Auditoria de Sistemas

Prévia do material em texto

Auditoria de sistemas
Professor(a): Priscilla Labanca (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
A base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos:
Alternativas:
Identificação de vulnerabilidade em plano de contingência e análise documental do
departamento de infraestrutura e segurança da informação.
Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança
da arquitetura dos sistemas de informação.
Identificação, observação, análise, coleta de evidências e documentação dos ativos
constantes e possíveis candidatos à vulnerabilidade.
Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a
eficácia dos controles.  CORRETO
Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de
contingência.
Código da questão: 57650
Acerca dos pontos de controles internos da auditoria dos controles de banco de dados,
complete as lacunas a seguir:
Na análise de modelagem do banco de dados, são verificadas questões de ______________,
consistências, normalizações, ________, opcionalidades, nomenclatura de definição das
tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes
de__________ e triggers. 
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Integridade referencial; cardinalidades; views.
Tipos de tabelas; cardinalidades; procedures.
Cardinalidades; procedures; tipo de tabelas.
Integridade referencial; cardinalidades; procedures.  CORRETO
Cardinalidades; procedures; tipo de dados.
Código da questão: 57652
Resolução comentada:
a base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e
informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia
dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em
potencial, a probabilidade provável e a exposição prevista, bem como os controles
necessários para atenuar as ameaças, incluindo os controles corretivos que farão
parte do plano de recuperação de desastres.
Resolução comentada:
no ponto de controle interno análise de modelagem do banco de dados, são
verificadas questões de integridade referencial, consistências, normalizações,
cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de
relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers.
3)
4)
Os controles internos versam ______ a segurança física e lógica, a ________, a obediência
às_______ e _______________, a eficácia e a eficiência. 
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Legislações; segurança; clareza; coesão.
Assegurar; qualidade; missões; ética.
Assegurar; confidencialidade; legislações – normas administrativas.  CORRETO
Confidencialidade; legislações; normas administrativas; aos requisitos.
Configurar; qualidade; missões; normas administrativas.
Código da questão: 57638
Sobre o plano gestor de continuidade, podemos afirmar que: 
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que
identifica os processos críticos dentro da organização e, do ponto de vista da área de
tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas
pelos sistemas de informação. 
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o
problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e
arquivos redundantes, podendo aumentar significativamente as despesas gerais dos
sistemas e os níveis de capacidade necessários para manter níveis adequados de
desempenho. 
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados
e acordados com o gerenciamento funcional de usuários não tenham que ser entregues
continuamente, não necessitando de comprometimento, haja vista que há garantia de eles
serem entregues.
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de
cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de
protocolos de negócios e uso de TI. 
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de
informações; a próxima pergunta que se coloca é se os recursos de processamento de
informações fornecidos têm capacidade suficiente para fornecer o nível de serviço
acordado: no local , no tempo e no custo . 
São verdadeiras:
Alternativas:
I – III – V.
I – IV – V.  CORRETO
II – IV – V.
I – II – V.
I – II – III.
Resolução comentada:
os controles internos versam assegurar a segurança física e lógica, a
confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a
eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI
verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema
adotada no projeto, especificação do sistema, questões que envolvem a
administração do projeto, homologação do sistema etc.
Resolução comentada:
a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro
da organização e, do ponto de vista da área de tecnologia da informação, identifica
o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação.
Com base nisso, os sistemas críticos e os manuais, podem ser elencados e
interrelacionados. Uma análise de impacto nos negócios pode ser realizada para
cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades
específicas às informações e outros ativos em risco, para determinar as estruturas de
controle apropriadas para equilibrar essas ameaças e vulnerabilidades. 
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade
5)
6)
Código da questão: 57655
O processo de auditoria de sistemas de TI é composto por um modelo denominado
modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado
ciclo de auditoria, em que suas fases são:
Alternativas:
Pré-auditoria, abordagem ao redor do computador, auditoria e pós-auditoria.
Auditoria no computador, auditoria ao redor do computador e pós-auditoria.
Auditoria e pós-auditoria.
Planejamento, auditoria e conclusão.
Pré-auditoria, auditoria e pós-auditoria.  CORRETO
Código da questão: 57643
Existem, basicamente, três tipos de abordagem que o auditor de sistemas pode adotar
para executar suas atividades. Analise a definição de cada uma e assinale a alternativa
correta.
Alternativas:
A abordagem com o computador realiza exames somente na documentação do sistema,
ou seja, verifica entradas e saídas, assim como a modelagem e a especificação do
sistema construída pelo analista de requisitos.
A abordagem ao redor do computador é aquela em que o auditor examina a
documentação do sistema de maneira detalhada, ou seja, ele verifica se todos os
requisitos existem, assim como a qualidade da modelagem e questões de
navegabilidade e usabilidade dos protótipos das telas.
A abordagem por meio do computador é aquela em que o auditor de sistemas deve
conhecer o plano de negócio e o plano de desenvolvimento de informática (PDI) da
empresa a ser auditada.
A abordagem por meio do computador realiza exames de maneira mais completa, ou
seja, examina, além da documentação, a execução do sistema em produção, tornandoa
atividade de auditoria mais completa e confiável.  CORRETO
que demanda custo, pois envolve uma variedade de recursos e consome um tempo
considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que
pode ser o custo da falência em um caso extremo. 
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de
processamento de informações, a próxima pergunta que se coloca é se os recursos
de processamento de informações fornecidos têm capacidade suficiente para
fornecer o nível de serviço acordado: no local , no tempo e no custo . Para garantir a
gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho
devem ser monitorados por um período de tempo, para que a previsão de recursos
possa se basear na antevisão da demanda e no dimensionamento dos sistemas
aplicativos. 
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão
de lançar mais recursos para o problema, mas sim para melhorar a eficiência do
processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo
reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade
necessários para manter níveis adequados de desempenho. 
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os
serviços solicitados e acordados com o gerenciamento funcional de usuários sejam
entregues continuamente, e como eles se comprometeram a ser entregues.
Resolução comentada:
o processo de auditoria de sistemas de TI é composto por um modelo denominado
modelo de processo de auditoria de sistemas, que é formado por um ciclo,
denominado ciclo de auditoria, em que suas fases são pré-auditoria, auditoria e pós-
auditoria. Cada qual possui processos, procedimentos, atividades e
responsabilidades a serem executados.
7)
8)
A abordagem ao redor do computador verifica a corretude dos cálculos e dos dados
processados.
Código da questão: 57636
Alternativas:
I – A; II – B; III – C.
I – C; II – A; III – B.  CORRETO
I – A; II – C; III – B.
I – C; II – B; III – A.
I – B; II – C; III – A.
Código da questão: 57654
Alternativas:
I – A; II – C; III – B.
I – C; II – B; III – A.
I – B; II – C; III – A.
I – A; II – B; III – C.
Resolução comentada:
a abordagem por meio do computador é aquela que possui o objetivo de realizar
exames de maneira mais completa (documentação + execução do sistema em
produção), tornando a atividade de auditoria mais completa e confiável. O seu custo
é mais elevado por ser uma atividade que demanda mais tempo de execução
(atividade mais completa e criteriosa).
Resolução comentada:
o checklist de controle de acesso aos dados refere-se exatamente aos pontos de
controles internos que devem ser observados, identificados, analisados, coletados e
documentados acerca deste quesito. 
O checklist de monitoramento de operações refere-se exatamente aos pontos de
controles internos que devem ser observados, identificados, analisados, coletados e
documentados acerca deste quesito. 
O checklist de controle de backup refere-se à documentação de procedimentos e
monitoramento de rotinas de backup, queires e jobs.
9)
10)
I – C; II – A; III – B.  CORRETO
Código da questão: 57647
Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-
la como:
Alternativas:
É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o
usuário tenha acesso aos documentos armazenados no repositório de documentos.
É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito
entre eles.
É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas
de informação, desde o levantamento e estudo de viabilidade do sistema a ser
computadorizado até seu teste de implantação.  CORRETO
É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o
sistema seja executado de maneira adequada.
São as normas e diretrizes de uma empresa ou de um determinado
setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas
de informações existentes em sua totalidade.
Código da questão: 57637
Segundo Isaca (2017), as vulnerabilidades podem ser definidas como “fragilidades
presentes ou associadas a ativos que manipulam e/ou processam informações, que podem
ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança,
afetando negativamente um ou mais princípios da segurança da informação: caráter
confidencial, integridade e disponibilidade”. 
As vulnerabilidades de ______ são aquelas em que é possível observar se as
condições________ estão adequadas (boa conservação) e se são produzidos erros durante
a_______ de sistemas em geral devido às condições do _______. 
Refletindo sobre a definição de vulnerabilidades, assinale a alternativa que completa
adequadamente as lacunas:
Alternativas:
Mídias; lógicas; instalação; hardware.
Hardware; físicas; instalação; hardware.  CORRETO
Recursos humanos; físicas; instalação; software.
Software; lógicas; publicação; hardware.
Redes sociais; físicas; disponibilização; hardware.
Resolução comentada:
compreender o negócio da empresa: modelar o negócio, identificar o fluxo e as
dependências de dados, e os sistemas críticos, bem como quaisquer sistemas
dependentes (incluindo os manuais). 
Identificar os sistemas de informação por tipo, por exemplo: distribuído, em tempo
real, on-line, em lote, por objetivos operacionais, etc. Para cada sistema de
informação, atribuir graus de criticidade e valores: classificação de perda de negócio,
nível de serviço alternativo necessário e tempo máximo de inatividade tolerável. 
Para o plano de recuperação, deve-se verificar: a configuração mínima necessária,
acordos de continuidade com fornecedores, os planos de backup, compatibilidade
de firmware e acordos de níveis de segurança.
Resolução comentada:
na literatura, é possível observar uma quantidade considerável de definições a
respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a
definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de
auditoria.
Código da questão: 57631
Resolução comentada:
as vulnerabilidades de hardware são aquelas em que é possível observar se as
condições físicas (HD e insumos de redes de computadores) estão adequadas (boa
conservação, instalação dos equipamentos de maneira adequada – cabos não
descascados, por exemplo, etc.) e se são produzidos erros durante a instalação de
sistemas em geral devido às condições do hardware.
Arquivos e Links