Questões Discursivas - Auditoria de Sistemas CCT0043

Prévia do material em texto

Questão 
Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa? 
 
Gabarito: Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para que seus 
dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de senhas, nível de acesso de 
usuários a rede e ao sistema e log de registros. Plano de contingência são procedimentos adotados, para que a 
empresa não pare, ou pare o mínimo no caso de desastre. Um exemplo de desastre pode ser: uma enchente na 
empresa, onde todos os sistemas param, a não ser que exista um plano que tenha previsto esta catástrofe e tenha 
uma alternativa pare que a empresa não pare. 
 
Questão 
Desde pequena Patrícia já demonstrava vocação para as artes. Durante sua infância ela estudou dança, pintura, 
canto e vários instrumentos musicais. O tempo passou e logo ela se destacou na dança, tornando-se uma bailarina 
mundialmente conhecida. Um dos seus projetos atuais é a sua própria academia de dança que está montando no Rio 
de Janeiro, local onde pretende morar quando se aposentar como bailarina. Acostumada a ser disciplinada, Patrícia 
sabe que para ter êxito com o seu empreendimento terá que controlá-lo em mínimos detalhes. Por conta disso, ela 
solicitou que uma empresa brasileira desenvolvesse um sistema específico para sua academia de dança, com 
requisitos orientados minuciosamente por ela. Patrícia também planejou que esse sistema será auditado uma vez 
por ano. 
• Considerando as fases de uma Auditoria de Sistemas, qual é a finalidade da fase de Follow-up? 
 
Gabarito: A finalidade da fase de Follow-up é acompanhar a solução das falhas quer durante o trabalho de campo, 
quer após a emissão do relatório. A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar 
se os acertos foram eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias 
futuras do mesmo sistema ou do CPD, se for o caso. 
 
Questão 
Atualmente os processo de autenticação estão baseados em quantos métodos distintos? E quais são eles? 
 
Gabarito: Três métodos: A política de segurança é um importante instrumento onde as definições ligadas à 
autorização devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar aderentes 
ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das informações. 1 - Senha: 
sequência de caracteres - números, letras ou caracteres especiais - que permitem acesso à determinado sistema e 
ou serviço. 2 - Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o mesmo possa 
ser identificado ao utilizá-la. 3- Método baseado em uma informação única do corpo humano (biométrica) do 
usuário para que o mesmo possa ser identificado ao utilizá-la. 
 
 
 
 
 
 
Questão 
Quando os auditores usam testes substantivos em uma auditoria? 
 
Gabarito: Quando eles querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe 
proporcionem fundamentação para suas opiniões. 
 
Questão 
O que é um hash total? 
 
Gabarito: hash total é um CAMPO de controle colocado nos header ou trailer labels a fim de assegurar a integridade 
dos dados. 
 
 Questão 
O que é uma trilha de auditoria e para que ela serve? 
 
Gabarito: Trilha de auditoria é um conjunto de rotinas e arquivos de controle que permitem a reconstrução de 
dados ou procedimentos. 
 
Questão 
O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de 
sistemas. Com base nesta afirmativa cite 3 (três) deles: 
 
Gabarito: efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. 
 
Questão 
João esta auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui 
dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possível acessar os 
dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar 
essa fragilidade? 
 
Gabarito: João deve notificar verbalmente a gerencia da área de Sistemas. A seguir deve enviar um memorando 
relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer follow-up do acerto da 
fragilidade e se até a hora da emissão do relatório tal fragilidade não tiver sido acertada, ela constará do relatório de 
Auditoria como fraqueza encontrada. 
 
 
 
 
 
 
Questão 
A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com 
responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua 
utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide: 
 
Gabarito: As funções de suporte técnico dividem-se em dois grandes grupos: funções rotineiras e funções 
esporádicas. 
 
Questão 
Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management 
Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem 
seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da 
empresa são:___________________. De acordo com a r e f e r ê n c i a responda citando 3 (três) dos p r o c e s s o s : 
 
Gabarito: Os processos são: 1. Planejamento das aquisições 2. Planejamento das solicitações 3. Solicitação 4. 
Seleção da fonte 5. Administração do contrato 6. Fechamento do contrato 
 
Questão 
A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos 
controles internos e programados como ferramentas de auditoria. Podemos dividir as tarefas de avaliação sob dois 
enfoques. Quais são elas? 
 
Gabarito: As tarefas de avaliação sob dois enfoques são: Verificação da estrutura dos sistemas e seus controles. 
Testes substantivos das transações executadas pelos sistemas. 
 
Questão 
Sabemos que ameaça é um evento ou atitude indesejável que potencialmente desabilita ou destrói um recurso. Diga 
como podem ser classificadas as ameaças, fornecendo um exemplo de cada tipo. 
 
Gabarito: ACIDENTAIS -> falha de hardware, incêndio, inundação, epidemia DELIBERADAS -> roubo, fraude, 
terrorismo, invasão ao sistema, etc. 
 
Questão 
Referente a comunicação de resultados sabemos que a composição de um relatório de auditoria é feita por: 
 ______, _______e ________. Complete a afirmativa respondendo com que partes o relatório será composto: 
 
Gabarito: O relatório será composto de: memorando capa, relatório final e relatório resposta. 
 
 
 
 
Questão 
Existem 5 (cinco) aspectos a serem considerados na escolha de um software para a auditoria de sistemas. De acordo 
com esta afirmativa cite esses aspectos: 
 
Gabarito: Os aspectos são: aspectos funcionais, aspectos de gestão, aspectos relacionados à tecnologia, aspectos de 
fornecimento de suporte e aspectos relacionados a custo. 
 
Questão 
A segurança é de suma importância para um Negócio Eletrônico garantir sua permanência no Mercado. Como 
comprar, sem ter a garantia que seus dados não serão clonados e que entregarão o produto solicitado? Disserte 
sobre a Segurança nos Negócios Eletrônicos. 
 
Gabarito: Segurança adequada à empresa virtual é uma questão muito importante. Devem existir medidas 
adequadas para garantir segurança às bases de dados, redes, aplicações, sistemas de pagamento e das operações 
financeiras. Autenticação de procedimentos e políticas devem ser desenvolvida e atualizadas regularmente para 
existir um ambiente seguro. Uso de tecnologias como criptografia auxiliam a organização,quanto os dados 
transferidos dos clientes. Um desafio é o dever da empresa ter uma clara política de privacidade dos dados dos 
clientes e a garantia de entrega dos produtos solicitados pelos clientes em tempo hábil e em perfeito estado. 
 
Questão 
Diariamente pessoas físicas e jurídicas vendem a outras pessoas por meio de anúncios classificados postados na 
web. Estes possuem mais vantagens do que aqueles publicados em jornais, pois atingem um público nacional, o que 
aumenta a oferta de bens e serviços disponíveis. Quais as principais categorias desses anúncios classificados? 
 
Gabarito: Podemos encontrar Classificados de veículos, imóveis, emprego, mercadorias em geral, itens de 
coleção, computadores, animais de estimação, passagens, hospedagens e viagens e estão disponíveis na 
maioria de provedores de internet e em alguns portais. 
 
Questão 
Explique como funciona a simulação paralela na auditoria. 
 
Gabarito: É um programa feito pelo auditor para simular as funções de rotina do sistema auditado com foco 
nos pontos de controle que o auditor quer testar. A massa de dados é da produção e roda no ambiente do 
auditor. 
 
 
 
 
 
Questão 
O que entendemos por CONTROLES INTERNOS no contexto de Auditoria de Sistemas? Forneça um exemplo. 
 
Gabarito: Controles Internos são controles embutidos nos sistemas para garantir segurança ao sistema, não 
afetando a funcionalidade do mesmo. É a validação e avaliação do planejamento, da execução e do controle do 
projeto. Exemplo: dígito verificador, senha e contra-senha do aplicativo 
 
Questão 
Uma das maiores dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver um determinado 
aplicativo. Com isto, Vários pontos deverão ser considerados. Com base na afirmativa cite os dois principais pontos: 
 
Gabarito: Devem ser considerados, principalmente os seguintes pontos: em relação aos riscos envolvidos e ao 
custo-benefício de ambas as alternativas. 
 
Questão 
Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um relatório DRAFT 
(rascunho), sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, 
Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, 
incluindo a gerência da Auditoria). Com base na afirmativa quando emitimos o relatório final? 
 
Gabarito: Emitimos somente após reunião, onde o rascunho do relatório foi discutido e chegou-se a um 
consenso, é que emitimos a versão final do relatório.