Baixe o app para aproveitar ainda mais
Prévia do material em texto
1) Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini- la como: Alternativas: São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade. É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles. É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação. checkCORRETO É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada. É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos. Resolução comentada: na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. Código da questão: 57637 2) O processamento de informações é cada vez mais essencial para a consecução dos objetivos de negócios das empresas, e a indisponibilidade dos serviços pode comprometer seriamente a viabilidade das organizações. Esta continuidade possui um plano gestor que também é conhecido por: Alternativas: Plano de processos, procedimentos e atividades. Plano de continuidade de negócios. Gestão de continuidade e recuperação de desastres. checkCORRETO Plano de continuidade de falhas e desastres. Plano de auditoria de sistemas de TI. Resolução comentada: o plano gestor, que também é conhecido por gestão de continuidade e recuperação de desastres, ou simplesmente gestão de continuidade, deve ser previsto e obrigatoriamente inserido no plano de continuidade de negócios (ou plano de recuperação de desastres), com o processamento de informações sendo visto como um recurso crítico, mas não o único, para a sobrevivência contínua da organização. Nesse aspecto, gestão de continuidade pode ser vista como uma solução parcialmente técnica para um problema de negócios. Código da questão: 57649 3) Sobre o perfil do auditor de sistemas de TI, podemos afirmar que: I. O objetivo do auditor é verificar se os processos, procedimentos e atividades estão sendo executadas de acordo com as normas, missões, objetivos da empresa e as legislações às quais a empresa é submetida. Para isso, o auditor deverá ser discreto e imparcial quando conversar com os colaboradores, pois se houver alguma suspeita de que algum esteja desviando-se daquilo que a empresa preza, ele fará de tudo para que esta suspeita não se torne uma certeza. II. O auditor de sistemas de TI não precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá com todos os envolvidos para coletar informações não exigirá tantas estratégias para conseguir atingir seu objetivo. III. O auditor de sistemas de TI não precisa identificar os pontos de falha e pontuá-los de maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam para que ele desempenhe seu papel. IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. Gírias, ambiguidades são muito malquistas, tanto na escrita quanto na fala. V. O auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir com ética. São verdadeiras: Alternativas: I – III – V. II – IV – V. I – II – III. I – IV – V. checkCORRETO I – II – V. Resolução comentada: a afirmação I é verdadeira, pois discrição e parcialidade são requisitos imprescindíveis ao cargo, uma vez que entrevistará colaboradores e relatará os resultados dessas conversas no relatório final; a IV é verdadeira, pois o auditor de sistemas de TI deve saber muito bem ler, escrever e interpretar. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. A afirmação V é verdadeira, pois o auditor de sistemas de TI precisa ser ético, no sentido de possuir zelo profissional, pois ele trabalhará com dados sigilosos. A II está errada, pois o auditor de sistemas de TI precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar. Neste ponto, é preciso saber equilibrar estas habilidades com as demais que compõem seu perfil; isso significa que ele precisa ser objetivo e possuir raciocínio lógico. A afirmativa III é falsa, pois o auditor de sistemas de TI deve possuir sólidos conhecimentos em todas as fases do ciclo de desenvolvimento de sistemas, de forma que poderá identificar os pontos de falha e pontuá-los de maneira assertiva. Código da questão: 57634 4) Sobre os pontos de controle internos que o auditor de sistemas de TI verifica em auditoria do desenvolvimento de sistemas, podemos afirmar que: I. As características dos pontos de controles internos identificados na metodologia do desenvolvimento do sistema adotada no projeto são aqueles que se referem ao oferecimento de suporte, à facilidade de gerenciamento de requisitos e à garantia da qualidade, a fim de verificar se nada foi esquecido. II. As características dos pontos de controle interno de especificação do sistema são, basicamente, se existe um documento de especificação e dentro dele os protótipos das telas. III. Verificação de problemas técnicos de hardware e segurança da informação podem ser compreendidos como pontos de controle do tipo metodologia do desenvolvimento do sistema. IV. Os pontos de controle internos que se referem à administração do projeto, são aqueles que analisam questões sobre pessoas-chaves que participam do processo de construção do sistema, estrutura tecnológica, dentre outros. V. São exemplos de pontos de controle no que se refere à homologação do sistema: plano de treinamento, avaliação conjunta e confronto. São verdadeiras: Alternativas: I – IV – V. checkCORRETO I – II – V. II – IV – V. I – II – III. I – III – V. Resolução comentada: a afirmação I é verdadeira, pois o controle interno da metodologia de desenvolvimento do sistema adotada no projeto é pautado basicamente em 3 (três) verbos/locuções verbais: dar suporte (base para o treinamento da área que utilizará o sistema e auxiliar na execução dos processos, procedimentos e atividades relacionados ao projeto), facilitar (gerenciamento de requisitos e posterior manutenção) e garantir (qualidade de revisões contínuas a fim de verificar se nada foi esquecido). A assertiva IV é verdadeira, pois os pontos de controle internos que se referem à administração do projeto são aqueles que analisam questões sobre os recursos humanos que participam do processo de construção do sistema, estrutura tecnológica e recursos financeiros. A assertiva V é verdadeira, pois os pontos de controle internos que se referem à homologação do projeto são aqueles que convidam todos os envolvidos a avaliar e validar o sistema, criar um plano de treinamento, etc. A assertiva II é falsa, pois as características dos pontos de controle interno de especificação do sistema verificam desde as técnicas de elicitação de requisitos utilizadas pelo analista de requisitos até o teor do plano de testes e de implantação. A assertiva III é falsa, pois a verificação de problemas técnicos de hardware e segurança da informação são observados, identificados e documentados na auditoria de sistemas de TI, na modalidade auditoria em segurança física e de dados. Código da questão: 57641 5) Uma das funçõesespecíficas para garantia da gestão de configuração é a identificação, a qual versa sobre a __________, localização e________ de todos os___________________ dentro da infraestrutura técnica. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Especificação técnica; validação; modificadores. Identificação; componentes individuais; especificação técnica. Autoridade; modificar; componente individual. Revisão; informações; integridade. Especificação técnica; identificação; componentes individuais. checkCORRETO Resolução comentada: a identificação versa sobre a especificação técnica, localização e identificação de todos os componentes individuais dentro da infraestrutura técnica. Código da questão: 57645 6) Com relação à classificação dos controles internos e suas respectivas características, analise as afirmações e classifique-as em verdadeiras (V) ou falsas (F): ( ) O controle interno do tipo preventivo é aquele capaz de identificar e corrigir eventuais erros e pontos de vulnerabilidade. ( ) O controle interno do tipo detectivo é aquele capaz de detectar fraudes e eventuais erros e pontos de vulnerabilidade. ( ) O controle interno do tipo corretivo é aquele capaz de identificar e corrigir erros e reduzir impactos. ( ) Exemplos de controles internos do tipo detectivo são: senhas e log de eventos de acesso aos sistemas. ( ) Exemplos de controles internos do tipo preventivo são: planos de contingência e log de eventos de acesso aos sistemas. Assinale a alternativa que contenha a sequência correta: Alternativas: F – V – V – F – F. checkCORRETO V – F – V – F – F. V – V – V – F – F. V – V – F – V – F. F – V – V – F – V. Resolução comentada: a primeira, a quarta e quinta asserções são falsas, pois o tipo de controle preventivo é aquele capaz de identificar e prevenir fraudes, eventuais erros e pontos de vulnerabilidade; são exemplos de controles internos do tipo detectivo: log de eventos em tentativa de acesso ao sistema, endereço da máquina da pessoa está acessando o sistema sem permissão. Finalmente, os exemplos de controles internos do tipo preventivo são: senha de acesso ao sistema e o tempo de acesso ao sistema. Código da questão: 57632 7) A atividade de auditoria dos controles de banco de dados objetiva monitorar e registrar ações de banco de dados para garantir a segurança destes. Ao executar uma atividade de auditoria para verificar possível ocorrência de phishing, deve-se:: Alternativas: Realizar o data exfiltration. Verificar rotinas de backup. Realizar consultas NoSQL no banco de dados. Verificar o servidor de temporaneidade. Verificar a cadeia da engenharia social. checkCORRETO Resolução comentada: O phishing é um método de fraude no qual o autor envia e-mails de aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. Uma das causas deste problema é a comunicação inocente/não interpessoal, ou seja, a cadeia gerada pela engenharia social. Código da questão: 57656 8) Acerca das vulnerabilidades observadas na execução da atividade de auditoria dos controles de banco de dados, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F): ( ) Um exemplo de ataques originados da engenharia social é o phishing, um método de fraude no qual o autor envia e-mails de aparência legítima. ( ) O SQL Injection é uma atividade maliciosa realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet ou outra rede. ( ) Servidor de temporariedade (staging server) é um servidor que permite montar, implantar e testar um software ou site em uma instância de servidor, semelhante ao servidor de produção. ( ) A exfiltração de dados (data exfiltration) é uma técnica usada para aproveitar as vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um aplicativo web para execução de um banco de dados de back-end. ( ) Os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration). Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – F – F – V. V – F – V – F – V. checkCORRETO V – F – V – V – V. V – F – V – F – F. V – V – V – F – V. Resolução comentada: a primeira assertiva é verdadeira, pois um bom exemplo de ataques originados da engenharia social é o phishing, um método de fraude no qual o autor envia e-mails de aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. A segunda assertiva é falsa, pois o SQL Injection é uma técnica usada para aproveitar as vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um aplicativo web para execução de um banco de dados de back-end. A terceira assertiva é verdadeira, pois servidor de temporariedade (staging server) é um servidor que permite montar, implantar e testar um software ou site em uma instância de servidor, semelhante ao de produção. Este servidor pode ser de banco de dados temporário, de site temporário ou de aplicativos temporário, por exemplo. A quarta assertiva é falsa, pois a exfiltração de dados é uma atividade maliciosa realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet ou outra rede. Ela também é conhecida como extrusão, exportação ou roubo de dados. A quinta assertiva é verdadeira, pois os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration); porém é importante ressaltar que não se resumem a apenas estes. Há muitos outros e isso dependerá da experiência do auditor de sistemas de TI observar, identificar, analisar, coletar e documentar. Código da questão: 57653 9) Sobre o plano gestor de continuidade podemos afirmar que: I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que identifica os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas. II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo aumentar significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários não tenham que ser entregues continuamente, não necessitando de comprometimento, haja vista que há garantia de eles serem entregues. IV. O plano de contingência deve incluir opções de recuperação para uma variedade de cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de protocolos de negócios e uso de TI. V. Ele também assegura a disponibilidade contínua dos recursos de processamento de informações; a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado, no local acordado, no tempo e no custo acordados. São verdadeiras: Alternativas: I – III – V. I – II – V. II – IV – V. I – IV – V. checkCORRETO I – II – III. Resolução comentada: a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da organização, e do ponto de vista da área de tecnologia da informação, identifica o fluxo de dadose as estruturas de suporte fornecidas pelos sistemas de informação. Com base nisso, os sistemas críticos e os manuais podem ser elencados e inter- relacionados; feito isso, a análise de impacto nos negócios pode ser realizada para cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às informações e outros ativos em risco, a fim de determinar as estruturas de controle apropriadas para que seja possível equilibrar realizar o equilíbrio destas. A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade que demanda custo, pois envolve uma variedade de recursos e consome um tempo considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que pode ser a falência em um caso extremo. A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de processamento de informações, a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordados: no local , no tempo e no custo . Para garantir a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser monitorados por um período de tempo, para que a previsão de recursos possa se basear na previsão da demanda e no dimensionamento dos sistemas aplicativos. A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários sejam entregues continuamente, e como eles se comprometeram a ser entregues. Código da questão: 57648 10) Os controles internos versam ______ a segurança física e lógica, a ________, a obediência às_______ e _______________, a eficácia e a eficiência. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Confidencialidade; legislações; normas administrativas; aos requisitos. Assegurar; confidencialidade; legislações – normas administrativas. checkCORRETO Legislações; segurança; clareza; coesão. Assegurar; qualidade; missões; ética. Configurar; qualidade; missões; normas administrativas. Resolução comentada: os controles internos versam assegurar a segurança física e lógica, a confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema adotada no projeto, especificação do sistema, questões que envolvem a administração do projeto, homologação do sistema etc. Código da questão: 57638
Compartilhar