Exercicios Segurança e Auditoria de Sistemas

Prévia do material em texto

Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de 
abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos 
visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do 
menor nível de abstração até o maior nível: 
Escolha uma: 
a. Dados, informação, conhecimento. 
b. Informação, conhecimento, dados. 
c. Informação, dados, conhecimento. 
d. Conhecimento, informação, dados. 
Conceitos básicos de segurança da informação, opção (C) À medida que o nível de abstração 
aumenta, é gerado valor agregado sobre os dados brutos, transformando-se em informação, e 
posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2 
e. Dados, conhecimento, informação. 
Feedback 
A resposta correta é: Dados, informação, conhecimento.. 
Questão 2 
Correto 
Marcar questão 
Texto da questão 
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a 
alternativa que corresponde ao seu conceito: 
Escolha uma: 
a. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, 
no exercício de suas funções, necessitar dela. 
b. É a propriedade que garante que a informação está de acordo com a legislação pertinente. 
c. É o conceito de que determinadas informações só podem ser acessadas por quem é de 
direito conhecê-las. 
Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção 
da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: 
Cap 1, pag. 4 
d. É a garantia de que a informação armazenada é verdadeira e não está corrompida. 
e. É a capacidade de provar que um usuário foi responsável por determinada ação. 
Feedback 
A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas 
por quem é de direito conhecê-las.. 
Questão 3 
Correto 
Marcar questão 
Texto da questão 
Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, 
analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa 
correspondente: 
 
(__) Ativo de informação: É a própria informação somada a qualquer componente que a 
sustenta ou se utiliza dela. 
 
(__) Ataque: São os meios utilizados para resolução das vulnerabilidades. 
 
(__) Vulnerabilidade: É o ponto fraco de um ativo. 
 
(__) Ameaça: É a exploração de uma falha por um agente. 
 
(__) Controle: São os meios utilizados para resolução das vulnerabilidades. 
Escolha uma: 
a. F,F,V,F,V 
b. V,V,V,V,V 
c. V,F,V,F,V 
A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de 
uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, 
caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6 
d. F,F,V,F,V 
e. V,F,V,V,F 
Feedback 
A resposta correta é: V,F,V,F,V. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação: 
Escolha uma: 
a. Quando é realizado o expurgo de informações. 
b. A informação é conservada para futura utilização. 
c. Quando é realizado algum tipo de organização ou formatação da informação. 
O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento, 
armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é quanto é 
gerado valor agregado à informação, podendo gerar informações gerenciais que podem ser 
utilizadas para tomadas de decisões, entre outros propósitos. Fonte: Cap 1, pag. 9,10 
d. Quando é gerado valor agregado à informação. 
e. A informação é criada, ou obtida através de uma fonte externa. 
Feedback 
A resposta correta é: Quando é gerado valor agregado à informação.. 
Questão 5 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua veracidade (V = 
VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: 
 
O objetivo desta norma é prover um modelo para estabelecer, implementar, operar, monitorar, 
analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação 
(SGSI). 
 
Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 27002. 
 
Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). 
 
A certificação é feita para pessoa física. 
Escolha uma: 
a. F,V,V,F 
b. F,F,V,F 
c. F,V,V,V 
Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A 
alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, operar, 
monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 27001. A alternativa 
III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 2, pag. 8,9,10 
d. F,V,F,V 
e. V,F,V,V 
Feedback 
A resposta correta é: F,V,F,V. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
Um dos cinco princípios do COBIT é atender as necessidades das partes interessadas. 
Assinale a alternativa que corresponde ao conceito de partes interessadas, ou stakeholders: 
Escolha uma: 
a. Pessoas que ajudam a alcançar os objetivos da empresa. 
b. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI esteja 
inclusa na abordagem de governança e gestão. 
c. São os gestores executivos de uma empresa. 
Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no COBIT 
e outras normas, no sentido original da palavra stake significa interesse ou participação, e 
holder significa aquele que possui. Podem ser pessoas ou organizações afetadas diretamente 
pelos projetos e processos de uma empresa. Fonte: Cap 2, pag. 13. 
d. Pessoas ou grupos que possuem investimento ou interesse no negócio. 
e. Grupo responsável pela governança e o gerenciamento de informações de uma organização. 
Feedback 
A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no negócio.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta: 
Escolha uma: 
a. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 
27002. 
b. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). 
c. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança 
da Informação (SGSI). 
Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte 
relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em 
apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em 
páginas inteiras. Fonte: Cap 2, pag. 9 
d. Trata-se de um glossário completo com termos técnicos fundamentais para o entendimento 
da norma. 
e. Trata-se de um guia para obter a certificação da norma ISO 27001. 
Feedback 
A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles 
da norma ISO 27002.. 
Questão 8 
Correto 
Marcar questão 
Texto da questão 
De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As 
duas principais normas desta família, e mais amplamente utilizadas, são as normas: 
Escolha uma: 
a. ISO 27009 e ISO 27017 
b. ISO 27009 e ISO 27013 
c. ISO 27001 e ISO 27009 
d. ISO 27007 e ISO 27009 
e. ISO 27001 e ISO 27002 
Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 
27001 é a principal norma que uma organização deve utilizar como base para obter a 
certificação empresarialem gestão da segurança da informação sendo a única norma 
internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação 
(SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. 
Fonte: Cap 2, pag. 2 
Feedback 
A resposta correta é: ISO 27001 e ISO 27002. 
Questão 9 
Correto 
Marcar questão 
Texto da questão 
Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta: 
Escolha uma: 
a. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das 
organizações. 
b. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos 
deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização. 
c. É de fundamental importância que a organização possua uma política de utilização dos 
recursos de TI bem definida. 
d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal 
prática não representa risco significativo à segurança da informação. 
Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter acesso 
privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática 
por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de 
regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1 
e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os 
recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus 
trabalhos. 
Feedback 
A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de 
softwares, visto que tal prática não representa risco significativo à segurança da informação.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = 
FALSO) e assinale a alternativa correspondente: 
 
Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de 
melhorar os seus serviços de TI. 
 
É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
 
A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de 
vida de serviços. 
 
A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias 
de gestão e governança de TI. 
Escolha uma: 
a. F,V,V,F 
b. F,V,F,V 
Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois 
foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é 
descrita em dois componentes básicos: núcleo do ITIL e guias complementares.Fonte: Cap 2, 
pag. 16 
c. V,V,F,F 
d. V,V,V,F 
e. V,F,V,F 
Feedback 
A resposta correta é: F,V,V,F. 
 
Sobre tipos de backup é correto afirmar: 
Escolha uma: 
a. Backup completo é a soma de um backup diferencial com um backup incremental. 
b. Os backups incrementais consistem em backups de todos os dados que foram alterados 
desde o último backup completo. 
c. Os backups incrementais realizam apenas backup dos dados que foram alterados desde a 
última tarefa de backup. 
Tema: Política de backup e restore.A estratégia de backups diferenciais ou incrementais deve 
ser adotada de acordo com a disponibilidade de recursos e necessidades da organização. 
Backups diferenciais são cópias de todos os dados que foram alterados desde o último backup 
completo, diferentemente do incremental onde são copiados apenas os dados que foram 
alterados desde a última tarefa de backup. Fonte: Cap 3, pag. 18,19 
d. Os backups diferenciais são mais seguros que os backups incrementais. 
e. Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a 
última tarefa de backup. 
Feedback 
A resposta correta é: Os backups incrementais realizam apenas backup dos dados que foram 
alterados desde a última tarefa de backup.. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
Sobre política de backup é correto afirmar: 
Escolha uma: 
a. De um modo geral as políticas de backup consistem em capturar um backup completo inicial 
de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou 
diferenciais. 
b. Backup em discos são mais seguros do que backup em fitas. 
De um modo geral as políticas de backup consistem em capturar um backup completo inicial de 
dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. 
c. Backups completos devem ser realizados diariamente. 
d. Somente dados críticos necessitam de backup. 
e. A guarda de backup em local físico diferente da sede de uma organização não é 
recomendada, visto a dificuldade de recuperação em caso de desastre. 
Feedback 
A resposta correta é: De um modo geral as políticas de backup consistem em capturar um 
backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários 
incrementais ou diferenciais.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um 
ataque de força bruta: 
Escolha uma: 
a. É um ataque onde são utilizadas senhas armazenadas em um dicionário. 
Tema: Criptografia.O ataque de força bruta também é conhecido como busca exaustiva de 
chaves e pode, em teoria, ser utilizado contra quaisquer dados criptografados. Fonte: Cap 4, 
pag. 14 
b. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres 
especiais. 
c. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. 
d. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as 
corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de 
busca. 
e. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com 
um computador doméstico. 
Feedback 
A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e 
senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer 
todo o espaço de busca.. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Quanto às categorias de malwares, analise as sentenças abaixo: 
 
I- Vírus é um programa que se autorreplica após alguma ação do usuário. 
 
Worm é um programa que se autorreplica sem a necessidade de ação do usuário. 
 
II- Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao 
usuário. 
 
III-Spyware é um malware que monitora o equipamento do usuário e efetua coleta de 
informações do mesmo. 
 
IV-Está correto o que consta em: 
Escolha uma: 
a. I,II,III,IV. 
Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é falsa pois o 
ransomware é uma categoria de malware perigosa, que efetua o sequestro dos dados do 
usuário, criptografando os mesmos, e exigindo valor monetário como resgate. Fonte: Cap 4, 
pag. 1,2 
b. I e IV, apenas. 
c. I,II e IV apenas 
d. IV, apenas. 
e. I e II, apenas. 
Feedback 
A resposta correta é: I,II e IV apenas. 
Questão 5 
Correto 
Marcar questão 
Texto da questão 
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar: 
Escolha uma: 
a. É baseado em controles, para servir como referência a uma organização que deseja ter uma 
governança de TI mais controlada. 
b. É um conjunto de políticas, procedimentos e vários outros controles que definem as regrasde segurança da informação em uma organização. 
c. É um sistema de apoio à decisão para o negócio de uma organização. 
d. É o processo que habilita os administradores a identificar, priorizar e avaliar os custos 
operacionais de implantação de medidas de proteção aos sistemas de informação, bem como 
os dados que dão suporte à missão de uma organização. 
Tema: Introdução ao gerenciamento de riscos em segurança da informação.As empresas têm 
percebido que a existência de riscos, sem o devido tratamento são prejudiciais aos resultados, 
pois sua ocorrência pode afetar as operações do negócio, por isto a importância do 
gerenciamento de riscos em uma organização. Fonte: Cap 6, pag. 1 
e. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. 
Feedback 
A resposta correta é: É o processo que habilita os administradores a identificar, priorizar e 
avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de 
informação, bem como os dados que dão suporte à missão de uma organização.. 
Questão 6 
Incorreto 
Marcar questão 
Texto da questão 
As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO: 
Escolha uma: 
a. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. 
b. Investir em software específico disponível para proteger uma empresa contra a engenharia 
social. 
c. Implementar tecnologias de identificação de chamadas de/ou para o suporte. 
Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a 
implementação de boas práticas de segurança que auxiliem na proteção da empresa, não 
existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8 
d. Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. 
e. Investir em equipamento triturador. 
Feedback 
A resposta correta é: Investir em software específico disponível para proteger uma empresa 
contra a engenharia social.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
Um dos profissionais especialistas em segurança da informação tem um destaque especial, por 
efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou 
agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, 
EXCETO: 
Escolha uma: 
a. Familiaridade com termos e conceitos da área. 
b. Certificações e especializações na área de segurança da informação. 
c. Dominar técnicas de engenharia social. 
d. Excelente capacidade de comunicação. 
e. Capacidade de conciliar os interesses de segurança com os interesses do negócio. 
Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta pois não 
faz parte dos requisitos básicos deste profissional o domínio de técnicas de engenharia social. 
Fonte: Cap 5, pag. 10,11,12 
Feedback 
A resposta correta é: Dominar técnicas de engenharia social.. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
Quanto a certificados digitais, NÃO é correto afirmar: 
Escolha uma: 
a. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz). 
b. O certificado digital contém, além da chave pública, informações sobre seu proprietário, 
como nome, endereço e outros dados pessoais. 
c. O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, 
uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de 
“cartório virtual”. 
Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades 
Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21 
d. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. 
e. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, 
Serasa Experian. 
Feedback 
A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade Certificadora 
Raiz (AC-Raiz).. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Quanto ao gerenciamento de riscos em segurança da informação, a etapa de identificação de 
vulnerabilidades apresenta os seguintes aspectos, EXCETO: 
Escolha uma: 
a. Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados 
para identificar eficientemente as vulnerabilidades. 
Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a etapa 
de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8 
b. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, 
estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de 
quaisquer requisitos de segurança. 
c. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não 
serem bloqueados nos sistemas de informação. 
d. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas 
pelas potenciais fontes de ameaças. 
e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos 
(pentest). 
Feedback 
A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de quaisquer 
obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da 
informação e de quaisquer requisitos de segurança.. 
Questão 10 
Incorreto 
Marcar questão 
Texto da questão 
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de 
sistemas (CVDS), no contexto da segurança da informação, é correto afirmar: 
Escolha uma: 
a. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para 
suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e 
conceitos de segurança de operações. 
b. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. 
Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo 
iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, 
que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para 
cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3. 
c. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para 
cada fase principal do CVDS. 
d. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada 
fase principal do CVDS. 
e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de 
risco são executadas para componentes do sistema que serão descartados ou substituídos. 
Feedback 
A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de 
forma iterativa para cada fase principal do CVDS.. 
 
Uma das principais associações que auxiliam os profissionais auditores de sistemas de 
informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a: 
Escolha uma: 
a. ACL 
b. ISACA 
c. INMETRO 
Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma associação 
que auxilia profissionais em todo o mundo atuando no desenvolvimento de metodologias e 
certificações. Fonte: Cap 7, pag. 17 
d. COBIT 
e. ISSO 
Feedback 
A resposta correta é: ISACA. 
Questão 2 
Incorreto 
Marcar questão 
Texto da questão 
As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. 
Assinale a alternativa que apresenta estas fases: 
Escolha uma: 
a. Entrevistas, Planejamento, Execução. 
Tema: Abordagens de auditoria de sistemas de informação. Para a execução do planejamento 
é primordial estar definido o enfoque,abrangência e delimitação dos sistemas a participarem 
da auditoria de sistemas de informação. A fase de execução é centrada na coleta, análise e 
avaliação e documentação da informação relevante. Finalmente, a fase de conclusão tem como 
objetivo comunicar os resultados da auditoria. Fonte: Cap 8 pag. 2,3 
b. Planejamento, Execução, Conclusão. 
c. Planejamento, Entrevistas, Revisão. 
d. Planejamento, Conclusão, Revisão. 
e. Execução, Conclusão, Revisão. 
Feedback 
A resposta correta é: Planejamento, Execução, Conclusão.. 
Questão 3 
Incorreto 
Marcar questão 
Texto da questão 
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão 
pública. Assinale a alternativa que apresenta o órgão responsável por este guia: 
Escolha uma: 
a. INMETRO 
b. TCU 
c. ISSO 
d. INTOSAI 
e. IEEE. 
Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de Auditoria Operacional 
(ANOp) uma abordagem para avaliação com foco na gestão pública. A abordagem do TCU é 
fortemente influenciada pela INTOSAI, e pelas normas internacionais de entidades 
fiscalizadoras superiores (ISSAI). Fonte: Cap 8 pag. 8. 
Feedback 
A resposta correta é: TCU. 
Questão 4 
Incorreto 
Marcar questão 
Texto da questão 
Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o 
exame independente e objetivo afirma que: 
Escolha uma: 
a. A auditoria deve ser realizada somente por órgãos governamentais, como o TCU. 
Tema: Conceitos complementares de auditoria de sistemas de informação. É de fundamental 
importância a imparcialidade do auditor, visto que o contrário pode comprometer a validade do 
relatório de auditoria. Fonte: Cap 7, pag. 7,8 
b. A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal). 
c. A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras 
de negócio, de modo a assegurar a fidelidade no julgamento. 
d. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. 
e. A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de 
modo a assegurar imparcialidade no julgamento. 
Feedback 
A resposta correta é: A auditoria deve ser realizada por pessoas com independência em 
relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.. 
Questão 5 
Correto 
Marcar questão 
Texto da questão 
A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa 
INCORRETA: 
Escolha uma: 
a. Os relatórios não são distribuídos a partes externas, como o público em geral ou agências 
governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam 
de informações confidenciais das organizações. 
Tema: Relatório de auditoria de sistemas de informação. A alternativa é incorreta pois os 
relatórios também são distribuídos a partes externas, como o público em geral ou agências 
governamentais que têm autoridade reguladora sobre a entidade de auditoria. Fonte: Cap 9 
pag. 9 
b. O conteúdo do relatório deve ser suficientemente abrangente para permitir que o mesmo 
seja independente. 
c. O relatório pode ter um impacto significativo nas decisões de gestão relativas à organização 
auditada e aos seus destinatários. 
d. O relatório é o principal meio de comunicar os resultados de uma auditoria ao cliente ou 
entidade auditada. 
e. Os relatórios devem ajudar os auditados a compreender as questões de controle, 
recomendações e o risco associado de não tomarem medidas corretivas. 
Feedback 
A resposta correta é: Os relatórios não são distribuídos a partes externas, como o público em 
geral ou agências governamentais que têm autoridade reguladora sobre a entidade de 
auditoria, visto que tratam de informações confidenciais das organizações.. 
Questão 6 
Correto 
Marcar questão 
Texto da questão 
Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas 
de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que 
contém um elemento desta etapa: 
Escolha uma: 
a. Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do 
dado. 
Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de verificar a 
integridade dos dados é através da comparação entre os totais numéricos obtidos e os totais 
numéricos de controle. Fonte: Cap 10 pag. 7,8 
b. O auditor adquire os dados para o projeto. 
c. O auditor informa ao software ACL como ler e interpretar os dados que ele contém. 
d. O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede 
ou unidade de disco local. 
e. Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e 
inequívoca as declarações dos objetivos do projeto. 
Feedback 
A resposta correta é: Os totais numéricos correspondem aos totais de controle fornecidos pelo 
proprietário do dado.. 
Questão 7 
Incorreto 
Marcar questão 
Texto da questão 
As ferramentas para auditoria de sistemas de informação são classificadas em três categorias 
básicas. Assinale a alternativa que corresponde estas categorias: 
Escolha uma: 
a. Ferramentas estatísticas, ferramentas generalistas e ferramentas especializadas. 
Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas generalistas 
possuem foco mais abrangente, ferramentas especializadas são desenvolvidas para um fim 
específico, e ferramentas de uso geral servem como apoio ao trabalho de auditoria. Fonte: Cap 
10 pag. 1 
b. Ferramentas estatísticas, ferramentas de uso geral e ferramentas ACL. 
c. Ferramentas especializadas, ferramentas ACL e ferramentas de uso geral. 
d. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso geral. 
e. Ferramentas generalistas, ferramentas especializadas e ferramentas de uso geral. 
Feedback 
A resposta correta é: Ferramentas generalistas, ferramentas especializadas e ferramentas de 
uso geral.. 
Questão 8 
Incorreto 
Marcar questão 
Texto da questão 
Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção 
de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: 
Escolha uma: 
a. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes 
de transações que ocorrem normalmente e testes usando dados inválidos. 
Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois quanto 
mais combinações de transações puderem ser feitas no arquivo de carga, maior será a 
cobertura do teste. Fonte: Cap 9 pag. 2. 
b. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados 
com o objetivo de testar as funcionalidades de entrada de dados no sistema. 
c. Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior 
será a cobertura do teste. 
d. Não é necessário um avançado conhecimento de informática para a elaboração dos dados, 
o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa 
mais simples. 
e. Antes das transações serem executadas, os resultados de teste esperado são 
predeterminados, para que os resultados reais possam ser comparados com os resultados 
predeterminados. 
Feedback 
A resposta correta é: Quanto menos combinações de transações puderem ser feitas no arquivo 
de carga, maior será a cobertura do teste.. 
Questão 9 
Incorreto 
Marcar questão 
Texto da questão 
Consideram as afirmações: 
 
I - “O software Audit Command Language faz parte da categoria de softwares especializados 
em auditoria, visto que possui diversas funcionalidades,podendo ler bases de dados de 
diversos formatos.” 
 
II - O software IDEA permite auditoria baseada em gestão de risco, através de governança 
organizacional e alto desempenho operacional. 
 
III - As ferramentas específicas de auditoria de SI possuem a vantagem de serem 
desenvolvidas para uma demanda específica, por isso a eficiência da ferramenta é muito maior 
do que um software generalista, além de ter custo baixo de produção, visto que possui menos 
funcionalidades que necessitam ser desenvolvidas. 
 
Podemos dizer que: 
Escolha uma: 
a. Somente III é verdadeira 
b. I, II e III são verdadeiras 
Comentário: I - O software especializado é desenvolvido para a execução de uma tarefa 
específica, diferentemente do software generalista, capaz de realizar tarefas diversificadas. II - 
Estas são características presentes no software Pentana. III - Comentários: O custo de 
desenvolvimento de uma ferramenta específica costuma ser oneroso, visto que trata-se de um 
software que atenderá somente a um cliente. Fonte: capítulo 10 
c. I, II e III são falsas 
d. Somente II e III são verdadeiras 
e. II e III são falsas 
Feedback 
A resposta correta é: I, II e III são falsas. 
Questão 10 
Correto 
Marcar questão 
Texto da questão 
Quanto à ferramenta IDEA (Interactive Data Extraction & Analisys) para auditoria de sistemas 
de informação, assinale a alternativa INCORRETA: 
Escolha uma: 
a. O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e Externo. 
b. O software usa projetos para organizar os arquivos a serem auditados. 
c. A ferramenta oferece a capacidade de importar quantidades massivas de dados de fontes 
diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados, arquivos 
impressos, entre outros. 
d. Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida 
especificamente para execução de uma tarefa determinada. 
Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA é uma 
ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10> 
e. O software IDEA inclui uma ferramenta de desenvolvimento conhecida como IDEAScript 
para criar macros a fim de estender a funcionalidade do IDEA. 
Feedback 
A resposta correta é: Trata-se de uma ferramenta específica de auditoria de SI, ou seja, 
desenvolvida especificamente para execução de uma tarefa determinada..