BDQ - Questões Discursivas

Prévia do material em texto

(SIMULADO). Além da CONFIDENCIALIDADE, que preocupa-se com 
a leitura dos dados, quais os outros quatro objetivos da 
segurança? Descreva cada um deles. 
INTEGRIDADE ( preocupa -se com a gravação de dados), •
DISPONIBILIDADE (o sistema estará disponível quando for necessário), •
CONSISTÊNCIA (o sistema funciona conforme expectativa dos usuários autorizados), •
CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em 
situações adversas) 
•
Gabarito
(SIMULADO). A gestão efetiva das redes concentra-se nos 
controles relacionados com comunicação de dados e informações 
nas camadas físicas e de enlace utilizando-se de protocolos. 
Responda à questão citando quais são esses principais protocolos: 
Gabarito
Os principais são os protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP 
e dos protocolos de aplicação DNS, SNMP, HTTP. 
(1,5). O que entendemos por CONTROLES INTERNOS no contexto 
de Auditoria de Sistemas? Forneça um exemplo. 
Gabarito
Controles Internas são controles embutidos nos sistemas para garantir segurança ao sistema, não 
afetando a funcionalidade do mesmo. É a validação e avaliação do planejamento, da execução e 
do controle do projeto. 
Exemplo: digito verificador, senha e contra-senha da aplicativo 
(1,5). Em caso de resposta afirmativa para a pergunta "A empresa 
faz desenvolvimento ou modificações de sistemas aplicativos 
internamente?", referente à programação, as auditoras deveriam 
buscar controles para assegurar exatamente o que? 
Os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de 
programação ou outras orientações usadas pela empresa. 
•
A codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores 
de programação. 
•
Sistemas novos ou modificados não sejam colocados em operação antes de estarem 
autorizados e aprovados para implantação. 
•
Gabarito
Discursivas
quinta-feira, 17 de novembro de 2016 14:36
 Provas Page 1 
autorizados e aprovados para implantação. 
(SIMULADO). João está auditando um sistema de contas correntes 
de um banco. Ele constatou que o código do cliente não possui 
dígito verificador. Este fato significa uma fraqueza pois ao digitar o 
código da conta errada é possível acessar os dados de outra conta, 
caso o código digitado erradamente exista. Quais as primeiras 
atitudes de João ao constatar essa fragilidade? 
Gabarito
João deve notificar verbalmente a gerência da área de Sistemas. A seguir deve enviar um 
memorando relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer 
folow-up do acerto da fragilidade e , se até a hora da emissão do relatório tal fragilidade não tiver 
sida acertada, ela constará do relatório de Auditoria coma fraqueza encontrada. 
(ANTIGA). O que é uma trilha de auditoria e para que ela serve? 
Gabarito
Trilha de auditoria é um conjunto de rotinas e arquivos de controle que permitem a reconstrução 
de dados ou procedimentos. 
(1,5). Quando os auditores usam testes substantivos em uma 
auditoria? 
Gabarito
Quando eles querem obter evidências, isto é, provas suficientes e convincentes sobre transações, 
que lhe proporcionem fundamentação para suas opiniões. 
(1,0). O software de auditoria consiste em programas aplicativos 
cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, 
melhorando seu desempenho. Desenvolver um sistema de 
auditoria em casa, ou comprar um sistema pronto no mercado, 
requer _____________. Com base na afirmativa como deverá ser 
essa tomada de decisão? 
Gabarito
uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que 
melhor atenda suas necessidades. 
(ANTIGA). Existem 5 (cinco) aspectos a serem considerados na 
escolha de um software para a auditoria de sistemas. De acordo 
com esta afirmativa cite esses aspectos: 
 Provas Page 2 
com esta afirmativa cite esses aspectos: 
Gabarito
Os aspectos são: aspectos funcionais, aspectos de gestão, aspectos relacionados à tecnologia, 
aspectos de fornecimento de suporte e aspectos relacionados a custo. 
(1,5). Há dois momentos em que um auditor emite documentos 
sobre o trabalho de auditoria. Quais são eles e quando eles são 
emitidos? 
Gabarito
São dois momentos: Durante a auditoria, ao encontrar uma falha no sistema, quando o auditor 
comunica a fraqueza encontrada e solicita prazo para acerto da mesma e no final da auditoria, 
quando é emitido o relatório final de auditoria, contendo as fraquezas não consertadas durante o 
trabalho de auditoria. 
(1,5). Softwares Generalistas são constituídos de um conjunto de 
programas em ambiente BATCH. Cite pelo menos duas vantagens 
em utiliza-los em Auditoria. 
Gabarito
O Software pode processar vários arquivos ao mesmo tempo;
Pode processar vários tipos de arquivos com formatos distintos; 
Pode fazer integração sistêmica com vários tipos de softwares e Hardwares e O Auditor não 
precisa ser especialista em informática para desenvolver aplicativos para testar. 
(1,5). Segundo a metodologia PMBOK (Project Management Body 
of Knowledge) do PMI (Project Management Institute), em seu 
capítulo 12, dedicado à gerência de aquisições, os grandes grupos 
de processos a serem seguidos para que uma empresa faça uma 
aquisição de bem ou serviço que não esteja disponível dentro da 
empresa sao: 
Gabarito
Os processos são: 
1. Planejamento das aquisições 
2. Planejamento das solicitações 
3. Solicitação 
4. Seleção da fonte 
5. Administração do contrato 
6. Fechamento do contrato 
(1,5). Por que, em termos de confidencialidade de informações, os 
gestores da empresa podem sentir-se mais confortáveis com a 
auditoria de sistemas interna? 
 Provas Page 3 
auditoria de sistemas interna? 
Gabarito
Devido ao fato de teoricamente o comprometimento dos auditores internos ser maior que a dos 
auditores externos, que tem comprometimento com a empresa de onde são funcionários. 
(1,5). Identificar os recursos críticos significa definir o que precisa 
ser protegido. Cite três recursos que devem ser protegidos. 
Gabarito
Hardware; Pessoas; Documentação 
(1,5). Conforme o conteúdo estudado defina o que são Política de 
Segurança e Plano de Contingência de uma empresa? 
Gabarito
Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para 
que seus dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de 
senhas, nível de acesso de usuários a rede e ao sistema e log de registros. Plano de contingência 
são procedimentos adotados, para que a empresa não pare, ou pare o mínimo no caso de 
desastre. 
Um exemplo de desastre pode ser: uma enchente na empresa, onde todos os sistemas param, a 
não ser que exista um plano que tenha previsto esta catástrofe e tenha uma alternativa pare que 
a empresa não pare 
(1,5). Sabemos que ameaça é um evento ou atitude indesejável 
que potencialmente desabilita ou destrói um recurso. Diga como 
podem ser classificadas as ameaças, fornecendo um exemplo de 
cada tipo. 
Gabarito
ACIDENTAIS -> falha de hardware, incêndio, inundação, epidemia 
DELIBERADAS -> roubo, fraude, terrorismo, invasão ao sistema, etc 
(1,5). Referente a comunicação de resultados sabemos que a 
composição de um relatório de auditoria é feita por: _______, 
_________ e _________. Complete a afirmativa respondendo com 
que partes o relatório será composto: 
Gabarito
O relatório será composto de: memorando capa, relatório final e relatório resposta. 
(1,5). Uma das maiores dúvidas de um gestor de sistemas é decidir 
sobre comprar ou desenvolver um determinado aplicativo. Com 
 Provas Page 4 
sobre comprar ou desenvolver um determinado aplicativo. Com 
isto, vários pontos deverão ser considerados. Com base na 
afirmativa cite os dois principais pontos:Gabarito
Devem ser considerados, principalmente os seguintes pontos: em relação aos riscos envolvidos e 
ao custo-benefício de ambas as alternativas. 
(1,5). Uma técnica de captura de senha muito utilizada e a de criar 
um ambiente idêntico para que o usuário digite seu login e sua 
senha permitindo a captura de seu login e senha do ambiente real. 
Esta técnica e muito usada para obter logins e senhas de bancos 
onde o usuário digita agencia, conta, e senha permitindo assim ao 
fraudador obter informações sigilosas sobre sua conta. Para ser 
usado posteriormente de forma indevida. Esta técnica de 
engenharia social pode ser facilmente detectada e anulada por 
qualquer usuário caso estes executem qual procedimento básico: ? 
Gabarito
O procedimento básico seria a instalação e a contínua atualização de um antivírus de boa 
qualidade. Além de realizar escaneamentos periódicos na máquina. 
Considerando as fases de uma Auditoria de Sistemas, qual é a 
finalidade da fase de Follow-up? 
•
(1,5). Desde pequena Patrícia já demonstrava vocação para as 
artes. Durante sua infância ela ... Blah blah blah.
Gabarito
A finalidade da fase de Follow-up é acompanhar a solução das falhas quer durante o trabalho de 
campo, quer após a emissão do relatório. A verificação do acerto deve ser feita pessoalmente, 
incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve ser 
documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do CPD, se for o 
caso. 
(1,5). Atualmente os processos de autenticação estão baseados em 
quantos métodos distintos ? E quais são eles 
Gabarito
Três métodos: 
Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem 1)
A política de segurança é um importante instrumento onde as definições ligadas à autorização 
devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar 
aderentes ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das 
informações. 
 Provas Page 5 
Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem 
acesso à determinado sistema e ou serviço. 
1)
Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o 
mesmo possa ser identificado ao utilizá-la. 
2)
Método baseado em uma informação única do corpo humano (biométrica) do usuário para 
que o mesmo possa ser identificado ao utilizá-la. 
3)
(1,5). O que é um hash total? 
Gabarito:
hash total é um CAMPO de controle colocado nos header ou trailer labels a fim de assegurar a 
integridade dos dados.
(1,5). Não emitimos o relatório final sem uma prévia discussão com 
o auditado. Para tanto, emitimos um relatório DRAFT (rascunho), 
sem a parte de conclusões e enviamos para os envolvidos 
(auditado e sua gerência, Gerência de Risco, Gerência Financeira 
e/ou quaisquer outras gerências da empresa que tenham relação 
com o objeto da auditoria, incluindo a gerência da Auditoria). Com 
base na afirmativa quando emitimos o relatório final? 
Gabarito
Emitimos somente após reunião, onde o rascunho do relatório foi discutido e chegou-se a um 
consenso, é que emitimos a versão final do relatório. 
(1,5). A função de suporte refere-se aos usuários de tecnologia da 
informação e o nome dos indivíduos com responsabilidade de 
implantar, manipular e supervisionar os recursos de alta tecnologia 
e de dar apoio a sua utilização nas empresas. Cite os dois grupos 
em que a função de suporte técnico se divide: 
Gabarito
Funções Rotineiras e Funções Esporádicas 
(1,5). Podemos realizar uma auditoria de sistemas em sistemas em 
desenvolvimento ou em operação. Quando estamos em auditorias 
de sistemas em desenvolvimento, nossa atenção é focada no que 
foi planejado em termos de controles internos, processos e 
controles de negócios a serem implementados nos sistemas. Já 
para sistemas em operação, além de vermos se tais pontos de 
controle foram implementados, devemos testá-los. Saber quantos 
registros serão testados é algo a ser definido, considerando-se os 
pontos de controle. Para tanto, o auditor pode contar com três 
 Provas Page 6 
pontos de controle. Para tanto, o auditor pode contar com três 
tipos de programas de auditoria de tecnologia de informação. Com 
base nesta afirmativa cite quais são essas categorias e programas: 
Gabarito
Softwares generalistas; Softwares especializados; Softwares utilitários. 
(1,5). O COBIT define sete critérios de informações que podemos 
adotar como sendo objetivo de uma auditoria de sistemas. Com 
base nesta afirmativa cite 3 (três) deles: 
Gabarito
efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. 
(1,5). Explique como funciona a simulação paralela na auditoria. 
Gabarito
É um programa feito pelo auditor para simular as funções de rotina do sistema auditado com 
foco nos pontos de controle que o auditor quer testar. A massa de dados é da produção e roda 
no ambiente do auditor. 
 Provas Page 7