Gabarito SEFAZ RS Auditor Tecnologia da Informação: prova resolvida (com recursos nas questões 65 e 77)

Olá pessoal, tudo bem?
Trago a prova resolvida da SEFAZ RS para Auditor, aplicada em 2019 pela banca CESPE. Neste artigo, apresentaremos o nosso gabarito extraoficial de Tecnologia da Informação, antes mesmo da BANCA apresentar gabarito oficial. Vem comigo?

Questão 55 – Em determinado órgão, foi identificada a necessidade de solucionar os seguintes problemas: (a) ausência de gerenciamento dos softwares desenvolvidos internamente, quanto a versão, recursos e arquiteturas; (b) falhas na entrega de informações que deveriam ser precisas, na perspectiva de serem corretas, para a pessoa certa, no momento certo.

De acordo com a ITIL v3, esses problemas podem ser resolvidos com a implantação

a) da função gerenciamento de aplicativo, para (a), e do processo gerenciamento de conhecimento, para (b).
b) do processo gerenciamento de problemas, para ambos.
c) do processo gerenciamento de configuração, para (a), e da função central de serviço, para (b).
d) do processo gerenciamento da liberação, para ambos.
e) do processo gerenciamento de nível de serviço, para ambos.

Comentários: O gerenciamento de aplicativos é uma das 4 funções da operação de serviço, que administra o ciclo de vida dos aplicativos, enquanto o Gerenciamento de Conhecimento é o processo da transição de serviço responsável pela entrega da informação correta para a pessoa certa no momento certo, para subsidiar a tomada de decisão.

Questão 56 – Em auditoria externa para analisar um serviço implementado em determinado órgão, o auditor observou que esse serviço seguia inicialmente as boas práticas da ITIL, mas passou a ficar inoperante ou com baixa performance em alguns momentos, durante picos de acesso de uso. O auditor constatou, ainda, que não havia tido avaliação prévia sobre picos de demanda.

De acordo com a ITIL v3, esses problemas podem ser resolvidos com a implantação

a) de incidentes, que, no caso descrito, ficaria limitado ao atendimento da inoperância e aos casos de baixa performance com a função central de serviços.
b) da demanda do estágio estratégia, que visa gerenciar os ciclos de produção dos serviços e os ciclos de consumo dos serviços.
c) de disponibilidade, especialmente no que se refere à métrica MTTR, que mede a performance dos serviços.
d) de capacidade do estágio transição, especialmente no que se refere à quantidade de recursos necessários para o sistema funcionar sem interrupções.
e) de mudança no estágio desenho, especialmente no que se refere à mensuração da capacidade prévia necessária para uso do serviço.

Comentários: se nunca houve avaliação prévia de picos de demanda, entendo que não foi realizado o processo Gerenciamento da Demanda na Estratégia do Serviço. É nesse processo que Padrões de Atividade de Negócio são identificados para desenhar o serviço de forma adequada.

Questão 57 – No desenvolvimento de um produto, verificou-se que não havia identificação de precedência entre algumas atividades antes do início das execuções.

De acordo com o PMBOK, a representação das relações lógicas entre as atividades do projeto é obtida com

a) a técnica Delphi.
b) a estrutura analítica do projeto (EAP).
c) o diagrama de rede do cronograma do projeto.
d) a matriz de rastreabilidade de requisitos.
e) a linha de base do escopo.

Comentários: O diagrama de rede sequencia as atividades, mostrando a dependência entre elas. É útil para descobrir o caminho crítico, por exemplo.

Questão 58 – Assinale a opção que indica o documento, que, no projeto de um novo serviço, é descrito na área de conhecimento integração no PMBOK e, apesar de não ser considerado um contrato, informa as necessidades do negócio, as premissas e os requisitos de alto nível do cliente.

a) estrutura analítica do projeto (EAP)
b) B plano de gerenciamento da qualidade
c) termo de abertura de projeto
d) plano de gerenciamento do projeto
e) registro das mudanças

Comentários: O termo de abertura do projeto é o documento que formalmente inicia o projeto, designando um gerente, informando premissas, restrições e o escopo inicial do projeto.

Questão 59 – É dispensável que o gerenciamento de finanças como custos e orçamentos consiste em guias e(ou) modelos de governança de TI, apesar de esse tipo de gerenciamento caracterizar ação associada à governança. Aliado ao gerenciamento de finanças, o orçamento

a) é abordado na ITIL, no estágio estratégia, e no PMBOK, no gerenciamento de custos do projeto.
b) é abordado no PMBOK, no gerenciamento financeiro do projeto, mas não na ITIL.
c) é abordado na ITIL, no estágio desenho, e no PMBOK, na área de conhecimento gerenciamento do escopo do projeto.
d) não é abordado na ITIL nem no PMBOK.
e) é abordado na ITIL, no gerenciamento financeiro, mas não no PMBOK.

Comentários: na Estratégia de Serviço existe o processo Gerenciamento Financeiro, enquanto o PMBOK tem uma área de conhecimento de Gerenciamento de Custos.

Questão 60 – Ao rever a aplicação da ITIL em determinado órgão, um auditor verificou que os processos de mudança e gerenciamento da confirguração e ativos de serviço estavam em outros estágios além daquele em que se encontravam organizados na ITIL v3.

À luz da ITIL v3, infere-se desse achado da auditoria

a) irregularidade, pois todos os processos da ITIL atuam somente nos estágios aos quais eles pertençam.
b) irregularidade, pois somente o processo gerenciamento da mudança pode atuar fora do seu estágio.
c) irregularidade, pois somente o processo gerenciamento da configuração e de ativos de serviço pode atuar fora do seu estágio.
d) ausência de irregularidade, pois todos os processos do estágio transição podem operar tanto nos respectivos estágios quanto no estágio operação.
e) ausência de irregularidade, pois ambos os processos atuam em todo o ciclo de vida, apesar de descritos no estágio transição de serviços.

Comentários: Quando um serviço está em operação, ele pode sofrer melhorias e/ou correções, caso em que os processos da operação de serviço atuam novamente. Não há irregularidade. E, na ITIL, apesar de os processos estarem descritos em etapas específicas do ciclo de vida, é comum que eles atuem em todo o ciclo de vida do serviço.

Questão 61 – Ao final da implementação de uma aplicação de TI, um auditor verificou que houve falha no momento de priorizar…

a) gerenciar portfólio, do domínio alinhar, planejar e organizar.
b) gerenciar a estratégia, do domínio avaliar, dirigir e monitorar.
c) garantir a otimização de recursos, do domínio alinhar, planejar e organizar.
d) gerenciar riscos, do domínio construir, adquirir e implementar.
e) garantir a otimização do risco, do domínio monitorar, avaliar e analisar.

Comentários: O único processo que foi descrito no domínio correspondente foi o Gerenciar Portfólio (o velho gatilho mental que nós enfatizamos para questões de múltipla escolha). Gerenciar Portfólio avaliza, prioriza programas e serviços com base no seu alinhamento com os objetivos estratégicos e risco.

Questão 62 – O diretor de TI de determinado órgão implantou, de acordo com a ITIL v3, os processos voltados para gerenciar mudanças, gerenciar problemas e gerenciar a continuidade de serviço…

a) inviável, pois no COBIT há somente os processos gerenciar continuidade e gerenciar problemas.
b) apropriada, pois o COBIT lida apenas com a governança de TI, o que não interfere nesses processos.
c) inviável, pois no COBIT há somente o processo gerenciar continuidade.
d) inviável, pois no COBIT há somente os processos gerenciar mudanças e gerenciar problemas.
e) apropriada, pois esses processos também se encontram no COBIT.

Comentários: BAI06 – Gerenciar mudanças, DSS03 – Gerenciar Problemas e DSS04 – Gerenciar Continuidade são processos do COBIT5.

Questão 63 – No tocante à implantação de processos de governança, assinale a opção correta, acerca da gestão de recursos humanos….

a) Somente o guia PMBOK inclui gestão de pessoas; a ITIL, por gerenciar serviços, não aborda os recursos humanos necessários.
b) No COBIT, não há referência a gestão de pessoas; no PMBOK consta o processo gerenciamento de recursos humanos na área de conhecimento escopo do projeto.
c) Na ITIL, as pessoas são consideradas habilidades e constituem um dos 4 Ps do desenho de serviço; no PMBOK, a área de conhecimento gerenciamento das partes interessadas do projeto lida com a gestão de pessoas.
d) A ITIL lida com pessoas estritamente no estágio estratégia; o PMBOK lida com pessoas estritamente nos processos afetos à área de conhecimento integração.
e) Nem a ITIL, nem o COBIT, nem o PMBOK mencionam a gestão de pessoas: todos eles constituem guias de boas práticas para governança de TI, exclusivamente.

Comentários: Vou mais além do que a própria resposta: APO07 – Gerenciar Recursos Humanos do COBIT; no PMBOK, temos as àreas de conhecimentos Gerenciamento de Recursos e Gerenciamento das Partes Interessadas para lidar com pessoas; e a ITIL cita pessoas nos 4Ps do Desenho de Serviço, além de citar as pessoas como habilidades e recursos, simultaneamente, vitais para o sucesso da metodologia.

Questão 64 – O diretor de TI de uma empresa pública de pequeno porte deseja melhorar a governança e a gestão…..

a)é admissível apenas em relação à governança, mas não em relação à gestão.
b) B não é viável, pois o COBIT 5 não pode ser utilizado em empresa pública.
c) C não compete ao diretor de TI, mas somente à presidência da empresa, porque alterará a governança da empresa.
d) é admissível, pois esse guia pode ser utilizado em empresa de qualquer natureza e porte.
e) não é viável, por ser incompatível com empresa de pequeno porte.

Comentários: O COBIT 5 possui um princípio tratando somente de separar a governança da gestão, apresentando 5 processo de governança e 32 de gestão. Por óbvio, é admissível a aplicação do framework na empresa.

Questão 65

Comentários: fico lisonjeado que o examinador goste de BPMN. Até parece que ele assistiu nosso Direção Final para a SEFAZ RS. É o MESMO diagrama.

RECURSO! – A meu ver, a banca errou no gabarito, ao afirmar que ” #1 indica um desvio exclusivo baseado em eventos, de modo que cada ocorrência de um dos eventos subsequentes inicia uma nova instância do processo. ” Um desvio condicionado a eventos, na verdade, depende de uma ocorrência para continuar o processo, e não iniciar uma nova instância, conforme sugerido pela banca. Basta olhar o próprio fluxograma. O cliente, depois de encomendar a pizza, ou vai receber a pizza, o que continua o processo para que ele pague a pizza, ou vai perguntar pela pizza após 60 minutos sem resposta (o que também é um evento). E, em #2, temos um direcionador de fluxo AND, que ilustra as atividades andando em paralelo (o cliente sendo acalmado enquanto a pizza está sendo preparada. Creio em equívoco da banca, e vocês podem utilizar a linha de raciocínio apresentada para elaborar o recurso. O objetivo é INVERTER o gabarito, de b) para c), nesta versão do caderno de prova. Quem quiser ler mais sobre desvio condicionado a eventos, ainda pode ver mais aqui.Depois dos recursos, a banca ANULOU a questão.

Questão 66 – Assinale a opção que, de acordo com a Notação e Modelo de Processo de Negócio (BPMN), apresenta o símbolo utilizado para modelar, em um fluxo de processo, um subprocesso, ou seja, uma atividade que possa ser decomposta em subtarefas.

Comentários: O sinal de positivo no centro inferior de uma atividade indica um subprocesso.

Questão 67 –

a) uma mudança de estado do participante A e do participante B.
b) uma tarefa de execução de scripts entre dois participantes.
c) um repositório de dados de ambos os participantes.
d) uma transação em que as atividades do participante A estão logicamente relacionadas com as atividades do participante B.
e) uma tarefa de coreografia que representa uma interação entre dois participantes.

Comentários: A coreografia representa uma interação (Troca de Mensagem) entre dois participantes. No exemplo acima, participantes A e B.

Questão 75 – Para o estabelecimento de padrões de segurança, um dos princípios críticos é a necessidade de se verificar a legitimidade de uma comunicação, de uma transação ou de um acesso a algum serviço. Esse princípio refere-se à

a)confidencialidade.
b) autenticidade.
c) integridade.
d) conformidade.
e) disponibilidade.

Comentários: Se existe preocupação quanto à legitimidade das partes, é porque queremos saber se os autores da comunicação são realmente quem dizer ser. A preocupação é a autenticidade.

Questão 76 – Julgue os itens a seguir, acerca de segurança da informação.

I. São exemplos de ameaças as contas sem senhas ou configurações erradas em serviços DNS, FTP e SMTP.

II. Não repúdio indica que o remetente de uma mensagem não deve ser capaz de negar que enviou a mensagem.

III. Vulnerabilidade é a fragilidade de um ativo ou de um grupo de ativos que pode ser explorada.

IV. Pessoas não são consideradas ativos de segurança da informação.

Estão certos apenas os itens

a) I e III.
b) I e IV.
c) II e III.
d) I, II e IV.
e) II, III e IV

Comentários: O item I descreve um EVENTO (ocorrência em sistema/serviço/rede), e no item IV as pessoas são ativos, pois ativos são QUALQUER elemento que possua valor para a organização.

Questão 77 – Acerca do Plano de Continuidade de Negócios (PCN), assinale a opção correta.

a) Para operacionalizar o PCN de uma empresa que já foi elaborado, é altamente recomendável o desenvolvimento de um sistema de gestão de continuidade de negócios (SGCN).

b) PCN e plano de contingência são sinônimos, uma vez que contemplam os mesmos itens.

c) Os prazos decorrentes de ações realizadas por agentes externos à organização não necessitam ser considerados para elaboração do PCN dessa organização.

d) Na perspectiva do PCN, o funcionamento de uma empresa deve-se, fundamentalmente, às variáveis recursos e pessoas

e) O PCN estabelece controles de segurança da informação como resultado de uma ampla análise de riscos.

Comentários: Escrevi que a alternativa e) descreve a norma ISO 27002, o que pode levar alguns candidatos ao erro. Aí me vem a banca e marca o item também! O próprio catálogo da ABNT afirma que a “Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Um controle de segurança da informação, por exemplo, é “impedir o acesso físico a ambientes sem o determinado nível de permissao” – não deixar alguém entrar em uma sala sem crachá. Isso não é coisa do PCN, isso é procedimento da norma ISO 27002.

O PCN é preciso na norma ISO 22313:2015, que estabelece o SGSN. O SGSN “fornece orientação com base em boas práticas internacionais para o planejamento, criação, implantação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um sistema de gestão documentado, que permite que as organizações se preparem para responder e recuperar-se de incidentes de interrupção quando eles surgirem.” O objetivo do SGSN é ter procedimentos prontos para recuperar-se de um desastre quando eles ocorrerem. O PLANO (PCN) descreve os procedimentos e o SGSN implementa um sistema de gestão, o que, sem dúvidas, é benéfico para a organização. Por isso, defendo a ALTERAÇÃO do gabarito para a alternativa a).

Questão 78 – A respeito dos métodos de criptografia, assinale a opção correta.

a) Esses métodos classificam-se em cifragem e decifragem de chaves.
b) Na criptografia simétrica, as chaves utilizadas para criptografar uma mensagem possuem o mesmo tamanho, todavia são diferentes na origem e no destino.
c) Na utilização de chaves públicas, a chave é dividida em duas partes complementares, uma das quais é secreta, eliminando-se, dessa forma, o processo de geração e distribuição de chaves de cifragem.
d) A cifragem é suficiente para garantir a integridade dos dados que são transmitidos, por isso é dispensável o uso de chaves de autenticação e de assinaturas digitais.
e) Independentemente da técnica de criptografia empregada, a transmissão das chaves de cifragem do emissor para o receptor é desnecessária.

Comentários: Na criptografia simétrica, é necessário gerar e distribuir chaves para cada parte com a qual se deseja estabelecer comunicação. Já nas chaves públicas, basta publicar a chave pública, logo, não há gerenciamento nem distribuição de chaves.

Questão 79 – Acerca de certificado digital, assinale a opção correta.

a) Normalmente, cada certificado inclui a chave pública referente
à chave privada de posse da entidade especificada no certificado.
b) B Certificado digital comprado não pode ser revogado.
c) C É função da autoridade certificadora identificar e cadastrar usuários presencialmente e, depois, encaminhar as solicitações de certificados, mantendo registros das operações.
d) D No Brasil, adota-se o modelo de certificação hierárquica com várias raízes; SERPRO, SERASA e CERTISIGN são exemplos de autoridades certificadoras raiz que credenciam os participantes e auditam os processos.
e) E A utilização do certificado digital em documentos ainda não dispensa a apresentação física destes documentos no formato impresso em órgãos públicos.

Comentários: Quem tem acesso ao certificado recebe a chave pública para se comunicar com a entidade que possui a chave privada.

Questão 80 – A evidência verificável de que determinado programa de auditoria consiste na geração e manutenção de registros, cujas principais categorias são

a) a documentação interna e a externa.
b) o gênero, a espécie, a tipologia e a natureza do assunto.
c) as auditorias internas e as externas.
d) a auditoria, a análise crítica do programa e a equipe de
auditoria.
e) a documentação ostensiva e a sigilosa.

Comentários: Este é o gabarito preliminar da banca. Não lecionamos o tópico em nosso curso.

As questões de 68 à 74 foram corrigidas pelo professor Arthur Mendonça. Confira aqui no link!

Confira o gabarito extraoficial das outras disciplinas cobradas na prova do concurso Sefaz RS:

Português

Contabilidade

Raciocínio Lógico e Matemática

Direito Administrativo

Direito Constitucional

Direito Civil

Direito Penal

Direito Empresarial

Tecnologia da Informação (Banco de dados)

Tecnologia da Informação

Nossos demais professores também estão corrigindo as outras matérias da prova. Não deixe de visitar o nosso blog e conferir as demais correções!