Auditoria de sistemas

Prévia do material em texto

2)
Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-la como:
Alternativas:
É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha
acesso aos documentos armazenados no repositório de documentos.
É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação,
desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de
implantação. check CORRETO
É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles.
É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja
executado de maneira adequada.
São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da
empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade.
na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do
desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira
mais clara e didática este tipo de auditoria.
Código da questão: 57637
A natureza e a sensibilidade dos dados armazenados em bancos de dados nas empresas influencia os
critérios usados para auditá-los, principalmente no que diz respeito ao exame de controles de segurança
ou privacidade, como a criptografia de dados, o controle de acesso, o backup e a recuperação de dados.
Sobre os objetivos da auditoria dos controles de banco de dados, assinale a alternativa correta.
Alternativas:
Compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que o utilizam e
relacioná-la com os objetivos/estratégias da empresa. check CORRETO
Identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades incomuns, etc.
Proteger os dados ou informações contra modificações intencionais ou acidentais não autorizadas.
Estabelecer quais itens devem ser revisados, de acordo com as necessidades da companhia, para
garantir a segurança do sistema.
Observar, identificar, analisar os pontos de controles internos candidatos às vulnerabilidades.
a auditoria dos controles de banco de dados objetiva compreender a modelagem do banco de dados em
todos os seus níveis, os sistemas que o utilizam e relacioná-la com os objetivos/estratégias da empresa.
Neste tipo de auditoria, são identificadas eventuais discrepâncias, anomalias, violações de segurança,
atividades incomuns, etc. Todos estes exemplos podem ser bem compreendidos como vulnerabilidade e,
Resolução comentada:
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 1/7
3)
consequentemente, pontos de controles internos a serem observados, identificados, analisados,
coletados e documentados.
Código da questão: 57651
Sobre os pontos de controle internos que o auditor de sistemas de TI verifica em auditoria do
desenvolvimento de sistemas, podemos afirmar que:
I. As características dos pontos de controles internos identificados na metodologia do desenvolvimento
do sistema adotada no projeto são aqueles que se referem ao oferecimento de suporte, à facilidade de
gerenciamento de requisitos e à garantia da qualidade, a fim de verificar se nada foi esquecido.
II. As características dos pontos de controle interno de especificação do sistema são, basicamente, se
existe um documento de especificação e dentro dele os protótipos das telas.
III. Verificação de problemas técnicos de hardware e segurança da informação podem ser compreendidos
como pontos de controle do tipo metodologia do desenvolvimento do sistema.
IV. Os pontos de controle internos que se referem à administração do projeto, são aqueles que analisam
questões sobre pessoas-chaves que participam do processo de construção do sistema, estrutura
tecnológica, dentre outros.
V. São exemplos de pontos de controle no que se refere à homologação do sistema: plano de
treinamento, avaliação conjunta e confronto.
São verdadeiras:
Alternativas:
I – II – V.
II – IV – V.
I – II – III.
I – IV – V. check CORRETO
I – III – V.
a afirmação I é verdadeira, pois o controle interno da metodologia de desenvolvimento do sistema
adotada no projeto é pautado basicamente em 3 (três) verbos/locuções verbais: dar suporte (base para o
treinamento da área que utilizará o sistema e auxiliar na execução dos processos, procedimentos e
atividades relacionados ao projeto), facilitar (gerenciamento de requisitos e posterior manutenção) e
garantir (qualidade de revisões contínuas a fim de verificar se nada foi esquecido).
A assertiva IV é verdadeira, pois os pontos de controle internos que se referem à administração do
projeto são aqueles que analisam questões sobre os recursos humanos que participam do processo de
construção do sistema, estrutura tecnológica e recursos financeiros.
A assertiva V é verdadeira, pois os pontos de controle internos que se referem à homologação do projeto
são aqueles que convidam todos os envolvidos a avaliar e validar o sistema, criar um plano de
treinamento, etc.
A assertiva II é falsa, pois as características dos pontos de controle interno de especificação do sistema
verificam desde as técnicas de elicitação de requisitos utilizadas pelo analista de requisitos até o teor do
plano de testes e de implantação.
A assertiva III é falsa, pois a verificação de problemas técnicos de hardware e segurança da informação
são observados, identificados e documentados na auditoria de sistemas de TI, na modalidade auditoria
em segurança física e de dados.
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 2/7
4)
5)
Código da questão: 57641
O ciclo de desenvolvimento de software pode ser considerado uma importante forma de organização
para a sua elaboração. Em qual fase dentro deste ciclo o auditor de sistemas de TI atua?
Alternativas:
Em todas as fases. check CORRETO
Em fase específica de acordo com o contrato.
Somente na fase análise e projeto/design.
Somente na área de segurança de dados.
Nas fases de planejamento e implantação.
teoricamente, o auditor de sistemas de TI deveria atuar em cada fase, obviamente, sob diferentes olhares
em cada uma, mas, na prática, o entendimento é outro. Na prática, o auditor de sistemas de TI é
contratado para atuar de maneira pontual, ou seja, quando suspeita-se de que algo não está
funcionando bem (por exemplo, operações fraudulentas, invasão de crackers, etc.), seja no sistema já
funcionando em produção, seja em alguma tecnologia ou outro sistema satélite a este que já está
funcionando ou, ainda, em algum ponto específico no transcorrer do desenvolvimento do mesmo (por
exemplo, auditar a qualidade de suas especificações de elaboradas pelo analista de requisitos).
Código da questão: 57630
Uma das funções específicas para garantia da gestão de configuração é a identificação, a qual versa
sobre a __________, localização e________ de todos os___________________ dentro da infraestrutura técnica.
Assinale a alternativa que completa adequadamente as lacunas:
Alternativas:
Especificação técnica; validação; modificadores.
Identificação; componentes individuais; especificação técnica.
Autoridade; modificar; componente individual.
Revisão; informações; integridade.
Especificação técnica; identificação; componentes individuais. check CORRETO
a identificação versa sobre a especificação técnica, localização e identificação de todos os componentes
individuais dentro da infraestrutura técnica.
Código da questão: 57645
Resolução comentada:
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 3/7
6)
7)
Alternativas:
I – A; II – C; III – B.
I – C; II – B; III – A.
I – C; II – A; III – B. check CORRETO
I – B; II – C; III – A.
I – A; II – B; III – C.
compreender o negócio da empresa: modelar o negócio, identificaro fluxo e as dependências de dados,
e os sistemas críticos, bem como quaisquer sistemas dependentes (incluindo os manuais).
Identificar os sistemas de informação por tipo, por exemplo: distribuído, em tempo real, on-line, em lote,
por objetivos operacionais, etc. Para cada sistema de informação, atribuir graus de criticidade e valores:
classificação de perda de negócio, nível de serviço alternativo necessário e tempo máximo de inatividade
tolerável.
Para o plano de recuperação, deve-se verificar: a configuração mínima necessária, acordos de
continuidade com fornecedores, os planos de backup, compatibilidade de firmware e acordos de níveis
de segurança.
Código da questão: 57647
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 4/7
8)
Alternativas:
I – A; II – C; III – B.
I – C; II – B; III – A.
I – C; II – A; III – B. check CORRETO
I – B; II – C; III – A.
I – A; II – B; III – C.
dentro do ciclo de auditoria, é possível o auditor de sistemas de TI ter autonomia para realizar seus
trabalhos. Um exemplo disso é um quadro em que são identificados, numa versão macro, os possíveis
pontos de controle interno e os colaboradores que executam atividades que são classificadas pelo
auditor de sistemas de TI como pontos de controle interno.
O quadro de grau de análise de risco, a pontuação de cada item identificado pelo auditor de sistemas de
TI é de 1 a 3, em que 1 é o grau mais baixo risco (vulnerabilidade) e o 3 é o grau mais alto risco. Isto
facilita a organização do trabalho do auditor de sistemas de TI, ou seja, é por meio deste quadro que ele
saberá qual ponto do ciclo de desenvolvimento e manutenção do sistema será auditado primeiro.
O auditor de sistemas de TI, a partir dos resultados obtidos no quadro de análise de grau de riscos,
apenas apresentará à alta administração e ao gestor de projetos daquele projeto que está sendo
auditado, não necessitando nenhum tipo de relatório para este tipo de atividade.
Código da questão: 57640
O processamento de informações é cada vez mais essencial para a consecução dos objetivos de
negócios das empresas, e a indisponibilidade dos serviços pode comprometer seriamente a viabilidade
das organizações. Esta continuidade possui um plano gestor que também é conhecido por:
Alternativas:
Plano de continuidade de falhas e desastres.
Gestão de continuidade e recuperação de desastres. check CORRETO
Plano de processos, procedimentos e atividades.
Plano de continuidade de negócios.
Plano de auditoria de sistemas de TI.
o plano gestor, que também é conhecido por gestão de continuidade e recuperação de desastres, ou
simplesmente gestão de continuidade, deve ser previsto e obrigatoriamente inserido no plano de
continuidade de negócios (ou plano de recuperação de desastres), com o processamento de informações
sendo visto como um recurso crítico, mas não o único, para a sobrevivência contínua da organização.
Nesse aspecto, gestão de continuidade pode ser vista como uma solução parcialmente técnica para um
problema de negócios.
Resolução comentada:
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 5/7
9)
10)
Código da questão: 57649
Alternativas:
I – B; II – C; III – A.
I – C; II – B; III – A.
I – C; II – A; III – B. check CORRETO
I – A; II – C; III – B.
I – A; II – B; III – C.
o checklist de controle de acesso aos dados refere-se exatamente aos pontos de controles internos que
devem ser observados, identificados, analisados, coletados e documentados acerca deste quesito.
O checklist de monitoramento de operações refere-se exatamente aos pontos de controles internos que
devem ser observados, identificados, analisados, coletados e documentados acerca deste quesito.
O checklist de controle de backup refere-se à documentação de procedimentos e monitoramento de
rotinas de backup, queires e jobs.
Código da questão: 57654
A base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma
avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Esta
avaliação possui os seguintes passos:
Alternativas:
Identificação dos ativos, informações sobre análise de ameaças e avaliação da segurança da
arquitetura dos sistemas de informação.
Identificação e avaliação dos ativos e informações em risco, análise de ameaças e a eficácia dos
controles. check CORRETO
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 6/7
Identificação, observação, análise, coleta de evidências e documentação dos ativos constantes e
possíveis candidatos à vulnerabilidade.
Identificação de vulnerabilidade em plano de contingência e análise documental do departamento de
infraestrutura e segurança da informação.
Avaliação e classificação dos ativos, análise de vulnerabilidade e do plano de contingência.
a base de qualquer plano de continuidade de negócios ou plano de recuperação de desastres é uma
avaliação do risco que envolve a identificação e análise de possíveis vulnerabilidades e ameaças. Ela se
inicia com a identificação e avaliação dos ativos e informações em risco, passa por uma análise de
ameaças e uma avaliação da eficácia dos controles destinados a mitigar o risco. Isso resulta em uma lista
de ameaças em potencial, a probabilidade provável e a exposição prevista, bem como os controles
necessários para atenuar as ameaças, incluindo os controles corretivos que farão parte do plano de
recuperação de desastres.
Código da questão: 57650
Resolução comentada:
30/10/2024, 21:12 Cosmos · Cosmos
https://kroton.platosedu.io/lms/m/aluno/disciplina/index/3411852/11792497 7/7