Baixe o app para aproveitar ainda mais
Prévia do material em texto
18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 1/6 Auditoria de sistemas Professor(a): Priscilla Labanca (Mestrado acadêmico) 1) 2) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini- la como: Alternativas: É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos. É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada. É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles. São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade. É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação. CORRETO Código da questão: 57637 Alternativas: I – A; II – C; III – B. I – B; II – C; III – A. I – C; II – A; III – B. CORRETO I – C; II – B; III – A. I – A; II – B; III – C. Resolução comentada: na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. Resolução comentada: dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia para realizar seus trabalhos. Um exemplo disso é um quadro em que são identificados, numa versão macro, os possíveis pontos de controle interno e os colaboradores que executam atividades que são classificadas pelo auditor de sistemas de TI como pontos de controle interno. 18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 2/6 3) 4) Código da questão: 57640 A natureza e a sensibilidade dos dados armazenados em bancos de dados nas empresas influencia os critérios usados para auditá-los, principalmente no que diz respeito ao exame de controles de segurança ou privacidade, como a criptografia de dados, o controle de acesso, o backup e a recuperação de dados. Sobre os objetivos da auditoria dos controles de banco de dados, assinale a alternativa correta. Alternativas: Compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que o utilizam e relacioná-la com os objetivos/estratégias da empresa. CORRETO Proteger os dados ou informações contra modificações intencionais ou acidentais não autorizadas. Observar, identificar, analisar os pontos de controles internos candidatos às vulnerabilidades. Estabelecer quais itens devem ser revisados, de acordo com as necessidades da companhia, para garantir a segurança do sistema. Identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades incomuns, etc. Código da questão: 57651 Acerca dos pontos de controles internos da auditoria dos controles de banco de dados, complete as lacunas a seguir: Na análise de modelagem do banco de dados, são verificadas questões de ______________, consistências, normalizações, ________, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes de__________ e triggers. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Cardinalidades; procedures; tipo de dados. Cardinalidades; procedures; tipo de tabelas. Tipos de tabelas; cardinalidades; procedures. Integridade referencial; cardinalidades; procedures. CORRETO Integridade referencial; cardinalidades; views. O quadro de grau de análise de risco, a pontuação de cada item identificado pelo auditor de sistemas de TI é de 1 a 3, em que 1 é o grau mais baixo risco (vulnerabilidade) e o 3 é o grau mais alto risco. Isto facilita a organização do trabalho do auditor de sistemas de TI, ou seja, é por meio deste quadro que ele saberá qual ponto do ciclo de desenvolvimento e manutenção do sistema será auditado primeiro. O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de grau de riscos, apenas apresentará à alta administração e ao gestor de projetos daquele projeto que está sendo auditado, não necessitando nenhum tipo de relatório para este tipo de atividade. Resolução comentada: a auditoria dos controles de banco de dados objetiva compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que o utilizam e relacioná-la com os objetivos/estratégias da empresa. Neste tipo de auditoria, são identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades incomuns, etc. Todos estes exemplos podem ser bem compreendidos como vulnerabilidade e, consequentemente, pontos de controles internos a serem observados, identificados, analisados, coletados e documentados. Resolução comentada: 18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 3/6 5) 6) Código da questão: 57652 Segundo Cascarino (2007), “sistemas de informação eficazes e eficientes são os pilares da maioria das empresas hoje”. Porém, para que estes sistemas de informação possuam estas características, é preciso que todas as estruturas e ferramentas estejam funcionando de maneira adequada, eficiente e eficaz. Conhecida também por auditoria de infraestrutura técnica, a auditoria da administração e operações de redes (de computadores) possui o objetivo de: Alternativas: Observar, identificar, analisar os pontos de controles internos candidatos às vulnerabilidades. Analisar por observação, evidenciar e documentar pontos de controles internos candidatos às vulnerabilidades. Analisar, evidenciar e documentar pontos de controles internos candidatos às vulnerabilidades. Observar, identificar, analisar, evidenciar e documentar pontos de controles internos candidatos às vulnerabilidades e, consequentemente, comprometendo toda a infraestrutura que acomoda os sistemas de informação. CORRETO Analisar os pontos de controles internos candidatos às vulnerabilidades. Código da questão: 57644 Alternativas: I – C; II – B; III – A. I – C; II – A; III – B. CORRETO I – A; II – C; III – B. I – B; II – C; III – A. I – A; II – B; III – C. no ponto de controle interno análise de modelagem do banco de dados, são verificadas questões de integridade referencial, consistências, normalizações, cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers. Resolução comentada: Observar, identificar, analisar, evidenciar e documentar pontos de controles internos candidatos às vulnerabilidades e, consequentemente, comprometendo toda a infraestrutura que acomoda os sistemas de informação. Resolução comentada: o checklist de controle de acesso aos dados refere-se exatamente aos pontos de controles internos que devem ser observados, identificados, analisados, coletados e documentados acerca deste quesito. O checklist de monitoramento de operações refere-se exatamente aos pontos de controles internos que devem ser observados, identificados, analisados, coletados e 18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 4/6 7) 8) 9) Código da questão: 57654 Analise a sentença a seguir e assinale a alternativa correta: “Possui o objetivo dedesempenhar tarefas específicas quando os sistemas de informação utilizados pela empresa auditada não são compatíveis aos SEA”. Qual é o tipo de ferramenta que possui estas características? Alternativas: Microsoft Access.. MS SQL . Data Mart Software Auditing. SEA (software especializado para auditoria).. SAA (software de auditoria adaptado).. CORRETO Código da questão: 57657 A vulnerabilidade pode ser definida como uma falha ou fraqueza no sistema de informação que pode se transformar em ameaça ou em risco. Estas vulnerabilidades podem causar grandes danos, principalmente nos quesitos: Alternativas: Ética, qualidade e segurança dos dados. Confidencialidade, integridade e confiabilidade. CORRETO Qualidade e segurança dos dados. Processos, procedimentos e atividades. Confidencialidade, complexidade e completude. Código da questão: 57642 Sobre os pontos de controle internos que o auditor de sistemas de TI verifica em auditoria do desenvolvimento de sistemas, podemos afirmar que: I. As características dos pontos de controles internos identificados na metodologia do desenvolvimento do sistema adotada no projeto são aqueles que se referem ao oferecimento de suporte, à facilidade de gerenciamento de requisitos e à garantia da qualidade, a fim de verificar se nada foi esquecido. II. As características dos pontos de controle interno de especificação do sistema são, basicamente, se existe um documento de especificação e dentro dele os protótipos das telas. III. Verificação de problemas técnicos de hardware e segurança da informação podem ser compreendidos como pontos de controle do tipo metodologia do desenvolvimento do sistema. IV. Os pontos de controle internos que se referem à administração do projeto, são aqueles que analisam questões sobre pessoas-chaves que participam do processo de construção documentados acerca deste quesito. O checklist de controle de backup refere-se à documentação de procedimentos e monitoramento de rotinas de backup, queires e jobs. Resolução comentada: O software de auditoria adaptado (SAA) possui o objetivo de desempenhar tarefas específicas quando os sistemas de informação utilizados pela empresa auditada não são compatíveis aos SEA. Resolução comentada: os quesitos que podem gerar vulnerabilidades em um sistema de informação são: confidencialidade, integridade e confiabilidade. Eles também são conhecidos como princípios da segurança da informação. 18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 5/6 10) do sistema, estrutura tecnológica, dentre outros. V. São exemplos de pontos de controle no que se refere à homologação do sistema: plano de treinamento, avaliação conjunta e confronto. São verdadeiras: Alternativas: II – IV – V. I – IV – V. CORRETO I – II – III. I – III – V. I – II – V. Código da questão: 57641 A base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos: Alternativas: Identificação, observação, análise, coleta de evidências e documentação dos ativos constantes e possíveis candidatos à vulnerabilidade. Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de contingência. Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança da arquitetura dos sistemas de informação. Identificação de vulnerabilidade em plano de contingência e análise documental do departamento de infraestrutura e segurança da informação. Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a eficácia dos controles. CORRETO Resolução comentada: a afirmação I é verdadeira, pois o controle interno da metodologia de desenvolvimento do sistema adotada no projeto é pautado basicamente em 3 (três) verbos/locuções verbais: dar suporte (base para o treinamento da área que utilizará o sistema e auxiliar na execução dos processos, procedimentos e atividades relacionados ao projeto), facilitar (gerenciamento de requisitos e posterior manutenção) e garantir (qualidade de revisões contínuas a fim de verificar se nada foi esquecido). A assertiva IV é verdadeira, pois os pontos de controle internos que se referem à administração do projeto são aqueles que analisam questões sobre os recursos humanos que participam do processo de construção do sistema, estrutura tecnológica e recursos financeiros. A assertiva V é verdadeira, pois os pontos de controle internos que se referem à homologação do projeto são aqueles que convidam todos os envolvidos a avaliar e validar o sistema, criar um plano de treinamento, etc. A assertiva II é falsa, pois as características dos pontos de controle interno de especificação do sistema verificam desde as técnicas de elicitação de requisitos utilizadas pelo analista de requisitos até o teor do plano de testes e de implantação. A assertiva III é falsa, pois a verificação de problemas técnicos de hardware e segurança da informação são observados, identificados e documentados na auditoria de sistemas de TI, na modalidade auditoria em segurança física e de dados. Resolução comentada: a base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em potencial, a probabilidade provável e a exposição prevista, bem como os controles necessários para atenuar as ameaças, incluindo os controles corretivos que farão parte do plano de recuperação de desastres. 18/07/2022 23:52 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2573782/4116844 6/6 Código da questão: 57650 Arquivos e Links
Compartilhar