auditoria de sistemas teste 2

Prévia do material em texto

1. 
 
 
Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas 
para os sistemas críticos que são aqueles: 
 
 
prioritários para serem refeitos 
 
 
definidos pelo usuário como sendo os mais complexos 
 
 
que não devem ser descontinuados por terem caducado 
 
 
sujeitos a aprovação da crítica do cliente 
 
 
essenciais para manter a continuidade do serviço 
 
 
Gabarito 
Coment. 
 
2. 
 
 
Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe 
multidisciplinar, envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA em 
relação ao que se é discutido nessa reunião: 
 
 
os custos envolvidos na confecção do plano de contingência 
 
 
os custos dos salários/hora das pessoas envolvidas na reunião 
 
 
a disponibilidade de recursos para elaboração do plano de emergência 
 
 
os estragos materiais, financeiros ou morais que poderão surgir caso o risco ocorra 
 
 
a frequencia com que tais riscos podem ocorrer 
 
 
 
Explicação: 
Todos os itens devem ser considerados exceto o salario das pessoas envolvidas na reunião (este custo é 
da área de segurança). 
3. 
 
 
Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call 
center, identifique qual das ameaças elencadas é FALSA. 
 
 
Pessoa fazendo-se passar por outra 
 
 
Greve de transportes 
 
 
Sistema sem controle de acesso ao banco de dados dos clientes 
 
 
Sistema com erro de identificação de clientes 
 
 
Ataque de hackers 
 
 
 
Explicação: 
Sistema com erro não é uma ameaça. É um erro. Não fazemos contingência para erros embora 
identifiquemos os erros em auditorias. Devemos partir do principio que as pessoas fazem seus trabalhos 
conforme o esperado (sistemas bem testados) 
Se houver greve de transportes os funcionários não conseguirão chegar ao trabalho, gerando uma 
parada de serviço. 
4. 
 
 
CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e 
doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do 
trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as 
disposições legais; 
 
 
Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. 
 
 
Regulamentadora número 5 (NR 5) do Ministério da Educação; 
 
 
Regulamentadora número 5 (NR 5) do Ministério do planejamento; 
 
 
Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. 
 
 
Regulamentadora número 5 (NR 5) do Ministério da Justiça; 
5. 
 
 
Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: 
I - desligar a força da sala do CPD 
II - instalar sprinklers e sensores de calor na sala do CPD 
III - telefonar para o Corpo de Bombeiros 
 
 
I, II e III 
 
 
I e II 
 
 
I e III 
 
 
Somente a II 
 
 
somente a III 
 
 
Gabarito 
Coment. 
 
 
6. 
 
 
Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, 
desabilita ou destrói um recurso é chamado de: 
 
 
impacto 
 
 
ataque 
 
 
vulnerabilidade 
 
 
risco 
 
 
ameaça 
 
 
 
Explicação: 
Por definição, ameaça é um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que 
potencialmente remove, desabilita ou destrói um recurso. 
 
7. 
 
Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de 
informações de dados, por meio de autorização e registro de responsabilidade. 
II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para 
prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, 
programação, testes e documentação de sistemas. 
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a 
responsabilidade dos colaboradores auditados. 
IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos 
em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de 
colaboradores da organização. 
 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
I e II 
 
 
II e IV 
 
 
III e IV 
 
 
II e III 
 
 
I e III 
8. 
 
 
Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em 
situações de emergência na empresa, devemos divulgá-lo para: 
 
 
funcionários e clientes da empresa 
 
 
todas as pessoas da empresa 
 
 
só para a diretoria da empresa 
 
 
os diretores e gerentes da empresa 
 
 
as pessoas que tem seus nomes mencionados no plano 
 
 
 
Explicação: 
Não divulgamos nossas estratégias de segurança para as pessoas, exceto se elas tem algo a ver com as 
estratégias. Como um plano de contingência deve conter as ações para que possamos sobreviver em 
situações de emergência na empresa, devemos divulgá-lo apenas para as pessoas que tem algo a ver 
com o plano de emergência. Essas pessoas tem seus nomes no plano de emergência. 
 
 
Gabarito 
Coment.