Baixe o app para aproveitar ainda mais
Prévia do material em texto
auditoria 1 Além da CONFIDENCIALIDADE, que preocupa-se com a leitura dos dados, quais os outros quatro objetivos da segurança ? Descreva cada um deles. Gabarito: INTEGRIDADE ( preocupa-se com a gravação de dados), DISPONIBILIDADE (Sistema disponível quando for necessário), CONSISTÊNCIA (Sistema funciona conforme expectativa dos usuários autorizados), CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em situações adversas O que é uma trilha de auditoria e para que ela serve? Gabarito: É um conjunto de rotinas e arquivos de controle que permitem reconstruir dados ou procedimentos. Quando os auditores usam testes substantivos em uma auditoria? Gabarito: Quando eles querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões. Existem 5 (cinco) aspectos a serem considerados na escolha de um software para a auditoria de sistemas. De acordo com esta afirmativa cite esses aspectos Gabarito: Os aspectos são: funcionais, de gestão, relacionados à tecnologia, aspectos de fornecimento de suporte e relacionados a custo. João esta auditando um sistema de contas correntes de um banco. Ele constatou que o código do cliente não possui dígito verificador. Este fato significa uma fraqueza pois ao digitar o código da conta errada é possível acessar os dados de outra conta, caso o código digitado erradamente exista. Quais as primeiras atitudes de João ao constatar essa fragilidade? Notificar verbalmente a gerencia da área de Sistemas, enviar um memorando relatando o fato e solicitando providencias pela área de Sistemas. Fazer follow-up do acerto da fragilidade e, se até a hora da emissão do relatório tal fragilidade não tiver sido acertada, ela constará do relatório de Auditoria como fraqueza encontrada. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se de protocolos. Responda a questão citando quais são esses principais protocolos: Gabarito Os principais são os protocolos de camada de rede IP e OSI, de camada de transporte TCP e dos protocolos de aplicação DNS, SNMP, HTTP. Atualmente as ameaças estão sendo cada vez maiores. Com isso, temos o autor SÊMOLA que afirma que as ameaças são classificas e divididas. Com base na afirmativa como podemos classificar e dividir as ameaças? Gabarito: Vírus, Funcionário Insatisfeito, Erros e Acidentes, Divulgação de Senhas, Pirataria, Acessos Indevidos, Hackers, Superpoderes de Acesso, Roubo de Senha, Alteração Indevida, Roubo/Furto, Falhas de Energia, Uso de Notebooks, Acesso Remoto Indevidos, Incêndios/Desastres, Fraude, Lixo Informático, Fraudes em E-mail, Espionagem Industrial e Sabotagens auditoria 2 Conforme o conteúdo estudado defina o que são Política de Segurança e Plano de Contingência de uma empresa? Gabarito Política de segurança Procedimentos que empresa adota no dia-a-dia, para seus dados e seu sistema operem a toda carga. Nesses procedimentos estão: política de senhas, nível de acesso de usuários a rede e ao sistema e log de registros). Plano de contingência Procedimentos adotados, para que a empresa não pare, ou pare o mínimo no caso de desastre. Uma técnica de captura de senha muito utilizada e a de criar um ambiente idêntico para que o usuário digite seu login e sua senha permitindo a captura de seu login e senha do ambiente real. Esta técnica e muito usada para obter logins e senhas de bancos onde o usuário digita agencia, conta, e senha permitindo assim ao fraudador obter informações sigilosas sobre sua conta. Para ser usado posteriormente de forma indevida. Esta técnica de engenharia social podem ser facilmente detectada e anulada por qualquer usuário caso estes execute qual procedimento básico? Resposta: Instalação e atualização contínua de um antivírus de boa qualidade. Além de realizar escaneamentos periódicos na máquina. Atualmente os processo de autenticação estão baseados em quantos métodos distintos? E quais são eles Gabarito: Três métodos: A política de segurança é um importante instrumento onde as definições ligadas à autorização devem estar descritas. Os critérios adotados para a criação de grupos de perfil devem estar aderentes ao modelo de gestão da empresa e preferencialmente orientado pela criticidade das informações. 1 - Senha: sequência de caracteres - números, letras ou caracteres especiais - que permitem acesso à determinado sistema e ou serviço. 2 - Método baseado em um dispositivo físico dado exclusivamente ao usuário para que o mesmo possa ser identificado ao utilizá-la. 3- Método baseado em uma informação única do corpo humano (biométrica) do usuário para que o mesmo possa ser identificado ao utilizá-la. O software Audit Information Facilities é um programa de auditoria interna. Dentre suas funções ele integra equipes, automatiza processos de cobrança, gera gráficos e relatórios. Também permite no módulo de execução, recursos de follow-up e time´sheet. Partindo do que vimos, podemos afirmar que : I – O tempo trabalhado em cada atividade é documentado no sistema II – O sistema divide as tarefas equativamente entre a equipe de auditoria III – O sistema permite controle de custos de horas diretas e indiretas, por auditoria Estão acorretas a I e III Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa auditoria 3 Todas as sentenças estão corretas Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: testes de controles de negócio Observe as afirmativas identificando se é Verdadeira ou Falsa. Marque a opção abaixo que está correta: ( F ) Uma senha com oito dígitos onde o usuário utilizou regras de segurança para sua elaboração esta livre de ser obtida por outra pessoa (V ) Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede (V ) A instalação de firewall protege os computadores de acesso não autorizados sem que o usuário tenha que se preocupar com qualquer tipo de invasão ao seu computador (F ) A existência de um backdoor depende necessariamente de uma invasão (F ) O spam causa Impacto na banda. para as empresas e provedores o volume de tráfego gerado por causa de spams os obriga a aumentar a capacidade de seus links de conexão com a Internet. Como o custo dos links é alto, isto diminui os lucros do provedor e muitas vezes podem refletir no aumento dos custos para o usuário F,V,V,F,F Os testes de observância mostram se os colaboradores da organização respeitam as normas internas pré-estabelecidas. Desta forma podemos esperar que sejam testes de observância: I. A existência real de contratos com as respectivas assinaturas de seus clientes II. O efetivo cálculo de multas por atraso em saldos do sistema de crediário (taxas utilizadas) III. A real existência de que as transações comunicadas/registradas tenham ocorrido. Marque a opçãocorreta: opções I e II Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Essa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fic só a opção III Um programa de auditoria gerou dois valores distintos para um mesmo cálculo de taxas. Este programa estaria infringindo o atributo Consistência Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos auditoria 4 II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Resp: Todas as sentenças estão corretas Durante a realização de uma auditoria no sistema de administração de cartão de crédito, o auditor solicitou ao gerente do projeto o manual de operação do sistema. O gerente disse que o mesmo estava em fase final de elaboração e que estaria pronto em 3 dias. O auditor: Espera 3 dias para pedir o manual e se o mesmo não for entregue então emite uma referência (notificação de falha no sistema) A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle de acesso físico ao ambiente de informática Falando em técnicas de auditoria, podemos afirmar que: A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: As pessoas que tem seus nomes mencionados no plano Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da auditoria de aplicativos. Um exemplo de objetivo geral é: Privacidade Sabemos que a segurança dos dados envolve tanto leitura como gravação, por pessoas autorizadas a tanto. O objetivo de auditoria que se preocupa com a leitura de dados é: confidencialidade Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para: auditores internos experientes em tecnologia da informação Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: Programa de computador para auditoria Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para: Auditores internos experientes em tecnologia da informação auditoria 5 As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas Ao escrevermos u relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque: O relatório os fica menos aberto à disputas e disussões Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: Ameaça Uma das vantagens de uso de softwares generalista é que: o software pode processar vários arquivos ao mesmo tempo Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: segurança do sistema Na técnica de Auditoria "programas de computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se correlação de arquivos A técnica de auditoria onde os dados de teste são integrados aos ambientes reais de processamento, utilizando-se de versões atuais da produção é a técnica: análise lógica de programação Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Todas as sentenças estão corretas Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: a metodologia utilizada é da empresa de auditoria externa auditoria 6 Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem com o computador Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: Ponto de controle Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: segurança do sistema A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades Na técnica de Auditoria "programas de computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se: correlação de arquivos Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Cobit A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos programas chama-se: análise lógica de programação O objetivo da auditoria que se preocupa se o sistema funciona conforme a expectativa dos usuários autorizados é: Consistência Não fazemos planos de contingência para todos os serviços ou , mas apenas para os sistemas críticos que são aqueles: Essenciais para manter a qualidade dos serviços Osprogramas utilitários são programas que contém funções básicas de processamentos e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar em relação aos programas utilitários: Os auditores nãoprecisam de muita experiência em programação auditoria 7 Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca externa para guarda das cópias de arquivos e demais documentos necessários para a restauração das informações da empresa, em caso de emergência. A atitude do auditor foi: Alertar para o risco de não se ter uma biblioteca externa e a seguir emitir uma referência sobre a falha encontrada. Quando uma empresa contrata uma firma de auditoria num sistema de folha de pagamento, estamos falando de auditoria externa. Nesta caso: A metodologia usada é da empresa da auditoria externa. Ao elegermos um sistema de auditoria devemos selecionar as unidades de controles internos, de controles de processos e de controles de negócios que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: Aceite do usuário A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: Esses planos são testados periodicamente. Dentre os aspectos funcionais a serem considerados na escolha de um software genralista de auditoria de sistema, devemos considerar que o software permita: Comentários do auditor A análise dos relatórios emitidos pela aplicação da técnica de mapping permite a constatação de situações tais como rotinas existentes em programas já desativados ou de uso esporádico e de rotinas mais utilizadas a cada processamento do programa. Partindo desse pressuposto, podemos dizer que: I. Essa técnica não deve ser utilizada por auditores iniciantes II. Essa técnica requer a inclusão de rotinas específicas no sistema operacional utilizado III. Essa técnica só pode ser utilizada em ambiente de produção. Marque a opção correta: opções I e II A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. Este bloqueio deverá ser feito: Poucos minutos antes de a funcionária ser avisada da demissão "Vários testes foram elaborados e encontramos muitos erros durante a fase de teste da auditoria". Esta sentença não é recomendada para inclusão em um relatório de auditoria porque: Possui muitas palavras generalistas Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da auditoria de aplicativos. Um exemplo de objetivo geral é: auditoria 8 Privacidade A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: integridade de dados Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as): acordos de confidencialidade e de não-divulgação. A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: mapping Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para: auditores internos experientes em tecnologia da informação Duas horas após um incêndio no prédio do CPD de uma loja de departamentos, o responsável pelo CPD conseguiu recuperar seus arquivos, no próprio CPD, porque: tinha cópias backups no CPD Uma das vantagens de uso de softwares generalista é que: O software pode processar vários arquivos ao mesmo tempo Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: os auditores não necessitam de muita experiência em programação Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: As pessoas que tem seus nomes mencionados no plano A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: auditoria 9 Análise do log/accounting Analise as sentenças abaixo sobre as fases de uma Auditoria de Sistemas e, em seguida, assinale a alternativa correta: I. Na fase de Follow-up é necessário escolher quais os sistemas que são passíveis de serem auditados, o que normalmente é feito pelo escore de risco II. Na fase de Execução deve ser realizada uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas e também da área usuária, na qual a Auditoria irá informar o tempo estimado do trabalho. III. Na fase de Planejamento a Auditoria deve acompanhar a solução das falhas durante o trabalho de campos e também após a emissão do relatório Somente a sentença II está correta As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: O hardware e software são considerados como custo ou investimento? O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: rastreamento Uma técnica sempre presente nas auditorias se refere ao _______________________. Sendo que esta técnica está classificada em dois tipos diferentes chamados de teste de observância e teste substantivo. Com base na afirmativa marque a opção que a completa corretamente: teste do sistema auditado Analise as seguintes afirmações relacionadas à emissão de relatórios de auditoria de sistemas de informação. Qual opção tem todas as afirmações verdadeiras? I - Um emitido exclusivamente nos padrões da empresa realizadora da auditoria. III - Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção. Segurança na empresa significa proteção de informações, recursos, serviços e acesso no intuito de: dirimir ocorrências fraudulentas reduzir a probabilidade de dano evitar a ocorrência de riscos Para obter um bom resultado na confecção de um relatório de auditoria devemos Evitar frases longas, eliminar excesso de detalhes e usar palavras curtas. auditoria 10 Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocantea: Segurança quanto à disponibilidade da rede Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: Controles sobre monitoramento Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. Apenas a sentença III está correta Analise as seguintes afirmações relacionadas à emissão de relatórios de auditoria de sistemas de informação. I. Um relatório de auditoria deverá ser emitido exclusivamente nos padrões da empresa realizadora da auditoria. II. Um relatório de auditoria deverá apontar riscos em que a empresa incorre em decorrência das fraquezas apontadas. III. Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção. IV. Um relatório de auditoria deverá fazer um apontamento de prazos para implementações de medidas ou plano de ações. Indique a opção que contenha todas as afirmações verdadeiras II e IV O código de ética da Organização Internacional de Instituições Supremas de Auditoria (INT OSAI) define como valores e princípios básicos da atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo profissional e a competência. Ao iniciar um trabalho de auditoria sem definir claramente a finalidade da auditoria e o modelo de conformidade no qual a auditoria se apoia, qual valor ou princípio um auditor estaria primariamente falhando em atender? auditoria 11 Objetividade 6a Questão (Ref.: 201002111387) Pontos: 0,8 / 0,8 "Os testes realizados no sistema X foram altamente significativos para determinar que a rotina de cálculo de valor líquido está errada". Esta afirmativa não está apropriada para inclusão em um relatório de auditoria porque: Não permite a visualização do número e valor dos testes realizados A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. Poucos minutos antes de a funcionária ser avisada da demissão Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: Controles sobre monitoramento O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Confidencialidade de redes seriam controles internos da categoria: Segurança do sistema Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: Testes de controles de negócio Observe as afirmativas identificando se é Verdadeira ou Falsa. Marque a opção abaixo que está correta: Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede. A instalação de firewall protege os computadores de acesso não autorizados sem que o usuário tenha que se preocupar com qualquer tipo de invasão ao seu computador Os testes de observância mostram se os colaboradores da organização respeitam as normas internas pré-estabelecidas. Desta forma podemos esperar que sejam testes de observância: A existência real de contratos com as respectivas assinaturas de seus clientes O efetivo cálculo de multas por atraso em saldos do sistema de crediário (taxas utilizadas) auditoria 12 Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: A base de dados real fica integra em relação aos dados inseridos. A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: Ela necessita de autonomia para executar suas atividades Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: Está calçada em segurança e em controles internos Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa O Plano de backup é ativado assim que é aprovado e, dentre outras coisas: Fornece acordos com terceiros através de acordos de reciprocidade Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: Aceite do usuário Na técnica de Auditoria "programas de computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se: Correlação de arquivos Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: A metodologia utilizada é da empresa de auditoria externa Após um brainstorming com a equipe de segurança e auditoria, foi definido que para falta de luz temos um impacto alto uma média probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? Ataque de hackers 9a Questão (Cód.: 88697) auditoria 13 Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: Entrevista Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internosII. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Com relação à segurança da informação, os itens abaixo são Verdadeiros ou Falsos? ( F ) Confiabilidade é tornar uma informação disponível no momento em que ela se torna necessária. (F ) Uma informação será considerada íntegra quando seu conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa. (V ) Um elemento fundamental a ser considerado no ambiente empresarial atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem. (F ) O desenvolvimento de software seguro é uma funcionalidade presente em todas as ferramentas e padrões existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aosrequisitos do cliente, pois segurança, hoje, é uma questão secundária FFVF As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... O desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. A análise dos relatórios emitidos pela aplicação da técnica de mapping permite a constatação de situações tais como rotinas existentes em programas já desativados ou de uso esporádico e de rotinas mais utilizadas a cada processamento do programa. Partindo desse pressuposto, podemos dizer que: I. Essa técnica não deve ser utilizada por auditores iniciantes As fases de uma Auditoria de Sistemas são: Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up auditoria 14 II. Essa técnica requer a inclusão de rotinas específicas no sistema operacional utilizado III. Essa técnica só pode ser utilizada em ambiente de produção. Marque a opção correta: opções I e II O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de: Regressão O valor projetado de vendas para o próximo período está gravado em um arquivo cuja leitura e/ou gravação é possível mediante o fornecimento da senha do diretor de Planejamento Estratégico da empresa. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Privacidade Ao analisarmos itens para escolha de um software generalista de auditoria de sistemas, devemos considerar os aspectos de gestão (aqueles que dizem respeito às características gerenciais relacionadas com o processo de auditoria). Entre eles, procedimentos que: Apoiem o planejamento anual dos projetos de auditoria Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na internet ou nos falsos telefonemas. É exemplo de engenharia social: Abordagem em chats para saber telefone da pessoa A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa É política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que esta função é vital para o desempenho do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade "pesquisa de string" classificado entre os aspectos: Relacionados à tecnologia Atualmente os processo de autenticação estão baseados em quantos métodos distintos ? E quais são eles ? Resposta: 3 Métodos. Senhas, Biometria, Dispositivos físicos entregue ao usuário, como cartão, token, etc... auditoria 15 Analise as sentenças abaixo e em seguida assinale a alternativa correta. O software Audit Automation Facilities é um programa de gestão de auditoria interna. Dentre suas funções ele integra equipes, automatiza processos de cobrança, gera gráficos e relatórios. Também permite, no módulo de execução, recursos de follow-up e time-sheet. Partindo do que vimos, podemos afirmar que: O tempo trabalhado em cada atividade é documentado no sistema O sistema permite controle de custos de horas diretas e indiretas, por auditoria. Os testes substantivos são utilizados quando o auditor deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para sua opinião sobre determinados fatos. Quando em auditoria a um sistema de cobrança motivada por não pagamento de parcelas de um empréstimo, esperamos achar evidencias de testes substantivos tais como: A documentação do empréstimo feita ao cliente. Ao desenvolver um sistema que contém tipos distintos de formulários de dados de entrada, você acredita que deverá ter os mesmos separados por lotes, para envio à digitação, a fim de assegurar que todos os documentos sejam digitados. Neste contexto, você deverá usar: hash total Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na internet ou nos falsos telefonemas. É exemplo de engenharia social: Abordagem em chats para saber telefone da pessoa A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Permitir trabalho off line independentemente dos processos normais é um requisito a ser considerado na escolha de um software generalista enquadrado em aspectos Funcionais O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Confidencialidade Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: Ela necessita de autonomia para executar suas atividades O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: auditoria 16 Consistência Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Processamento de um sistema por pessoas não autorizadas Informações cuja violação seja extremamente crítica são classificadas como: secretas Referente a avaliação de software de auditoria de sistemas para aquisição podemos afirmar que: devem ser examinadas características ____________________, consideradas relevantes para o processo de planejamento, estruturação, execução, controle e emissão derelatório de auditoria, assim como aspectos referentes a fornecedor, suporte e custos. Marque a opção que completa a afirmativa corretamente: funcionais e tecnológicas O auditor deseja criar um relatório que demonstre o numero de vezes que conversou com o gerente de projetos do sistema auditado. Usando um software generalista para auditoria de sistemas, isto seria possível se a Auditoria estivesse utilizando o sistema SAP, através da ferramenta: AIS (Audit Information System) O software de auditoria consiste em programas aplicativos cujo objetivo é auxiliar o auditor em suas tarefas rotineiras, melhorando seu desempenho. Desenvolver um sistema de auditoria em casa, ou comprar um sistema pronto no mercado, requer ___________________________. Com base na afirmativa como deverá ser essa tomada de decisão? Gabarito: uma avaliação, cuja tomada de decisão, por parte da administração, tem por fim um sistema que melhor atenda suas necessidades. Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: Extração de dados de amostra Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar Pontos da Questão: 1 Ações corretivas Ao realizar uma auditoria no Sistema de Contas-Correntes, o auditor decide tabular os campos de saldo líquido dos clientes e fazer o confronto destes saldos com os saldos de crédito menos os saldos de débito do dia, por cliente. Para tanto, o auditor estaria utilizando: Pontos da Questão: 1 Programa de computador para auditoria auditoria 17 Os auditores necessitam compreender o processo de suporte técnico para que possam levantar recursos existentes, níveis de complexibilidade e qualificação dos funcionários da área de suporte técnico. Desta forma podemos classificar como funções rotineiras de suporte técnico, entre outras atividades: Substituição dos equipamentos antigos É de política de segurança da empresa CEB que as senhas de seus funcionários sejam trocadas a cada 3 meses. Considerando que essa função é vital para o desenvolvimento do sistema de auditoria, identificamos como critério de decisão de escolha de um software de auditoria a facilidade”pesquisa de string” classificado entre os aspectos; Relacionados `a tecnologia Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque O relatório ficará menos aberto à disputas e discussões Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: ACEITE DO USUÁRIO Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa TODAS AS SENTENÇAS ESTÃO CORRETAS Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __ENTREVISTA visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando. Segurança na empresa significa proteção de informações, recursos, serviços e acesso no intuito de: REDUZIR A PROBABILIDADE DE DANO, DIRIMIR OCORRÊNCIAS FRAUDULENTAS, EVITAR A OCORRÊNCIA DE RISCOS Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: SEGURANÇA QUANTO À DISPONIBILIDADE DA REDE A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: ANÁLISE DO LOG/ACCOUNTING auditoria 18 Permitir trabalho off line independentemente dos processos normais¿ é um requisito a ser considerado na escolha de um software generalista enquadrado em aspectos: FUNCIONAIS Um programa de auditoria gerou dois valores distintos para um mesmo cálculo de taxas. Este programa estaria infringindo o atributo: CONSISTÊNCIA Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca externa para guarda das cópias de arquivos e demais documentos necessários para a restauração das informações da empresa, em caso de emergência. A atitude do auditor foi: ALERTAR PARA O RISCO DE NÃO SE TER UMA BIBLIOTECA EXTERNA E A SEGUIR EMITIR UMA REFERÊNCIA SOBRE A FALHA ENCONTRADA. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica. III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. Entre as alternativas abaixo, qual delas descreve três desses critérios? auditoria 19 Confidencialidade, integridade e disponibilidade Em relação a um determinado item, o objetivo de uma política de segurança é: HOMOGENEIZAR O COMPORTAMENTO DAS PESSOAS Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que você obteve a resposta sim. Então você deve preocupar-se com controles para assegurar que: Marque a única opção NÃO verdadeira As declarações de trabalho estão especificadas e aprovadas pelo usuário. A seleção damelhor proposta foi feita com base em critérios previamente definidos e distribuídos para os candidatos a fornecedores (preço, prazo de entrega ,etc) Houve participação na concorrência de pelo menos 3 fornecedores. Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores É irrelevante o feedback de possíveis clientes do fornecedor vitorioso Pedro estava auditando o Sistema de Crediário das Lojas Vendem Bem quando descobriu que havia um percentual de 25% de clientes com atraso no pagamento das mensalidades. Como os correios estavam em greve, ele inferiu que esta era a causa dos atrasos e solicitou que o operacional da empresa executasse a contingência para a ameaça "greve dos correios". A atitude de Pedro não está correta porque: Todo trabalho do auditor é baseado em fatos e não em opiniões pessoais A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ELA NECESSITA DE AUTONOMIA PARA EXECUTAR SUAS ATIVIDADES Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: CONTROLES SOBRE MONITORAMENTO ANALISE AS SEGUINTES AFIRMAÇÕES RELACIONADAS À EMISSÃO DE RELATÓRIOS DE auditoria de sistemas de informação. I. Um relatório de auditoria deverá ser emitido exclusivamente nos padrões da empresa realizadora da auditoria. II. Um relatório de auditoria deverá apontar riscos em que a empresa incorre em decorrência das fraquezas apontadas. III. Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção. auditoria 20 IV. Um relatório de auditoria deverá fazer um apontamento de prazos para implementações de medidas ou plano de ações. Indique a opção que contenha todas as afirmações verdadeiras A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. Este bloqueio deverá ser feito: POUCOS MINUTOS ANTES DE A FUNCIONÁRIA SER AVISADA DA DEMISSÃO O código de ética da Organização Internacional de Instituições Supremas de Auditoria (INTOSAI) define como valores e princípios básicos da atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo profissional e a competência. Ao iniciar um trabalho de auditoria sem definir claramente a finalidade da auditoria e o modelo de conformidade no qual a auditoria se apoia, qual valor ou princípio um auditor estaria primariamente falhando em atender? OBJETIVIDADE Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( V ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). ( V ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. ( V ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. ( F ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. ( F ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: DATA DE VENCIMENTO DA FATURA DO CARTÃO? Analise as seguintes afirmações relacionadas à emissão de relatórios de auditoria de sistemas de informação. auditoria 21 I. Um relatório de auditoria deverá ser emitido exclusivamente nos padrões da empresa realizadora da auditoria. II. Um relatório de auditoria deverá apontar riscos em que a empresa incorre em decorrência das fraquezas apontadas. III. Um relatório de auditoria deverá responsabilizar a alta administração da empresa quanto à elaboração de sugestões ou medidas de correção. IV. Um relatório de auditoria deverá fazer um apontamento de prazos para implementações de medidas ou plano de ações. ACORDOS DE CONFIDENCIALIDADE E DE NÃO-DIVULGAÇÃO Protegem as informações da organização e informam aos signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada. Assim que uma falha é identificada em uma auditoria, ela deve: SER COMUNICADA VERBALMENTE AO GERENTE DA ÁREA AUDITADA Ao escrevermos um relatório de auditoria devemos incluir tamanho dos testes ou métodos de seleção de itens para teste porque: O RELATÓRIO FICARÁ MENOS ABERTO À DISPUTAS E DISCUSSÕES A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria:CRIAR POLÍTICAS DE SEGURANÇA QUANTO A ENTRADA E CIRCULAÇÃO DE PESSOAS NA EMPRESA Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria INTEGRIDADE DE DADOS. A Auditoria de Sistemas tem como objetivo: GARANTIR A SEGURANÇA DE INFORMAÇÕES, RECURSOS, SERVIÇOS E ACESSO MAPPING técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas. Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e supervisão necessária são conhecimentos que devem ser passados em treinamento para: AUDITORES INTERNOS EXPERIENTES EM TECNOLOGIA DA INFORMAÇÃO. Duas horas após um incêndio no prédio do CPD de uma loja de departamentos, o responsável pelo CPD conseguiu recuperar seus arquivos, no próprio CPD, PORQUE: TINHA CÓPIAS BACKUPS NO CPD Uma das vantagens de uso de softwares generalista é que: O SOFTWARE PODE PROCESSAR VÁRIOS ARQUIVOS AO MESMO TEMPO auditoria 22 Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: OS AUDITORES NÃO NECESSITAM DE MUITA EXPERIÊNCIA EM PROGRAMAÇÃO Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: AS PESSOAS QUE TEM SEUS NOMES MENCIONADOS NO PLANO O Plano de Emergência serve para manter, dentro do possível, a capacidade de funcionamento da empresa/sistemas. Para isso, também: EXECUTA O PROCESSAMENTO DOS SISTEMAS ATRAVÉS DE HOT-SITES Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria:SEGURANÇA DO SISTEMA Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: PROGRAMA DE COMPUTADOR PARA AUDITORIA Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: TESTES DE CONTROLES DE NEGÓCIO Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: ABORDAGEM COM O COMPUTADOR As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: VOLUME MÉDIO DIÁRIO DE TRANSAÇÕES PROCESSADAS, VALOR DIÁRIO DAS TRANSAÇÕES EM REAIS E IMPACTO EM OUTROS SISTEMAS O programa generalista _COBIT_ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: auditoria 23 A BASE DE DADOS REAL FICA INTEGRA EM RELAÇÃO AOS DADOS INSERIDOS. Após um brainstorming com a equipe de segurança e auditoria,foi definido que para falta de luz temos um impacto alto uma media probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? ATAQUE DE HACKERS COM RELAÇÃO À SEGURANÇA DA INFORMAÇÃO, OS ITENS ABAIXO SÃO VERDADEIROS OU FALSOS?. ( F ) Confiabilidade é tornar uma informação disponível no momento em que ela se torna necessária. ( F ) Uma informação será considerada íntegra quando seu conteúdo não tiver sido lido por entidade não-autorizada, seja esta um sistema ou uma pessoa. ( V ) Um elemento fundamental a ser considerado no ambiente empresarial atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem. ( F ) O desenvolvimento de software seguro é uma funcionalidade presente em todas as ferramentas e padrões existentes no mercado. Assim, o programador precisa focar apenas na criatividade e no atendimento aos requisitos do cliente, pois segurança, hoje, é uma questão secundária. Os testes de observância mostram se os colaboradores da organização respeitam as normas internas pré-estabelecidas. Desta forma podemos esperar que sejam testes de observância: I. A existência real de contratos com as respectivas assinaturas de seus clientes II. O efetivo cálculo de multas por atraso em saldos do sistema de crediário (taxas utilizadas) III. A real existência de que as transações comunicadas/registradas tenham ocorrido. Marque a opção correta: opções I e II Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Eessa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de auditoria 24 dados real fic só a opção III Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Resp: Todas as sentenças estão corretas A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: Ameaça Sabemos que um ponto de controle é a avaliação e validação do planejamento, da execução e do controle do projeto de auditoria. Desta forma, a cada falha encontrada no trabalho de campo devemos: . Informar verbalmente ao auditado sobre o caso e emitir um memorando sobre a falha encontrada Uma das vantagens de uso de softwares generalista é que: o software pode processar vários arquivos ao mesmo tempo Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: segurança do sistema Na técnica de Auditoria "programas de computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se correlação de arquivos auditoria 25 Além da CONFIDENCIALIDADE, que preocupa-se com a leitura dos dados, quais os outros quatro objetivos da segurança ? Descreva cada um deles. INTEGRIDADE ( preocupa-se com a gravação de dados), DISPONIBILIDADE (o sistema estará disponivel quando for necessário), CONSISTÊNCIA (o sistema funciona conforme expectativa dos usuários autorizados), CONFIABILIDADE (garantia que o sistema atuará conforme o esperado , mesmo em situações adversas Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Todas as sentenças estão corretas Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: a metodologia utilizada é da empresa de auditoria externa A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: segurança do sistema A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela necessita de autonomia para executar suas atividades Na técnica de Auditoria "programasde computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se: correlação de arquivos A técnica de auditoria que implica em análise visual do código fonte, buscando a verificação da lógica dos programas chama-se: análise lógica de programação Durante a auditoria do CPD, o auditor constatou que não havia uma biblioteca externa para guarda das cópias de arquivos e demais documentos necessários para a restauração das informações da empresa, em caso de emergência. A atitude do auditor foi: Alertar para o risco de não se ter uma biblioteca externa e a seguir emitir uma referência sobre a falha encontrada. auditoria 26 A análise dos relatórios emitidos pela aplicação da técnica de mapping permite a constatação de situações tais como rotinas existentes em programas já desativados ou de uso esporádico e de rotinas mais utilizadas a cada processamento do programa. Partindo desse pressuposto, podemos dizer que: I. Essa técnica não deve ser utilizada por auditores iniciantes II. Essa técnica requer a inclusão de rotinas específicas no sistema operacional utilizado III. Essa técnica só pode ser utilizada em ambiente de produção. Marque a opção correta: opções I e II A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. Este bloqueio deverá ser feito: Poucos minutos antes de a funcionária ser avisada da demissão Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano Ao realizar uma auditoria em sistemas, os auditores devem estar atentos aos objetivos gerais e específicos da auditoria de aplicativos. Um exemplo de objetivo geral é: Privacidade A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: integridade de dados A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: mapping Dentre outros itens, iniciação em trilha de auditoria em ambiente de tecnologia da informação e propriedade intelectual, abordagens aos métodos existentes e auditoria 27 supervisão necessária são conhecimentos que devem ser passados em treinamento para: auditores internos experientes em tecnologia da informação Duas horas após um incêndio no prédio do CPD de uma loja de departamentos, o responsável pelo CPD conseguiu recuperar seus arquivos, no próprio CPD, porque: tinha cópias backups no CPD Uma das vantagens de uso de softwares generalista é que: o software pode processar vários arquivos ao mesmo tempo Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: os auditores não necessitam de muita experiência em programação Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: as pessoas que tem seus nomes mencionados no plano As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: O hardware e software são considerados como custo ou investimento? O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? O código de ética da Organização Internacional de Instituições Supremas de Auditoria (INT OSAI) define como valores e princípios básicos da atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo profissional e a competência. Ao iniciar um trabalho de auditoria sem definir claramente a finalidade da auditoria e o modelo de conformidade no qual a auditoria se apoia, qual valor ou princípio um auditor estaria primariamente falhando em atender? Objetividade "Os testes realizados no sistema X foram altamente significativos para determinar que a rotina de cálculo de valor líquido está errada". Esta afirmativa não está apropriada para inclusão em um relatório de auditoria porque: Não permite a visualização do número e valor dos testes realizados A empresa demitiu a funcionária Marta Silva por corte de orçamento. Seguindo a política de segurança da empresa, o setor de Recursos Humanos deverá bloquear a senha da funcionária aos aplicativos da empresa. auditoria 28 Poucos minutos antes de a funcionária ser avisada da demissão Verificar se há relatórios de ocorrência com totais de controle para a operação, mesmo que com valor zerado (para identificar que não houve ocorrência) é controle de operação de computadores que, nos questionários, enquadramos em: Controles sobre monitoramento O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Confidencialidade de redes seriam controles internos da categoria: Segurança do sistema Após a reunião inicial quando a Auditoria informa aos auditados que o sistema foi selecionado para auditoria, inicia-se o trabalho de campo. Nele estão contidas atividades tais como: Testes de controles de negócio Observe as afirmativas identificando se é Verdadeira ou Falsa. Marque a opção abaixo que está correta: Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede A instalação de firewall protege os computadores de acesso não autorizados sem que o usuário tenha que se preocupar com qualquer tipo de invasão ao seu computador Os testes de observância mostram se os colaboradores da organização respeitam as normas internas pré-estabelecidas. Desta forma podemos esperar que sejam testes de observância: A existência real de contratos com as respectivas assinaturas de seus clientes O efetivo cálculo de multas por atraso em saldos do sistema de crediário (taxas utilizadas) Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeiraa afirmativa: auditoria 29 Ela necessita de autonomia para executar suas atividades Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: Está calçada em segurança e em controles internos Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa O Plano de backup é ativado assim que é aprovado e, dentre outras coisas: Fornece acordos com terceiros através de acordos de reciprocidade Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: Aceite do usuário Na técnica de Auditoria "programas de computador" a função que faz confronto de campos entre registros com vistas à garantia de ambos os arquivos chama-se: Correlação de arquivos Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: A metodologia utilizada é da empresa de auditoria externa Após um brainstorming com a equipe de segurança e auditoria, foi definido que para falta de luz temos um impacto alto uma média probabilidade de ocorrência, para incêndio um alto impacto e baixa probabilidade de ocorrência, para ataque de hackers tanto impacto como probabilidade de ocorrência altos, para quebra de servidor a probabilidade de ocorrência é baixa com um médio impacto e para queda de raio uma baixa probabilidade de ocorrência com médio impacto. Qual das ameaças deverá ser prioritária em relação às contingências? Ataque de hackers Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: Entrevista Com relação à segurança da informação, os itens abaixo são Verdadeiros ou Falsos? Um elemento fundamental a ser considerado no ambiente empresarial atual é a disponibilidade da informação, ou seja, informação para as pessoas autorizadas na hora que dela precisarem. auditoria 30 Ao analisarmos itens para escolha de um software generalista de auditoria de sistemas, devemos considerar os aspectos de gestão (aqueles que dizem respeito às características gerenciais relacionadas com o processo de auditoria). Entre eles, procedimentos que: Apoiem o planejamento anual dos projetos de auditoria Não devemos utilizar informações pessoais para a criação de uma senha pois a engenharia social está presente na internet ou nos falsos telefonemas. É exemplo de engenharia social: Abordagem em chats para saber telefone da pessoa) A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Protegem as informações da organização e informam a os signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e autorizada, os(as): Acordos de confidencialidade e de não-divulgação.
Compartilhar