Baixe o app para aproveitar ainda mais
Prévia do material em texto
(SIMULADO). Além da CONFIDENCIALIDADE, que preocupa-se com a leitura dos dados, quais os outros quatro objetivos da segurança? Descreva cada um deles. INTEGRIDADE ( preocupa -se com a gravação de dados), • DISPONIBILIDADE (o sistema estará disponível quando for necessário), • CONSISTÊNCIA (o sistema funciona conforme expectativa dos usuários autorizados), • CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em situações adversas) • Gabarito (SIMULADO). A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se de protocolos. Responda à questão citando quais são esses principais protocolos: Gabarito Os principais são os protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP. (1,5). O que entendemos por CONTROLES INTERNOS no contexto de Auditoria de Sistemas? Forneça um exemplo. Gabarito Controles Internas são controles embutidos nos sistemas para garantir segurança ao sistema, não afetando a funcionalidade do mesmo. É a validação e avaliação do planejamento, da execução e do controle do projeto. Exemplo: digito verificador, senha e contra-senha da aplicativo (1,5). Em caso de resposta afirmativa para a pergunta "A empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente?", referente à programação, as auditoras deveriam buscar controles para assegurar exatamente o que? Os programas sejam desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa. • A codificação de programas novos ou alterados esteja sujeita à revisão pelos supervisores de programação. • Sistemas novos ou modificados não sejam colocados em operação antes de estarem autorizados e aprovados para implantação. • Gabarito Discursivas quinta-feira, 17 de novembro de 2016 14:36 Provas Page 1 autorizados e aprovados para implantação. (SIMULADO). João está auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possível acessar os dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar essa fragilidade? Gabarito João deve notificar verbalmente a gerência da área de Sistemas. A seguir deve enviar um memorando relatando o fato e solicitando providencias pela área de Sistemas. João deverá fazer folow-up do acerto da fragilidade e , se até a hora da emissão do relatório tal fragilidade não tiver sida acertada, ela constará do relatório de Auditoria coma fraqueza encontrada. (ANTIGA). O que é uma trilha de auditoria e para que ela serve? Gabarito Trilha de auditoria é um conjunto de rotinas e arquivos de controle que permitem a reconstrução de dados ou procedimentos. (1,5). Quando os auditores usam testes substantivos em uma auditoria? Gabarito Quando eles querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões. (1,0). O software de auditoria consiste em programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema pronto no mercado, requer _____________. Com base na afirmativa como deverá ser essa tomada de decisão? Gabarito uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que melhor atenda suas necessidades. (ANTIGA). Existem 5 (cinco) aspectos a serem considerados na escolha de um software para a auditoria de sistemas. De acordo com esta afirmativa cite esses aspectos: Provas Page 2 com esta afirmativa cite esses aspectos: Gabarito Os aspectos são: aspectos funcionais, aspectos de gestão, aspectos relacionados à tecnologia, aspectos de fornecimento de suporte e aspectos relacionados a custo. (1,5). Há dois momentos em que um auditor emite documentos sobre o trabalho de auditoria. Quais são eles e quando eles são emitidos? Gabarito São dois momentos: Durante a auditoria, ao encontrar uma falha no sistema, quando o auditor comunica a fraqueza encontrada e solicita prazo para acerto da mesma e no final da auditoria, quando é emitido o relatório final de auditoria, contendo as fraquezas não consertadas durante o trabalho de auditoria. (1,5). Softwares Generalistas são constituídos de um conjunto de programas em ambiente BATCH. Cite pelo menos duas vantagens em utiliza-los em Auditoria. Gabarito O Software pode processar vários arquivos ao mesmo tempo; Pode processar vários tipos de arquivos com formatos distintos; Pode fazer integração sistêmica com vários tipos de softwares e Hardwares e O Auditor não precisa ser especialista em informática para desenvolver aplicativos para testar. (1,5). Segundo a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo 12, dedicado à gerência de aquisições, os grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa sao: Gabarito Os processos são: 1. Planejamento das aquisições 2. Planejamento das solicitações 3. Solicitação 4. Seleção da fonte 5. Administração do contrato 6. Fechamento do contrato (1,5). Por que, em termos de confidencialidade de informações, os gestores da empresa podem sentir-se mais confortáveis com a auditoria de sistemas interna? Provas Page 3 auditoria de sistemas interna? Gabarito Devido ao fato de teoricamente o comprometimento dos auditores internos ser maior que a dos auditores externos, que tem comprometimento com a empresa de onde são funcionários. (1,5). Identificar os recursos críticos significa definir o que precisa ser protegido. Cite três recursos que devem ser protegidos. Gabarito Hardware; Pessoas; Documentação (1,5). Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa? Gabarito Política de segurança são todos os procedimentos que a empresa adota no seu dia-a-dia, para que seus dados e seu sistema operem a toda carga. Nesses procedimentos estão a política de senhas, nível de acesso de usuários a rede e ao sistema e log de registros. Plano de contingência são procedimentos adotados, para que a empresa não pare, ou pare o mínimo no caso de desastre. Um exemplo de desastre pode ser: uma enchente na empresa, onde todos os sistemas param, a não ser que exista um plano que tenha previsto esta catástrofe e tenha uma alternativa pare que a empresa não pare (1,5). Sabemos que ameaça é um evento ou atitude indesejável que potencialmente desabilita ou destrói um recurso. Diga como podem ser classificadas as ameaças, fornecendo um exemplo de cada tipo. Gabarito ACIDENTAIS -> falha de hardware, incêndio, inundação, epidemia DELIBERADAS -> roubo, fraude, terrorismo, invasão ao sistema, etc (1,5). Referente a comunicação de resultados sabemos que a composição de um relatório de auditoria é feita por: _______, _________ e _________. Complete a afirmativa respondendo com que partes o relatório será composto: Gabarito O relatório será composto de: memorando capa, relatório final e relatório resposta. (1,5). Uma das maiores dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver um determinado aplicativo. Com Provas Page 4 sobre comprar ou desenvolver um determinado aplicativo. Com isto, vários pontos deverão ser considerados. Com base na afirmativa cite os dois principais pontos:Gabarito Devem ser considerados, principalmente os seguintes pontos: em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. (1,5). Uma técnica de captura de senha muito utilizada e a de criar um ambiente idêntico para que o usuário digite seu login e sua senha permitindo a captura de seu login e senha do ambiente real. Esta técnica e muito usada para obter logins e senhas de bancos onde o usuário digita agencia, conta, e senha permitindo assim ao fraudador obter informações sigilosas sobre sua conta. Para ser usado posteriormente de forma indevida. Esta técnica de engenharia social pode ser facilmente detectada e anulada por qualquer usuário caso estes executem qual procedimento básico: ? Gabarito O procedimento básico seria a instalação e a contínua atualização de um antivírus de boa qualidade. Além de realizar escaneamentos periódicos na máquina. Considerando as fases de uma Auditoria de Sistemas, qual é a finalidade da fase de Follow-up? • (1,5). Desde pequena Patrícia já demonstrava vocação para as artes. Durante sua infância ela ... Blah blah blah. Gabarito A finalidade da fase de Follow-up é acompanhar a solução das falhas quer durante o trabalho de campo, quer após a emissão do relatório. A verificação do acerto deve ser feita pessoalmente, incluindo testes para verificar se os acertos foram eficientes. Todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou do CPD, se for o caso. (1,5). Atualmente os processos de autenticação estão baseados em quantos métodos distintos ? E quais são eles Gabarito Três métodos: Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem 1) A política de segurança é um importante instrumento onde as definições ligadas à autorização devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar aderentes ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das informações. Provas Page 5 Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem acesso à determinado sistema e ou serviço. 1) Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o mesmo possa ser identificado ao utilizá-la. 2) Método baseado em uma informação única do corpo humano (biométrica) do usuário para que o mesmo possa ser identificado ao utilizá-la. 3) (1,5). O que é um hash total? Gabarito: hash total é um CAMPO de controle colocado nos header ou trailer labels a fim de assegurar a integridade dos dados. (1,5). Não emitimos o relatório final sem uma prévia discussão com o auditado. Para tanto, emitimos um relatório DRAFT (rascunho), sem a parte de conclusões e enviamos para os envolvidos (auditado e sua gerência, Gerência de Risco, Gerência Financeira e/ou quaisquer outras gerências da empresa que tenham relação com o objeto da auditoria, incluindo a gerência da Auditoria). Com base na afirmativa quando emitimos o relatório final? Gabarito Emitimos somente após reunião, onde o rascunho do relatório foi discutido e chegou-se a um consenso, é que emitimos a versão final do relatório. (1,5). A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. Cite os dois grupos em que a função de suporte técnico se divide: Gabarito Funções Rotineiras e Funções Esporádicas (1,5). Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. Quando estamos em auditorias de sistemas em desenvolvimento, nossa atenção é focada no que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Já para sistemas em operação, além de vermos se tais pontos de controle foram implementados, devemos testá-los. Saber quantos registros serão testados é algo a ser definido, considerando-se os pontos de controle. Para tanto, o auditor pode contar com três Provas Page 6 pontos de controle. Para tanto, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação. Com base nesta afirmativa cite quais são essas categorias e programas: Gabarito Softwares generalistas; Softwares especializados; Softwares utilitários. (1,5). O COBIT define sete critérios de informações que podemos adotar como sendo objetivo de uma auditoria de sistemas. Com base nesta afirmativa cite 3 (três) deles: Gabarito efetividade, eficiência, confidencialidade, integridade, disponibilidade, conformidade e confiança. (1,5). Explique como funciona a simulação paralela na auditoria. Gabarito É um programa feito pelo auditor para simular as funções de rotina do sistema auditado com foco nos pontos de controle que o auditor quer testar. A massa de dados é da produção e roda no ambiente do auditor. Provas Page 7
Compartilhar