A2 Segurança e Auditoria de Sistemas - UVA

Prévia do material em texto

A2 - Segurança e Auditoria de Sistemas – UVA 
 
Prova realizada em 02/12/23 
1 - "A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual de 
organizações e a maneira como cada organização é afetada, variam de pesquisa para pesquisa, mas sempre os 
percentuais são altos. A Kroll Advisory, em recente trabalho indica que 74% das empresas latinas americanas 
são afetadas por fraudes corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco 
importa. Para você este percentual se torna 100%. Sua organização é o que existe de mais importante . 
Para ser efetiva no combate a fraude, é mandatório que a organização considere o processo de segurança da 
informação. Este processo é um elemento eficiente/eficaz em função dos controles que ele exige e quando bem 
gerenciado possibilita que organização minimize o risco de fraude." 
Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes! Disponível em: 
<http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso em 27 de nov. de 2019. 
Alguns controles do Processo de Segurança da Organização são de excelência crítica para o combate à fraude 
corporativa. Identifique as alternativas que caracterizam este controle: 
I - Identificação, autenticação e autorização do usuário. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. 
III - Gestão de recursos e dependência operacional. 
 
É correto o que se afirma em: 
Alternativas 
 
A) III, apenas. 
 
B) II, apenas. 
 
C) II e III, apenas. 
 
D) Marcada pelo aluno I, II e III. 
 
E) I, apenas. 
 
2 - "A fraude corporativa é um câncer que existe em praticamente todas as organizações. O percentual de 
organizações e a maneira como cada organização é afetada, variam de pesquisa para pesquisa, mas sempre os 
percentuais são altos. A Kroll Advisory, em recente trabalho indica que 74% das empresas latinas americanas 
são afetadas por fraudes corporativas. Mas, se sua organização é afetada pela fraude, este percentual pouco 
importa. Para você este percentual se torna 100%. Sua organização é o que existe de mais importante . 
Para ser efetiva no combate a fraude, é mandatório que a organização considere o processo de segurança da 
informação. Este processo é um elemento eficiente/eficaz em função dos controles que ele exige e quando bem 
gerenciado possibilita que organização minimize o risco de fraude." 
Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de fraudes! Disponível em: 
<http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso em 27 de nov. de 2019. 
Alguns controles do Processo de Segurança da Organização são de excelência crítica para o combate à fraude 
corporativa. Identifique as alternativas que caracterizam este controle: 
I - Identificação, autenticação e autorização do usuário. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. 
III - Gestão de recursos e dependência operacional. 
 
É correto o que se afirma em: 
Alternativas 
 
A) III, apenas. 
B) II, apenas. 
C) II e III, apenas. 
D) Marcada pelo aluno I, II e III. 
E) I, apenas. 
 
3 - A norma ISO 27001 estabelece diretrizes e princípios gerais para se iniciar, implementar, manter e melhorar 
a gestão de segurança da informação em uma organização. Essa norma possui uma seção introdutória sobre o 
processo de avaliação e tratamento de riscos e está dividida em onze seções específicas, que são: política de 
segurança da informação; organização da segurança da informação; gestão de ativos; segurança em recursos 
humanos; segurança física e do ambiente; gestão das operações e comunicações; controle de acesso; aquisição, 
desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de segurança da informação; 
gestão da continuidade do negócio, e conformidade. Essas seções totalizam trinta e nove categorias principais 
de segurança, e cada categoria contém um objetivo de controle e um ou mais controles que podem ser 
aplicados, bem como algumas diretrizes e informações adicionais para a sua implementação. 
(Fonte: https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-informacao-definic ao-
importancia-elaboracao-e-implementacao/) 
O texto acima retrata qual ponto do sistema de gestão de segurança da informação? 
 
Alternativas 
 
A) Backup. 
 
B) Risco. 
 
C) Segurança física. 
 
D) Vulnerabilidade. 
 
E) Marcada pelo aluno Elaborando a política de segurança. 
 
 
4 - “Alguns fatos podem acontecer por falta de segurança adequada, como o furto de senhas e números de 
cartões de crédito, dados pessoais ou comerciais podem ser alterados, a conta de acesso à internet ou sistema 
operacional utilizados por pessoas não autorizadas e, por último, o computador pode até deixar de funcionar, 
por comprometimento e corrompimento de arquivos essenciais.” 
(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. Acesso em: 30 out. 2018.) 
 
Existem diversas razões para que um terceiro queira invadir um sistema ou máquina. Identifique entre as razões 
listadas abaixo aquelas que remetem a isso e marque a alternativa que as apresenta: 
I. Utilização para fim de práticas ilegais. 
II. Utilização do computador de outros para promover ataques. 
III. Destruição de informações. 
IV. Furto de números de cartões de crédito e senhas de banco. 
V. Furto de informações salvas nas máquinas. 
Alternativas 
 
A) II, III, IV e V. 
 
B) Marcada pelo aluno I, II, III, IV e V. 
 
C) I, III, IV e V. 
 
D) I, II, III e IV. 
 
E) I, II, III e V. 
 
5 - Um dos processos de que podemos tratar é o de auditoria no âmbito de uma empresa telefônica. Esse é um 
passo vital para determinar, entre várias demandas apresentadas, quais seriam os referidos valores que estão 
sendo cobrados indevidamente para um consumidor ou o que tem gerado vários gastos desnecessários. Dessa 
forma, temos as ferramentas de tecnologia da informação, que são grandes aliadas para o processo das 
organizações que demandam executar ações dessa natureza. Isso é fato, uma vez que a tecnologia passou a ser 
amplamente adotada no setor corporativo, tendo em consideração a sua grande contribuição para solucionar 
os mais diversos tipos de demandas/problemas, sobretudo quando a resolução requer uma boa análise de 
informações. 
Nesse contexto, identifique quais das ferramentas de TI a seguir ajudam na auditoria telefônica. 
I - COBIT. 
II - ITIL. 
III - PMBOK. 
IV - IDEA. 
V - LARAVEL. 
Estão corretas: 
Alternativas 
 
A) Gabarito da questão I, III e IV, apenas. 
B) II, IV e V, apenas. 
C) I, II e IV, apenas. 
D) II, III e V, apenas. 
E) II, III e IV, apenas. 
 
6 - "A política de segurança diz respeito às regras que devem ser elaboradas e seguidas pelos utilizadores dos 
recursos de informação de uma empresa. 
A formação de um conjunto de boas práticas de mercado, com o objetivo de desenvolvimento de uma 
política/cultura de segurança é essencial para qualquer tipo de empresa que necessite desse trabalho, já que a 
informação é um dos ativos mais valiosos de uma organização. 
As decisões relacionadas à segurança que o administrador da organização toma, determinam quão segura a rede 
de sua corporação é, quantas funções ela irá disponibilizar e como será a sua utilização. Por isso, é preciso 
determinar metas de segurança. Em qualquer política de segurança, existem duas diretrizes: a proibitiva, que 
quer dizer que tudo que não é permitido é proibido, e a permissiva, onde tudo que não é proibido é permitido." 
Fonte: http://seguranca-da-informacao.info/politicas-de-seguranca.html. Acesso em: 06 de dez. de 2019. 
Diante do exposto, quais afirmativas são pertinentes para que um terceiro queira invadir um sistema ou 
máquina: 
I - Usar como práticas fraudulentas. 
II - Utilizar o computador de outra pessoa para promover ataques. 
III -Destruir informações importantes. 
IV - Disseminar cookies. 
V - Furtar informações armazenadas nos computadores. 
 
É correto o que se afirma em: 
Alternativas 
 
A) Marcada pelo aluno I, II, III e V, apenas. 
 
B) I, II, III e IV, apenas. 
 
C) I, II e V, apenas. 
 
D) II, III, IV e V, apenas. 
 
E) I e II, apenas. 
 
7 - "A auditoria, atuando de forma independente e sistemática na organização, deve focar sua atividade 
prioritariamente na avaliação dos processos de governança, gestão de riscos e controle e, de forma 
complementar, na avaliação das principais atividades, processos e produtos da organização, especialmente 
aqueles considerados vitais para atingir os objetivos estratégicos. Com esse foco, a auditoria proporcionará 
relativa segurança às partes interessadas na condução dos negócios da empresa. A auditoria de sistemas, por 
sua vez, está relacionada à avaliação dos sistemas de informação e dos recursos tecnológicos que englobam o 
processo de geração, guarda e disponibilização da informação." 
(Fonte: TERUEL, E. C. Principais ferramentas utilizadas na auditoria de sistemas e suas características. Centro 
Paula Souza. Pós-graduação. Disponível em: http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de -
pos-graduacao-e-pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-informacao-
aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf. Acesso em: 26 nov. 2019.) 
 
Nesse contexto, cite pelo menos três ferramentas de auditoria utilizadas em empresas de todo o mundo. 
Resposta do aluno 
Analise Swot; Software de auditoria eletrônica; Mapeamento de processos (Fluxograma); Checklists de 
auditoria. 
 
 
8 - “A maior parte das empresas tem dúvidas exatamente sobre o que desejam contratar: não sabem se precisam 
de um plano de recuperação de desastres, de contingência operacional ou de continuidade de negócios. 
A confusão é comum e mais que normal, considerando-se que o mercado insiste em falar de contingência como 
sinônimo da solução, quando, na verdade, o conceito do dicionário é de que se trata do problema em si.” 
(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-continuidade-ou-recuperacao-de -
desastres-o-que-e-mesmo-que-eu-preciso/>. Acesso em: 25 out. 2018.) 
 
Defina plano de recuperação de desastres. 
Resposta do aluno 
 
1 - Avaliação de riscos; 2 - Estratégias de Backup e armazenamento; 3 - Plano de contingência operacional; 4 - 
Plano de recuperação de sistemas; 5 - Comunicação e notificação; 6 - Testes e atualizações; 7 - Treinamento e 
conscientização; 8 - Documentação; 9 - Revisão pós-evento; 10 - Cooperação de terceiros. 
 
Correção do professor 
Resposta parcialmente correta, tendo em vista que não foi apresentada uma definição ao plano de desastres e 
sim especificado pontos importantes que este plano deve conter.