Avaliação de Segurança e Auditorias

Prévia do material em texto

Local: Sala 1 - BT - Prova On-line / Andar / Polo Barra da Tijuca / POLO UVA BARRA MARAPENDI - RJ
Acadêmico: EAD-IL10317-20222B
Aluno: VICTOR HUGO FELIPE DA SILVA
Avaliação: A2-
Matrícula: 20201301432 (tel:20201301432)
Data: 30 de Junho de 2022 - 08:00 Finalizado
Correto Incorreto Anulada ! Discursiva " Objetiva Total: 7,50/10,00
1 " Código: 32274 - Enunciado: "A política de segurança diz respeito às regras que devem
ser elaboradas e seguidas pelos utilizadores dos recursos de informação de uma
empresa.A formação de um conjunto de boas práticas de mercado, com o objetivo de
desenvolvimento de uma política/cultura de segurança é essencial para qualquer tipo
de empresa que necessite desse trabalho, já que a informação é um dos ativos mais
valiosos de uma organização.As decisões relacionadas à segurança que o
administrador da organização toma, determinam quão segura a rede de sua
corporação é, quantas funções ela irá disponibilizar e como será a sua utilização. Por
isso, é preciso determinar metas de segurança. Em qualquer política de segurança,
existem duas diretrizes: a proibitiva, que quer dizer que tudo que não é permitido é
proibido, e a permissiva, onde tudo que não é proibido é permitido."Fonte:
http://seguranca-da-informacao.info/politicas-de-seguranca.html. Acesso em: 06 de
dez. de 2019.Diante do exposto, quais afirmativas são pertinentes para que um terceiro
queira invadir um sistema ou máquina:I - Usar como práticas fraudulentas.
II - Utilizar o computador de outra pessoa para promover ataques.
III - Destruir informações importantes.
IV - Disseminar cookies.
V - Furtar informações armazenadas nos computadores.
É correto o que se afirma em:
# a) I, II, III e V, apenas.
 b) II, III, IV e V, apenas.
 c) I, II e V, apenas.
 d) I, II, III e IV, apenas.
 e) I e II, apenas.
Alternativa marcada:
d) I, II, III e IV, apenas.
Justificativa: Resposta:I, II, III, V, apenasUsar como práticas fraudulentas. Correto, pois
qualquer tipo de invasão caracteriza uma ação ilegal. Quem faz esta prática é um
Hacker.Utilizar o computador de outra pessoa para promover ataques. Correto, pois os
hackers se utilizam de computadores de terceiros para fazer invasões mascarando de
qual computador, realmente, está partindo a invasão.Destruir de informações
importantes. Correto, pois um Hacker ao invadir um computador pode destruir toda e
qualquer informação.Furtar informações armazenadas nos computadores. Correto,
pois um Hacker ao invadir um computador pode se apoderar de toda e qualquer
informação. Distrator:Disseminação de cokies. Errado, pois os cookies são registros que
ficam na memória do computador para que algum sites possam se utilizar das
informações pesquisadas pelo usuário e habilitá-las em um novo site de consulta. Esta
0,00/ 1,00
08/07/2022 19:14
Página 1 de 7
não caracteriza qualquer tipo de invasão.
2 " Código: 31848 - Enunciado: As auditorias são tratadas de acordo com a questão da
abordagem e ao órgão fiscalizador.Nesse contexto, quais das auditorias a seguir se
constituem no âmbito do órgão fiscalizador?I- Auditoria interna.
II- Auditoria horizontal.
III- Auditoria externa.
IV- Auditoria orientada.
V- Auditoria articulada.
 a) II, IV e V, apenas.
 b) II, III e V, apenas.
# c) I, III e V, apenas.
 d) III, IV e V, apenas.
 e) I, IV e V, apenas.
Alternativa marcada:
c) I, III e V, apenas.
Justificativa: Alternativa correta: I, III e V, apenas.Auditoria interna. Correta. É a
auditoria realizada por um departamento interno, responsável pela verificação e
avaliação dos sistemas e procedimentos internos de uma entidade. Um dos seus
objetivos é reduzir a probabilidade de fraudes, erros, práticas ineficientes ou ineficazes.
Esse serviço deve ser independente e prestar contas diretamente à classe executiva da
corporação.Auditoria externa. Correta. É a auditoria realizada por uma empresa externa
e independente da entidade que está sendo fiscalizada, com o objetivo de emitir um
parecer sobre a gestão de recursos da entidade, sua situação financeira, a legalidade e
regularidade de suas operações.Auditoria articulada. Correta. É o trabalho conjunto de
auditorias internas e externas devido à superposição de responsabilidades dos órgãos
fiscalizadores, caracterizado pelo uso comum de recursos e comunicação recíproca dos
resultados. Distratores:Auditoria horizontal. Errada. A auditoria tem tema específico,
realizada em várias entidades ou serviços, paralelamente. É aplicada a forma de
abordagem.Auditoria orientada. Errada. Foca em uma atividade específica qualquer ou
atividades com fortes indícios de fraudes ou erros. É aplicada a forma de abordagem.
1,00/ 1,00
3 " Código: 31849 - Enunciado: "Em uma auditoria os objetivos de controle são
estabelecidos com base nas atividades da entidade, seu tamanho, qualidade de seus
sistemas e controle interno e competência de sua administração. É necessário que o
auditor tenha um modelo normativo de como as atividades devem estar sendo feitas.
Assim, deve-se levar em conta as atividades das pessoas, órgãos e produtos da
entidade de modo que tais atividades não se desviem das normas preestabelecidas
pela organização. Objetos de controle são metas de controle a serem alcançadas ou
efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim,
os objetivos de controle são detalhados conforme o enfoque ao qual está relacionado.
Existem diversas áreas que esses objetivos podem contemplar, como segurança,
atendimento a solicitações externas, materialidade, altos custos de desenvolvimento,
grau de envolvimento dos usuários e outsourcing."(Fonte: FONSECA, G. Auditoria de
0,00/ 1,00
08/07/2022 19:14
Página 2 de 7
sistemas de informação - Conheça mais sobre o assunto. Profissionais TI. 19/04/2012.
Disponível em: https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-de-
informacao-conheca-mais-sobre-o-assunto/. Acesso em: 22 nov. 2019.)
Segundo o COBIT (Control Objectives for Information and related Technology), as metas
a serem alcançadas em uma auditoria de sistemas de informação se enquadram nos
itens a seguir:I- Estrutura de gerenciamento de programa.
II- Estrutura de gerenciamento de projeto.
III- Abordagem de gerenciamento de projeto.
IV- Comprometimento dos participantes.
V- Escopo do projeto.Identifique os itens corretos:
# a) I, II, III, IV e V.
 b) I, II, IV e V, apenas.
 c) I, III, IV e V, apenas.
 d) III, IV e V, apenas.
 e) I, II e III, apenas.
Alternativa marcada:
e) I, II e III, apenas.
Justificativa: Resposta correta: I, II, III, IV e V.Estrutura de gerenciamento de programa.
Correta. Determina uma padronização que permitirá uma organização maior no
programa.Estrutura de gerenciamento de projeto. Correta. Determina uma
padronização que permitirá uma organização e um desenvolvimento mais organizado
nos projetos de TI da empresa.Abordagem de gerenciamento de projeto. Correta.
Fomenta a estrutura na concepção dos projetos de TI.Comprometimento dos
participantes. Correta. O envolvimento dos participantes deve ser plano.Escopo do
projeto. Correta. Determina na íntegra o que o projeto realmente deverá executar.
4 " Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são
cenários vitais na maioria dos processos empresariais, sobretudo quando se precisa
tomar uma decisão. Como esses recursos de TI são primordiais para o sucesso de uma
empresa, é fundamental que os serviços fornecidos por esses sistemas possam operar
efetivamente sem interrupção excessiva. Para tal, é preciso que o plano de
contingência apoie essa exigência, estabelecendo planos, procedimentos e medidas
técnicas que permitam que um sistema seja recuperado rápida e efetivamente após
uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a seguir:I -
Falhas no equipamento.
II - Roubo.
III - Cibercrime.
IV - Impactos ambientais.
V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI
em uma empresa:
 a) II, III, IV e V.
# b) I, II, III, IV e V.
 c) II, IV e V.
 d) I,III, IV e V.
1,00/ 1,00
08/07/2022 19:14
Página 3 de 7
 e) I, II, IV e V.
Alternativa marcada:
b) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus
que danificam diretamente o hardware da empresa.Roubo. Correta. Roubar
informações significa que a empresa está tendo suas informações sigilosas
violadas.Cibercrime. Correta. Isso impacta na página da empresa, nas redes sociais da
empresa e também no acesso a informações sigilosas.Impactos ambientais. Correta. A
questão da sustentabilidade pode interferir nos processos de uma TI Verde.Erro
humano. Correta. Quem faz boa parte da programação do ambiente de segurança da
empresa é o próprio funcionário.
5 " Código: 32265 - Enunciado: É sabido que, atualmente, existe um volume gigantesco de
informações circulando, dado ao grande avanço da internet, dos sistemas e dos
aplicativos pessoais e empresariais existentes. Isso traz benefícios, mas também
malefícios caso mal estruturados. Sendo assim, é importante que haja uma reflexão do
que efetivamente devemos acessar e o que realmente precisamos enviar de
informação, tanto no contexto pessoal como também no empresarial.Diante do
exposto, leia as afirmativas a seguir:I - A segurança da informação é o conceito por trás
da defesa dos dados.II - É natural e saudável que os dados sejam sigilosos, embora
sempre exista o risco de alguma informação vazar.III - A segurança da informação nada
mais é do que políticas, processos e métodos em uma empresa.III - Nos dias atuais, é
essencial a existência de um departamento de TI (Tecnologia da Informação) nas
empresas preparado para dar conta da segurança da informação.
É correto o que se afirma em:
 a) I, III e IV, apenas.
# b) I, II, III e IV.
 c) I, II e III, apenas.
 d) II, III e IV, apenas.
 e) I e II, apenas.
Alternativa marcada:
b) I, II, III e IV.
Justificativa: Resposta correta: I, II, III e IV.I - A segurança da informação é o conceito
por trás da defesa dos dados.
Correto, pois ele atua diretamente em prol da defesa dos dados e/ou informações.II - É
natural e saudável que os dados sejam sigilosos, embora sempre exista o risco de
alguma informação vazar.
Correto, pois apesar de todo o sigilo, a empresa necessita de um departamento de TI
para tratar das políticas, dos métodos e dos processos de segurança da informação da
empresa.III - A segurança da informação nada mais é do que políticas, processos e
métodos em uma empresa.
Correto, pois as políticas, os métodos e os processos estão ligados para garantir a
integridade da informação da empresa.III - Nos dias atuais, é essencial a existência de
1,00/ 1,00
08/07/2022 19:14
Página 4 de 7
um departamento de TI (Tecnologia da Informação) nas empresas preparado para dar
conta da segurança da informação.
Correto, pois toda empresa necessita de uma área de TI para garantir a segurança de
seus dados e/ou informações.
6 " Código: 40523 - Enunciado: "A senha é a forma mais convencional de identificação e
acesso do usuário. Se um terceiro tem acesso a sua senha, ele poderá utilizá-la
ilegalmente ou para se passar por você."Fonte: http://seguranca-da-
informacao.info/politicas-de-seguranca.html. Acesso em 07 de jan. de 2020.Em
determinadas corporações, pode existir a chamada 'política de senhas', que possuem
algumas regras. Identifique quais afirmativas são válidas em relação a essas regras:I -
Adotar um padrão de prazo de validade das senhas (30, 60 dias, por exemplo), que
obriga o usuário a renovar as suas senhas nesse período.II - Proibir a repetição de
caracteres.III - Obrigar a inserção de quantidade de letras e números. IV - Criar uma lista
de senhas que não podem ser utilizadas.V - Uso do nome como parte da senha.
É correto o que se afirma em:
 a) IV e V, apenas.
 b) III, IV e V, apenas.
 c) Somente a I.
 d) I, III, IV, apenas.
# e) I, II, III e IV, apenas.
Alternativa marcada:
e) I, II, III e IV, apenas.
Justificativa: Resposta correta: I, II, III e IV, apenas.Adotar um padrão de prazo de
validade das senhas (30, 60 dias, por exemplo), que obriga o usuário a renovar as suas
senhas nesse período. Correto, pois com a validade em prática o usuário se habilitará a
um processo de renovação que trará maior segurança.Proibir a repetição de caracteres.
Correto, pois isto dificultará o entendimento da senha.Obrigar a inserção de
quantidade de letras e números. Correto, pois quanto maior a senha melhor o nível de
dificuldade.Criar uma lista de senhas que não podem ser utilizadas. Correto, pois se
este arquivo for acesso pelo hacker irá criar uma grande confusão e tirar o foco dele de
uma busca mais direcionada. Distrator:Uso do nome como parte da senha. Errado, pois
como é fácil o acesso ao nome da pessoa que está recebendo a invasão, esta nunca
deve fazer parte da construção da senha, pois facilitará saber qual é o valor da senha.
1,00/ 1,00
7 ! Código: 32281 - Enunciado: "A auditoria, atuando de forma independente e
sistemática na organização, deve focar sua atividade prioritariamente na avaliação dos
processos de governança, gestão de riscos e controle e, de forma complementar, na
avaliação das principais atividades, processos e produtos da organização,
especialmente aqueles considerados vitais para atingir os objetivos estratégicos. Com
esse foco, a auditoria proporcionará relativa segurança às partes interessadas na
condução dos negócios da empresa. A auditoria de sistemas, por sua vez, está
relacionada à avaliação dos sistemas de informação e dos recursos tecnológicos que
englobam o processo de geração, guarda e disponibilização da informação."(Fonte:
1,50/ 2,00
08/07/2022 19:14
Página 5 de 7
TERUEL, E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas
características. Centro Paula Souza. Pós-graduação. Disponível em:
http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-
pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-
informacao-aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf. Acesso em: 26
nov. 2019.)
Nesse contexto, cite pelo menos três ferramentas de auditoria utilizadas em empresas
de todo o mundo.
Resposta:
São elas , Generalistas , especializadas e de utilidade geral .
Generalista : ACL
Especializada : So!ware para realizar certas coisas em circustancia 
Utilidade Geral : Planilhas Eletronicas
Justificativa: Expectativa de resposta:1. Audit Command Language (ACL).
2. Interactive Data Extraction & Analisys (IDEA).
3. Audimation.
4. Galileo.
5. Pentana.
8 ! Código: 31854 - Enunciado: A informação é o elemento básico para que a evolução
aconteça e o desenvolvimento humano se realize de forma completa (COURY, 2001).
Para Campos, (2007, p. 21) “A informação é elemento essencial para todos os processos
de negocio da organização, sendo, portanto, um bem ou ativo de grande valor”. Logo,
pode-se dizer que a informação se tornou o ativo mais valioso das organizações,
podendo ser alvo de uma série de ameaças com a finalidade de explorar as
vulnerabilidades e causar prejuízos consideráveis. Portanto, faz-se necessária a
implementação de políticas de se segurança da informação que busquem reduzir as
chances de fraudes ou perda de informações.
(Fonte:https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/)Diante da
importância da informação e da necessidade de uma política de segurança de
informação, defina política de segurança da informação.
Resposta:
A definição de política de segurança da informação tem o objetivo de possibilitar o
gerenciamento da segurança em uma organização , estabelencendo regras a padrões
para a proteção.
Justificativa: Expectativa de respostaPode-se definir a política de segurança como um
documento que estabelece princípios, valores, compromissos, requisitos, orientações e
responsabilidades sobre o que deve ser feito para alcançar um padrão desejável de
proteção para as informações. Ela é basicamente um manual de procedimentos que
descreve como os recursos deTI da empresa devem ser protegidos e utilizados e é o
pilar da eficácia da segurança da informação.
2,00/ 2,00
08/07/2022 19:14
Página 6 de 7
08/07/2022 19:14
Página 7 de 7