PROVA PRESENCIAL - 1 CHAMADA - AUDITORIA DE SISTEMAS

Prévia do material em texto

Questão 1 
Dada a amplitude e a complexidade do papel de Segurança da Informação, 
dispõem-se os desafios em um modelo conceitual em camadas ou fases, 
particionando o trabalho, para tornar mais claro o entendimento de cada camada. 
Essas camadas constituem as chamadas barreiras de segurança. 
A última barreira de segurança do modelo conceitual encarregada da análise de 
riscos (em que são considerados aspectos tecnológicos, físicos e humanos e as 
necessidades específicas dos processos de negócios da empresa) é: 
A) 
 
Diagnosticar os riscos que as ameaças representam para os ativos da empresa. 
B) 
 
Dificultar o acesso indevido aos ativos da empresa. 
C) 
 
Deter a ameaça para que não atinja os ativos da empresa. 
D) 
 
Desencorajar as ameaças aos ativos da empresa. 
E) 
 
Deter o acesso indevido. 
Questão 2 
Com relação à auditoria de segurança de sistemas, assinale a alternativa correta: 
A) 
 
Em um processo de auditoria de sistema, o auditor deve necessariamente ser um 
colaborador da organização auditada, preferencialmente, deve pertencer ao setor 
analisado na auditoria. 
B) 
 
A auditoria da segurança de informação tem como principal objetivo implantar a 
política de segurança e o plano de continuidade de negócios (PCN) de uma 
organização. 
C) 
 
Devido a falta de confiabilidade dos dados processados por computador, 
ferramentas computacionais de apoio, tais como mapping, tracing e snapshot, não 
podem ser empregadas em auditorias de segurança. 
D) 
 
Achados de auditoria são fatos significativos observados pelo auditor durante a 
execução da auditoria. Geralmente, são associados a falhas e irregularidades, 
porém podem também indicar pontos fortes da instituição auditada. O achado deve 
ser relevante e baseado em fatos e evidências irrefutáveis. 
E) 
 
O processo de auditoria está divido em três fases: planejamento, execução e 
relatório. Na fase de planejamento, todas as evidências das falhas e irregularidades 
encontradas devem ser coletadas para que durante a fase de execução as devidas 
correções nos controles sejam realizadas. 
Questão 3 
A segurança física tem um papel fundamental na criação de barreiras até se chegar 
ao data center ou ambiente a ser protegido. Os níveis de proteção para proteger o 
perímetro externo são: 
I. Seguranças armados para proteger o primeiro perímetro. 
II. Câmeras externas através do CFTV (Circuito Fechado de Televisão) para 
monitorar os movimentos antes da chegada ao ambiente a ser protegido. 
III. Implementação de uma equipe de recepção para que os novos convidados, 
visitantes e funcionários sejam recebidos e possam ser identificados. 
Assinale a alternativa correta: 
A) 
 
Apenas III. 
B) 
 
I e II. 
C) 
 
Apenas II. 
D) 
 
I, II e III. 
E) 
 
I e III. 
Questão 4 
Um dos ataques cibernéticos que mais afetam as empresas é o Denial of Service 
(DoS) ou a negação de serviço. Há uma série de técnicas desse ataque, desde o 
nível de redes até o nível de aplicação. Quando esse ataque ocorre, clientes e 
funcionários ficam impedidos de acessar os sistemas. Assinale a alternativa que 
apresenta o princípio da segurança da informação atacado. 
A) 
 
Vulnerabilidade. 
B) 
 
Disponibilidade. 
C) 
 
Confidencialidade. 
D) 
 
Ameaça. 
E) 
 
Integridade. 
Questão 5 
Considere um sistema no qual existe um conjunto de informações disponível para 
um determinado grupo de usuários denominados "auditores". Após várias consultas 
com respostas corretas, em um determinado momento, um usuário pertencente ao 
grupo "auditores" acessa o sistema em busca de uma informação e recebe, como 
resposta à sua consulta, uma informação completamente diferente da desejada. 
Neste caso houve uma falha na segurança da informação para este sistema na 
propriedade relacionada: 
A) 
 
Auditoria. 
B) 
 
Integridade. 
C) 
 
Confidencialidade. 
D) 
 
Disponibilidade. 
E) 
 
Privacidade. 
Questão 6 
Open Web Application Security Project (OWA SP) tem como um dos seus trabalhos 
mais conhecidos uma lista que reúne os riscos de ataques mais obrigatórios 
exploráveis a partir de vulnerabilidades nas aplicações web. Estes trabalhos são 
conhecidos como os dez riscos de segurança de aplicativos web mais críticos. 
"Ocorrem quando dados não confiáveis são enviados a um intérprete como parte de 
um comando ou consulta." Tal afirmação se refere ao seguinte risco: 
A) 
 
Referências inseguras de objetos diretos. 
B) 
 
Falhas de injeção. 
C) 
 
Cross Site Request Forgery (CSRF). 
D) 
 
Cross Site Scripting (XSS). 
E) 
 
Referências Cross Site Scripting (XSS) e Cross Site Request Forgery (CSRF). 
Questão 7 
Uma das principais associações que auxiliam os profissionais auditores de sistemas 
de informação, responsável pela certificação CISA (Certified Information Systems 
Auditor) é a: 
A) 
 
COBIT. 
B) 
 
ISSO. 
C) 
 
INMETRO. 
D) 
 
ISACA. 
E) 
 
ACL. 
Questão 8 
As principais desvantagens das ferramentas especializadas geram no ambiente de 
trabalho do auditor referem-se: 
I- problemas relacionados ao custo de contratação de empresas terceirizadas para 
o desenvolvimento do sistema. 
II- tempo de entrega dos sistemas pelas empresas terceirizadas, que pode não 
atender à necessidade do auditor e/ou cliente do auditor. 
III- esses sistemas se tornarem caros, devido a sua aplicabilidade limitada, pois 
conseguem atender somente a um cliente. 
Assinale a alternativa correta: 
A) 
 
I, II e III. 
B) 
 
Apenas II. 
C) 
 
II e III. 
D) 
 
Apenas III. 
E) 
 
I e III. 
Questão 9 
Um malware bastante crítico é o ransomware, em que o criminoso cifra os arquivos 
ou o disco e exige o pagamento de um resgate em troca da chave criptográfica que 
decifra as informações originais. 
Assinale a alternativa que apresenta o princípio da segurança da informação 
comprometido pelo ransomware e um possível controle de segurança para se lidar 
com o malware. 
A) 
 
Confidencialidade e backup. 
B) 
 
Disponibilidade e backup. 
C) 
 
Integridade e firewall. 
D) 
 
Confidencialidade e firewall. 
E) 
 
Disponibilidade e firewall. 
Questão 10 
O versionamento de software é uma técnica que agrega informações 
importantíssimas, as quais auxiliam na identificação das alterações promovidas 
pelos desenvolvedores de software. Porém, para que isso ocorra, é necessário 
conhecer as partes que compõem essa numeração. Se um sistema teve a sua 
versão alterada de 2.3.4.5 para 2.4.4.5, ocorreu uma alteração na: 
A) 
 
Forma de acessar o sistema. 
B) 
 
Correção de falhas e bugs encontrados na sua utilização. 
C) 
 
Implementação de novas funcionalidades dentro do sistema. 
D) 
 
Segurança devido a vulnerabilidades do sistema. 
E) 
 
Estrutura como um todo, fazendo com que o software fosse totalmente modificado. 
Questão 11 
A família ISO 27000 é composta por um conjunto de normas que trata de seguranç
a da informação, incluindo assuntos como sistema de gestão de segurança da 
informação, controles de segurança, segurança na área de saúde, segurança em 
comunicações, segurança de redes, resposta a incidentes, segurança de aplicações 
e privacidades, entre outros. Assinale as normas que certificam uma empresa em 
segurança da informação: 
A) 
 
ABNT NBR ISO/IEC 27002. 
B) 
 
ABNT NBR ISO/IEC 27005. 
C) 
 
ABNT NBR ISO/IEC 27003. 
D) 
 
ABNT NBR ISO/IEC 27001. 
E) 
 
ABNT NBR ISO/IEC 27004. 
Questão 12 
Combinação da probabilidade (chance da ameaça se concretizar) de um evento 
ocorrer e de suas consequências para a organização. Trata-se de: 
A) 
 
Cross Site Scripting (XSS). 
B) 
 
Risco. 
C) 
 
Ameaça. 
D) 
 
Incidente de segurança. 
E) 
 
Vulnerabilidade. 
Questão 13 
Alguns exemplos de ferramentas que podem ser aplicadas nas mais diversas áreas 
de auditoria de sistemas, são: 
I- Suíte Trauma Zer0: essa ferramenta de gerenciamento de rede foi desenvolvidapela empresa iVirtua Solutions. 
II- ManageEngine ADAudit Plus: é uma ferramenta que permite realizar a 
segurança e a conformidade da área de Tecnologia da Informação da empresa. 
III- Asset Panda: é uma poderosa plataforma de gerenciamento e auditoria de 
ativos que permite um número de usuários ilimitados. 
Assinale a alternativa correta: 
A) 
 
Apenas III. 
B) 
 
Apenas II. 
C) 
 
II e III. 
D) 
 
I e III. 
E) 
 
I, II e III. 
Questão 14 
De acordo com a normatização, são opções de tratamento do risco de segurança da 
informação, EXCETO: 
A) 
 
Transferência do risco. 
B) 
 
Ação de evitar o risco. 
C) 
 
Indiferença ao risco. 
D) 
 
Redução do risco. 
E) 
 
Retenção/aceitação do risco. 
Questão 15 
O escopo de uma auditoria deve ser determinado em consonância com seus 
objetivos e, a depender da intenção da empresa, um certo tipo de escopo pode ser 
escolhido. Três tipos de escopo podem ser adotados: 
I- Completa: trata-se da auditoria que terá a abrangência de todas as funções e 
tarefas importantes à 
organização ou unidade. 
II- Parcial: tem um limite para estabelecer a função, área, linha de produto ou 
tarefa de interesse. 
III- De acompanhamento (follow-up): adotada para verificar a eficácia das ações 
corretivas previamente definidas. 
Assinale a alternativa correta: 
A) 
 
I, II e III. 
B) 
 
Apenas III. 
C) 
 
I e III. 
D) 
 
II e III. 
E) 
 
Apenas II. 
Questão 16 
Para agregar novos valores a área de tecnologia da informação, os auditores 
estipularam algumas metas como: 
I- Revisaram e aprimoraram as políticas de TI relevantes a serem adotadas pelo 
departamento de TI. 
II- Documentaram e avaliaram os riscos de segurança e disponibilidade com 
gerenciamento e controles identificados em vigor, para mitigar os riscos de TI. 
III- Aplicação da auditoria de planejamento e gestão e da auditoria de segurança 
da informação. 
Assinale a alternativa correta: 
A) 
 
I, II e III. 
B) 
 
II e III. 
C) 
 
Apenas II. 
D) 
 
Apenas III. 
E) 
 
I e III. 
 
	Questão 1
	Questão 2
	Questão 3
	Questão 4
	Questão 5
	Questão 6
	Questão 7
	Questão 8
	Questão 9
	Questão 10
	Questão 11
	Questão 12
	Questão 13
	Questão 14
	Questão 15
	Questão 16