AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)- QUESTIONÁRIO UNIDADE III

Prévia do material em texto

AUDITORIA DE SISTEMAS (CONCEITO E APLICAÇÃO)- QUESTIONÁRIO UNIDADE III 
 
 Pergunta 1 
0,25 em 0,25 pontos 
 
Identifique a sequência correta para preencher as lacunas. 
A ______ é um serviço de segurança que protege uma informação, armazenada ou em trânsito, contra divulgação 
para uma entidade não autorizada (usuário, processo, programa, equipamento ou computador). Já a ______ deve ser 
capaz de determinar se um arquivo, mensagem, carta, programa, aviso (armazenado ou em trânsito) foi modificado 
por uma entidade não autorizada ou mesmo de maneira acidental. A _______ é um serviço de segurança empregado 
quando há a necessidade de confirmar a origem e o destino de uma transmissão ou arquivo que está sendo 
compartilhado. Enquanto a _______ garante que um sistema, programa, rede ou serviço esteja funcionando ou que 
um arquivo, ativo ou local, esteja acessível para as entidades autorizadas. A _______ é o serviço de segurança que 
controla a distribuição e o uso de informações (que possuem um dono). E por fim a ________ tem por objetivo 
impedir que alguém negue um fato ocorrido. 
 
Resposta 
Selecionada: 
b. Confidencialidade, integridade, autenticação, disponibilidade, privacidade e 
irretratabilidade. 
Respostas: a. Integridade, confidencialidade, autenticação, disponibilidade, irretratabilidade e 
privacidade. 
 b. Confidencialidade, integridade, autenticação, disponibilidade, privacidade e 
irretratabilidade. 
 c. Integridade, confidencialidade, disponibilidade, autenticação, privacidade e 
irretratabilidade. 
 d. Irretratabilidade, integridade, autenticação, disponibilidade, privacidade e 
confidencialidade. 
 e. Confidencialidade, integridade, disponibilidade, autenticação, privacidade e 
irretratabilidade. 
Comentário da 
resposta: 
Resposta: B 
Comentário: confidencialidade: a informação só pode ser acessada por usuários autorizados. 
Integridade identifica se as informações não sofreram alterações durante o seu processamento. 
Autenticação garante a veracidade da autoria da informação. Disponibilidade: a informação está 
disponível sempre que necessário. Privacidade busca atuar sobre como a informação é coletada, 
distribuída e utilizada dentro de uma organização. Irretratabilidade é o não repúdio, ou seja, a 
pessoa ou entidade não tem como negar a execução de uma ação. 
 
 
 Pergunta 2 
0,25 em 0,25 pontos 
 
Sobre os conceitos de segurança é correto afirmar que: 
Resposta 
Selecionada: 
c. O nível de risco é mais que um número indicando uma probabilidade. Ele congrega em um só 
valor a chance de um problema acontecer em conjunto com a minimização provocada pelos 
controles, além de levar em conta impactos negativos da concretização da ameaça causadas por 
vulnerabilidades. 
Respostas: a. Uma vulnerabilidade é qualquer evento ou circunstância com potencial de causar danos a um 
ativo, mas que ainda não causou prejuízos. 
 b. Ameaças são falhas que permitem a ocorrência das vulnerabilidades e podem surgir de diversas 
formas, em processos, em projetos e na implementação de controles. 
 
c. O nível de risco é mais que um número indicando uma probabilidade. Ele congrega em um só 
valor a chance de um problema acontecer em conjunto com a minimização provocada pelos 
controles, além de levar em conta impactos negativos da concretização da ameaça causadas por 
vulnerabilidades. 
 d. Um risco é qualquer evento ou circunstância com potencial de causar danos a um ativo, mas 
que ainda não causou prejuízos. 
 
 
e. O nível de ameaça é mais que um número indicando uma probabilidade. Ele congrega em um só 
valor a chance de um problema acontecer em conjunto com a minimização provocada pelos 
controles, além de levar em conta impactos negativos da concretização da vulnerabilidade. 
Comentário da 
resposta: 
Resposta: C 
Comentário: risco existe quando uma ameaça possui uma vulnerabilidade com alto índice de 
probabilidade de ocorrência no ambiente e um baixo nível de proteção. 
 
 Pergunta 3 
0,25 em 0,25 pontos 
 
Uma empresa tem filiais em SP, RJ e MG. Os servidores de banco de dados estão na unidade de SP, todas elas 
acessam a base de dados via sistema web. Acabou a energia na unidade de SP. O que acontece com a informação 
levando em conta os componentes que precisamos analisar em um plano de segurança da informação? 
 
Resposta Selecionada: d. Houve um problema de disponibilidade. 
Respostas: a. Houve um problema de confidencialidade. 
 b. Houve um problema de autenticidade. 
 c. Houve um problema de integridade. 
 d. Houve um problema de disponibilidade. 
 e. Houve um problema de ameaça. 
Comentário da 
resposta: 
Resposta: D 
Comentário: como acabou a energia do local onde está o banco de dados que serve todas as 
filiais, a disponibilidade dos dados foi afetada. 
 
 
 Pergunta 4 
0,25 em 0,25 pontos 
 
Há uma série de definições, bastante claras e diretas, sobre o processo de auditoria listados na norma ABNT NBR ISO 
19011. Identifique os processos e as definições incorretas. 
 
 
Resposta Selecionada: a. 1, 2 e 5 incorretas. 
Respostas: a. 1, 2 e 5 incorretas. 
 b. 3 e 4 incorretas. 
 c. 2, 4 e 5 incorretas. 
 d. 4 está incorreta. 
 e. Todas as afirmativas estão incorretas. 
Comentário da 
resposta: 
Resposta: A 
Comentário: afirmativas 3 e 4 estão corretas. Na afirmativa 1, o processo para definição 
descrita é Critérios de Auditoria; na 2, o correto é Requisito e, por fim, na 5 o correto é 
Auditoria. 
 
 
 Pergunta 5 
0,25 em 0,25 pontos 
 
Um dos objetivos primordiais da auditoria é: 
Resposta 
Selecionada: 
d. Garantir que os processos auditados estejam funcionando de acordo com o planejamento e 
que atendam às necessidades ou às expectativas definidas previamente. 
Respostas: a. Garantir que os processos auditados estejam funcionando de acordo com o planejamento e 
que atendam às necessidades ou às expectativas definidas no momento da auditoria. 
 b. Garantir que os processos auditados estejam funcionando de acordo com o planejamento e, 
dependendo da área de negócios, não pode ser adaptado. 
 
 c. Identificar os processos auditados de acordo com o planejamento e que atendam às 
necessidades ou às expectativas definidas no momento da auditoria. 
 d. Garantir que os processos auditados estejam funcionando de acordo com o planejamento e 
que atendam às necessidades ou às expectativas definidas previamente. 
 e. Garantir que os processos auditados estejam funcionando de acordo com o planejamento e 
que atendam às necessidades ou às expectativas definidas depois da auditoria. 
Comentário da 
resposta: 
Resposta: D 
Comentário: as necessidades e as expectativas devem ser planejadas previamente para 
garantir os processos auditados. 
 
 Pergunta 6 
0,25 em 0,25 pontos 
 
De forma bastante básica, um processo de auditoria pode ser dividido em três fases: 
Resposta Selecionada: b. Planejamento, execução e resultados (relatórios). 
Respostas: a. Execução, resultados (relatórios) e checagem. 
 b. Planejamento, execução e resultados (relatórios). 
 c. Planejamento, execução e atuação. 
 d. Execução, checagem e atuação. 
 e. Planejamento, execução e checagem. 
Comentário da 
resposta: 
Resposta: B 
Comentário: as três fases são: planejamento, que deve levar em conta a definição dos objetivos de 
sistemas e processos auditados. Execução contempla uma série de atividades que foram 
planejadas anteriormente. Resultados (relatórios) correspondem ao final do processo de auditoria 
e é contemplada por explicações sobre os relatórios de auditoria. 
 
 
 Pergunta 7 
0,25 em 0,25 pontos 
 
Identifique a sequência correta para preencher as lacunas. 
Um registro _______ diz respeito a um evento que não representa risco, mas está classificado como um problema 
(intrusão) real. Um log que aponta um registro ________ indica que uma ameaça era real e foi detectada pelo 
controle de segurança. Um log ________ é aquele que o controle de segurança não registrou como ameaça sendo 
querealmente não se trata de uma ameaça real. Um registro __________ ocorre quando o controle de segurança 
não detecta uma atividade e maliciosa real e permite que ela cause danos. 
 
Resposta 
Selecionada: 
c. Falso Positivo (FP), Verdadeiro Positivo (VP), Falso Negativo (FN), Verdadeiro Negativo 
(VN). 
Respostas: a. Verdadeiro Negativo (VN), Verdadeiro Positivo (VP), Falso Positivo (FP), Falso Negativo 
(FN). 
 b. Verdadeiro Positivo (VP), Falso Negativo (FN), Falso Positivo (FP), Verdadeiro Negativo 
(VN). 
 c. Falso Positivo (FP), Verdadeiro Positivo (VP), Falso Negativo (FN), Verdadeiro Negativo 
(VN). 
 d. Falso Positivo (FP), Verdadeiro Negativo (VN), Falso Negativo (FN), Verdadeiro Positivo 
(VP). 
 e. Falso Negativo (FN), Verdadeiro Positivo (VP), Falso Positivo (FP), Verdadeiro Negativo 
(VN). 
Comentário da 
resposta: 
Resposta: C 
Comentário: a classificação a partir da precisão possui uma nomenclatura que se inicia com a 
definição se a ameaça é real (verdadeiro ou falso) seguida da definição se essa ameaça é 
detectada pelo controle de segurança (positivo ou negativo). 
 
 
 Pergunta 8 
0,25 em 0,25 pontos 
 
Analise as afirmativas e marque a alternativa correta 
 
 
Resposta Selecionada: d. 1 e 4 estão corretas. 
Respostas: a. Todas as afirmativas estão corretas. 
 b. 1, 2 e 3 estão corretas. 
 c. 2 e 3 estão corretas. 
 d. 1 e 4 estão corretas. 
 e. A única afirmativa correta é a 2. 
Comentário da 
resposta: 
Resposta: D 
Comentário: afirmativas 1 e 4 corretas. Afirmativa 2 errada, o COBIT é um modelo de gestão e não 
de auditoria e ele não especifica as ferramentas Wireshark e TCPDump. Afirmativa 3 errada, é 
uma função que precisa do respaldo da alta administração da empresa e não do operacional. 
 
 
 Pergunta 9 
0,25 em 0,25 pontos 
 
Sobre a auditoria de aplicativos, os objetivos relacionados à avaliação de riscos que devem ser definidos são: 
Resposta 
Selecionada: 
a. Manutenibilidade, auditabilidade, privacidade, acuidade, disponibilidade, 
confidencialidade, versatilidade e integridade. 
Respostas: a. Manutenibilidade, auditabilidade, privacidade, acuidade, disponibilidade, 
confidencialidade, versatilidade e integridade. 
 b. Privacidade, disponibilidade, confidencialidade e integridade. 
 c. Manutenibilidade, auditabilidade, acuidade e versatilidade. 
 d. Manutenibilidade, auditabilidade, acuidade, disponibilidade, versatilidade e integridade. 
 e. Privacidade, disponibilidade, confidencialidade, integridade e manutenibilidade. 
Comentário da 
resposta: 
Resposta: A 
Comentário: de uma maneira geral, o resultado de uma auditoria de sistemas (aplicativos) deve 
garantir que todas as transações sejam armazenadas em conformidade com os princípios 
fundamentais das legislações vigentes. Todos esses princípios devem ser aplicados de maneira 
uniforme nos sistemas e nos subsistemas. 
 
 
 Pergunta 10 
0,25 em 0,25 pontos 
 
Analise as afirmativas e marque a alternativa correta. 
 
 
Resposta Selecionada: d. Todas as afirmativas estão corretas. 
Respostas: a. 1, 2, 3 corretas e 4 incorreta. 
 b. 2, 3, 4 corretas e 1 incorreta. 
 c. Apenas a afirmativa 3 está correta. 
 d. Todas as afirmativas estão corretas. 
 e. Todas as afirmativas estão erradas. 
Comentário da 
resposta: 
Resposta: D 
Comentário: publicado pelo Ministério da Justiça, um POP de destaque no Brasil é o Procedimento 
Operacional Padrão: Perícia Criminal. Esse documento traz alguns padrões sobre as perícias 
criminais: Exame pericial de mídia de armazenamento computacional; exame pericial de 
equipamento computacional portátil e de telefonia móvel; exame pericial de local de informática e 
exame pericial de local de internet.