Questões de Segurança e Auditoria de Sistemas - D 20222 B

Prévia do material em texto

Conteúdo do teste
Pergunta 1
0 ponto
O estudo de impactos faz parte de um plano diretor de segurança, que tem como objetivo montar um
mapa de relacionamento e dependência entre processos de negócio, aplicações e infraestrutura física,
tecnológica e humana. É realizada uma análise para cada aspecto da segurança da informação (CIDAL –
Confidencialidade, Integridade, Disponibilidade, Autenticidade e Legalidade). Os níveis de impacto são
classificados em cinco níveis. Considerando a sequência do menor impacto para o maior impacto,
assinale a alternativa que corresponde à sequência correta:
a) Relevante, não-considerável, importante, vital e crítico.
b) Não-considerável, importante, relevante, crítico e vital.
c) Vital, crítico, importante, relevante e não-considerável.
resposta correta
d) Não-considerável, relevante, importante, crítico e vital.
e) Importante, crítico, vital, não considerável e relevante.
Pergunta 2
0 ponto
Faça a devida correlação entre as fases de um projeto ACL.
1. Planejar o projeto.
2. Adquirir os dados.
3. Acessar os dados com o ACL.
4. Verificar a integridade dos dados.
5. Analisar os dados.
6. Reportar os achados.
I - Assegurar-se de que os dados não contenham elementos corrompidos.
II - Identificar o objetivo em termos comerciais e técnicos.
III - Preparar os resultados para apresentação formal.
IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários.
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem.
a) I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3.
b) I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6.
c) I – 5, II – 1, III , IV – 2, V – 4, VI – 6.
resposta correta
d) I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3.
e) I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4.
Pergunta 3
0 ponto
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que
delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de
auditoria:
a) É o processo que implementa a teoria da agência.
b) É o processo que verifica somente informações da área contábil.
c) É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas
atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos
dados. resposta correta
d) É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade,
integridade e disponibilidade.
e) É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do
patrimônio do proprietário) estão sendo atendidos.
Pergunta 4
0 ponto
No ciclo de vida da informação, é a etapa mais importante de todo processo de gestão da informação,
pois dentro de suas finalidades básicas de conhecimento dos ambientes interno e externo da organização
e atuação nesses ambientes, é ela que garante melhores resultados em uma organização. Trata-se da
etapa de:
a) Obtenção.
b) Armazenamento.
c) Uso. resposta correta
d) Distribuição.
e) Tratamento.
Pergunta 5
0 ponto
Quanto à classificação dos ativos da informação, assinale a alternativa que apresenta somente ativos da
informação que pertencem ao tipo físico de natureza do ativo:
a) Sistemas operacionais, servidores, desktops e notebooks.
b) Mídias magnéticas, impressoras e desktops.
c) Contratos, empregados e sistemas operacionais.
resposta correta
d) Empregados, ferramentas de desenvolvimento, planos de continuidade.
e) Equipamentos de comunicação, sistemas operacionais e aplicativos.
Pergunta 6
0 ponto
Quais são as cinco fases do Ciclo de Vida de Desenvolvimento de Sistemas, às quais devem ser
integradas ao gerenciamento de risco?
a) Caracterização, identificação, analise, determinação e recomendação.
b) Iniciação, aquisição, implementação, manutenção e caracterização.
c) Identificação, analise, determinação, recomendação e documentação.
d) Iniciação, Desenvolvimento ou Aquisição, Implementação, Operação ou Manutenção e
Eliminação.
e) Iniciação, desenvolvimento, implementação, caracterização e documentação.
Pergunta 7
0 ponto
No contexto da segurança da informação, o termo “engenharia social” se refere a
a) Conjunto de recomendações que permitem a um administrador do computador acessar
informações sobre novas versões do Windows, através da utilização das teclas de atalho
“CTRL-S”.
b) Estratégia de proteção contra vírus, que consiste em distribuir versões gratuitas de programas
antivírus, por e-mail, para todos os endereços da lista de contatos do usuário.
c) Prática recomendada pela “Organização Mundial de Segurança”, segundo a qual o procedimento
de atualização dos programas antivírus deve ser realizado por usuários diferentes a cada vez.
d) Série de normas que ensinam, dentre outras coisas, a identificar as pessoas responsáveis pela
criação de vírus e outras ameaças eletrônicas.
e) Conjunto de práticas utilizadas para obter acesso a informações importantes ou sigilosas em
organizações ou sistemas, através da persuasão e se aproveitando da ingenuidade ou confiança
das pessoas.
Pergunta 8
0 ponto
O desenvolvimento de uma política de segurança da informação é realizado em quatro etapas principais.
Assinale a alternativa que corresponde à fase de levantamento de informações:
a) Fase que envolve aspectos como a classificação das informações, atribuição de regras e
responsabilidades e, descrição de procedimentos que envolvem a TI como um todo.
b) É nesta fase que serão formalizados os procedimentos junto à alta administração.
c) É a fase de mudança de cultura que inclui comportamentos que comprometem a segurança da
informação.
d) Nesta fase serão obtidas informações iniciais sobre os ambientes de negócios, bem como o
entendimento das necessidades e uso dos recursos tecnológicos nos processos da instituição.
e) É a efetiva implantação das políticas, normas e procedimentos através de preparação de material
promocional, divulgação constante, conscientização das responsabilidades, realização de
palestras de modo que todo o público-alvo possa compreender e ser convencido a segui-las.
Pergunta 9
0 ponto
Quanto aos conceitos básicos de Segurança da Informação é correto afirmar que a criptografia simétrica:
a) É um método de criptografia no qual duas chaves diferentes são usadas: uma chave particular
para criptografar dados e uma chave pública para descriptografá-los.
b) É o resultado de tamanho fixo, também chamado de síntese da mensagem, obtido pela aplicação
de uma função matemática unidirecional a uma quantidade de dados arbitrária.
c) É um método de criptografia no qual duas chaves diferentes são usadas: uma chave pública para
criptografar dados e uma chave particular para descriptografá-los.
d) É o processo de regravação de partes de um arquivo em setores contíguos de um disco rígido a
fim de aumentar a segurança da informação.
e) Usa um algoritmo de criptografia que requer que a mesma chave secreta seja usada na
criptografia e na descriptografia. resposta correta
Pergunta 10
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação:
resposta correta
a) A informação é conservada para futura utilização.
b) Quando é realizado o expurgo de informações.
c) Quando é realizado algum tipo de organização ou formatação da informação.
d) A informação é criada, ou obtida através de uma fonte externa.
e) Quando é gerado valor agregado à informação.
Conteúdo do teste
Pergunta 1
0 ponto
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o
papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de
segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO:
a) Capacidade de conciliar os interesses de segurança com os interesses do negócio.
b) Familiaridade com termos e conceitos da área.
c) Excelente capacidade de comunicação.
d) Dominar técnicasde engenharia social.
e) Certificações e especializações na área de segurança da informação.
Pergunta 2
0 ponto
Sobre autenticação de fator múltiplo, analise as sentenças abaixo:
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha.
II O fator de herança inclui algo que o usuário possui, como um token.
III O PIN é um fator de posse.
IV A biometria é um fator de herança.
Está correto o que consta em:
a) I, III e IV, somente.
b) III e IV, somente.
c) IV, somente.
d) I, somente.
e) I e IV, some
Pergunta 3
0 ponto
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de
força bruta:
a) É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais.
b) Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas
sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.
c) É um ataque onde são utilizadas senhas armazenadas em um dicionário.
d) É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico.
e) É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um
computador doméstico.
Pergunta 4
0 ponto
Quanto aos softwares antivírus, é correto afirmar:
É um tipo de malware.
Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas
ferramentas.
Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware.
Funciona somente com detecção de assinatura de malware estática.
Soluções gratuitas não oferecem proteção contra malwares.
Pergunta 5
0 ponto
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar
algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
a) Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas
de SQL dinâmicas, evitar o uso de criptografia fraca.
b) Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados.
c) Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar
entrada e saída de dados.
d) Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas,
evitar o uso de criptografia fraca.
e) Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar
concatenações de strings para cláusulas de SQL dinâmicas.
Pergunta 6
0 ponto
Sobre política de backup é correto afirmar:
a) De um modo geral as políticas de backup consistem em capturar um backup completo inicial de
dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
b) Backup em discos são mais seguros do que backup em fitas.
c) A guarda de backup em local físico diferente da sede de uma organização não é recomendada,
visto a dificuldade de recuperação em caso de desastre.
d) Backups completos devem ser realizados diariamente.
e) Somente dados críticos necessitam de backup.
Pergunta 7
0 ponto
Sobre forense computacional, é correto afirmar que:
a) A aplicação de metodologias forenses pode ser aplicada por qualquer usuário leigo, não
necessitando de peritos especialistas nesta área.
b) Não é possível recuperar informações a partir de fragmentos de arquivos.
c) A área de forense computacional consiste no uso de métodos científicos para preservação, coleta,
validação, identificação, análise, interpretação, documentação e apresentação de evidência digital
com validade probatória em juízo.
d) Quando ocorre um incidente de segurança em uma empresa, não é necessário observar
procedimentos de preservação de evidências.
e) A área de forense computacional não possui ligação com crimes cibernéticos, sendo restrita
somente a incidentes de segurança que não envolvam quebra de leis.
Pergunta 8
0 ponto
Quanto à segurança no tratamento de mídias, é correto afirmar:
a) O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
b) Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as
informações não podem ser recuperadas após a eliminação.
c) Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de
procedimentos para assegurar a eliminação adequada da informação.
d) Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de
baixo nível.
e) Não existem normas que tratam do descarte de mídias de forma segura
Pergunta 9
0 ponto
Sobre tipos de backup é correto afirmar:
a) Os backups diferenciais são mais seguros que os backups incrementais.
b) Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última
tarefa de backup.
c) Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última
tarefa de backup.
d) Os backups incrementais consistem em backups de todos os dados que foram alterados desde o
último backup completo.
e) Backup completo é a soma de um backup diferencial com um backup incremental.
Pergunta 10
0 ponto
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar:
a) É baseado em controles, para servir como referência a uma organização que deseja ter uma
governança de TI mais controlada.
b) É o processo que habilita os administradores a identificar, priorizar e avaliar os custos
operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os
dados que dão suporte à missão de uma organização.
c) É um sistema de apoio à decisão para o negócio de uma organização.
d) É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de
segurança da informação em uma organização.
e) É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
Conteúdo do teste
Pergunta 1
0 ponto
O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e
pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão
responsável por este guia:
a) ISSO
b) ISACA
c) TCU
d) INTOSA
e) INMETRO.
Pergunta 2
0 ponto
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de
força bruta:
É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico.
Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam
encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.
É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um
computador doméstico.
É um ataque onde são utilizadas senhas armazenadas em um dicionário.
É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais.
Pergunta 3
0 ponto
As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. Assinale a
alternativa que apresenta estas fases:
a) Planejamento, Execução, Conclusão.
b) Execução, Conclusão, Revisão.
c) Planejamento, Entrevistas, Revisão.
d) Entrevistas, Planejamento, Execução.
e) Planejamento, Conclusão, Revisão.
Pergunta 4
0 ponto
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que
delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de
auditoria:
a) É o processo que verifica somente informações da área contábil.
b) É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade,
integridade e disponibilidade.
c) É o processo que implementa a teoria da agência.
d) É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas
atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos
dados.
e) É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do
patrimônio do proprietário) estãosendo atendidos.
Pergunta 5
0 ponto
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados
de teste. A respeito desta técnica assinale a alternativa INCORRETA:
a) Antes das transações serem executadas, os resultados de teste esperado são predeterminados,
para que os resultados reais possam ser comparados com os resultados predeterminados.
b) Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a
cobertura do teste.
c) Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de
transações que ocorrem normalmente e testes usando dados inválidos.
d) Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o
objetivo de testar as funcionalidades de entrada de dados no sistema.
e) Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual
pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples.
Pergunta 6
0 ponto
Quanto ao perfil do auditor de sistemas de informação, NÃO é correto afirmar que:
a) O auditor deve servir aos interesses do contratante e partes envolvidas de uma maneira objetiva e
condizente com a legislação vigente.
b) Um auditor deve ter a integridade como característica.
c) Deve efetuar uma avaliação equilibrada de todas as circunstâncias relevantes e não
indevidamente influenciados pelos interesses próprios ou de terceiros.
d) O auditor de sistemas de informação, durante a execução do seu trabalho, não terá acesso a
informações sigilosas sobre a empresa, portanto não é necessário zelo excessivo com a
confidencialidade.
e) A ISACA mantém um código de ética, o qual serve como um balizador para as ações do auditor.
Para associados que desrespeitam a este código, as ações podem resultar em investigação e
medidas disciplinares.
Pergunta 7
0 ponto
Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação,
responsável pela certificação CISA (Certified Information Systems Auditor) é a:
a) ISSO
b) ISACA
c) INMETRO
d) ACL
e) COBIT
f)
Pergunta 8
0 ponto
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma:
a) ISO 27001
b) ISO 9001
c) ISO 9002
d) ISO 27002
e) ISO 19011
Pergunta 9
0 ponto
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e
Garantia de SI, são publicadas pela organização denominada:
a) INTOSAI.
b) ISO.
c) ISACA.
d) IEEE.
e) INMETRO.
Pergunta 10
0 ponto
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública.
Assinale a alternativa que apresenta o órgão responsável por este guia:
a) IEEE.
b) ISSO
c) INMETRO
d) INTOSAI
e) TCU
Conteúdo do teste
Pergunta 1
0.2 pontos
A auditoria envolve tecnologia, o que tornou possível vários tipos de análise e produção de resultados
extraordinários na área, bem como uma atuação mais próxima da realidade. Verifique abaixo quais
ferramentas podem ser utilizadas em auditoria:
I - Ferramentas de estruturação de dados
II -ferramentas para análise estatística
III - ferramentas para acompanhamento das fases de planejamento e execução
IV -ferramentas de gestão de conhecimento
V - ferramentas de avaliação de riscos
Selecione a alternativa que define quais ferramentas podem ser utilizadas em auditoria:
a) I, II, III, IV e V.
b) I, II e V.
c) I, II, III e IV.
d) I, IIII, IV e VI.
e) I, III e V.
Pergunta 2
0.2 pontos
Associação Brasileira de Normas técnicas, em conjunto com o Instituto ISO internacional tem a finalidade
estudar, padronizar e implantar as normas. As normas que direcionam a segurança da informação estão
nas normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002. Um Sistema de Gestão de Segurança da
Informação (SGSI) deve se basear nas normativas para ter a abrangência e efetividade. Para uma
implantação bem-sucedida analise a lista abaixo:
I- As normas asseguram sucesso na implantação da segurança da informação;
II- A segurança da informação poderá ou deverá ter atribuições definidas;
III- o risco não é prioridade principal para a segurança da informação;
IV- Segurança pode ser direcionada apenas para ambiente externo
V- Detecção de qualquer nível de possibilidade na segurança da informação;
VI- As normas asseguram um roteiro apropriado para a implantação de segurança da informação.
Selecione a alternativa que abrange a efetividade para a implantação bem-sucedida de um SGSI.
a) VI.
b) I.
c) IV e V.
d) I e VI.
e) II e III.
Pergunta 3
0.2 pontos
Os firewalls utilizam dispositivos que fornecem segurança de rede e que restringem acessos a pacote de
dados. É uma das principais ferramentas de segurança na atualidade.
Analise a afirmação correta:
a) é de fácil customização e utilização
b) pode ser baseado somente em software.
c) isoladamente, é capaz de proteger totalmente uma rede ou um computador.
d) pode se se enquadrar com restrições em uma espécie de barreira de defesa.
e) pode ser utilizado em conjunto com outros recursos, como antivírus, IDS, VPN etc.
Pergunta 4
0.2 pontos
A política de segurança de informação na empresa é fator fundamental para o sucesso da utilização da
informação e a segmentaçãodesta utilização de acord o com as atribuições dos funcionários ou outros
sistemas queutilizarão a mesma. O desenvolvimento desta política possui algumas características,
selecione a alternativa que a contempla .
a) A alta direção deve estar comprometida e totalmente ciente da política que será implementada.
b) Normas e procedimentos podem ser feitos após implantação para que não se perca tempo;
c) Toda empresa deve implementar a política de segurança, mas não há a necessidade de que todos
os envolvidos fiquem cientes da mesma.
d) Nem todos os passos da elaboração da política de segurança serão registrados, até por motivo de
segurança.
e) O levantamento e validação e implementação das informações serão feitas exclusivamente pela
equipe de responsável pela equipe segurança.
Pergunta 5
0.2 pontos
O gerenciamento de riscos compreende em diminuir a exposição aos riscos mais relevantes, pode-se
adotar a estratégia da identificação do impacto que os riscos podem oferecer às atividades da
organização, assim como sua probabilidade de ocorrência, mediante a análise da matriz de riscos:
I - Compreender os objetivos
II - Compreender os riscos
III - administrar os riscos
IV - exposição aceitável
Selecione a alternativa que define a sequência ideal para a matriz de riscos:
a) I, IIII, IV e III.
b) I, IV, III e II.
c) I, II, III.
d) II, III, IV e I.
e) I, II, III e IV.