Prévia do material em texto
23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 1/7 Auditoria de sistemas Professor(a): Priscilla Labanca (Mestrado acadêmico) 1) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! Sobre o plano gestor de continuidade, podemos afirmar que: I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que identifica os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo aumentar significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários não tenham que ser entregues continuamente, não necessitando de comprometimento, haja vista que há garantia de eles serem entregues. IV. O plano de contingência deve incluir opções de recuperação para uma variedade de cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de protocolos de negócios e uso de TI. V. Ele também assegura a disponibilidade contínua dos recursos de processamento de informações; a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo . São verdadeiras: Alternativas: I – II – V. I – IV – V. CORRETO I – III – V. II – IV – V. I – II – III. Resolução comentada: a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. Com base nisso, os sistemas críticos e os manuais, podem ser elencados e interrelacionados. Uma análise de impacto nos negócios pode ser realizada para cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às informações e outros ativos em risco, para determinar as estruturas de controle apropriadas para equilibrar essas ameaças e vulnerabilidades. A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade que demanda custo, pois envolve uma variedade de recursos e consome um tempo considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que pode ser o custo da falência em um caso extremo. A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de processamento de informações, a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado: no local , no tempo e no custo . Para garantir a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser monitorados por um período de tempo, para que a previsão de recursos possa se basear na antevisão da demanda e no dimensionamento dos sistemas aplicativos. A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 2/7 2) 3) 4) Código da questão: 57655 Acerca dos pontos de controles internos da auditoria dos controles de banco de dados, complete as lacunas a seguir: Na análise de modelagem do banco de dados, são verificadas questões de ______________, consistências, normalizações, ________, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes de__________ e triggers. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Tipos de tabelas; cardinalidades; procedures. Integridade referencial; cardinalidades; procedures. CORRETO Cardinalidades; procedures; tipo de tabelas. Integridade referencial; cardinalidades; views. Cardinalidades; procedures; tipo de dados. Código da questão: 57652 Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini- la como: Alternativas: É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada. É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação. CORRETO É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos. É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles. São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade. Código da questão: 57637 A base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos: A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários sejam entregues continuamente, e como eles se comprometeram a ser entregues. Resolução comentada: no ponto de controle interno análise de modelagem do banco de dados, são verificadas questões de integridade referencial, consistências, normalizações, cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers. Resolução comentada: na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 3/7 5) Alternativas: Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a eficácia dos controles. CORRETO Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança da arquitetura dos sistemas de informação. Identificação de vulnerabilidade em plano de contingência e análise documental do departamento de infraestrutura e segurança da informação. Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de contingência. Identificação, observação, análise, coleta de evidências e documentação dos ativos constantes e possíveis candidatos à vulnerabilidade. Código da questão: 57650 Acerca das vulnerabilidades observadas na execução da atividade de auditoria dos controles de banco de dados, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F): ( ) Um exemplo de ataques originados da engenharia social é o phishing,um método de fraude no qual o autor envia e-mails de aparência legítima. ( ) O SQL Injection é uma atividade maliciosa realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet ou outra rede. ( ) Servidor de temporariedade (staging server) é um servidor que permite montar, implantar e testar um software ou site em uma instância de servidor, semelhante ao servidor de produção. ( ) A exfiltração de dados (data exfiltration) é uma técnica usada para aproveitar as vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um aplicativo web para execução de um banco de dados de back-end. ( ) Os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration). Assinale a alternativa que contenha a sequência correta: Alternativas: V – F – V – F – V. CORRETO V – F – F – F – V. V – F – V – V – V. V – V – V – F – V. V – F – V – F – F. Resolução comentada: a base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em potencial, a probabilidade provável e a exposição prevista, bem como os controles necessários para atenuar as ameaças, incluindo os controles corretivos que farão parte do plano de recuperação de desastres. Resolução comentada: a primeira assertiva é verdadeira, pois um bom exemplo de ataques originados da engenharia social é o phishing, um método de fraude no qual o autor envia e-mails de aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. A segunda assertiva é falsa, pois o SQL Injection é uma técnica usada para aproveitar as vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um aplicativo web para execução de um banco de dados de back-end. A terceira assertiva é verdadeira, pois servidor de temporariedade (staging server) é um servidor que permite montar, implantar e testar um software ou site em uma instância de servidor, semelhante ao de produção. Este servidor pode ser de banco de dados temporário, de site temporário ou de aplicativos temporário, por exemplo. A quarta assertiva é falsa, pois a exfiltração de dados é uma atividade maliciosa 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 4/7 6) 7) Código da questão: 57653 O processamento de informações é cada vez mais essencial para a consecução dos objetivos de negócios das empresas, e a indisponibilidade dos serviços pode comprometer seriamente a viabilidade das organizações. Esta continuidade possui um plano gestor que também é conhecido por: Alternativas: Plano de continuidade de falhas e desastres. Plano de continuidade de negócios. Gestão de continuidade e recuperação de desastres. CORRETO Plano de processos, procedimentos e atividades. Plano de auditoria de sistemas de TI. Código da questão: 57649 Sobre o perfil do auditor de sistemas de TI, podemos afirmar que: I. O objetivo do auditor é verificar se os processos, procedimentos e atividades estão sendo executadas de acordo com as normas, missões, objetivos da empresa e as legislações às quais a empresa é submetida. Para isso, o auditor deverá ser discreto e imparcial quando conversar com os colaboradores, pois se houver alguma suspeita de que algum esteja desviando-se daquilo que a empresa preza, ele fará de tudo para que esta suspeita não se torne uma certeza. II. O auditor de sistemas de TI não precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá com todos os envolvidos para coletar informações não exigirá tantas estratégias para conseguir atingir seu objetivo. III. O auditor de sistemas de TI não precisa identificar os pontos de falha e pontuá-los de maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam para que ele desempenhe seu papel. IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. Gírias, ambiguidades são muito malquistas, tanto na escrita quanto na fala. V. O auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir com ética. São verdadeiras: Alternativas: II – IV – V. I – III – V. I – II – V. realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet ou outra rede. Ela também é conhecida como extrusão, exportação ou roubo de dados. A quinta assertiva é verdadeira, pois os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration); porém é importante ressaltar que não se resumem a apenas estes. Há muitos outros e isso dependerá da experiência do auditor de sistemas de TI observar, identificar, analisar, coletar e documentar. Resolução comentada: o plano gestor, que também é conhecido por gestão de continuidade e recuperação de desastres, ou simplesmente gestão de continuidade, deve ser previsto e obrigatoriamente inserido no plano de continuidade de negócios (ou plano de recuperação de desastres), com o processamento de informações sendo visto como um recurso crítico, mas não o único, para a sobrevivência contínua da organização. Nesse aspecto, gestão de continuidade pode ser vista como uma solução parcialmente técnica para um problema de negócios. 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 5/7 8) I – IV – V. CORRETO I – II – III. Código da questão: 57634 Alternativas: I – A; II – C; III – B. I – B; II – C; III – A. I – C; II – B; III – A. I – A; II – B; III – C. I – C; II – A; III – B. CORRETO Código da questão: 57640 Resolução comentada: a afirmação I é verdadeira, pois discrição e parcialidade são requisitos imprescindíveis ao cargo, uma vez que entrevistará colaboradores e relatará os resultados dessas conversas no relatório final; a IV é verdadeira, pois o auditor de sistemas de TI deve saber muito bem ler, escrever e interpretar. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. A afirmação V é verdadeira, pois o auditor de sistemas de TI precisa ser ético, no sentido de possuir zelo profissional, pois ele trabalhará com dados sigilosos. A II está errada, pois o auditor de sistemas de TI precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar. Neste ponto, é preciso saber equilibrar estas habilidades com as demais que compõem seu perfil; isso significa que ele precisa ser objetivo e possuir raciocínio lógico. A afirmativa III é falsa, pois o auditor de sistemas de TI deve possuir sólidos conhecimentos em todas as fases do ciclo de desenvolvimento de sistemas, de forma que poderá identificar os pontos de falha e pontuá-los de maneira assertiva. Resolução comentada: dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia para realizar seus trabalhos. Um exemplo disso é um quadro em que são identificados, numa versão macro, os possíveis pontos de controle interno e os colaboradores que executam atividades que são classificadas pelo auditor de sistemas de TI como pontos de controle interno. O quadro de grau de análise de risco, a pontuação de cada item identificado pelo auditor de sistemas de TI é de 1 a 3, em que 1 é o grau mais baixo risco (vulnerabilidade) e o 3 é o grau mais alto risco. Isto facilita a organização do trabalho do auditorde sistemas de TI, ou seja, é por meio deste quadro que ele saberá qual ponto do ciclo de desenvolvimento e manutenção do sistema será auditado primeiro. O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de grau de riscos, apenas apresentará à alta administração e ao gestor de projetos daquele projeto que está sendo auditado, não necessitando nenhum tipo de relatório para este tipo de atividade. 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 6/7 9) 10) A atividade de auditoria dos controles de banco de dados objetiva monitorar e registrar ações de banco de dados para garantir a segurança destes. Ao executar uma atividade de auditoria para verificar possível ocorrência de phishing, deve-se:: Alternativas: Verificar o servidor de temporaneidade. Realizar o data exfiltration. Realizar consultas NoSQL no banco de dados. Verificar a cadeia da engenharia social. CORRETO Verificar rotinas de backup. Código da questão: 57656 Sobre o plano gestor de continuidade podemos afirmar que: I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que identifica os processos críticos dentro da organização e, do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas. II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo aumentar significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários não tenham que ser entregues continuamente, não necessitando de comprometimento, haja vista que há garantia de eles serem entregues. IV. O plano de contingência deve incluir opções de recuperação para uma variedade de cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de protocolos de negócios e uso de TI. V. Ele também assegura a disponibilidade contínua dos recursos de processamento de informações; a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordado, no local acordado, no tempo e no custo acordados. São verdadeiras: Alternativas: I – II – III. I – IV – V. CORRETO II – IV – V. I – III – V. I – II – V. Resolução comentada: O phishing é um método de fraude no qual o autor envia e-mails de aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. Uma das causas deste problema é a comunicação inocente/não interpessoal, ou seja, a cadeia gerada pela engenharia social. Resolução comentada: a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro da organização, e do ponto de vista da área de tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação. Com base nisso, os sistemas críticos e os manuais podem ser elencados e inter- relacionados; feito isso, a análise de impacto nos negócios pode ser realizada para cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades específicas às informações e outros ativos em risco, a fim de determinar as estruturas de controle apropriadas para que seja possível equilibrar realizar o equilíbrio destas. A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade que demanda custo, pois envolve uma variedade de recursos e consome um tempo considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que 23/10/2023, 15:43 Cosmos · Cosmos https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 7/7 Código da questão: 57648 pode ser a falência em um caso extremo. A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de processamento de informações, a próxima pergunta que se coloca é se os recursos de processamento de informações fornecidos têm capacidade suficiente para fornecer o nível de serviço acordados: no local , no tempo e no custo . Para garantir a gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho devem ser monitorados por um período de tempo, para que a previsão de recursos possa se basear na previsão da demanda e no dimensionamento dos sistemas aplicativos. A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão de lançar mais recursos para o problema, mas sim para melhorar a eficiência do processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade necessários para manter níveis adequados de desempenho. A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os serviços solicitados e acordados com o gerenciamento funcional de usuários sejam entregues continuamente, e como eles se comprometeram a ser entregues. Arquivos e Links