QUESTÕES - AUDITORIA E CONTROLE DE SEG E CLAS DA INFORMAÇÃO

Prévia do material em texto

AUDITORIA E CONTROLE DE SEG. E CLAS. DA INFORMAÇÃO
Controle interno pode ser definido como processos executados para apoiar e orientar a organização no cumprimento ___________da instituição quanto à ___________e ___________nas operações e sua gestão.
Dos objetivos, eficiência, eficácia.
Das atividades, efetividade, eficiência.
Das metas, eficácia e efetividade.
Dos objetivos, auditoria e governança.
Dos controles, efetividade e eficiência
===============================================================================================
A necessidade constante de um excelente desempenho empresarial leva à busca da qualidade e confiabilidade da informação para o auxílio à decisão. Nesse sentido, as organizações necessitam assegurar que os processos internos executados pelos agentes humanos e computacionais não sofrerão desvios. O elemento interno, responsável pelo controle dos processos da organização, é chamado de:
Controle interno
Auditoria interna
Compliance
Auditoria externa
Governança
===============================================================================================
Fase do processo de auditoria onde é realizada a auditoria propriamente dita:
Priorização e seleção dos pontos de controle.
Identificação e inventário dos pontos de controles.
Acompanhamento da auditoria.
Avaliação dos pontos de controles.
Levantamento das informações.
===============================================================================================
Etapa que consiste na realização de testes de validação dos pontos de controle, segundo as especificações e os parâmetros determinados nas etapas anteriores. É a auditoria propriamente dita. Estamos falando de qual etapa:
Avaliação dos pontos de controles
Identificação e inventário dos pontos de controles
Priorização e seleção dos pontos de controle
Levantamento das informações
Planejamento e controle do projeto de auditoria
===============================================================================================
Documento que armazena o planejamento da auditoria, os pontos de controle testados e serve como referência para futuras auditorias. Compõe-se de toda a documentação elaborada durante o processo de auditoria:
Certificado de controle interno.
Manual de auditoria do ambiente a ser auditado.
Relatório de fraquezas de controle interno.
Pastas contendo a documentação obtida.
Parecer da auditoria.
===============================================================================================
Existem diferentes papéis em um processo de auditoria. Qual o papel que tem como função documentar as observações durante a realização da auditoria?
Auditor Líder
Cliente
Auditor
Auditado
Auditor Chefe
===============================================================================================
Nesse sentido, _______________auxilia as organizações no alinhamento do uso da Tecnologia da Informação, aos objetivos de negócio de cada organização, possibilitando que se garanta a continuidade dos serviços, o atendimento a marcos regulatórios, e a definição clara do papel da TI dentro da organização.
A auditoria de TI.
Os controles de TI.
Os auditores.
A Governança de TI.
A Segurança da Informação.
Apresenta exclusivamente controles para a implementação de boas práticas em Segurança da Informação. 
CMMI 
PMBOK
COBIT
ISO 27001
ITIL
===============================================================================================
A auditoria que se preocupa com os procedimentos e os resultados dos sistemas já implantados, sua corretude e sua segurança, é a:
Auditoria de sistemas em produção.
Auditoria no ambiente tecnológico.
Auditoria em eventos específicos.
Auditoria no desenvolvimento de sistemas.
Auditoria de infraestrutura.
===============================================================================================
Quando um sistema garante a consistência e a confiança nas transações processadas, estamos falando de:
Acuidade.
Integridade.
Auditabilidade.
Confidencialidade.
Privacidade.
===============================================================================================
As ferramentas classificadas como ______________________são os softwares que possuem a capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis duplicidades, gerar dados estatísticos, e diversas outras funções que o auditor pode desejar.
Software específico.
Software generalista.
Software especialista.
Programa utilitário.
Programa aplicativo.
===============================================================================================
As ferramentas __________________podem ser classificadas com softwares utilitários, próprios para a execução de funções muito comuns de processamento, como sortear arquivos, concatenar, sumarizar e gerar relatórios. Sua grande vantagem está na capacidade que possuem de servir como substitutos na ausência de recursos mais completos.
De utilidade geral.
Software generalista.
Software especialista.
Software específico.
Programa aplicativo.
===============================================================================================
Não foi criado para tratar exclusivamente sobre o assunto “segurança”, porém, entre outras ações, dedica-se também ao assunto, auxiliando as organizações nessa implementação:
ITIL
COBIT
ISO 27001
CMMI
BSC
===============================================================================================
Instrumento cujo principal objetivo é a atribuição de funções e responsabilidades, dentro de um determinado processo, projeto, serviço ou departamento/função:
Auditoria externa
Análise de Risco
Controle Interno
Auditoria interna
Matriz RACI
===============================================================================================
Segundo as orientações do Sans Institute para uma maior eficiência, na implementação de segurança, devemos implementar:
O inventário de dispositivos autorizados e não autorizados.
A auditoria de sistemas.
O desenvolvimento seguro.
O não repúdio.
A autenticidade dos dados.
===============================================================================================
Em 2008, conjuntamente com um consórcio global de agências e especialistas do setor privado, o SANS Institute criou uma lista de controles derivados dos padrões de ataques mais comuns e vetados em uma ampla comunidade internacional de governos e indústrias, com um consenso muito sólido sobre o conjunto de controles resultante. Dessa forma eles servem como base a uma ação imediata e de alto valor para as organizações. Quantos controles de segurança foram elencados pelos Sans Institute?
10
18
20
22
24
Elaborada a partir de como uma função ou atividade opera, é específica para cada auditoria e normalmente é baseada em uma norma ou um padrão. Neste caso estamos falando de:
Avaliação dos pontos de controles
Lista de verificação
Levantamento das informações 
Identificação e inventário dos pontos de controles
Priorização e seleção dos pontos de controle
===============================================================================================
A empresa OTPX acaba de contratar uma consultoria para realizar auditoria no seu ambiente de TI. O grau de risco existente no ponto de controle, a existência de ameaças e a disponibilidade de recursos são os critérios que podem ser considerados para se obter o resultado na fase de __________ da metodologia utilizada.
A opção que melhor preenche a lacuna é:
Acompanhamento da auditoria
Priorização e seleção dos pontos de controle
Levantamento das informações
Avaliação dos pontos de controles
Conclusão da auditoria
===============================================================================================
Considere os seguintes itens relacionados com o COBIT 5 e correlacione de acordo com as proposições a seguir:
1)Gestão
2)Governança
( ) Assegurar a transparência para as partes interessadas.
( ) Assegurar a otimização dos recursos.
( ) Gerenciar a estratégia.
( ) Gerenciar problemas. Agora assinale a alternativa correta:
1,2,1,2
1,1,2,2
2,2,2,1
2,1,1,2 
2,2,1,1===============================================================================================
Você é um auditor de sistemas e precisa verificar a ________________________ do sistema Sanfa´s, ou seja, deseja verificar se foram implementados logs operacionais que permitam trilhas de auditoria. Neste caso estamos falando da:
Disponibilidade
Manutenibilidade 
Auditabilidade
Acuidade
Versatilidade
===============================================================================================
Qual o processo do COBIT que tem foco em segurança e tem como objetivo definir, operar e monitorar um sistema de gestão de segurança da informação?
Elaborar a Política de segurança
Implementar um SGSI
Gerenciar Serviços de Segurança
Realizar a análise de segurança 
Gerenciar a Segurança
===============================================================================================
As técnicas de auditoria têm como objetivo auxiliar os auditores em seus processos de trabalho de forma a diminuir os custos envolvido no processo de auditoria, melhorar a qualidade do trabalho realizado, além de melhorar a produtividade. Como chamamos a técnica onde desenvolvemos e implementamos uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações?
Visita in loco
Rastreamento e mapeamento
Test deck
Simulação paralela
Questionário à distância
===============================================================================================
As técnicas de auditoria têm como objetivo auxiliar os auditores em seus processos de trabalho. Enquanto na técnica de test deck simulamos os dados e os submetemos ao programa de computador, na _________________ simulamos o programa e submetemos os mesmos dados que foram utilizados pelo programa auditado em sua rotina de processamento.
Inspeção
Simulação paralela
Analise da lógica de programação
Teste de caixa preta
Rastreamento e mapeamento
===============================================================================================
Ferramenta utilizada no processo de auditoria que possibilita o seu planejamento e a implementação de um processo de melhoria contínua:
RACI
FURPS
BPMN
DCOM 
PDCA
===============================================================================================
No trabalho de auditoria existem ferramentas que podem ser utilizadas como instrumentos que o auditor possuirá para conseguir alcançar suas metas. Elas podem ser classificadas como:
Utilidade Geral, Programa utilitário e especialista
Generalista, especialista e aplicativo
Especialista, específica e Programa utilitário
Especialista, aplicativo e utilidade geral
Generalista, especialista e de utilidade geral
===============================================================================================
__________________podem ser classificadas(os) como softwares utilitários, próprios para a execução de funções muito comuns de processamento, como sortear arquivos, concatenar, sumarizar e gerar relatórios. Sua grande vantagem está na capacidade que possuem de servir como substitutos na ausência de recursos mais completos.
As Ferramentas de utilidade geral
Os Programas aplicativos 
Os Softwares generalistas
Os Softwares especialistas
Os Softwares específicos
===============================================================================================
Modelo desenvolvido com o objetivo de auxiliar os auditores na avaliação do processo de desenvolvimento de software:
ITIL
CMMI
COBIT
VALIT
MPSBR
===============================================================================================
Auxilia as organizações na implementação dos controles de segurança. Tem como principal objetivo implementar um sistema de gestão de segurança da informação. Neste caso estamos nos referindo a norma:
ISO 27004
ISO 27002
ISO 27003
ISO 27000
ISO 27001
===============================================================================================
Qual processo executado nas organizações utilizado para apoiar e orientar no cumprimento dos objetivos da instituição quanto à eficiência e eficácia nas operações e sua gestão? 
Matriz Raci
Controle interno
Análise de risco
CMMI
Auditoria
===============================================================================================
O documento utilizado nas auditorias onde está descrito as expectativas de quem pediu a auditoria, os critérios da auditoria e os documentos que devem estar disponíveis é denominado:
Relatório de auditoria
Certificado de controle interno
Relatório Final
Plano de auditoria
Relatório de fraquezas
===============================================================================================
Durante o encontro anual, a comunidade de auditores apresentou a demanda de um programa que fosse capaz de executar funções comuns e necessárias durante o processo de auditoria. A ideia desse programa é classificar arquivos, sumarizar, concatenar e gerar relatórios
De acordo com as características desse programa, ele deve ser classificado prioritariamente como:
Abordagem através do computador
Ferramenta especializada
Ferramenta generalista
Abordagem com o computador
Programa utilitário
===============================================================================================
Paulo foi o auditor escalado para realizar uma auditoria em um dos sistemas da empresa OTPX. Após estudar o plano de auditoria, ele optou por utilizar uma técnica que simula as funções de rotina do sistema que está sendo auditado. A característica dessa técnica é que o auditor deve desenvolver um programa (ou encomendá-lo) que possa ser utilizado para atender a todas as lógicas necessárias, simulando o programa original e utilizando os mesmos dados que são executados numa rotina normal. O objetivo final é verificar se os resultados são idênticos. A técnica de auditoria utilizada por Paulo chama-se:
Rastreamento e mapeamento
Test deck ou dados de teste
Lógica de auditoria embutida no sistema
Análise do programa fonte 
Simulação paralela
===============================================================================================
O COBIT 5 é um modelo desenvolvido pela ISACA, abrangendo auditoria e controle de processos de TI, considerando desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Existem cinco princípios básicos para governança e gestão de TI da organização. A única opção que NÃO se caracteriza como um dos princípios básicos do COBIT 5 é:
Envolver todas as áreas da empresa
Satisfazer as necessidades das partes interessadas
Aplicar um modelo integrado
Não fazer distinção entre governança e gestão
Possibilitar uma abordagem holística
===============================================================================================
O COBIT apresenta dois processos APO 13 Gerenciar a segurança da informação e o processo DSS 05 Gerenciar os serviços de segurança. Não é uma atividade do processo DSS 05 Gerenciar os serviços de segurança:
Estabelecer e manter um ISMS (Information security management system)
Gerenciar acesso físico a ativos de TI
Proteger contra Malware 
Gerenciar segurança de rede e conectividade
Gerenciar identidade e acesso logico e de usuário
===============================================================================================
Modelo abrangente aplicável para a auditoria e controle de processos de TI, desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos:
VALIT
COBIT
ITIL
MPSBR
CMMI
===============================================================================================
Você irá participar de um processo de auditoria e gostaria de consultar o resultado da última auditoria realizada. Qual o documento que deverá ser consultado?
Plano de auditoria
Certificado de controle interno
Pastas contendo a documentação obtida
Relatório de fraquezas de controle interno
Manual de auditoria
===============================================================================================
Considere as seguintesproposições referentes aos papéis em um processo de auditoria:
I) O auditor é quem realiza a auditoria propriamente dita. 
II) O cliente é quem solicita a auditoria e determina o seu propósito.
III) O auditor líder é responsável em última instância por todas as fases da auditoria.
IV) O auditor líder prepara o plano de auditoria.
Agora assinale a alternativa correta
Somente II e IV são proposições verdadeiras.
I, II, III e IV são proposições verdadeiras.
Somente I, II e III são proposições verdadeiras.
Somente I, II e IV são proposições verdadeiras.
Somente I e III são proposições verdadeiras
===============================================================================================
Tipo de auditoria que se preocupa com os procedimentos e os resultados dos sistemas já implantados, como por exemplo corretude, segurança e tolerância a falhas:
 
Auditoria em ambiente tecnológico
Auditoria de sistema em produção
Auditoria em segurança
Auditoria em eventos específicos
Auditoria de sistema em desenvolvimento
===============================================================================================
O COBIT 5 é um modelo desenvolvido pela ISACA, abrangendo auditoria e controle de processos de TI, considerando desde o planejamento da tecnologia até a monitoração e auditoria de todos os processos. Existem cinco princípios básicos para governança e gestão de TI da organização.
. A única opção que NÂO se caracteriza como um dos princípios básicos do COBIT 5 é:
Satisfazer as necessidades das partes interessadas
Não fazer distinção entre governança e gestão
Possibilitar uma abordagem holística
Envolver todas as áreas da empresa
Aplicar um modelo integrado
===============================================================================================
Você irá auditar a empresa XYZ e deseja verificar a existência de controles de segurança implementado. Neste caso qual a norma ou regulamentação que poderia utilizar para auxiliar neste processo?
ITIL
ISO 27001
CMMI
VALIT
MPSBR
===============================================================================================
Tipo de auditoria que preocupa-se com os procedimentos e os resultados dos sistemas já implantados, como por exemplo corretude, segurança e tolerância a falhas:
Auditoria em ambiente tecnológico
Auditoria de sistema em produção
Auditoria em segurança
Auditoria em eventos específicos
Auditoria de sistema em desenvolvimento
===============================================================================================
O COBIT em sua versão atual separou as ações de governança das ações de gerenciamento. Qual das ações abaixo NÃO é uma ação de gerenciamento, segundo os domínios do COBIT?
Adquirir
Dirigir
Planejar
Construir
Entregar
===============================================================================================
Em 2008, o SANS Institut criou uma lista de controles de segurança derivados dos padrões de ataques mais comuns. Estes controles de segurança servem como base para uma ação imediata e de alto valor para as organizações. Quanto controles foram elencados pelos Sanz Institut? 
18 
20 
10 
22 
24 
===============================================================================================
A