Baixe o app para aproveitar ainda mais
Prévia do material em texto
AUDITÓRIA DE SISTEMAS 1 AULA 1 1. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. I e III II e IV II e III III e IV I e II 2. O treinamento para futuros auditores de sistemas que possuem pouca ou nenhuma experiência em Tecnologia da Informação deve incluir: Marque a alternativa FALSA. Processamento lógico. Internet, intranet e extranet, com configurações pertinentes. Conceitos de fluxograma e Fluxo de Dados. Rede de computadores. Softwares de Auditoria. AUDITÓRIA DE SISTEMAS 2 3. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser: Subordinada a diretoria Financeira. logo abaixo da direção executiva da empresa. Subordinada a Diretoria de Tecnologia. No mesmo nível das demais Diretorias. Subordinada a Diretoria Jurídica. 4. Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a O auditor de Sistemas deve conhecer os negócios da empresa Os auditores de sistema devem evitar relacionamento pessoal com os auditados Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa 5. As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. Uma delas não esta correta. Identifique-a. Pessoas, hardware e suprimentos. Móveis, escadas entre andares e colaboradores terceirizados. Equipamentos eletrônicos da empresa, celulares e móveis. Colaboradores, software e existência de plano de contingência AUDITÓRIA DE SISTEMAS 3 6. Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: EQUIPE INTERNA E CONSULTORIA EQUIPE PREESENCIAL E VIRTUAL EQUIPE INTERNA E EXTERNA EQUIPE INTERNA E VIRTUAL EQUIPE EXTERNA E CONSULTORIA 7. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria de Informática Diretoria Administrativa Diretoria Executiva Presidência Executiva Diretoria Financeira 8. A Auditoria de Sistemas tem como objetivo: garantir a segurança de informações, recursos, serviços e acesso permitir o compartilhamento de informações e serviços na rede AUDITÓRIA DE SISTEMAS 4 permitir o acesso à documentação dos aplicativos e sistemas operacionais gerenciar todo hardware e software da empresa, garantindo sua manutenção expandir as fronteiras de acesso aos sistemas e também à Internet AULA 2 1. Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call center, identifique qual das ameaças elencadas é FALSA. Sistema com erro de identificação de clientes Pessoa fazendo-se passar por outra Greve de transportes Sistema sem controle de acesso ao banco de dados dos clientes Ataque de hackers 2. O plano de contingência de uma área de negócio é desenvolvido pelo gestor do negócio pelo responsável pelo CPD (Centro de Processamento de Dados) pelos auditores de sistema pelo comite de sistemas da empresa pela própria área de negócios 3. Sabendo que um plano de contingência é uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço, identifique as sentenças abaixo como sendo verdadeiras (V)ou falsas (F) em relação ao plano de emergência. I - Guardar cópia de arquivo de transações por um período de 10 dias úteis. II - Declarar que o prédio onde situa-se a empresa encontra-se em situação de emergência. III - Fazer manutenção na rede elétrica do CPD. F, V, F AUDITÓRIA DE SISTEMAS 5 4. Assinale dentre as opções abaixo aquela que correponde as COLUNAS da matriz de risco; Ameaça, impacto,probabilidade,escore de risco; Importância, impacto,probabilidade,custo; Ameaça, impacto,custo,escore de risco; Impoortância impacto,probabilidade,escore de risco; Custo, impacto,probabilidade,escore de risco; 5. Identifique a que planos as ações abaixo pertencem: E => plano de emergência . B=> plano de back-up, R=> plano de recuperação 1 - Acionar o corpo de bombeiros ao verificar um incêncio em andamento 2 - Fazer up-grade de servidor 3 - Fazer manutenção da rede eletrica do CPD 4 - Atualizar o anti-virus B, B, E, E B, R, B, E E, R, B, B B, E, R, B E, B, B, R 6. Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testese documentação de sistemas. III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados. IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. AUDITÓRIA DE SISTEMAS 6 Indique a opção que contenha todas as afirmações verdadeiras. II e III I e III III e IV II e IV I e II 7. Assinale a opção verdadeira: Respostas de risco são ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria atividades que devem ser evitadas para não gerar riscos relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado ações a serem seguidas na eventualidade da ocorrência de uma ameaça ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores 8. Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que ela deve ser atualizada a cada descoberta de um novo virus ela determinará a frequencia com que os anti-virus deverão ser atualizados os critérios de seleção são escolhidos pelo gerente da área de segurança para sua elaboração só consideramos os riscos identificados pelo cliente consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto 1. Um plano de contingência pode ser definido como: A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa A solução de emergência para eventos não identificados previamente AUDITÓRIA DE SISTEMAS 7 Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça 2. A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: esses planos são testados periodicamente. existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências o sistema de qualidade executa suas tarefas periodicamente o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre 3. Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: impacto vulnerabilidade ameaça risco ataque 4. plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 1b,2a,3c 1a, 2b, 3c AUDITÓRIA DE SISTEMAS 8 1b, 2c, 3a 1c. 2b, 3a 1c, 2a, 3b 5. Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa: ACIDENTAIS E PASSIVAS DELIBERADAS E PASSIVAS ACIDENTAIS E DELIBERADAS ACIDENTAIS E ATIVAS DELIBERADAS E ATIVAS 6. Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. • Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: Plano de Emergência Plano de Risco Plano de Provisões Plano de Backup Plano de Recuperação 7. Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária: AUDITÓRIA DE SISTEMAS 9 I - Cadastro clientes novos. II - Pagamento de fatura de cartão de crédito com cheque. III - Saque no caixa em notas de R$ 20,00. V, F, V F, V, V F, F, V V, V, F F, V, F 8. Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: todas as pessoas da empresa os diretores e gerentes da empresa as pessoas que tem seus nomes mencionados no plano só para a diretoria da empresa funcionários e clientes da empresa 1. As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: visibilidade do cliente, volume médio diário de transações processadas e idade do sistema custo do sistema, número de requisitos funcionais e visibilidade do cliente capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas custo do sistema, nível de documentação existente e complexidade dos cálculos 2. Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço prioritários para serem refeitos sujeitos a aprovação da crítica do cliente definidos pelo usuário como sendo os mais complexos que não devem ser descontinuados por terem caducado AUDITÓRIA DE SISTEMAS 10 3. Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constitui uma ameaça; Vazamento de Informação; Indisponibilidade de serviços de informatica; Violação de integridade; Ameça Concretizada; Troca de senha por invasão dehacker; 4. Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD II - instalar sprinklers e sensores de calor na sala do CPD III - telefonar para o Corpo de Bombeiros I e III I e II somente a III I, II e III Somente a II 5. CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as disposições legais; Regulamentadora número 5 (NR 5) do Ministério da Justiça; Regulamentadora número 5 (NR 5) do Ministério do planejamento; Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 5 (NR 5) do Ministério da Educação; Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. 6. Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe multidisciplinar, envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião: os estragos materiais, financeiros ou morais que poderão surgir caso o risco AUDITÓRIA DE SISTEMAS 11 ocorra os custos dos salários/hora das pessoas envolvidas na reunião a disponibilidade de recursos para elaboração do plano de emergência os custos envolvidos na confecção do plano de contingência a frequencia com que tais riscos podem ocorrer 7. Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. V,F,V F,F,F V,F,F F,F,V F,V,F 8. Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I - Falha no dispositivo de gravação de disco II - Falta de suprimento para impressão de contra-cheques III - Totalização no relatório de estoque incorreto IV - Queda de energia eletrica R,R,E,E E,R,R,E R,E,R,E R,E,E,R E,R,E,R
Compartilhar