Baixe o app para aproveitar ainda mais
Prévia do material em texto
Módulo D - 185223 . 7 - Segurança e Auditoria de Sistemas - D.20232.D Conteúdo do exercício 1. Pergunta 1 A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa INCORRETA: Ocultar opções de resposta 1. O relatório pode ter um impacto significativo nas decisões de gestão relativas à organização auditada e aos seus destinatários. 2. Correta: Os relatórios não são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam de informações confidenciais das organizações. Resposta correta 3. O conteúdo do relatório deve ser suficientemente abrangente para permitir que o mesmo seja independente. 4. O relatório é o principal meio de comunicar os resultados de uma auditoria ao cliente ou entidade auditada. 5. Os relatórios devem ajudar os auditados a compreender as questões de controle, recomendações e o risco associado de não tomarem medidas corretivas. 2. Pergunta 2 O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão responsável por este guia: Ocultar opções de resposta 1. INMETRO. 2. INTOSAI 3. TCU 4. ISSO 5. Correta: ISACA Resposta correta 3. Pergunta 3 Em um relatório de auditoria de sistemas de informação, a seção de metodologia de auditoria: Ocultar opções de resposta 1. Descreve o tipo de auditoria e o que está a ser auditado. 2. Fornece uma conclusão geral. 3. Identifica os itens a serem avaliados pela auditoria. 4. Correta: Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada objetivo. Resposta correta 5. Fornece uma explicação detalhada dos resultados da auditoria. 4. Pergunta 4 A busca por evidências necessárias e suficientes para respaldar os achados e conclusões da auditoria. Os achados são discrepâncias entre a situação existente e o critério de avaliação, enquanto as evidências são as informações obtidas durante a auditoria, sejam evidências físicas, documentais, testemunhais ou analíticas, que fundamentam os achados. Após os trabalhos de campo, é criada a matriz de achados, cujo objetivo é sintetizar os resultados obtidos. Analise a lista abaixo quais campos de uma matriz de achados: I - Achado II -situação encontrada III - critério IV - evidência V -causas VI - efeitos VII - encaminhamento Selecione a alternativa que define quais campos devem ser utilizadas na matriz de achados: Ocultar opções de resposta 1. I, II, III, IV, V e VI. 2. I, II, III, V e VII. 3. I, II, III, IV e VI. 4. I, III, IV, VI e V. 5. Correta: I, II, III, IV, V, VI e VII. Resposta correta 5. Pergunta 5 A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma: Ocultar opções de resposta 1. ISO 27001 2. ISO 27002 3. ISO 9001 4. Correta: ISO 19011 Resposta correta 5. ISO 9002 6. Pergunta 6 As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. Assinale a alternativa que apresenta estas fases: Ocultar opções de resposta 1. Execução, Conclusão, Revisão. 2. Planejamento, Conclusão, Revisão. 3. Entrevistas, Planejamento, Execução. 4. Planejamento, Entrevistas, Revisão. 5. Correta: Planejamento, Execução, Conclusão. Resposta correta 7. Pergunta 7 Faça a devida correlação entre as fases de um projeto ACL. 1. Planejar o projeto. 2. Adquirir os dados. 3. Acessar os dados com o ACL. 4. Verificar a integridade dos dados. 5. Analisar os dados. 6. Reportar os achados. I - Assegurar-se de que os dados não contenham elementos corrompidos. II - Identificar o objetivo em termos comerciais e técnicos. III - Preparar os resultados para apresentação formal. IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários. V - Interrogar e manipular os dados para identificar exceções. VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem. Ocultar opções de resposta 1. I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6. 2. I – 1, II – 4, III – 2, IV – 6, V – 5, VI – 3. 3. I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4. 4. I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6. 5. Correta: I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3. Resposta correta 8. Pergunta 8 A auditoria de sistemas utiliza a técnica de facilidade de teste integrado (ITF − Integrated Test Facility), na qual dados de teste são introduzidos nos ambientes reais de processamento utilizando-se versões correntes da produção. Os auditores criam uma espécie de empresa fictícia nos arquivos processados pelo sistema de aplicação. Abaixo a figura do ITF Em relação a vantagem e desvantagem, selecione a alternativa correta: Ocultar opções de resposta 1. Correta: Vantagem – custo baixo por ser na empresa Desvantagem – mistura de dados reais e fictícios Resposta correta 2. Vantagem – custo baixo por ser na empresa Desvantagem – contaminação com dados reais 3. Vantagem – mistura de dados fictícios Desvantagem – contaminação com dados reais 4. Vantagem – pode ser feito a distância Desvantagem – mistura de dados reais e fictícios 5. Vantagem – custo a ser definido pela empresa Desvantagem – mistura de dados reais e fictícios 9. Pergunta 9 Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de simulação paralela. A respeito desta técnica assinale a alternativa correta: Ocultar opções de resposta 1. É uma técnica também conhecida como ITF. 2. É uma técnica que consiste em incluir a lógica de auditoria nos sistemas na fase de desenvolvimento. 3. É uma técnica que consiste na análise de um arquivo de log do tipo sysadmin. 4. Esta técnica também é conhecida como “test data” ou “test deck”. 5. Correta: Esta técnica processa os dados reais do cliente por meio de um programa de auditoria especialmente desenvolvido e que atende a toda a lógica necessária para o teste, simulando as funcionalidades do programa em produção. Resposta correta 10. Pergunta 10 Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: Ocultar opções de resposta 1. Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados. 2. Correta: Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. Resposta correta 3. Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples. 4. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos. 5. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema.
Compartilhar