AV - AUDITORIA DE SISTEMAS

Prévia do material em texto

Avaliação: CCT0181_AV_200301107321 » AUDITORIA DE SISTEMAS
Tipo de Avaliação: AV
Aluno: 200301107321 - JULIANA MARA MELO DE SOUZA 
Professor: MARIA BENEDICTA GRAZIELLA GUIMARAES Turma: 9001/AA
Nota da Prova: 6,0 Nota de Partic.: 0,5 Data: 13/11/2013 13:20:46
1
a
 Questão (Ref.: 200301218042) Pontos: 0,8 / 0,8
¿Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha 
de um software generalista enquadrado em aspectos 
De fornecimento de suporte 
Funcionais
Relacionados à tecnologia 
De gestão 
Relacionados a custos 
2
a
 Questão (Ref.: 200301212358) Pontos: 0,4 / 0,8
Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa? 
Resposta: Políticas de seguranças são aquelas que abrangem o dia a dia da empresa, com seus planos e suas 
metas dentro da rotina de trabalho. Já o Plano de contigências são medidas especiais adotadas em caso de 
ocorrência de desastre.
Gabarito: Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para que seus 
dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de senhas, nível de acesso de 
usuários a rede e ao sistema e log de registros. Plano de contingência são procedimentos adotados, para que a 
empresa não pare, ou pare o mínimo no caso de desastre. Um exemplo de desastre pode ser: uma enchente na 
empresa, onde todos os sistemas param, a não ser que exista um plano que tenha previsto esta catástrofe e tenha 
uma alternativa pare que a empresa não pare 
3
a
 Questão (Ref.: 200301217930) Pontos: 0,8 / 0,8
Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para 
teste porque: 
O relatório ficará menos aberto à disputas e discussões
A alta cúpula poderá decidir mais firmemente sobre o desempenho dos auditores 
O auditado terá mais chances de reclamar com convicção 
A informação poderá sugerir acertos mais eficazes das falhas 
A nota do relatório necessita de detalhes técnicos 
4
a
 Questão (Ref.: 200301218028) Pontos: 0,8 / 0,8
Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na 
internet ou nos falsos telefonemas. É exemplo de engenharia social:
Abordagem em chats para saber telefone da pessoa
Abordagem na internet para descobrir clube mais comum na cidade 
Abordagem em chats para descobrir idade da pessoa 
Abordagem via telefone para saber produto de preferencia 
Abordagem via telefone para saber se a pessoa possui internet 
5a Questão (Ref.: 200301217997) Pontos: 0,8 / 0,8
Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente 
diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de 
crédito, um exemplo eficaz destas perguntas é: 
Data de seu nascimento? 
Número de seu RG? 
Nome do pai? 
Cidade onde nasceu? 
Data de vencimento da fatura do cartão?
6
a
 Questão (Ref.: 200301320021) Pontos: 0,8 / 0,8
João esta auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui 
dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possivel acessar os 
dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar 
essa fragilidade?
Resposta: Primeiramente João deve comunicar a falha para área responsável, para que, estando cientes da falha 
ocorrida, possam tomar as medidas necessárias.
Gabarito: João deve notificar verbalmente a gerencia da área de Sistemas. A seguir deve enviar um memorando 
relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer follow-up do acerto da 
fragilidade e , se até a hora da emissão do relatório tal fragilidade não tiver sido acertada, ela constará do relatório 
de Auditoria como fraqueza encontrada.
7
a
 Questão (Ref.: 200301217992) Pontos: 0,8 / 0,8
A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu 
que a primeira coisa a fazer seria: 
Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa
Fornecer treinamento de segurança ao pessoal de portaria 
Colocar cartazes sobre segurança nas dependências da empresa 
Solicitar ao setor de RH listagem de funcionários para uso na portaria 
Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa 
8
a
 Questão (Ref.: 200301217995) DESCARTADA
A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, 
o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. Este bloqueio 
deverá ser feito: 
2 dias antes da demissão 
Poucas horas após a funcionária ser demitida 
Na homologação da demissão 
No dia seguinte à demissão 
Poucos minutos antes de a funcionária ser avisada da demissão
9a Questão (Ref.: 200301206588) Pontos: 0,8 / 0,8
Após um brainstorming com a equipe de segurança e auditoria,foi definido que para falta de luz temos um impacto 
alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, 
para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a 
probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de 
ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? 
Ataque de hackers
Falta de luz 
Queda de raio
Quebra de servidor
Incêndio
10
a
 Questão (Ref.: 200301217979) Pontos: 0,0 / 0,8
Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da 
auditoria de aplicativos. Um exemplo de objetivo geral é:
Apreensibilidade 
Conformidade 
Portabilidade 
Idoneidade 
Privacidade 
11a Questão (Ref.: 200301217940) Pontos: 0,0 / 0,8
"Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença 
não é recomendada para inclusão em um relatório de auditoria porque:
Não diz qual rotina foi testada 
Possui muitas palavras generalistas
Não menciona o método de teste utilizado 
Não menciona o nome do sistema 
Usa a voz passiva e ativa na mesma frase 
Período de não visualização da prova: desde 04/11/2013 até 22/11/2013.