Avaliação - Auditoria de Sistemas

Prévia do material em texto

1) 
Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-
la como: 
 
Alternativas: 
 São as normas e diretrizes de uma empresa ou de um determinado 
setor/departamento/seção da empresa que são verificadas e comparadas aos 
sistemas de informações existentes em sua totalidade. 
 É uma atividade que analisa cuidadosamente os requisitos para que não haja 
conflito entre eles. 
 É aquela que tem como objetivo revisar e avaliar o processo de construção de 
sistemas de informação, desde o levantamento e estudo de viabilidade do 
sistema a ser computadorizado até seu teste de implantação. 
checkCORRETO 
 É um conjunto de atividades em que é verificado tudo aquilo que é preciso para 
que o sistema seja executado de maneira adequada. 
 É aquela em que é verificado se o sistema fornecerá um conjunto de telas para 
que o usuário tenha acesso aos documentos armazenados no repositório de 
documentos. 
Resolução comentada: 
na literatura, é possível observar uma quantidade considerável de definições a respeito 
da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de 
Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. 
Código da questão: 57637 
2) 
O processamento de informações é cada vez mais essencial para a consecução dos 
objetivos de negócios das empresas, e a indisponibilidade dos serviços pode 
comprometer seriamente a viabilidade das organizações. Esta continuidade possui um 
plano gestor que também é conhecido por: 
 
Alternativas: 
 Plano de processos, procedimentos e atividades. 
 Plano de continuidade de negócios. 
 Gestão de continuidade e recuperação de desastres. 
checkCORRETO 
 Plano de continuidade de falhas e desastres. 
 Plano de auditoria de sistemas de TI. 
Resolução comentada: 
o plano gestor, que também é conhecido por gestão de continuidade e recuperação de 
desastres, ou simplesmente gestão de continuidade, deve ser previsto e 
obrigatoriamente inserido no plano de continuidade de negócios (ou plano de 
recuperação de desastres), com o processamento de informações sendo visto como um 
recurso crítico, mas não o único, para a sobrevivência contínua da organização. Nesse 
aspecto, gestão de continuidade pode ser vista como uma solução parcialmente 
técnica para um problema de negócios. 
Código da questão: 57649 
3) 
Sobre o perfil do auditor de sistemas de TI, podemos afirmar que: 
I. O objetivo do auditor é verificar se os processos, procedimentos e atividades estão 
sendo executadas de acordo com as normas, missões, objetivos da empresa e as 
legislações às quais a empresa é submetida. Para isso, o auditor deverá ser discreto e 
imparcial quando conversar com os colaboradores, pois se houver alguma suspeita de 
que algum esteja desviando-se daquilo que a empresa preza, ele fará de tudo para que 
esta suspeita não se torne uma certeza. 
II. O auditor de sistemas de TI não precisa saber expressar com objetividade e 
raciocínio lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá 
com todos os envolvidos para coletar informações não exigirá tantas estratégias para 
conseguir atingir seu objetivo. 
III. O auditor de sistemas de TI não precisa identificar os pontos de falha e pontuá-los 
de maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam 
para que ele desempenhe seu papel. 
IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de 
comprometimento com o trabalho para o qual foi contratado. Gírias, ambiguidades são 
muito malquistas, tanto na escrita quanto na fala. 
V. O auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir 
com ética. 
São verdadeiras: 
 
Alternativas: 
 I – III – V. 
 II – IV – V. 
 I – II – III. 
 I – IV – V. 
checkCORRETO 
 I – II – V. 
Resolução comentada: 
a afirmação I é verdadeira, pois discrição e parcialidade são requisitos imprescindíveis 
ao cargo, uma vez que entrevistará colaboradores e relatará os resultados dessas 
conversas no relatório final; a IV é verdadeira, pois o auditor de sistemas de TI deve 
saber muito bem ler, escrever e interpretar. Um texto mal escrito, por exemplo, dá a 
impressão de relaxo e falta de comprometimento com o trabalho para o qual foi 
contratado. A afirmação V é verdadeira, pois o auditor de sistemas de TI precisa ser 
ético, no sentido de possuir zelo profissional, pois ele trabalhará com dados sigilosos. A 
II está errada, pois o auditor de sistemas de TI precisa saber expressar com objetividade 
e raciocínio lógico aquilo que deseja analisar e verificar. Neste ponto, é preciso saber 
equilibrar estas habilidades com as demais que compõem seu perfil; isso significa que 
ele precisa ser objetivo e possuir raciocínio lógico. A afirmativa III é falsa, pois o auditor 
de sistemas de TI deve possuir sólidos conhecimentos em todas as fases do ciclo de 
desenvolvimento de sistemas, de forma que poderá identificar os pontos de falha e 
pontuá-los de maneira assertiva. 
Código da questão: 57634 
4) 
Sobre os pontos de controle internos que o auditor de sistemas de TI verifica em 
auditoria do desenvolvimento de sistemas, podemos afirmar que: 
I. As características dos pontos de controles internos identificados na metodologia do 
desenvolvimento do sistema adotada no projeto são aqueles que se referem ao 
oferecimento de suporte, à facilidade de gerenciamento de requisitos e à garantia da 
qualidade, a fim de verificar se nada foi esquecido. 
II. As características dos pontos de controle interno de especificação do sistema são, 
basicamente, se existe um documento de especificação e dentro dele os protótipos das 
telas. 
III. Verificação de problemas técnicos de hardware e segurança da informação podem 
ser compreendidos como pontos de controle do tipo metodologia do desenvolvimento 
do sistema. 
IV. Os pontos de controle internos que se referem à administração do projeto, são 
aqueles que analisam questões sobre pessoas-chaves que participam do processo de 
construção do sistema, estrutura tecnológica, dentre outros. 
V. São exemplos de pontos de controle no que se refere à homologação do sistema: 
plano de treinamento, avaliação conjunta e confronto. 
São verdadeiras: 
 
Alternativas: 
 I – IV – V. 
checkCORRETO 
 I – II – V. 
 II – IV – V. 
 I – II – III. 
 I – III – V. 
Resolução comentada: 
a afirmação I é verdadeira, pois o controle interno da metodologia de desenvolvimento 
do sistema adotada no projeto é pautado basicamente em 3 (três) verbos/locuções 
verbais: dar suporte (base para o treinamento da área que utilizará o sistema e auxiliar 
na execução dos processos, procedimentos e atividades relacionados ao projeto), 
facilitar (gerenciamento de requisitos e posterior manutenção) e garantir (qualidade de 
revisões contínuas a fim de verificar se nada foi esquecido). 
A assertiva IV é verdadeira, pois os pontos de controle internos que se referem à 
administração do projeto são aqueles que analisam questões sobre os recursos 
humanos que participam do processo de construção do sistema, estrutura tecnológica 
e recursos financeiros. 
A assertiva V é verdadeira, pois os pontos de controle internos que se referem à 
homologação do projeto são aqueles que convidam todos os envolvidos a avaliar e 
validar o sistema, criar um plano de treinamento, etc. 
A assertiva II é falsa, pois as características dos pontos de controle interno de 
especificação do sistema verificam desde as técnicas de elicitação de requisitos 
utilizadas pelo analista de requisitos até o teor do plano de testes e de implantação. 
A assertiva III é falsa, pois a verificação de problemas técnicos de hardware e segurança 
da informação são observados, identificados e documentados na auditoria de sistemas 
de TI, na modalidade auditoria em segurança física e de dados. 
Código da questão: 57641 
5) 
Uma das funçõesespecíficas para garantia da gestão de configuração é a identificação, 
a qual versa sobre a __________, localização e________ de todos os___________________ 
dentro da infraestrutura técnica. 
Assinale a alternativa que completa adequadamente as lacunas: 
 
Alternativas: 
 Especificação técnica; validação; modificadores. 
 Identificação; componentes individuais; especificação técnica. 
 Autoridade; modificar; componente individual. 
 Revisão; informações; integridade. 
 Especificação técnica; identificação; componentes individuais. 
checkCORRETO 
Resolução comentada: 
a identificação versa sobre a especificação técnica, localização e identificação de todos 
os componentes individuais dentro da infraestrutura técnica. 
Código da questão: 57645 
6) 
Com relação à classificação dos controles internos e suas respectivas características, 
analise as afirmações e classifique-as em verdadeiras (V) ou falsas (F): 
( ) O controle interno do tipo preventivo é aquele capaz de identificar e corrigir 
eventuais erros e pontos de vulnerabilidade. 
( ) O controle interno do tipo detectivo é aquele capaz de detectar fraudes e eventuais 
erros e pontos de vulnerabilidade. 
( ) O controle interno do tipo corretivo é aquele capaz de identificar e corrigir erros e 
reduzir impactos. 
( ) Exemplos de controles internos do tipo detectivo são: senhas e log de eventos de 
acesso aos sistemas. 
( ) Exemplos de controles internos do tipo preventivo são: planos de contingência e log 
de eventos de acesso aos sistemas. 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
 F – V – V – F – F. 
checkCORRETO 
 V – F – V – F – F. 
 V – V – V – F – F. 
 V – V – F – V – F. 
 F – V – V – F – V. 
Resolução comentada: 
a primeira, a quarta e quinta asserções são falsas, pois o tipo de controle preventivo é 
aquele capaz de identificar e prevenir fraudes, eventuais erros e pontos de 
vulnerabilidade; são exemplos de controles internos do tipo detectivo: log de eventos 
em tentativa de acesso ao sistema, endereço da máquina da pessoa está acessando o 
sistema sem permissão. Finalmente, os exemplos de controles internos do tipo 
preventivo são: senha de acesso ao sistema e o tempo de acesso ao sistema. 
Código da questão: 57632 
7) 
A atividade de auditoria dos controles de banco de dados objetiva monitorar e 
registrar ações de banco de dados para garantir a segurança destes. Ao executar uma 
atividade de auditoria para verificar possível ocorrência de phishing, deve-se:: 
 
Alternativas: 
 Realizar o data exfiltration. 
 Verificar rotinas de backup. 
 Realizar consultas NoSQL no banco de dados. 
 Verificar o servidor de temporaneidade. 
 Verificar a cadeia da engenharia social. 
checkCORRETO 
Resolução comentada: 
O phishing é um método de fraude no qual o autor envia e-mails de aparência 
legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, 
Yahoo e Best Buy, por exemplo. Uma das causas deste problema é a comunicação 
inocente/não interpessoal, ou seja, a cadeia gerada pela engenharia social. 
Código da questão: 57656 
8) 
Acerca das vulnerabilidades observadas na execução da atividade de auditoria dos 
controles de banco de dados, considere as seguintes afirmações e classifique-as em 
verdadeiras (V) ou falsas (F): 
( ) Um exemplo de ataques originados da engenharia social é o phishing, um método 
de fraude no qual o autor envia e-mails de aparência legítima. 
( ) O SQL Injection é uma atividade maliciosa realizada por meio de várias técnicas, 
geralmente por cibercriminosos, pela internet ou outra rede. 
( ) Servidor de temporariedade (staging server) é um servidor que permite montar, 
implantar e testar um software ou site em uma instância de servidor, semelhante ao 
servidor de produção. 
( ) A exfiltração de dados (data exfiltration) é uma técnica usada para aproveitar as 
vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um 
aplicativo web para execução de um banco de dados de back-end. 
( ) Os tipos de vulnerabilidades encontrados em ataques de banco de dados mais 
comuns são: engenharia social, SQL Injection, servidor de temporariedade (staging 
server) e exfiltração de dados (data exfiltration). 
Assinale a alternativa que contenha a sequência correta: 
 
Alternativas: 
 V – F – F – F – V. 
 V – F – V – F – V. 
checkCORRETO 
 V – F – V – V – V. 
 V – F – V – F – F. 
 V – V – V – F – V. 
Resolução comentada: 
a primeira assertiva é verdadeira, pois um bom exemplo de ataques originados da 
engenharia social é o phishing, um método de fraude no qual o autor envia e-mails de 
aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, 
eBay, MSN, Yahoo e Best Buy, por exemplo. 
A segunda assertiva é falsa, pois o SQL Injection é uma técnica usada para aproveitar as 
vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um 
aplicativo web para execução de um banco de dados de back-end. 
A terceira assertiva é verdadeira, pois servidor de temporariedade (staging server) é um 
servidor que permite montar, implantar e testar um software ou site em uma instância 
de servidor, semelhante ao de produção. Este servidor pode ser de banco de dados 
temporário, de site temporário ou de aplicativos temporário, por exemplo. 
A quarta assertiva é falsa, pois a exfiltração de dados é uma atividade maliciosa 
realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet ou 
outra rede. Ela também é conhecida como extrusão, exportação ou roubo de dados. 
A quinta assertiva é verdadeira, pois os tipos de vulnerabilidades encontrados em 
ataques de banco de dados mais comuns são: engenharia social, SQL Injection, servidor 
de temporariedade (staging server) e exfiltração de dados (data exfiltration); porém é 
importante ressaltar que não se resumem a apenas estes. Há muitos outros e isso 
dependerá da experiência do auditor de sistemas de TI observar, identificar, analisar, 
coletar e documentar. 
Código da questão: 57653 
9) 
Sobre o plano gestor de continuidade podemos afirmar que: 
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que 
identifica os processos críticos dentro da organização e, do ponto de vista da área de 
tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte 
fornecidas pelos sistemas. 
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o 
problema, piora ainda mais a eficiência do processo, ajustando e eliminando os 
sistemas e arquivos redundantes, podendo aumentar significativamente as despesas 
gerais dos sistemas e os níveis de capacidade necessários para manter níveis 
adequados de desempenho. 
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços 
solicitados e acordados com o gerenciamento funcional de usuários não tenham que 
ser entregues continuamente, não necessitando de comprometimento, haja vista que 
há garantia de eles serem entregues. 
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de 
cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de 
protocolos de negócios e uso de TI. 
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de 
informações; a próxima pergunta que se coloca é se os recursos de processamento de 
informações fornecidos têm capacidade suficiente para fornecer o nível de serviço 
acordado, no local acordado, no tempo e no custo acordados. 
São verdadeiras: 
 
Alternativas: 
 I – III – V. 
 I – II – V. 
 II – IV – V. 
 I – IV – V. 
checkCORRETO 
 I – II – III. 
Resolução comentada: 
a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da 
organização, e do ponto de vista da área de tecnologia da informação, identifica o 
fluxo de dadose as estruturas de suporte fornecidas pelos sistemas de informação. 
Com base nisso, os sistemas críticos e os manuais podem ser elencados e inter-
relacionados; feito isso, a análise de impacto nos negócios pode ser realizada para cada 
uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às 
informações e outros ativos em risco, a fim de determinar as estruturas de controle 
apropriadas para que seja possível equilibrar realizar o equilíbrio destas. 
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade que 
demanda custo, pois envolve uma variedade de recursos e consome um tempo 
considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que pode 
ser a falência em um caso extremo. 
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de 
processamento de informações, a próxima pergunta que se coloca é se os recursos de 
processamento de informações fornecidos têm capacidade suficiente para fornecer o 
nível de serviço acordados: no local , no tempo e no custo . Para garantir a gestão 
adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser 
monitorados por um período de tempo, para que a previsão de recursos possa se 
basear na previsão da demanda e no dimensionamento dos sistemas aplicativos. 
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de 
lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, 
ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir 
significativamente as despesas gerais dos sistemas e os níveis de capacidade 
necessários para manter níveis adequados de desempenho. 
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os 
serviços solicitados e acordados com o gerenciamento funcional de usuários sejam 
entregues continuamente, e como eles se comprometeram a ser entregues. 
Código da questão: 57648 
10) 
Os controles internos versam ______ a segurança física e lógica, a ________, a obediência 
às_______ e _______________, a eficácia e a eficiência. 
Assinale a alternativa que completa adequadamente as lacunas: 
 
Alternativas: 
 Confidencialidade; legislações; normas administrativas; aos requisitos. 
 Assegurar; confidencialidade; legislações – normas administrativas. 
checkCORRETO 
 Legislações; segurança; clareza; coesão. 
 Assegurar; qualidade; missões; ética. 
 Configurar; qualidade; missões; normas administrativas. 
Resolução comentada: 
os controles internos versam assegurar a segurança física e lógica, a confidencialidade, 
a obediência às legislações e normas administrativas, a eficácia e a eficiência. Exemplos 
de pontos de controle internos que o auditor de sistemas de TI verifica neste tipo de 
auditoria são: metodologia de desenvolvimento de sistema adotada no projeto, 
especificação do sistema, questões que envolvem a administração do projeto, 
homologação do sistema etc. 
Código da questão: 57638