Auditoria de sistemas

Prévia do material em texto

23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 1/7
Auditoria de sistemas
Professor(a): Priscilla Labanca (Mestrado acadêmico)
1)
Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A
Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final.
Você tem até cinco tentativas para “Enviar” as questões, que são automaticamente corrigidas.
Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir
o prazo estabelecido. Boa prova!
Sobre o plano gestor de continuidade, podemos afirmar que:
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que
identifica os processos críticos dentro da organização e, do ponto de vista da área de
tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas
pelos sistemas de informação.
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o
problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e
arquivos redundantes, podendo aumentar significativamente as despesas gerais dos
sistemas e os níveis de capacidade necessários para manter níveis adequados de
desempenho.
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados
e acordados com o gerenciamento funcional de usuários não tenham que ser entregues
continuamente, não necessitando de comprometimento, haja vista que há garantia de eles
serem entregues.
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de
cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de
protocolos de negócios e uso de TI.
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de
informações; a próxima pergunta que se coloca é se os recursos de processamento de
informações fornecidos têm capacidade suficiente para fornecer o nível de serviço
acordado: no local , no tempo e no custo .
São verdadeiras:
Alternativas:
I – II – V.
I – IV – V.  CORRETO
I – III – V.
II – IV – V.
I – II – III.
Resolução comentada:
a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro
da organização e, do ponto de vista da área de tecnologia da informação, identifica
o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação.
Com base nisso, os sistemas críticos e os manuais, podem ser elencados e
interrelacionados. Uma análise de impacto nos negócios pode ser realizada para
cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades
específicas às informações e outros ativos em risco, para determinar as estruturas de
controle apropriadas para equilibrar essas ameaças e vulnerabilidades.
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade
que demanda custo, pois envolve uma variedade de recursos e consome um tempo
considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que
pode ser o custo da falência em um caso extremo.
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de
processamento de informações, a próxima pergunta que se coloca é se os recursos
de processamento de informações fornecidos têm capacidade suficiente para
fornecer o nível de serviço acordado: no local , no tempo e no custo . Para garantir a
gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho
devem ser monitorados por um período de tempo, para que a previsão de recursos
possa se basear na antevisão da demanda e no dimensionamento dos sistemas
aplicativos.
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão
de lançar mais recursos para o problema, mas sim para melhorar a eficiência do
processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo
reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade
necessários para manter níveis adequados de desempenho.
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 2/7
2)
3)
4)
Código da questão: 57655
Acerca dos pontos de controles internos da auditoria dos controles de banco de dados,
complete as lacunas a seguir:
Na análise de modelagem do banco de dados, são verificadas questões de ______________,
consistências, normalizações, ________, opcionalidades, nomenclatura de definição das
tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes
de__________ e triggers.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Tipos de tabelas; cardinalidades; procedures.
Integridade referencial; cardinalidades; procedures.  CORRETO
Cardinalidades; procedures; tipo de tabelas.
Integridade referencial; cardinalidades; views.
Cardinalidades; procedures; tipo de dados.
Código da questão: 57652
Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-
la como:
Alternativas:
É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o
sistema seja executado de maneira adequada.
É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas
de informação, desde o levantamento e estudo de viabilidade do sistema a ser
computadorizado até seu teste de implantação.  CORRETO
É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o
usuário tenha acesso aos documentos armazenados no repositório de documentos.
É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito
entre eles.
São as normas e diretrizes de uma empresa ou de um determinado
setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas
de informações existentes em sua totalidade.
Código da questão: 57637
A base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Esta avaliação possui os seguintes passos:
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os
serviços solicitados e acordados com o gerenciamento funcional de usuários sejam
entregues continuamente, e como eles se comprometeram a ser entregues.
Resolução comentada:
no ponto de controle interno análise de modelagem do banco de dados, são
verificadas questões de integridade referencial, consistências, normalizações,
cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de
relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers.
Resolução comentada:
na literatura, é possível observar uma quantidade considerável de definições a
respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a
definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de
auditoria.
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 3/7
5)
Alternativas:
Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a
eficácia dos controles.  CORRETO
Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança
da arquitetura dos sistemas de informação.
Identificação de vulnerabilidade em plano de contingência e análise documental do
departamento de infraestrutura e segurança da informação.
Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de
contingência.
Identificação, observação, análise, coleta de evidências e documentação dos ativos
constantes e possíveis candidatos à vulnerabilidade.
Código da questão: 57650
Acerca das vulnerabilidades observadas na execução da atividade de auditoria dos
controles de banco de dados, considere as seguintes afirmações e classifique-as em
verdadeiras (V) ou falsas (F):
( ) Um exemplo de ataques originados da engenharia social é o phishing,um método de
fraude no qual o autor envia e-mails de aparência legítima.
( ) O SQL Injection é uma atividade maliciosa realizada por meio de várias técnicas,
geralmente por cibercriminosos, pela internet ou outra rede.
( ) Servidor de temporariedade (staging server) é um servidor que permite montar,
implantar e testar um software ou site em uma instância de servidor, semelhante ao
servidor de produção.
( ) A exfiltração de dados (data exfiltration) é uma técnica usada para aproveitar as
vulnerabilidades de entrada não validadas para passar comandos SQL por meio de um
aplicativo web para execução de um banco de dados de back-end.
( ) Os tipos de vulnerabilidades encontrados em ataques de banco de dados mais comuns
são: engenharia social, SQL Injection, servidor de temporariedade (staging server) e
exfiltração de dados (data exfiltration).
Assinale a alternativa que contenha a sequência correta:
Alternativas:
V – F – V – F – V.  CORRETO
V – F – F – F – V.
V – F – V – V – V.
V – V – V – F – V.
V – F – V – F – F.
Resolução comentada:
a base de qualquer plano de continuidade de negócios ou plano de recuperação de
desastres é uma avaliação do risco que envolve a identificação e análise de possíveis
vulnerabilidades e ameaças. Ela se inicia com a identificação e avaliação dos ativos e
informações em risco, passa por uma análise de ameaças e uma avaliação da eficácia
dos controles destinados a mitigar o risco. Isso resulta em uma lista de ameaças em
potencial, a probabilidade provável e a exposição prevista, bem como os controles
necessários para atenuar as ameaças, incluindo os controles corretivos que farão
parte do plano de recuperação de desastres.
Resolução comentada:
a primeira assertiva é verdadeira, pois um bom exemplo de ataques originados da
engenharia social é o phishing, um método de fraude no qual o autor envia e-mails
de aparência legítima. Os sites frequentemente fraudados por phishers incluem
PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo.
A segunda assertiva é falsa, pois o SQL Injection é uma técnica usada para aproveitar
as vulnerabilidades de entrada não validadas para passar comandos SQL por meio
de um aplicativo web para execução de um banco de dados de back-end.
A terceira assertiva é verdadeira, pois servidor de temporariedade (staging server) é
um servidor que permite montar, implantar e testar um software ou site em uma
instância de servidor, semelhante ao de produção. Este servidor pode ser de banco
de dados temporário, de site temporário ou de aplicativos temporário, por exemplo.
A quarta assertiva é falsa, pois a exfiltração de dados é uma atividade maliciosa
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 4/7
6)
7)
Código da questão: 57653
O processamento de informações é cada vez mais essencial para a consecução dos
objetivos de negócios das empresas, e a indisponibilidade dos serviços pode comprometer
seriamente a viabilidade das organizações. Esta continuidade possui um plano gestor que
também é conhecido por:
Alternativas:
Plano de continuidade de falhas e desastres.
Plano de continuidade de negócios.
Gestão de continuidade e recuperação de desastres.  CORRETO
Plano de processos, procedimentos e atividades.
Plano de auditoria de sistemas de TI.
Código da questão: 57649
Sobre o perfil do auditor de sistemas de TI, podemos afirmar que:
I. O objetivo do auditor é verificar se os processos, procedimentos e atividades estão sendo
executadas de acordo com as normas, missões, objetivos da empresa e as legislações às
quais a empresa é submetida. Para isso, o auditor deverá ser discreto e imparcial quando
conversar com os colaboradores, pois se houver alguma suspeita de que algum esteja
desviando-se daquilo que a empresa preza, ele fará de tudo para que esta suspeita não se
torne uma certeza.
II. O auditor de sistemas de TI não precisa saber expressar com objetividade e raciocínio
lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá com todos os
envolvidos para coletar informações não exigirá tantas estratégias para conseguir atingir
seu objetivo.
III. O auditor de sistemas de TI não precisa identificar os pontos de falha e pontuá-los de
maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam para
que ele desempenhe seu papel.
IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de
comprometimento com o trabalho para o qual foi contratado. Gírias, ambiguidades são
muito malquistas, tanto na escrita quanto na fala.
V. O auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir com
ética.
São verdadeiras:
Alternativas:
II – IV – V.
I – III – V.
I – II – V.
realizada por meio de várias técnicas, geralmente por cibercriminosos, pela internet
ou outra rede. Ela também é conhecida como extrusão, exportação ou roubo de
dados.
A quinta assertiva é verdadeira, pois os tipos de vulnerabilidades encontrados em
ataques de banco de dados mais comuns são: engenharia social, SQL Injection,
servidor de temporariedade (staging server) e exfiltração de dados (data exfiltration);
porém é importante ressaltar que não se resumem a apenas estes. Há muitos outros
e isso dependerá da experiência do auditor de sistemas de TI observar, identificar,
analisar, coletar e documentar.
Resolução comentada:
o plano gestor, que também é conhecido por gestão de continuidade e recuperação
de desastres, ou simplesmente gestão de continuidade, deve ser previsto e
obrigatoriamente inserido no plano de continuidade de negócios (ou plano de
recuperação de desastres), com o processamento de informações sendo visto como
um recurso crítico, mas não o único, para a sobrevivência contínua da organização.
Nesse aspecto, gestão de continuidade pode ser vista como uma solução
parcialmente técnica para um problema de negócios.
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 5/7
8)
I – IV – V.  CORRETO
I – II – III.
Código da questão: 57634
Alternativas:
I – A; II – C; III – B.
I – B; II – C; III – A.
I – C; II – B; III – A.
I – A; II – B; III – C.
I – C; II – A; III – B.  CORRETO
Código da questão: 57640
Resolução comentada:
a afirmação I é verdadeira, pois discrição e parcialidade são requisitos
imprescindíveis ao cargo, uma vez que entrevistará colaboradores e relatará os
resultados dessas conversas no relatório final; a IV é verdadeira, pois o auditor de
sistemas de TI deve saber muito bem ler, escrever e interpretar. Um texto mal escrito,
por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho
para o qual foi contratado. A afirmação V é verdadeira, pois o auditor de sistemas de
TI precisa ser ético, no sentido de possuir zelo profissional, pois ele trabalhará com
dados sigilosos. A II está errada, pois o auditor de sistemas de TI precisa saber
expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar.
Neste ponto, é preciso saber equilibrar estas habilidades com as demais que
compõem seu perfil; isso significa que ele precisa ser objetivo e possuir raciocínio
lógico. A afirmativa III é falsa, pois o auditor de sistemas de TI deve possuir sólidos
conhecimentos em todas as fases do ciclo de desenvolvimento de sistemas, de
forma que poderá identificar os pontos de falha e pontuá-los de maneira assertiva.
Resolução comentada:
dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia
para realizar seus trabalhos. Um exemplo disso é um quadro em que são
identificados, numa versão macro, os possíveis pontos de controle interno e os
colaboradores que executam atividades que são classificadas pelo auditor de
sistemas de TI como pontos de controle interno.
O quadro de grau de análise de risco, a pontuação de cada item identificado pelo
auditor de sistemas de TI é de 1 a 3, em que 1 é o grau mais baixo risco
(vulnerabilidade) e o 3 é o grau mais alto risco. Isto facilita a organização do trabalho
do auditorde sistemas de TI, ou seja, é por meio deste quadro que ele saberá qual
ponto do ciclo de desenvolvimento e manutenção do sistema será auditado
primeiro.
O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de
grau de riscos, apenas apresentará à alta administração e ao gestor de projetos
daquele projeto que está sendo auditado, não necessitando nenhum tipo de
relatório para este tipo de atividade.
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 6/7
9)
10)
A atividade de auditoria dos controles de banco de dados objetiva monitorar e registrar
ações de banco de dados para garantir a segurança destes. Ao executar uma atividade de
auditoria para verificar possível ocorrência de phishing, deve-se::
Alternativas:
Verificar o servidor de temporaneidade.
Realizar o data exfiltration.
Realizar consultas NoSQL no banco de dados.
Verificar a cadeia da engenharia social.  CORRETO
Verificar rotinas de backup.
Código da questão: 57656
Sobre o plano gestor de continuidade podemos afirmar que:
I. A base do plano de gestão de continuidade é a análise de impacto nos negócios, que
identifica os processos críticos dentro da organização e, do ponto de vista da área de
tecnologia da informação, identifica o fluxo de dados e as estruturas de suporte fornecidas
pelos sistemas.
II. O planejamento da capacidade é apenas uma questão de lançar mais recursos para o
problema, piora ainda mais a eficiência do processo, ajustando e eliminando os sistemas e
arquivos redundantes, podendo aumentar significativamente as despesas gerais dos
sistemas e os níveis de capacidade necessários para manter níveis adequados de
desempenho.
III. No geral, o gerenciamento do nível de serviço versa garantir que os serviços solicitados
e acordados com o gerenciamento funcional de usuários não tenham que ser entregues
continuamente, não necessitando de comprometimento, haja vista que há garantia de eles
serem entregues.
IV. O plano de contingência deve incluir opções de recuperação para uma variedade de
cenários que devem corresponder às mudanças na empresa, sob o ponto de vista de
protocolos de negócios e uso de TI.
V. Ele também assegura a disponibilidade contínua dos recursos de processamento de
informações; a próxima pergunta que se coloca é se os recursos de processamento de
informações fornecidos têm capacidade suficiente para fornecer o nível de serviço
acordado, no local acordado, no tempo e no custo acordados.
São verdadeiras:
Alternativas:
I – II – III.
I – IV – V.  CORRETO
II – IV – V.
I – III – V.
I – II – V.
Resolução comentada:
O phishing é um método de fraude no qual o autor envia e-mails de aparência
legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN,
Yahoo e Best Buy, por exemplo. Uma das causas deste problema é a comunicação
inocente/não interpessoal, ou seja, a cadeia gerada pela engenharia social.
Resolução comentada:
a afirmação I é verdadeira, pois neste são identificados os processos críticos dentro
da organização, e do ponto de vista da área de tecnologia da informação, identifica
o fluxo de dados e as estruturas de suporte fornecidas pelos sistemas de informação.
Com base nisso, os sistemas críticos e os manuais podem ser elencados e inter-
relacionados; feito isso, a análise de impacto nos negócios pode ser realizada para
cada uma das áreas de serviço, a fim de identificar ameaças e vulnerabilidades
específicas às informações e outros ativos em risco, a fim de determinar as estruturas
de controle apropriadas para que seja possível equilibrar realizar o equilíbrio destas.
A assertiva IV é verdadeira, pois o planejamento de contingência é uma atividade
que demanda custo, pois envolve uma variedade de recursos e consome um tempo
considerável. No entanto, o custo deve ser visto à luz do custo de não fazer, que
23/10/2023, 15:43 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/2866686/6484173 7/7
Código da questão: 57648
pode ser a falência em um caso extremo.
A assertiva V é verdadeira, assegurada a disponibilidade contínua dos recursos de
processamento de informações, a próxima pergunta que se coloca é se os recursos
de processamento de informações fornecidos têm capacidade suficiente para
fornecer o nível de serviço acordados: no local , no tempo e no custo . Para garantir a
gestão adequada da capacidade, a carga de trabalho e os níveis de desempenho
devem ser monitorados por um período de tempo, para que a previsão de recursos
possa se basear na previsão da demanda e no dimensionamento dos sistemas
aplicativos.
A assertiva II é falsa, pois o planejamento da capacidade não é apenas uma questão
de lançar mais recursos para o problema, mas sim para melhorar a eficiência do
processo, ajustando e eliminando os sistemas e arquivos redundantes, podendo
reduzir significativamente as despesas gerais dos sistemas e os níveis de capacidade
necessários para manter níveis adequados de desempenho.
A assertiva III é falsa, pois o gerenciamento do nível de serviço versa garantir que os
serviços solicitados e acordados com o gerenciamento funcional de usuários sejam
entregues continuamente, e como eles se comprometeram a ser entregues.
Arquivos e Links