AUDITORIA DE SISTEMAS Aulas 1 e 2

Prévia do material em texto

AUDITÓRIA DE SISTEMAS 
1 
 
AULA 1 
 
 
 
1. 
 
 
Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, 
devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. 
II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os 
objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. 
III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações 
apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para 
determinar se ações apropriadas foram implementadas em tempo hábil. 
IV. De acordo com o código de ética profissional da Associação de Auditores de 
Sistemas e Controles, seus membros devem manter privacidade e confi dencialidade 
das informações obtidas no decurso de suas funções, exceto quando exigido 
legalmente. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
I e III 
 
II e IV 
 
II e III 
 
 
III e IV 
 
I e II 
 
 
 
 
 
 
2. 
 
O treinamento para futuros auditores de sistemas que possuem pouca ou nenhuma 
experiência em Tecnologia da Informação deve incluir: 
Marque a alternativa FALSA. 
 
 
 
Processamento lógico. 
 
 
Internet, intranet e extranet, com configurações pertinentes. 
 
 
Conceitos de fluxograma e Fluxo de Dados. 
 
 
Rede de computadores. 
 
 
Softwares de Auditoria. 
 
 
AUDITÓRIA DE SISTEMAS 
2 
 
 
 
 
3. 
 
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho 
realizado e apontar distorções encontradas no que tange à segurança de informações, 
recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas 
administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas 
também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser: 
 
 
Subordinada a diretoria Financeira. 
 
 
logo abaixo da direção executiva da empresa. 
 
Subordinada a Diretoria de Tecnologia. 
 
No mesmo nível das demais Diretorias. 
 
Subordinada a Diretoria Jurídica. 
 
 
 
 
 
4. 
 
Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo 
estão corretas, exceto uma. Identifique-a 
 
 
O auditor de Sistemas deve conhecer os negócios da empresa 
 
Os auditores de sistema devem evitar relacionamento pessoal com os auditados 
 
 
Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser 
desenvolvida pela empresa 
 
Os auditores de sistema possuem autoridade para verificarem dados 
extremamente confidenciais da empresa, desde que façam parte dos sistemas 
auditados 
 
 
Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já 
que estão posicionados em um alto nível no organograma da empresa 
 
 
 
 
 
5. 
 
As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. 
Uma delas não esta correta. Identifique-a. 
 
 
Pessoas, hardware e suprimentos. 
 
 
Móveis, escadas entre andares e colaboradores terceirizados. 
 
 
Equipamentos eletrônicos da empresa, celulares e móveis. 
 
 
Colaboradores, software e existência de plano de contingência 
 
AUDITÓRIA DE SISTEMAS 
3 
 
 
 
 
 
6. 
 
Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a 
opção que indica os dois tipos de equipe de auditoria: 
 
 
 
EQUIPE INTERNA E CONSULTORIA 
 
 
EQUIPE PREESENCIAL E VIRTUAL 
 
 
EQUIPE INTERNA E EXTERNA 
 
 
EQUIPE INTERNA E VIRTUAL 
 
 
EQUIPE EXTERNA E CONSULTORIA 
 
 
 
 
 
 
 
7. 
 
Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho 
realizado e apontar distorções encontradas no que tange à segurança de informações, 
recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas 
administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas 
também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo 
abaixo: 
 
 
Diretoria de Informática 
 
Diretoria Administrativa 
 
Diretoria Executiva 
 
 
Presidência Executiva 
 
Diretoria Financeira 
 
 
 
 
 
 
8. 
 
 
A Auditoria de Sistemas tem como objetivo: 
 
 
 
garantir a segurança de informações, recursos, serviços e acesso 
 
 
permitir o compartilhamento de informações e serviços na rede 
AUDITÓRIA DE SISTEMAS 
4 
 
 
permitir o acesso à documentação dos aplicativos e sistemas operacionais 
 
gerenciar todo hardware e software da empresa, garantindo sua manutenção 
 
expandir as fronteiras de acesso aos sistemas e também à Internet 
 
 
 
 
 
AULA 2 
 
 
 
1. 
 
 
Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para 
um call center, identifique qual das ameaças elencadas é FALSA. 
 
 
 Sistema com erro de identificação de clientes 
 
Pessoa fazendo-se passar por outra 
 
 Greve de transportes 
 
Sistema sem controle de acesso ao banco de dados dos clientes 
 
Ataque de hackers 
 
 
 
 
 
2. 
 
O plano de contingência de uma área de negócio é desenvolvido 
 
 
pelo gestor do negócio 
 
 pelo responsável pelo CPD (Centro de Processamento de Dados) 
 
pelos auditores de sistema 
 
pelo comite de sistemas da empresa 
 
 pela própria área de negócios 
 
 
 
 
 
 
3. 
 
Sabendo que um plano de contingência é uma sequência de ações a serem seguidas em 
situações de emergência, previstas ou não, para assegurar a continuidade do serviço, 
identifique as sentenças abaixo como sendo verdadeiras (V)ou falsas (F) em relação ao plano 
de emergência. 
I - Guardar cópia de arquivo de transações por um período de 10 dias úteis. 
II - Declarar que o prédio onde situa-se a empresa encontra-se em situação de emergência. 
III - Fazer manutenção na rede elétrica do CPD. 
 
 
 F, V, F 
AUDITÓRIA DE SISTEMAS 
5 
 
 
 
 
 
4. 
 
Assinale dentre as opções abaixo aquela que correponde as COLUNAS da matriz de risco; 
 
 
 Ameaça, impacto,probabilidade,escore de risco; 
 
Importância, impacto,probabilidade,custo; 
 
 Ameaça, impacto,custo,escore de risco; 
 
Impoortância impacto,probabilidade,escore de risco; 
 
Custo, impacto,probabilidade,escore de risco; 
 
 
 
 
 
5. 
 
Identifique a que planos as ações abaixo pertencem: 
E => plano de emergência . B=> plano de back-up, R=> plano de recuperação 
1 - Acionar o corpo de bombeiros ao verificar um incêncio em andamento 
2 - Fazer up-grade de servidor 
3 - Fazer manutenção da rede eletrica do CPD 
4 - Atualizar o anti-virus 
 
 
 
B, B, E, E 
 
 B, R, B, E 
 
 E, R, B, B 
 
B, E, R, B 
 
E, B, B, R 
 
 
 
 
 
6. 
Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
I. A gerência da empresa deve estabelecer critérios para a criação, processamento e 
disseminação de informações de dados, por meio de autorização e registro de 
responsabilidade. 
II. A gerência deve implementar um plano adequado, bem como procedimentos de 
implantação para prevenir-se contra falhas de controle que podem surgir durante 
especificações de sistemas, desenho, programação, testese documentação de sistemas. 
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob 
a responsabilidade dos colaboradores auditados. 
IV. Para um bom andamento e independência das auditorias, nenhum investimento em 
treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de 
auditores do quadro de colaboradores da organização. 
 
AUDITÓRIA DE SISTEMAS 
6 
 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
II e III 
 
I e III 
 
 III e IV 
 
II e IV 
 
 I e II 
 
 
 
 
 
7. 
 
Assinale a opção verdadeira: 
Respostas de risco são 
 
 
ações que devemos executar caso o auditado não corrija as falhas a tempo de 
emitirmos o relatório final de auditoria 
 
atividades que devem ser evitadas para não gerar riscos 
 
 
relatórios que enviamos aos auditados ao detectarmos uma falha no sistema 
auditado 
 
 ações a serem seguidas na eventualidade da ocorrência de uma ameaça 
 
ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores 
 
 
 
 
 
 
8. 
 
Em relação à matriz de risco para confecção de um plano de contingência para um CPD, 
podemos afirmar que 
 
 
ela deve ser atualizada a cada descoberta de um novo virus 
 
ela determinará a frequencia com que os anti-virus deverão ser atualizados 
 
 os critérios de seleção são escolhidos pelo gerente da área de segurança 
 
para sua elaboração só consideramos os riscos identificados pelo cliente 
 
 
consideramos para sua elaboração as variáveis probabilidade de ocorrencia 
e impacto 
 
 
 
 
1. 
 
 
 
 
Um plano de contingência pode ser definido como: 
 
 
A identificação de uma serie de ameaças e suas ponderações de probabilidade de 
ocorrência e provavel impacto gerado 
 
 
A manutenção de ambiente preparado para funcionar como back-up na 
eventualidade de uma parada do CPD da empresa 
 
A solução de emergência para eventos não identificados previamente 
AUDITÓRIA DE SISTEMAS 
7 
 
 
Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais 
sistemas da empresa 
 
 
Uma sequencia de ações pre-definidas, a serem executadas na eventualidae 
da ocorrência de uma ameaça 
 
 
 
 
 
 
2. 
 
 
A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por 
objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: 
 
 
 esses planos são testados periodicamente. 
 
existe a possibilidade de se desenvolver planos que contemplem todas as 
necessidades de contingências 
 
 o sistema de qualidade executa suas tarefas periodicamente 
 
o sistema de recuperação de backups é lento e não satisfaz plenamente ao 
desejado pela organização 
 
a equipe de contingência está preparada para realizar um treinamento no momento 
de ocorrência de um desastre 
 
 
 
 
 
 
3. 
 
Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente 
remove, desabilita ou destrói um recurso é chamado de: 
 
 
impacto 
 
vulnerabilidade 
 
 ameaça 
 
 risco 
 
ataque 
 
 
 
 
 
 
4. 
 
plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de 
backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os 
recursos necessários para uma eventual utilização do plano de emergência. 2). Formado 
pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) 
e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a 
capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos 
necessários para se passar da situação de emergência para a situação normal. 
Correspondem, respectivamente a: 
 
 
 1b,2a,3c 
 
 1a, 2b, 3c 
AUDITÓRIA DE SISTEMAS 
8 
 
 
1b, 2c, 3a 
 
1c. 2b, 3a 
 
1c, 2a, 3b 
 
 
 
 
 
 
5. 
 
Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e 
_______________. Marque a opção que completa corretamente a afirmativa: 
 
 
ACIDENTAIS E PASSIVAS 
 
 DELIBERADAS E PASSIVAS 
 
 ACIDENTAIS E DELIBERADAS 
 
ACIDENTAIS E ATIVAS 
 
DELIBERADAS E ATIVAS 
 
 
 
 
 
 
 
6. 
 
Os principais objetivos de um _____________________ são: Prever as possibilidades de 
desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente 
e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, 
Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. 
 
• Tratando-se dos componentes de um Plano de Contingência, o plano que melhor 
preenche a lacuna é: 
 
 
 Plano de Emergência 
 
Plano de Risco 
 
 Plano de Provisões 
 
Plano de Backup 
 
Plano de Recuperação 
 
 
 
 
 
 
7. 
Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos 
serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a 
serem sistemas/processos críticos em uma agência bancária: 
AUDITÓRIA DE SISTEMAS 
9 
 
 
I - Cadastro clientes novos. 
II - Pagamento de fatura de cartão de crédito com cheque. 
III - Saque no caixa em notas de R$ 20,00. 
 
 
V, F, V 
 
F, V, V 
 
 F, F, V 
 
V, V, F 
 
F, V, F 
 
 
 
 
8. 
 
Considerando que um plano de contingência deve conter as ações para que possamos 
sobreviver em situações de emergência na empresa, devemos divulgá-lo para: 
 
 
todas as pessoas da empresa 
 
os diretores e gerentes da empresa 
 
 as pessoas que tem seus nomes mencionados no plano 
 
só para a diretoria da empresa 
 
funcionários e clientes da empresa 
 
1. 
 
 
As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu 
custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a 
empresa e são auditados prioritariamente os sistemas de maior escore de risco. São 
fatores que influenciam o escore de risco de um sistema: 
 
 
visibilidade do cliente, volume médio diário de transações processadas e idade do 
sistema 
 
 custo do sistema, número de requisitos funcionais e visibilidade do cliente 
 
capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e 
número de requisitos funcionais 
 
 
volume médio diário de transações processadas, valor diário das transações 
em reais e impacto em outros sistemas 
 
custo do sistema, nível de documentação existente e complexidade dos cálculos 
 
 
 
 
2. 
 
Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas 
apenas para os sistemas críticos que são aqueles: 
 
 
 essenciais para manter a continuidade do serviço 
 
 prioritários para serem refeitos 
 
sujeitos a aprovação da crítica do cliente 
 
definidos pelo usuário como sendo os mais complexos 
 
que não devem ser descontinuados por terem caducado 
 
 
 
AUDITÓRIA DE SISTEMAS 
10 
 
 
3. 
 
 
Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a 
opção que não se constitui uma ameaça; 
 
 
Vazamento de Informação; 
 
 Indisponibilidade de serviços de informatica; 
 
Violação de integridade; 
 
 Ameça Concretizada; 
 
Troca de senha por invasão dehacker; 
 
 
 
 
4. 
 
Para um CPD, seriam consideradas atividades do plano de emergência as atividades das 
sentenças: 
I - desligar a força da sala do CPD 
II - instalar sprinklers e sensores de calor na sala do CPD 
III - telefonar para o Corpo de Bombeiros 
 
 
 I e III 
 
 I e II 
 
somente a III 
 
I, II e III 
 
Somente a II 
 
 
 
 
5. 
 
CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de 
acidentes e doenças profissionais, tornando compatível o trabalho com a preservação da vida 
e da saúde do trabalhador. Assinale dentre as opções abaixo aquela que apresenta o 
documento que contem as disposições legais; 
 
 
Regulamentadora número 5 (NR 5) do Ministério da Justiça; 
 
 Regulamentadora número 5 (NR 5) do Ministério do planejamento; 
 
 Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. 
 
Regulamentadora número 5 (NR 5) do Ministério da Educação; 
 
Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. 
 
 
 
6. 
 
 
Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe 
multidisciplinar, envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA 
em relação ao que se é discutido nessa reunião: 
 
 
os estragos materiais, financeiros ou morais que poderão surgir caso o risco 
AUDITÓRIA DE SISTEMAS 
11 
 
ocorra 
 
 os custos dos salários/hora das pessoas envolvidas na reunião 
 
a disponibilidade de recursos para elaboração do plano de emergência 
 
os custos envolvidos na confecção do plano de contingência 
 
a frequencia com que tais riscos podem ocorrer 
 
7. 
 
Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de 
Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). 
I - Fazemos planos de emergência apenas para os sistemas não críticos 
II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de 
emergência 
III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma 
ameaça. 
 
 
 V,F,V 
 
F,F,F 
 
V,F,F 
 
F,F,V 
 
 F,V,F 
 
8. 
 
Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). 
I - Falha no dispositivo de gravação de disco 
II - Falta de suprimento para impressão de contra-cheques 
III - Totalização no relatório de estoque incorreto 
IV - Queda de energia eletrica 
 
 
R,R,E,E 
 
 E,R,R,E 
 
R,E,R,E 
 
 R,E,E,R 
 
E,R,E,R