintor de incêndio Classe C deve ser utilizado no lugar de um extintor de incêndio Classe A.

Alternativas
Comentários

  •      CLASSES DE INCÊNDIOS

    Classe A- são materiais de fácil combustão com a propriedade de queimarem em sua superfície e profundidade, e que deixam resíduos, como: tecidos, madeira, papel, fibras, etc.;

    Classe B- são considerados os inflamáveis os produtos que queimem somente em sua superfície, não deixando resíduos, como óleo, graxas, vernizes, tintas, gasolina, etc.;

    Classe C- quando ocorrem em equipamentos elétricos energizados como motores, transformadores, quadros de distribuição, fios, etc.

    Classe D- elementos pirofóricos como magnésio, zircônio, titânio.

     

    http://www.bauru.unesp.br/curso_cipa/artigos/extintores.htm

  • O item D está correto.

    Porque o único caso em que deve usar o extintor de classe C no lugar de classe A é no caso de fogo em equipamento elétrico.

    a) Espuma (B ou A), Água-Gás (A) ou Dióxido de Carbono (B ou C).
    b) Espuma (B ou A), Dióxido de carbono (B ou C) ou Químico Seco (B ou C).
    c) Mesma da alternativa A.
    d) Dióxido de Carbono (B ou C) ou Químico Seco (B ou C).
    e) Químico seco não pode ser usado em incêndio Classe A.

  • No lugar de Analista de Segurança da Informação estou me sentindo um bombeiro...

    Não entendi a relevância para uma prova, havendo conteúdos tão vastos para explorar.

ID
236050
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Dentre as implementações de autenticação descritas nas alternativas a seguir, assinale a única que emprega diretamente um serviço de concessão de tíquetes.

Alternativas
Comentários
ID
236053
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Das alternativas a seguir, assinale a única que contém eventos que caracterizam uma tentativa de ataque do tipo força bruta.

Alternativas
Comentários
  • Alternativa B.  Método conhecido como brute force serve para quebrar  senhas, elementos criptografados....
  • Ataque de força bruta trata-se de um método utilizado para quebrar senha por combinação ou permutação dos diversos caracteres. Para tanto cada combinação de caracteers é testada até se obter a descoberta da senha. No entanto, devido a esse teste o processo é muito lento, apesar de ser considerado o método de quebra de senhas mais eficiente.
  • Posto o nome dos ataques de acordo com os itens:

    A) Refere-se aos ataques via Spywares, por meio de keyloggers (captura de teclado) ou screen logger (captura de tela).

    B) Brute Force, Força Bruta ou Busca Exaustiva. Resposta Correta.

    C) Refere-se ao DoS (Denial of Service - Negação de Serviço) ou DDoS (Distributed DoS - Negação de Serviço Distribuída)

    D) Invasão genérica.

    E) Exploração de Vulnerabilidades ou Exploits.

  • Nao tem como nao ser a letra 

  • Gabarito B

    Em criptografia, um ataque de força bruta, ou busca exaustiva de chave, é um ataque criptoanalítico que pode, em teoria, ser usado contra quaisquer dados criptografados (exceto para dados criptografados de uma maneira segura na teoria da informação). Tal tipo de ataque pode ser usado quando não é possível tomar vantagem de outras fraquezas em um sistema de criptografia (se existir) que tornariam a tarefa mais fácil. Ele consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.

    A seleção de um tamanho de chave apropriado depende de possibilidade prática de fazer um ataque de força bruta. Ao ofuscar o dado a ser codificado, ataques de força bruta se tornam menos efetivos, sendo mais difícil determinar o sucesso da busca utilizado por analistas de vulnerabilidade.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • A letra E também poderia ser backdoor.

ID
236056
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Das alternativas a seguir, assinale aquela que corresponde à frequência ideal de testes de um plano de continuidade do negócio.

Alternativas
Comentários
  • Na minha opinião a resposta está errada, pois conforme consta na ISO 15991, os testes devem ser realizados todo ano, sendo indiferente o fato de ter havido mudança na organização. O bom senso também me leva a crer que essa questão está muito mal formulada. Quer dizer que se a organização permanecer sempre a mesma, por dezenas de anos, não deve haver teste nenhum do plano?
  • Concordo com o comentário anterior. Segundo a norma 15999 (Gestão da Continuidade do Negócio), os testes devem ser periódicos ou realizados sempre que houver algum mudança relevante na organização.
  • A norma não estabelece uma frequência para que sejam realizados os testes.

    A alternativa C está correta.
  • Durante o desenvolvimento inicial do plano de continuidade de negócio, testes devem ser um processo interativo até que o plano seja julgado e considerado plenamente pronto para uso.
     
    Uma vez que o plano está adequado, mais testes devem ocorrer assim que ocorram mudanças significativas nas operações de negócio ou na infra-estrutura de ativos e serviços de suporte (IT, voz, etc.) e/ou no próprio plano.
     
    Os recursos necessários para tais testes dependerão da extensão de mudança. De todos modos, re-testes periódicos devem acontecer para assegurar que o plano permanece em linha com os requisitos de negócios e da corporação.

  • Complemento

    Segundo a ISO 27002, 

    "14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio

    Controle

    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."

  • Vamos analisar em partes.
    1. Colocando em um único período o enunciado e a alternativa "certa":


    "A frequência ideal de testes de um plano de continuidade de continuidade de negócio é sempre que houver mudanças relevantes na organização."
    Lendo esse texto isoladamente a palavra SEMPRE foi forte, pois pode sugerir que o ideal é somente quando houver mudanças. Mas o bom senso exposto por Maurício Santos nos leva a raciocinar que não é somente quando as mudanças ocorrerem que devemos realizar testes. Lembrem-se que também existem mudanças que não são explícitas e que às vezes só a descobrimos quando testamos algo.
    2. Conforme nosso colega Tanebaum expôs, a norma não define frequência específica para testes no GCN. Logo, as outras alternativas não poderiam ser possíveis.
    3. Conclusão:
    A questão foi imprecisa? Sim. Limitou um universo. ( paciência!:/ )Mas as outras alternativas são mais limitadoras ainda, pois definem uma frequência exata e a norma não.
    Então marquemos a menos "errada". Isso é ser concurseiro.

  • Eu entendo a norma da seguinte forma: períódico mas ( com uma periodicidade  anual), entretanto se você tem fatos relevantes, essa vai se antecipar aos 12 meses, assim como se houver indícios de falhas também.
    Portanto a norma preferiu dar discricionaridade às organizações, porque  se você não tem fatos relevantes que coloquem em risco o SGSI em 12 meses, não há indícios de falhas durante esse tempo, então talvez fosse caso de verificar se os controles não estariam frouxos, a empresa está vegetando e convenhamos 1 ano sem fatos relevantes é preocupante para a empresa, talvez tenha morrido e não os avisaram,rs.

    Sem ler a norma, ainda diria que seguindo o raciocínio  de auditoria, assinalaria  que sempre que fatos relevantes ocorram seria apropriado verificar os controles.

  • Em 22/02/22 às 22:37, você respondeu a opção D.!

    Em 02/03/18 às 10:23, você respondeu a opção D.!

    Continuo achando que é D

ID
236059
Banca
FGV
Órgão
FIOCRUZ
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação aos setores de uma empresa para as quais são recomendados planos de recuperação, analise as afirmativa a seguir.

I. Arquivos de registro das operações de risco.
II. Setor financeiro.
III. Setor de produção.
IV. Datacenter.

Assinale:

Alternativas
Comentários
  • O raciocínio é se perguntar o seguinte: "Quais setores são críticos à organização? Ou seja, quais desses setores impactariam a capacidade da empresa de continuar operando?"
    A resposta é todos.
    Não de pode imaginar um empresa continuar funcionando sem os setores de I a IV.