Comentários à prova de TI do TCU – Gestão, Governança, Seg Info e BD: Temos recurso!

Olá amigos e amigas!

Venho aqui comentar as questões do TCU relativas às matéria de TI que ministrei.

Como previsto, a prova de TI do TCU foi MUITO DIFÍCIL, pelo “conjunto da obra”. A banca, sem hesitar, cobra em profundidade TODOS os ramos da Tecnologia da Informação. E, ao lançar um edital com muitas matérias novas, e com pouco tempo até a prova, a banca privilegia aqueles que possuem bagagem, e que já estudam com muita antecedência. A combinação CESPE e TCU é a mais perversa para os concurseiros de TI, e historicamente possui as provas mais difíceis de Tecnologia da Informação já vistas, inclusive não preenchendo as vagas iniciais, como foi em 2009.

Vamos às trinta e oito questões. Já adianto que existe um recurso!

101 Uma organização não contrariará a natureza do seu campo de atuação, caso atue estrategicamente em uma área de negócio fora da abrangência de sua missão. (Fácil)

Errado! A missão define o negócio da empresa e fornece uma visão clara do que ela está fazendo para seus clientes. Se uma organização atua em uma área de negócio que não compreende a sua missão, é evidente que ela está agindo fora do seu campo de atuação.

102 Um dos aspectos evidenciados pela perspectiva financeira da técnica de planejamento organizacional do BSC (balanced scorecard) é a proposição de valor da empresa para os clientes, seja na produção de resultados esperados quanto a lucratividade, seja em relação à participação da organização no mercado. (Fácil)

Errado! A perspectiva de clientes é a que percebe o valor da empresa para os clientes. A perspectiva financeira, como o próprio nome afirma, preocupa-se com receita, ROI, dentre outros.

103 Se comparada à matriz SWOT, a matriz GUT apresenta maior aplicabilidade ao planejamento estratégico por considerar os fatores gravidade, urgência e tendência no apoio à análise e na gestão de problemas e, consequentemente, possibilitar mais riqueza no suporte à produção de cenários de curto, médio e longo prazos. (Médio)

Errado! A matriz GUT é vista como complementar à matriz SWOT, mas não pode ser encarada como uma matriz mais rica no suporte à produção de cenários, uma vez que a matriz SWOT é mais abrangente, considerando fatores internos e externos à organização.

104 A técnica de estabelecimento da estratégia por força diretiva pressupõe que cada empresa tenha uma orientação sobre a direção que deve ser seguida. (Muito Difícil)

Correto. Admito que não encontrei a fonte que respalda essa questão. Nem mesmo no Google.

105 Os grupos de processos de gerenciamento de projetos agregam de forma lógica um conjunto de entradas, ferramentas, técnicas e saídas de gerenciamento de projetos, sendo que esses grupos de processos não representam as fases do projeto. (Fácil)

Correto. Os grupos de processos não podem ser confundidos com as fases do projeto, mesmo porque um projeto pode ter várias fases, e em cada fase aplicando-se os grupos de processos.

106 Um indivíduo que atua em uma organização projetizada, em aderência ao PMBOK 5, e com encargo para realizar o planejamento de um projeto, não poderá finalizar o custo e o cronograma sem que conclua o gerenciamento dos riscos. (Médio)

Correto. Para desenvolver o cronograma e estimar os custos, é necessário que os processos relativos a riscos sejam realizados, uma vez que as medidas aplicadas para minimizar os riscos podem (e devem) envolver medidas que afetem os cursos e o cronograma do projeto.

107 Um pipeline de serviços agrega serviços em desenvolvimento e que estão prestes a serem liberados pelo processo de transição de serviços para um determinado cliente. (Médio)

Correto. O pipeline (funil) de serviços integra o portfólio de serviços, e antecede o Catálogo de Servicos, que contém os serviços ativos ou disponíveis.

108 A melhoria de serviços continuada depende primariamente de informações providas pelos processos de relatório de serviço e de medição de serviço, entre os demais processos. (Difícil)

Correto. A ITIL V3 prevê a existência desses dois processos auxiliares em apoio ao 7-Step Improvement, que é o principal processo.

109 A distribuição de chamada automática (DCA) da operação de serviço refere-se ao uso das tecnologias da informação para direcionar quaisquer serviços para o setor ou pessoa mais adequada no menor tempo possível. (Difícil)

Errado! A distribuição de chamada automática, conforme o glossário da ITIL, direciona chamadas telefônicas para a pessoa mais apropriada no menor tempo possível, e não quaisquer serviços. Complicado ficar decorando conceitos do Glossário da ITIL, ainda mais quando nunca caíram em prova.

110 Partes interessadas, cultura, ética, comportamento das pessoas e comportamento da organização são categorias de habilitadores no COBIT 5. (Médio)

Errado! Os setes habilitadores são: Princípios, políticas e frameworks; Processos; Estruturas organizacionais; Cultura, ética e comportamento; Informação; Serviços, infraestrutura e aplicativos;e Pessoas, habilidades e competências. Não precisava saber todos de cor, apenas detectar um habilitador errado, como “partes interessadas” ou o esdrúxulo “comportamento da organização”.

111 Diferentemente da governança, a gestão corresponde ao planejamento, ao desenvolvimento, à execução e ao monitoramento das atividades em consonância com a direção definida, a fim de atingir-se os objetivos corporativos. (Fácil)

Correto. No quinto princípio do COBIT 5 “Separando a gesão da governança”, gestão é sinônimo de “gerenciamento”, que possui um viés mais operacional do que a “governança”, com as características descritas acima.

114 De acordo com o CMMI, o uso da representação contínua permite que a organização atinja níveis de maturidade. Por outro lado, o uso da representação por estágios permite que a organização atinja níveis de capacidade. (Fácil)

Errado! Inversão de conceitos entre a abordagem contínua e abordagem por estágios.

115 Quando situados no nível 1 de capacidade do CMMI, os processos são usualmente ad hoc e caóticos. Em contrapartida, quando situados no nível 2, os processos são gerenciados de modo proativo por meio do entendimento dos inter-relacionamentos entre as atividades de processo e de medições detalhadas do processo, produtos de trabalho e serviços. (Médio)

Errado! Somente no nível de capacidade 3 do CMMI que os processos são gerenciados de modo proativo. Além disso, foi descrito o nível 0 do modelo de capacidade ao invés do nível 1.

116 O processo gerência de reutilização (GRU) faz parte do grupo de processos que compõem o nível F — gerenciado, de acordo com o modelo MPS.BR. (Difícil)

Errado! A Gerência de Reutilização (GRU) pertence ao nível E do MPS.BR. Difícil ficar decorando!

125 Como forma de permitir as buscas em  documentos semiestruturados, um banco de dados NoSQL do tipo orientado a documentos armazena objetos indexados por chaves utilizando tabelas de hash distribuídas. (Difícil)

Errado! Segundo Martin Fowler, em “NoSQL Essencial”, o NoSQL orientado a documentos armazena os documentos de forma semelhante ao modelo chave-valor (com o documento no lugar do valor), utilizando tabelas de hash simples. Assunto novo, sendo cobrado “no detalhe”.

126 Se, em uma tabela de nome Cliente, a chave primária for NrCliente, então o comando Oracle SQL a seguir será bem-sucedido em eliminar a coluna NrCliente dessa tabela, qualquer que seja a condição dos registros do banco de dados. (Difícil)

ALTER TABLE Cliente DROP (NrCliente) CASCADE CONSTRAINTS;

Correto. O CASCADE CONSTRAINTS “derruba” as eventuais restrições que impediriam a exclusão do atributo NrCliente.

127 Como parte de um conjunto de instruções, o comando Oracle PL/SQL a seguir significa que, quando se tentar armazenar um valor duplicado em uma coluna que seja chave primária de uma tabela, será disparada uma exceção predefinida na linguagem; e serão desfeitas apenas as instruções escritas no contexto do SAVEPOINT nome_point.

EXCEPTION WHEN DUP_VAL_ON_INDEX THEN ROLLBACK TO nome_point; (Muito difícil)

Correto. Questão impossível de responder, a não ser que você manuseie Bancos de Dados Oracle. Confira uma lista de erros no Oracle em:

http://docs.oracle.com/cd/B19306_01/appdev.102/b14261/errors.htm

Quando a banca resolve cobrar o conhecimento de comandos Oracle (dentre as centenas existentes), a coisa fica muito difícil, a não ser pra quem trabalha com Oracle.

138 Entre os requisitos de análise de uma aplicação OLAP inclui-se a capacidade de tratar dinamicamente a esparsidade das informações para restringir o cruzamento dimensional de matrizes com células de valor zero. (Muito difícil)

Errado! Vou ficar devendo essa explicação no curto prazo, pois não encontrei o autor que explica o erro (e o contexto) dessa questão.

139 Na análise dos dados de um sistema com o apoio de uma ferramenta OLAP, quando uma informação passa de uma dimensão para outra, inexistindo hierarquia entre elas, ocorre uma operação drill through. (Médio)

Correto. Como vimos em nosso curso, existem duas visões distintas para o conceito de Drill Through, e o CESPE parece simpatizar com a segunda versão, na qual a operação se resume a modificar a dimensão, sem hierarquia entre elas.

140 Em uma modelagem dimensional que utilize o esquema estrela, a chave primária de uma tabela de fatos será a chave estrangeira na tabela de dimensões. (Fácil)

Errado! No esquema estrela, a tabela de fatos é “recheada” de chaves estrangeiras, cujas chaves primárias estão na tabela de dimensões. Houve inversão de conceitos na sentença.

141 O paralelismo, característica desejável de uma ferramenta de ETL, oferece suporte às operações de vários segmentos e a execução de código executável de forma paralela. (Muito difícil)

Correto. Encontrei alguns trabalhos acadêmicos e sites empresariais que corroboram com a sentença. Puxado, não é mesmo?Confira:

http://blog.powerdata.es/el-valor-de-la-gestion-de-datos/bid/312645/Procesos-ETL-con-Paralelismo-Funcionamiento-y-Tipos

http://www.md2net.com.br/ibm_information_server.asp

165 Confidencialidade é a garantia de que somente pessoas autorizadas tenham acesso à informação, ao passo que integridade é a garantia de que os usuários autorizados tenham acesso, sempre que necessário, à informação e aos ativos correspondentes. (Fácil)

Errado! O conceito de confidencialidade está correto, mas o segundo conceito é o de disponibilidade. Integridade é a garantia que a informação não foi alterada, e permanece íntegra.

166 As políticas de segurança da informação corporativas devem refletir os objetivos e princípios de segurança da organização que servirão como base para a aplicação de controles destinados a reduzir os riscos de fraudes e erros. (Médio)

Correto. Deve existir alinhamento entre os princípios de segurança da organização (do macro) com os princípios de segurança da informação (para o micro). É o tipo de questão que acertamos pelo “bom senso”.

167 Um ambiente com alto nível de informatização e alta concentração de informações acessíveis por sistemas automatizados apresenta baixa vulnerabilidade técnica e baixa dependência de uma política de classificação de informações, que tem por objetivo identificar informações valiosas e assegurar um grau mínimo de proteção para essas informações. (Médio)

Errado! Ambientes altamente informatizados são vulneráveis tecnicamente, e dependem de uma política de classificação de informações que assegure um grau de proteção compatível com o valor do ativo. Também trabalhamos o bom senso aqui.

168 Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. (Fácil)

Errado! Tamanho e estrutura da organização também devem ser consideradas por ocasião da especificação e implementação do SGSI. Pela redação da questão, percebe-se que tem algo errado, não é mesmo?

169 Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas.  (Difícil)

Correto. Texto cru da norma. Faz sentido, mas é difícil marcar certo.

171 Retenção é uma forma de tratamento do risco que visa implantar controles para se reduzirem os riscos a um nível aceitável pela organização. Na escolha dos controles, consideram-se os critérios da organização para a aceitação do risco, tais como requisitos legais, regulatórios, contratuais, culturais, ambientais e aspectos técnicos, além de custos e prazos para a implantação de controles. (Médio)

Errado! Retenção é aceitar o risco, desde que ele atenda aos critérios de aceitação do risco da organização. Tanto que, a partir da segunda frase, ele continua falando em “aceitação do risco”, o que é correto. A forma de tratamento citada na primeira sentença é modificar o risco.

172 Conforme a NBR ISO/IEC 27005:2011, para a avaliação dos riscos de segurança da informação na organização, convém que os critérios de avaliação sejam desenvolvidos considerando-se a criticidade dos ativos de informação envolvidos. (Médio)

Correto. Também transcrição da norma, e que podemos responder com “bom senso”.

173 De acordo com a NBR ISO/IEC 31000:2009, a fim de assegurar que a gestão de riscos seja eficaz e continue a apoiar o desempenho organizacional, convém que a organização garanta recursos materiais irrestritos para evitar desvios em relação ao plano de gestão de riscos, que deve ser mantido inflexível, especialmente em relação ao contexto interno da organização. (Fácil)

Errado! Garantir recursos “irrestritos” e um “plano inflexível” é absurdo. Segundo a norma (e o bom senso), a organização deve garantir recursos apropriados para a gestão de riscos. Além disso, a gestão de riscos é dinâmica, iterativa e capaz de reagir a mudanças, características que exigem flexibilidade. Mesmo sem ler a norma, fica gritante que algo está errado no texto.

174 A estratégia de recuperação gradual permanente ou portável conhecida como cold stand-by é caracterizada pelo fato de que a própria organização deve dispor de espaço alternativo com infraestrutura computacional razoável, que disponha de eletricidade, conexões telefônicas e ar-condicionado, e para onde as aplicações possam ser migradas e os níveis de serviços restaurados gradativamente. (OPA!!!!)

Recurso neles! Segundo a ITIL 2011, a estratégia cold standby prevê eletricidade, conexões telefônicas e ar-condicionado, mas não prevê recursos de processamento de dados.

Extraído diretamente da página 133 do livro “Service Design” da ITIL V3, ou página 187 do mesmo livro da ITIL 2011: “Gradual recovery (cold standby)– This option includes the provision of empty acommodation, fully equiped with power, environmental controls and local metworking cable infraestructure, telecommunications connections, and available in a disaster situation for an organization to install its own computer equipment. It does not include the actual computing equipment, so is not apllicable for services requiring speedy recovery (…)”

Ao afirmar que o local já dispõe de infraestrutura computacional razoável, a questão se equivoca, e o gabarito deve ser modificado de CERTO para ERRADO. Ensinamos assim no curso e mantemos nossa posição, refutando o gabarito da banca.

175 Se uma das atividades de uma organização for terceirizada, o risco e a responsabilidade legal dessa atividade migrarão para o fornecedor ou parceiro de terceirização, e a garantia de viabilidade dos planos de continuidade passará a ser responsabilidade da empresa contratada. (Fácil)

Errado! A ISO 27002 afirma que o terceirizado compartilha o risco, mas a responsabilidade legal permanece com o prestador de serviço. Daí a necessidade de implementar controles de segurança da informação também para os terceirizados. Soa estranho a organização jogar a responsabilidade “nas costas” do terceirizado.

176 De acordo com a NBR ISO/IEC 22301:2013, em caso de não conformidade no sistema de gestão de continuidade de negócio (SGCN), a organização deverá avaliar a necessidade para a eliminação das causas desse problema, de modo que estas não ocorram em outro lugar, por meio de, entre outras ações, mudanças no SGCN, se necessário. (Difícil)

Correto. Além disso, também deverá identificar a não conformidade,  reagir a ela, implantar qualquer ação necessária e analisar criticamente a eficácia de qualquer ação corretiva tomada. Questão difícil, pois, mesmo lendo TODA a norma, o assunto citado encontra-se no final da mesma. Realmente o “bom senso” é fundamental nas questões normativas, pois o teor apresentado faz sentido.

177 Os ataques DDoS de camada de aplicação são caracterizados por explorar aspectos de arquitetura das aplicações e dos serviços para obstruir a comunicação; além disso, são difíceis de detectar e podem ser efetivos com poucas máquinas e taxas de tráfego não muito altas. (Muito difícil)

Correto. Não basta mais saber o que é um ataque DDos. É preciso diferenciar o ataque na Camada de Aplicação (supracitado), o ataque de Exaustão de Tabelas de Estado e o Ataque Volumétrico. O nível de cobrança subindo cada vez mais.

178 As principais medidas de segurança contra backdoors, que, por sua natureza, são difíceis de serem detectadas e controladas via sistema operacional, relacionam-se aos processos de desenvolvimento e auditoria de software, engenharia reversa e atualização de software. (Difícil)

Correto. Embora pareça sensato, ainda não encontrei o autor que corrobora essa afirmação.

179 Entre as principais abordagens de construção dos sistemas IDS inclui-se a aplicação de métodos como redes neurais para aprendizagem do reconhecimento de padrões de intrusão. (Difícil)

Correto. Nakamura, em “Segurança de Redes em Ambientes Cooperativos” cita um tipo de IDS, o Behavior-Based Intrusion Detection. Nesta, o autor remete a Robert Graham e a obra “Network Intrusion Detection System FAQ”, que cita pesquisas em andamento, com a utilização de redes neurais, logica fuzzy e inteligência artificial. Apenas não classifiquei essa questão como “Muito Difícil” pois me parece razoável que sistemas de detecção de intrusão mais avançados utilizem IA para aprender a reconhecer invasões.

180 Um firewall do tipo roteador de filtragem de pacotes aplica a cada pacote que entra ou que sai um conjunto de regras embasadas nas informações de cabeçalhos dos pacotes e, de acordo com a correspondência com as regras, encaminha ou descarta o pacote. (Fácil)

 Correto.

181 No algoritmo AES, a cifra de decriptografia é idêntica à cifra de criptografia, assim como a sequência de transformações para a decriptografia é a mesma para a criptografia, o que pode ser considerado uma vantagem, já que apenas um único módulo de software ou firmware é necessário para aplicações que exigem tanto criptografia quanto decriptografia. (Fácil)

Errado! Embora o AES realmente seja um algoritmo simétrico, isso não é uma vantagem, mas sim uma vulnerabilidade. Algoritmos assimétricos são mais seguros.

182 A autoridade de registro, além de ser a emissora de certificados e listas de revogação de certificados, é um componente obrigatório nas PKI e está associada ao registro das autoridades certificadoras. (Médio)

Errado! A autoridade de registro não emite certificados, ela faz o “meio de campo” entre a autoridade certificadora (esta sim emite certificados e listas de certificados revogados) e o usuário. A AR pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.

Como pudemos perceber, embora existam algumas questões “fáceis” espelhadas ao longo da prova, considero a prova como um todo muito difícil, com assertivas cuja fonte ainda nos é desconhecida. Além disso, São muitos ramos diferentes da TI para os quais o candidato precisa ter domínio. Ainda, quando analisamos no “macro”, incluindo Engenharia de Software, Redes, Desenvolvimento, Sistemas Operacionais e Legislação de TI, temos realmente uma das provas mais difíceis já realizadas.

Mais uma vez fica a lição que cada vez mais devemos nos aprofundar no estudo da Tecnologia da Informação, que parece um “poço sem fundo”.

Para os que foram bem, fica aqui a nossa ENORME torcida pela aprovação em um dos melhores órgãos do país para se trabalhar.

Para os que foram mal, NÃO DESANIME! A prova do TCU realmente é muito difícil, e um resultado ruim pode mascarar um cenário oposto: o de que você está bem nos estudos, e sua aprovação pode estar próxima. Bola pra frente, e que venha o STJ, o APO-TI do MPOG, ou qualquer outro desafio. Estamos na direção certa!