Prova TCE-SC Informática: Comentários de Governança e Seg Info – com recursos!
Olá Amigos!
Venho aqui comentar a Prova do TCE-SC para o cargo 6: Informática, na parte de Governança e Seg Info.
Sem rodeios, vejamos:
51 O controle do escopo do projeto deve assegurar que todas as mudanças e ações corretivas ou preventivas recomendadas sejam processadas por meio do processo de controle de mudança autônomo, que não requer ajustes no tempo, custo e recursos do projeto.
Gabarito preliminar: Errado.
Comentários: Percebe-se o nítido equívoco da questão em afirmar que as mudanças e ações corretivas não impactarão no tempo, custos e recursos do projeto. O principal problema em realizar mudanças é justamente impactar esses fatores. A rigor, “o controle do escopo do projeto assegura que todas as mudanças solicitadas e ações corretivas ou preventivas recomendadas sejam processadas através do processo Realizar o controle integrado de mudanças.” Esta é a definição conforme o Guia PMBOK 5ª edição.
52 A matriz de rastreamento de requisitos é insumo para o desenvolvimento de diversos planos e atividades de projeto, tais como atividade de controle e de verificação do escopo, plano de riscos do projeto e testes da estratégia e de cenários.
Gabarito preliminar: Errado.
Comentários: Segundo o Guia PMBOK 5º edição, o rastreamento inclui, mas não está limitado ao rastreamento de requisitos para: Necessidades, oportunidades, metas e objetivos de negócio;Objetivos do projeto; Escopo do projeto/entregas da EAP;Design do produto;Desenvolvimento do produto;Estratégia de teste e cenários de teste; e Requisitos de alto nível para requisitos mais detalhados.
A princípio, somente “testes da estratégia e de cenários” foi contemplado de forma explícita no rol do Guia. Porém, o próprio guia afirma que esta não é uma lista exaustiva, e, com um pouco de bom-senso, é fácil perceber que uma matriz de rastreabilidade de requisitos pode ser insumo para as demais atividades citadas. E mais: a matriz de rastreabilidade dos requisitos é ENTRADA para os processos VALIDAR O ESCOPO e CONTROLAR O ESCOPO. E, embora não seja entrada no processo Plano de Gerenciamento de Riscos, analisar os riscos e suas origens passa pelos requisitos do projeto, e, por consequência, podem ser mapeados na matriz de rastreabilidade dos requisitos.
Baseado na argumentação acima, convido-os a RECORRER nesta questão, pedindo a inversão ou anulação do item.
53 O plano de gestão do escopo e a baseline do escopo que figura na RBS (requirements breakdown structure) e na BOM (bill of material) são essenciais para a especificação dos requisitos funcionais do software a ser desenvolvido, por isso fazem parte do plano de gestão do projeto.
Gabarito preliminar: Certo.
Comentários: A colocação de termos em inglês certamente complicou a vida do candidato. Mas, segundo o PMBOK 5ª edição, o Plano de Gerenciamento do Escopo, a Linha de Base do Escopo são fundamentais para a elaboração do Plano de Gerenciamento do Projeto. De maneira geral, quase todos os planos e linhas de base desenvolvidas no projeto incorporal este plano.
74 Uma política de classificação de informações define as regras de uso dos recursos e ativos associados ao processamento da informação, incluindo-se as ferramentas de comunicação e sistemas de informação, os direitos e as responsabilidades dos usuários e as situações que são consideradas abusivas.
Gabarito preliminar: Errado.
Comentários: Quem define as regras de uso dos ativos, segundo a ISO 27002/2013, é a Gestão de Ativos. Ou seja, caso a sentença trouxesse “gestão de ativos” no lugar de “classificação de informações”, a sentença estaria correta. A política de classificação de informações trata de “assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização”. O candidato mais atento e concentrado percebeu o equívoco da sentença.
75 Um sistema de gestão da segurança da informação, por ser essencialmente reativo e voltado a lidar com situações concretas no âmbito gerencial da organização, não prevê opções que viabilizem a prevenção de incidentes de segurança da informação.
Gabarito preliminar: Errado.
Comentários: Essa foi fácil! Sabemos que o SGSI deve ser proativo, e a sua finalidade justamente é PREVENIR incidentes de Seg Info. Por isso existe a norma ISO 27001/2013, :)
76 O modelo de gestão e as características do negócio de uma organização não devem ser considerados na elaboração das políticas de segurança da informação, uma vez que os recursos afetados por essas políticas estão relacionados à área de TI.
Gabarito preliminar: Errado.
Comentários: Você vê que a frase soa mal… Inverta o conceito e a sentença fica correta.
80 Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização.
Gabarito preliminar: Errado.
Comentários: A direção da organização deve estar COMPROMETIDA com o SGSI, dando o exemplo. Este é o erro nítido da questão.
81 Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.
Gabarito preliminar: Certo.
Comentários: Retirado da norma ISO 27002.
82 Os escritórios de projetos, os quais podem ser do tipo suporte, controle e diretivo, são estruturas organizacionais que padronizam os processos de governança relacionados ao projeto.
Gabarito preliminar: Certo.
Comentários: Definição transcrita do Guia PMBOK 5, com a devida classificação dos PMO.
83 As estruturas organizacionais afetam a condução dos projetos e, em comparação com as demais estruturas, as organizações matriciais fortes são aquelas em que o gerente de projeto detém autoridade total para gerenciar o orçamento e o projeto.
Gabarito preliminar: Errado.
Comentários: Questão maldosa! Normalmente, as questões de estruturas organizacionais não costumam deixar dúvidas no candidato, citando uma característica da organização funcional e perguntando se é de uma matricial forte, por exemplo. Mas esta coloca uma pegadinha para enganar o candidato: mesmo em uma organização projetizada, a autoridade do gerente de projetos varia de alta a quase total. Na matricial forte, esta autoridade é de moderada a alta. Portanto, não temos a autoridade total no Guia PMBOK, o que realmente deixa a assertiva errada.
84 Devido ao fato de a informação ser um ativo e um habilitador, ela é tratada apenas no processo governança.
Gabarito preliminar: Errado.
Comentários: A informação é um habilitador e um recurso, portanto, ela deve tanto ser governada como gerenciada.
85 O COBIT 5 provê um modelo de auditoria organizado no processo gestão, o qual visa garantir que as necessidades e condições observadas na auditoria sejam avaliadas a fim de determinar objetivos corporativos acordados e equilibrados.
Gabarito preliminar: Errado.
Comentários: O COBIT 5 prevê controles de auditoria no Domínio de Processo Monitorar, Avaliar e Analisar (MEA), que é um domínio de gerenciamento, e não de governança.
86 A transição de serviço contém processo específico responsável por realizar avaliação formal de um serviço de TI a fim de determinar se a transição de serviços novos e modificados deverá ou não ser autorizada.
Gabarito preliminar: Certo.
Comentários: Avaliação de mudança é o processo da Transição de Serviço responsável pela avaliação formal de um serviço de TI novo ou alterado para garantir que os riscos tenham sido gerenciados e para ajudar a determinar se a mudança deve ser autorizada. A rigor, esse processo não autoriza a mudança (quem autoriza a mudança é o negócio, e quem organiza a mudança é o Gerente de Liberação e Distribuição, cujo processo também é da Transição de Serviço). Pode-se entrar com recurso para anular a questão com base nessa argumentação, mas entendo serem pequenas as possibilidades de êxito.
87 O gerenciamento de configuração e de ativo de serviço pertencente à transição de serviço da ITIL consiste no processo responsável por garantir que os ativos requeridos para a entrega de serviços sejam devidamente controlados, incluindo, para este fim, detalhes sobre relacionamentos entre os ativos e informações sobre como os ativos foram configurados.
Gabarito preliminar: Certo.
Comentários: É exatamente isso, nada a acrescentar.
88 A implementação dos processos gerência de portfólio de projetos e aquisição é imprescindível para que a organização atinja o nível gerenciado.
Gabarito preliminar: Errado.
Comentários: O nível Gerenciado (F) da Guia MPS.BR de Software (a questão trata de qualidade de software) inclui os processos GPP e AQU. Porém, a seção 8.2 do Guia explica que alguns processos podem não ser pertinentes ao negócio da unidade organizacional, podendo ser excluídos do escopo da avaliação MPS.BR. Dentre os processos passíveis de exclusão, encontram-se ambos, GPP e AQU. Essa teria me pego na prova, admito que não lembrava das exclusões, :)
89 O nível de maturidade em que se encontra uma organização permite prever seu desempenho futuro ao executar um ou mais processos. Entre os sete níveis de maturidade definidos pelo MR-MPS-SW inclui-se o nível A (em otimização), que é composto pelos processos dos níveis de maturidade anteriores e não contém processos específicos.
Gabarito preliminar: Certo.
Comentários: Principal característica do nível A do MPS.BR, esta questão ninguém deve ter errado, :)
Comentários finais: A parte de Governança nas provas de Tecnologia da Informação nunca é fácil, pois é muita coisa para ser decorada. Mas, tanto na parte de Governança como na de Seg Info, entendo que a prova veio com grau de dificuldade compatível com o cargo.
Na minha parte, vejo um recurso com muito boas probabilidades de deferimento, e um outro que é meio “forçação de barra”.
Parabéns a quem “arrebentou” na prova, e, se não foi dessa vez, não desanime. Sua hora também vai chegar!
Não deixe de conferir a análise dos demais professores da nossa equipe de TI. E bons recursos!