AOL_4 - Segurança e Auditoria de Sistemas

Prévia do material em texto

Módulo D - 185223 . 7 - Segurança e Auditoria de Sistemas - D.20232.D 
 
Conteúdo do exercício 
1. Pergunta 1 
A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa 
INCORRETA: 
Ocultar opções de resposta 
1. O relatório pode ter um impacto significativo nas decisões de gestão relativas à 
organização auditada e aos seus destinatários. 
2. Correta: 
Os relatórios não são distribuídos a partes externas, como o público em geral 
ou agências governamentais que têm autoridade reguladora sobre a entidade 
de auditoria, visto que tratam de informações confidenciais das organizações. 
Resposta correta 
3. O conteúdo do relatório deve ser suficientemente abrangente para permitir 
que o mesmo seja independente. 
4. O relatório é o principal meio de comunicar os resultados de uma auditoria ao 
cliente ou entidade auditada. 
5. Os relatórios devem ajudar os auditados a compreender as questões de 
controle, recomendações e o risco associado de não tomarem medidas 
corretivas. 
2. Pergunta 2 
O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI 
descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a 
alternativa que apresenta o órgão responsável por este guia: 
Ocultar opções de resposta 
1. INMETRO. 
2. INTOSAI 
3. TCU 
4. ISSO 
5. Correta: 
ISACA 
Resposta correta 
3. Pergunta 3 
Em um relatório de auditoria de sistemas de informação, a seção de metodologia de 
auditoria: 
Ocultar opções de resposta 
1. Descreve o tipo de auditoria e o que está a ser auditado. 
2. Fornece uma conclusão geral. 
3. Identifica os itens a serem avaliados pela auditoria. 
4. Correta: 
Fornece uma explicação de alto nível sobre como a auditoria foi realizada para 
cada objetivo. 
Resposta correta 
5. Fornece uma explicação detalhada dos resultados da auditoria. 
4. Pergunta 4 
A busca por evidências necessárias e suficientes para respaldar os achados e 
conclusões da auditoria. Os achados são discrepâncias entre a situação existente e o 
critério de avaliação, enquanto as evidências são as informações obtidas durante a 
auditoria, sejam evidências físicas, documentais, testemunhais ou analíticas, que 
fundamentam os achados. Após os trabalhos de campo, é criada a matriz de achados, 
cujo objetivo é sintetizar os resultados obtidos. Analise a lista abaixo quais campos de 
uma matriz de achados: 
I - Achado 
II -situação encontrada 
III - critério 
IV - evidência 
V -causas 
VI - efeitos 
VII - encaminhamento 
Selecione a alternativa que define quais campos devem ser utilizadas na matriz de 
achados: 
Ocultar opções de resposta 
1. I, II, III, IV, V e VI. 
2. I, II, III, V e VII. 
3. I, II, III, IV e VI. 
4. I, III, IV, VI e V. 
5. Correta: 
I, II, III, IV, V, VI e VII. 
Resposta correta 
5. Pergunta 5 
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma: 
Ocultar opções de resposta 
1. ISO 27001 
2. ISO 27002 
3. ISO 9001 
4. Correta: 
ISO 19011 
Resposta correta 
5. ISO 9002 
6. Pergunta 6 
As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 
fases. Assinale a alternativa que apresenta estas fases: 
Ocultar opções de resposta 
1. Execução, Conclusão, Revisão. 
2. Planejamento, Conclusão, Revisão. 
3. Entrevistas, Planejamento, Execução. 
4. Planejamento, Entrevistas, Revisão. 
5. Correta: 
Planejamento, Execução, Conclusão. 
Resposta correta 
7. Pergunta 7 
Faça a devida correlação entre as fases de um projeto ACL. 
1. Planejar o projeto. 
2. Adquirir os dados. 
3. Acessar os dados com o ACL. 
4. Verificar a integridade dos dados. 
5. Analisar os dados. 
6. Reportar os achados. 
I - Assegurar-se de que os dados não contenham elementos corrompidos. 
II - Identificar o objetivo em termos comerciais e técnicos. 
III - Preparar os resultados para apresentação formal. 
IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de 
origem necessários. 
V - Interrogar e manipular os dados para identificar exceções. 
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de 
origem. 
Ocultar opções de resposta 
1. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6. 
2. I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3. 
3. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4. 
4. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6. 
5. Correta: 
I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3. 
Resposta correta 
8. Pergunta 8 
A auditoria de sistemas utiliza a técnica de facilidade de teste integrado (ITF − 
Integrated Test Facility), na qual dados de teste são introduzidos nos ambientes reais 
de processamento utilizando-se versões correntes da produção. Os auditores criam 
uma espécie de empresa fictícia nos arquivos processados pelo sistema de aplicação. 
Abaixo a figura do ITF 
 
 
 
 
Em relação a vantagem e desvantagem, selecione a alternativa correta: 
Ocultar opções de resposta 
1. Correta: 
Vantagem – custo baixo por ser na empresa Desvantagem – mistura de dados 
reais e fictícios 
Resposta correta 
2. Vantagem – custo baixo por ser na empresa Desvantagem – contaminação com 
dados reais 
3. Vantagem – mistura de dados fictícios Desvantagem – contaminação com 
dados reais 
4. Vantagem – pode ser feito a distância Desvantagem – mistura de dados reais e 
fictícios 
5. Vantagem – custo a ser definido pela empresa Desvantagem – mistura de 
dados reais e fictícios 
9. Pergunta 9 
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de 
simulação paralela. A respeito desta técnica assinale a alternativa correta: 
Ocultar opções de resposta 
1. É uma técnica também conhecida como ITF. 
2. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na 
fase de desenvolvimento. 
3. É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin. 
4. Esta técnica também é conhecida como “test data” ou “test deck”. 
5. Correta: 
Esta técnica processa os dados reais do cliente por meio de um programa de 
auditoria especialmente desenvolvido e que atende a toda a lógica necessária 
para o teste, simulando as funcionalidades do programa em produção. 
Resposta correta 
10. Pergunta 10 
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de 
inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: 
Ocultar opções de resposta 
1. Antes das transações serem executadas, os resultados de teste esperado são 
predeterminados, para que os resultados reais possam ser comparados com os 
resultados predeterminados. 
2. Correta: 
Quanto menos combinações de transações puderem ser feitas no arquivo de 
carga, maior será a cobertura do teste. 
Resposta correta 
3. Não é necessário um avançado conhecimento de informática para a elaboração 
dos dados, o qual pode ser feito inclusive utilizando-se de softwares 
automatizados que tornam a tarefa mais simples. 
4. Os tipos gerais de condições que devem ser testados incluem, mas não se 
limitam a: testes de transações que ocorrem normalmente e testes usando 
dados inválidos. 
5. Esta técnica envolve o uso de um conjunto de dados especialmente projetados 
e preparados com o objetivo de testar as funcionalidades de entrada de dados 
no sistema.