Avaliação Auditoria de sistemas

Prévia do material em texto

12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 1/6
Auditoria de sistemas
Professor(a): Priscilla Labanca (Mestrado acadêmico)
1)
2)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Segundo Cascarino (2007), “sistemas de informação eficazes e eficientes são os pilares
da maioria das empresas hoje”. Porém, para que estes sistemas de informação possuam
estas características, é preciso que todas as estruturas e ferramentas estejam funcionando
de maneira adequada, eficiente e eficaz. Conhecida também por auditoria de infraestrutura
técnica, a auditoria da administração e operações de redes (de computadores) possui o
objetivo de:
Alternativas:
Observar, identificar, analisar os pontos de controles internos candidatos às
vulnerabilidades.
Analisar os pontos de controles internos candidatos às vulnerabilidades.
Analisar por observação, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades.
Analisar, evidenciar e documentar pontos de controles internos candidatos às
vulnerabilidades.
Observar, identificar, analisar, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades e, consequentemente, comprometendo toda a
infraestrutura que acomoda os sistemas de informação.  CORRETO
Código da questão: 57644
Os controles internos versam ______ a segurança física e lógica, a ________, a obediência
às_______ e _______________, a eficácia e a eficiência. 
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Legislações; segurança; clareza; coesão.
Confidencialidade; legislações; normas administrativas; aos requisitos.
Assegurar; confidencialidade; legislações – normas administrativas.  CORRETO
Configurar; qualidade; missões; normas administrativas.
Assegurar; qualidade; missões; ética.
Código da questão: 57638
Resolução comentada:
Observar, identificar, analisar, evidenciar e documentar pontos de controles internos
candidatos às vulnerabilidades e, consequentemente, comprometendo toda a
infraestrutura que acomoda os sistemas de informação.
Resolução comentada:
os controles internos versam assegurar a segurança física e lógica, a
confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a
eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI
verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema
adotada no projeto, especificação do sistema, questões que envolvem a
administração do projeto, homologação do sistema etc.
12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 2/6
3)
4)
Com relação à classificação dos controles internos e suas respectivas características,
analise as afirmações e classifique-as em verdadeiras (V) ou falsas (F): 
( ) O controle interno do tipo preventivo é aquele capaz de identificar e corrigir eventuais
erros e pontos de vulnerabilidade. 
( ) O controle interno do tipo detectivo é aquele capaz de detectar fraudes e eventuais
erros e pontos de vulnerabilidade. 
( ) O controle interno do tipo corretivo é aquele capaz de identificar e corrigir erros e
reduzir impactos. 
( ) Exemplos de controles internos do tipo detectivo são: senhas e log de eventos de acesso
aos sistemas. 
( ) Exemplos de controles internos do tipo preventivo são: planos de contingência e log de
eventos de acesso aos sistemas. 
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – F – V – F – F.
F – V – V – F – F.  CORRETO
V – V – V – F – F.
V – V – F – V – F.
F – V – V – F – V.
Código da questão: 57632
Alternativas:
I – B; II – C; III – A.
I – C; II – B; III – A.
I – C; II – A; III – B.  CORRETO
I – A; II – C; III – B.
I – A; II – B; III – C.
Resolução comentada:
a primeira, a quarta e quinta asserções são falsas, pois o tipo de controle preventivo
é aquele capaz de identificar e prevenir fraudes, eventuais erros e pontos de
vulnerabilidade; são exemplos de controles internos do tipo detectivo: log de
eventos em tentativa de acesso ao sistema, endereço da máquina da pessoa está
acessando o sistema sem permissão. Finalmente, os exemplos de controles internos
do tipo preventivo são: senha de acesso ao sistema e o tempo de acesso ao sistema.
Resolução comentada:
compreender o negócio da empresa: modelar o negócio, identificar o fluxo e as
dependências de dados, e os sistemas críticos, bem como quaisquer sistemas
dependentes (incluindo os manuais). 
Identificar os sistemas de informação por tipo, por exemplo: distribuído, em tempo
real, on-line, em lote, por objetivos operacionais, etc. Para cada sistema de
informação, atribuir graus de criticidade e valores: classificação de perda de negócio,
nível de serviço alternativo necessário e tempo máximo de inatividade tolerável. 
Para o plano de recuperação, deve-se verificar: a configuração mínima necessária,
acordos de continuidade com fornecedores, os planos de backup, compatibilidade
de firmware e acordos de níveis de segurança.
12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 3/6
5)
Código da questão: 57647
Sobre o plano gestor de continuidade podemos afirmar que: 
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que
identifica os processos críticos dentro da organização e, do ponto de vista da área de
tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas
pelos sistemas. 
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o
problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e
arquivos redundantes, podendo aumentar significativamente as despesas gerais dos
sistemas e os níveis de capacidade necessários para manter níveis adequados de
desempenho. 
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados
e acordados com o gerenciamento funcional de usuários não tenham que ser entregues
continuamente, não necessitando de comprometimento, haja vista que há garantia de eles
serem entregues.
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de
cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de
protocolos de negócios e uso de TI. 
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de
informações; a próxima pergunta que se coloca é se os recursos de processamento de
informações fornecidos têm capacidade suficiente para fornecer o nível de serviço
acordado, no local acordado, no tempo e no custo acordados. 
São verdadeiras:
Alternativas:
I – IV – V.  CORRETO
I – II – V.
II – IV – V.
I – III – V.
I – II – III.
Código da questão: 57648
Resolução comentada:
a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro
da organização, e do ponto de vista da área de tecnologia da informação, identifica
o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação.
Com base nisso, os sistemas críticos e os manuais podem ser elencados e inter-
relacionados; feito isso, a análise de impacto nos negócios pode ser realizada para
cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades
específicas às informações e outros ativos em risco, a fim de determinar as estruturas
de controle apropriadas para que seja possível equilibrar realizar o equilíbrio destas. 
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade
que demanda custo, pois envolve uma variedade de recursos e consome um tempo
considerável. Noentanto, o custo deve ser visto à luz do custo de não fazer, que
pode ser a falência em um caso extremo. 
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de
processamento de informações, a próxima pergunta que se coloca é se os recursos
de processamento de informações fornecidos têm capacidade suficiente para
fornecer o nível de serviço acordados: no local , no tempo e no custo . Para garantir
a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho
devem ser monitorados por um período de tempo, para que a previsão de recursos
possa se basear na previsão da demanda e no dimensionamento dos sistemas
aplicativos. 
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão
de lançar mais recursos para o problema, mas sim para melhorar a eficiência do
processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo
reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade
necessários para manter níveis adequados de desempenho. 
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os
serviços solicitados e acordados com o gerenciamento funcional de usuários sejam
entregues continuamente, e como eles se comprometeram a ser entregues.
12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 4/6
6)
7)
A base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos:
Alternativas:
Identificação de vulnerabilidade em plano de contingência e análise documental do
departamento de infraestrutura e segurança da informação.
Identificação, observação, análise, coleta de evidências e documentação dos ativos
constantes e possíveis candidatos à vulnerabilidade.
Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a
eficácia dos controles.  CORRETO
Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de
contingência.
Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança
da arquitetura dos sistemas de informação.
Código da questão: 57650
Acerca das vulnerabilidades observadas na execução da atividade de auditoria dos
controles de banco de dados, considere as seguintes afirmações e classifique-as em
verdadeiras (V) ou falsas (F): 
( ) Um exemplo de ataques originados da engenharia social é o phishing, um método de
fraude no qual o autor envia e-mails de aparência legítima. 
( ) O SQL Injection é uma atividade maliciosa realizada por meio de várias técnicas,
geralmente por cibercriminosos, pela internet ou outra rede. 
( ) Servidor de temporariedade (staging server) é um servidor que permite montar,
implantar e testar um software ou site em uma instância de servidor, semelhante ao
servidor de produção. 
( ) A exfiltração de dados (data exfiltration) é uma técnica usada para aproveitar as
vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um
aplicativo web para execução de um banco de dados de back-end. 
( ) Os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns
são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e
exfiltração de dados (data exfiltration). 
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – F – F – F – V.
V – V – V – F – V.
V – F – V – V – V.
V – F – V – F – V.  CORRETO
V – F – V – F – F.
Resolução comentada:
a base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e
informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia
dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em
potencial, a probabilidade provável e a exposição prevista, bem como os controles
necessários para atenuar as ameaças, incluindo os controles corretivos que farão
parte do plano de recuperação de desastres.
Resolução comentada:
a primeira assertiva é verdadeira, pois um bom exemplo de ataques originados da
engenharia social é o phishing, um método de fraude no qual o autor envia e-mails
de aparência legítima. Os sites frequentemente fraudados por phishers incluem
PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. 
A segunda assertiva é falsa, pois o SQL Injection é uma técnica usada para aproveitar
as vulnerabilidades de entrada não validadas para passar comandos SQL por meio
de um aplicativo web para execução de um banco de dados de back-end. 
12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 5/6
8)
9)
Código da questão: 57653
O processamento de informações é cada vez mais essencial para a consecução dos
objetivos de negócios das empresas, e a indisponibilidade dos serviços pode comprometer
seriamente a viabilidade das organizações. Esta continuidade possui um plano gestor que
também é conhecido por:
Alternativas:
Plano de processos, procedimentos e atividades.
Plano de auditoria de sistemas de TI.
Plano de continuidade de negócios.
Plano de continuidade de falhas e desastres.
Gestão de continuidade e recuperação de desastres.  CORRETO
Código da questão: 57649
Existem, basicamente, três tipos de abordagem que o auditor de sistemas pode adotar
para executar suas atividades. Analise a definição de cada uma e assinale a alternativa
correta.
Alternativas:
A abordagem por meio do computador é aquela em que o auditor de sistemas deve
conhecer o plano de negócio e o plano de desenvolvimento de informática (PDI) da
empresa a ser auditada.
A abordagem com o computador realiza exames somente na documentação do sistema,
ou seja, verifica entradas e saídas, assim como a modelagem e a especificação do
sistema construída pelo analista de requisitos.
A abordagem ao redor do computador é aquela em que o auditor examina a
documentação do sistema de maneira detalhada, ou seja, ele verifica se todos os
requisitos existem, assim como a qualidade da modelagem e questões de
navegabilidade e usabilidade dos protótipos das telas.
A abordagem ao redor do computador verifica a corretude dos cálculos e dos dados
processados.
A abordagem por meio do computador realiza exames de maneira mais completa, ou
seja, examina, além da documentação, a execução do sistema em produção, tornando a
atividade de auditoria mais completa e confiável.  CORRETO
A terceira assertiva é verdadeira, pois servidor de temporariedade (staging server) é
um servidor que permite montar, implantar e testar um software ou site em uma
instância de servidor, semelhante ao de produção. Este servidor pode ser de banco
de dados temporário, de site temporário ou de aplicativos temporário, por exemplo. 
A quarta assertiva é falsa, pois a exfiltração de dados é uma atividade maliciosa
realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet
ou outra rede. Ela também é conhecida como extrusão, exportação ou roubo de
dados. 
A quinta assertiva é verdadeira, pois os tipos de vulnerabilidades encontrados em
ataques de banco de dados mais comuns são: engenharia social, SQL Injection,
servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration);
porém é importante ressaltar que não se resumem a apenas estes. Há muitos outros
e isso dependerá da experiência do auditor de sistemas de TI observar, identificar,
analisar, coletar e documentar.
Resolução comentada:
o plano gestor, que também é conhecido por gestão de continuidade e recuperação
de desastres, ou simplesmente gestão de continuidade, deve ser previsto e
obrigatoriamente inserido no plano de continuidade de negócios (ou plano de
recuperação de desastres), com o processamento de informações sendovisto como
um recurso crítico, mas não o único, para a sobrevivência contínua da organização.
Nesse aspecto, gestão de continuidade pode ser vista como uma solução
parcialmente técnica para um problema de negócios.
12/05/22, 13:29 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2591335/4278845 6/6
10)
Código da questão: 57636
Analise a sentença a seguir e assinale a alternativa correta: “Possui o objetivo de
desempenhar tarefas específicas quando os sistemas de informação utilizados pela
empresa auditada não são compatíveis aos SEA”. Qual é o tipo de ferramenta que possui
estas características?
Alternativas:
SEA (software especializado para auditoria)..
Data Mart Software Auditing.
Microsoft Access..
MS SQL .
SAA (software de auditoria adaptado)..  CORRETO
Código da questão: 57657
Resolução comentada:
a abordagem por meio do computador é aquela que possui o objetivo de realizar
exames de maneira mais completa (documentação + execução do sistema em
produção), tornando a atividade de auditoria mais completa e confiável. O seu custo
é mais elevado por ser uma atividade que demanda mais tempo de execução
(atividade mais completa e criteriosa).
Resolução comentada:
O software de auditoria adaptado (SAA) possui o objetivo de desempenhar tarefas
específicas quando os sistemas de informação utilizados pela empresa auditada não
são compatíveis aos SEA.
Arquivos e Links