Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de sistemas Professor(a): Priscilla Labanca (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! A base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos: Alternativas: Identificação de vulnerabilidade em plano de contingência e análise documental do departamento de infraestrutura e segurança da informação. Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança da arquitetura dos sistemas de informação. Identificação, observação, análise, coleta de evidências e documentação dos ativos constantes e possíveis candidatos à vulnerabilidade. Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a eficácia dos controles. CORRETO Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de contingência. Código da questão: 57650 Acerca dos pontos de controles internos da auditoria dos controles de banco de dados, complete as lacunas a seguir: Na análise de modelagem do banco de dados, são verificadas questões de ______________, consistências, normalizações, ________, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes de__________ e triggers. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Integridade referencial; cardinalidades; views. Tipos de tabelas; cardinalidades; procedures. Cardinalidades; procedures; tipo de tabelas. Integridade referencial; cardinalidades; procedures. CORRETO Cardinalidades; procedures; tipo de dados. Código da questão: 57652 Resolução comentada: a base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em potencial, a probabilidade provável e a exposição prevista, bem como os controles necessários para atenuar as ameaças, incluindo os controles corretivos que farão parte do plano de recuperação de desastres. Resolução comentada: no ponto de controle interno análise de modelagem do banco de dados, são verificadas questões de integridade referencial, consistências, normalizações, cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers. 3) 4) Os controles internos versam ______ a segurança física e lógica, a ________, a obediência às_______ e _______________, a eficácia e a eficiência. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Legislações; segurança; clareza; coesão. Assegurar; qualidade; missões; ética. Assegurar; confidencialidade; legislações – normas administrativas. CORRETO Confidencialidade; legislações; normas administrativas; aos requisitos. Configurar; qualidade; missões; normas administrativas. Código da questão: 57638 Sobre o plano gestor de continuidade, podemos afirmar que: I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que identifica os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo aumentar significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários não tenham que ser entregues continuamente, não necessitando de comprometimento, haja vista que há garantia de eles serem entregues. IV. O plano de contingência deve incluir opções de recuperação para uma variedade de cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de protocolos de negócios e uso de TI. V. Ele também assegura a disponibilidade contínua dos recursos de processamento de informações; a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo . São verdadeiras: Alternativas: I – III – V. I – IV – V. CORRETO II – IV – V. I – II – V. I – II – III. Resolução comentada: os controles internos versam assegurar a segurança física e lógica, a confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema adotada no projeto, especificação do sistema, questões que envolvem a administração do projeto, homologação do sistema etc. Resolução comentada: a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. Com base nisso, os sistemas críticos e os manuais, podem ser elencados e interrelacionados. Uma análise de impacto nos negócios pode ser realizada para cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às informações e outros ativos em risco, para determinar as estruturas de controle apropriadas para equilibrar essas ameaças e vulnerabilidades. A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade 5) 6) Código da questão: 57655 O processo de auditoria de sistemas de TI é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são: Alternativas: Pré-auditoria, abordagem ao redor do computador, auditoria e pós-auditoria. Auditoria no computador, auditoria ao redor do computador e pós-auditoria. Auditoria e pós-auditoria. Planejamento, auditoria e conclusão. Pré-auditoria, auditoria e pós-auditoria. CORRETO Código da questão: 57643 Existem, basicamente, três tipos de abordagem que o auditor de sistemas pode adotar para executar suas atividades. Analise a definição de cada uma e assinale a alternativa correta. Alternativas: A abordagem com o computador realiza exames somente na documentação do sistema, ou seja, verifica entradas e saídas, assim como a modelagem e a especificação do sistema construída pelo analista de requisitos. A abordagem ao redor do computador é aquela em que o auditor examina a documentação do sistema de maneira detalhada, ou seja, ele verifica se todos os requisitos existem, assim como a qualidade da modelagem e questões de navegabilidade e usabilidade dos protótipos das telas. A abordagem por meio do computador é aquela em que o auditor de sistemas deve conhecer o plano de negócio e o plano de desenvolvimento de informática (PDI) da empresa a ser auditada. A abordagem por meio do computador realiza exames de maneira mais completa, ou seja, examina, além da documentação, a execução do sistema em produção, tornandoa atividade de auditoria mais completa e confiável. CORRETO que demanda custo, pois envolve uma variedade de recursos e consome um tempo considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que pode ser o custo da falência em um caso extremo. A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de processamento de informações, a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo . Para garantir a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser monitorados por um período de tempo, para que a previsão de recursos possa se basear na antevisão da demanda e no dimensionamento dos sistemas aplicativos. A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários sejam entregues continuamente, e como eles se comprometeram a ser entregues. Resolução comentada: o processo de auditoria de sistemas de TI é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são pré-auditoria, auditoria e pós- auditoria. Cada qual possui processos, procedimentos, atividades e responsabilidades a serem executados. 7) 8) A abordagem ao redor do computador verifica a corretude dos cálculos e dos dados processados. Código da questão: 57636 Alternativas: I – A; II – B; III – C. I – C; II – A; III – B. CORRETO I – A; II – C; III – B. I – C; II – B; III – A. I – B; II – C; III – A. Código da questão: 57654 Alternativas: I – A; II – C; III – B. I – C; II – B; III – A. I – B; II – C; III – A. I – A; II – B; III – C. Resolução comentada: a abordagem por meio do computador é aquela que possui o objetivo de realizar exames de maneira mais completa (documentação + execução do sistema em produção), tornando a atividade de auditoria mais completa e confiável. O seu custo é mais elevado por ser uma atividade que demanda mais tempo de execução (atividade mais completa e criteriosa). Resolução comentada: o checklist de controle de acesso aos dados refere-se exatamente aos pontos de controles internos que devem ser observados, identificados, analisados, coletados e documentados acerca deste quesito. O checklist de monitoramento de operações refere-se exatamente aos pontos de controles internos que devem ser observados, identificados, analisados, coletados e documentados acerca deste quesito. O checklist de controle de backup refere-se à documentação de procedimentos e monitoramento de rotinas de backup, queires e jobs. 9) 10) I – C; II – A; III – B. CORRETO Código da questão: 57647 Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini- la como: Alternativas: É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos. É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles. É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação. CORRETO É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada. São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade. Código da questão: 57637 Segundo Isaca (2017), as vulnerabilidades podem ser definidas como “fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações, que podem ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: caráter confidencial, integridade e disponibilidade”. As vulnerabilidades de ______ são aquelas em que é possível observar se as condições________ estão adequadas (boa conservação) e se são produzidos erros durante a_______ de sistemas em geral devido às condições do _______. Refletindo sobre a definição de vulnerabilidades, assinale a alternativa que completa adequadamente as lacunas: Alternativas: Mídias; lógicas; instalação; hardware. Hardware; físicas; instalação; hardware. CORRETO Recursos humanos; físicas; instalação; software. Software; lógicas; publicação; hardware. Redes sociais; físicas; disponibilização; hardware. Resolução comentada: compreender o negócio da empresa: modelar o negócio, identificar o fluxo e as dependências de dados, e os sistemas críticos, bem como quaisquer sistemas dependentes (incluindo os manuais). Identificar os sistemas de informação por tipo, por exemplo: distribuído, em tempo real, on-line, em lote, por objetivos operacionais, etc. Para cada sistema de informação, atribuir graus de criticidade e valores: classificação de perda de negócio, nível de serviço alternativo necessário e tempo máximo de inatividade tolerável. Para o plano de recuperação, deve-se verificar: a configuração mínima necessária, acordos de continuidade com fornecedores, os planos de backup, compatibilidade de firmware e acordos de níveis de segurança. Resolução comentada: na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. Código da questão: 57631 Resolução comentada: as vulnerabilidades de hardware são aquelas em que é possível observar se as condições físicas (HD e insumos de redes de computadores) estão adequadas (boa conservação, instalação dos equipamentos de maneira adequada – cabos não descascados, por exemplo, etc.) e se são produzidos erros durante a instalação de sistemas em geral devido às condições do hardware. Arquivos e Links
Compartilhar