Baixe o app para aproveitar ainda mais
Prévia do material em texto
Um dos conceitos fundamentais de segurança da informação está relacionado ao nível de abstração, ou seja, o aumento da capacidade de subtrair detalhes, de modo que possamos visualizar algo de forma mais concisa. Assinale a alternativa que apresenta a ordem correta, do menor nível de abstração até o maior nível: Escolha uma: a. Dados, informação, conhecimento. b. Informação, conhecimento, dados. c. Informação, dados, conhecimento. d. Conhecimento, informação, dados. Conceitos básicos de segurança da informação, opção (C) À medida que o nível de abstração aumenta, é gerado valor agregado sobre os dados brutos, transformando-se em informação, e posteriormente em conhecimento. Fonte: Cap 1, pag. 1,2 e. Dados, conhecimento, informação. Feedback A resposta correta é: Dados, informação, conhecimento.. Questão 2 Correto Marcar questão Texto da questão A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito: Escolha uma: a. É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela. b. É a propriedade que garante que a informação está de acordo com a legislação pertinente. c. É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las. Tema: Pilares de segurança da informação, opção (E) A confidencialidade refere-se à proteção da informação, no sentido de que somente quem é autorizado a acessá-la deve fazê-lo. Fonte: Cap 1, pag. 4 d. É a garantia de que a informação armazenada é verdadeira e não está corrompida. e. É a capacidade de provar que um usuário foi responsável por determinada ação. Feedback A resposta correta é: É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las.. Questão 3 Correto Marcar questão Texto da questão Quanto aos conceitos complementares de Segurança da Informação, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: (__) Ativo de informação: É a própria informação somada a qualquer componente que a sustenta ou se utiliza dela. (__) Ataque: São os meios utilizados para resolução das vulnerabilidades. (__) Vulnerabilidade: É o ponto fraco de um ativo. (__) Ameaça: É a exploração de uma falha por um agente. (__) Controle: São os meios utilizados para resolução das vulnerabilidades. Escolha uma: a. F,F,V,F,V b. V,V,V,V,V c. V,F,V,F,V A alternativas I, III e V são verdadeiras. A alternativa II é falsa pois o ataque é a exploração de uma falha por um agente. A alternativa IV é falsa pois a ameaça é a iminência de um ataque, caracterizado pela exposição de uma vulnerabilidade a um meio hostil. Fonte: Cap 1, pag. 5,6 d. F,F,V,F,V e. V,F,V,V,F Feedback A resposta correta é: V,F,V,F,V. Questão 4 Incorreto Marcar questão Texto da questão Assinale a alternativa que corresponde à etapa de uso, dentro do ciclo de vida da informação: Escolha uma: a. Quando é realizado o expurgo de informações. b. A informação é conservada para futura utilização. c. Quando é realizado algum tipo de organização ou formatação da informação. O ciclo de vida da informação é composto de seis etapas: obtenção, tratamento, armazenamento, distribuição, uso e descarte. O uso é a etapa mais importante, pois é quanto é gerado valor agregado à informação, podendo gerar informações gerenciais que podem ser utilizadas para tomadas de decisões, entre outros propósitos. Fonte: Cap 1, pag. 9,10 d. Quando é gerado valor agregado à informação. e. A informação é criada, ou obtida através de uma fonte externa. Feedback A resposta correta é: Quando é gerado valor agregado à informação.. Questão 5 Incorreto Marcar questão Texto da questão Quanto à norma NBR/ISO 27002:2013, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: O objetivo desta norma é prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Os controles presentes no Anexo A da ISO 27001 são detalhados na ISO 27002. Adota o modelo conhecido como Plan-Do-Check-Act (PDCA). A certificação é feita para pessoa física. Escolha uma: a. F,V,V,F b. F,F,V,F c. F,V,V,V Tema: Norma NBR/ISO 27002:2013, opção (C). A alternativas II e IV são verdadeiras. A alternativa I é falsa pois a tarefa prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI cabe à ISO 27001. A alternativa III é falsa pois o modelo PDCA é adotado na ISO 27001. Fonte: Cap 2, pag. 8,9,10 d. F,V,F,V e. V,F,V,V Feedback A resposta correta é: F,V,F,V. Questão 6 Incorreto Marcar questão Texto da questão Um dos cinco princípios do COBIT é atender as necessidades das partes interessadas. Assinale a alternativa que corresponde ao conceito de partes interessadas, ou stakeholders: Escolha uma: a. Pessoas que ajudam a alcançar os objetivos da empresa. b. Pessoas que devem colaborar e trabalhar em conjunto a fim de garantir que a TI esteja inclusa na abordagem de governança e gestão. c. São os gestores executivos de uma empresa. Tema: Princípios do COBIT, opção (A). O termo inglês stakeholders é muito utilizado no COBIT e outras normas, no sentido original da palavra stake significa interesse ou participação, e holder significa aquele que possui. Podem ser pessoas ou organizações afetadas diretamente pelos projetos e processos de uma empresa. Fonte: Cap 2, pag. 13. d. Pessoas ou grupos que possuem investimento ou interesse no negócio. e. Grupo responsável pela governança e o gerenciamento de informações de uma organização. Feedback A resposta correta é: Pessoas ou grupos que possuem investimento ou interesse no negócio.. Questão 7 Incorreto Marcar questão Texto da questão Sobre o “Anexo A” da norma NBR ISO/IEC 27001:2013, assinale a afirmativa correta: Escolha uma: a. Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002. b. Trata-se do detalhamento da abordagem Plan-Do-Check-Act (PDCA). c. Trata-se da descrição detalhada de como implementar um Sistema de Gestão de Segurança da Informação (SGSI). Tema: Norma NBR/ISO 27001:2013, opção (A). O Anexo A da ISO 27001 apresenta forte relacionamento com a norma ISO 27002. Neste anexo os controles são apresentados em apenas uma frase, porém na norma ISO 27002 os mesmos controles são detalhados em páginas inteiras. Fonte: Cap 2, pag. 9 d. Trata-se de um glossário completo com termos técnicos fundamentais para o entendimento da norma. e. Trata-se de um guia para obter a certificação da norma ISO 27001. Feedback A resposta correta é: Trata-se da descrição de controles com os mesmos nomes dos controles da norma ISO 27002.. Questão 8 Correto Marcar questão Texto da questão De forma a reunir diversas normas de segurança da informação, a ISO criou a série 27000. As duas principais normas desta família, e mais amplamente utilizadas, são as normas: Escolha uma: a. ISO 27009 e ISO 27017 b. ISO 27009 e ISO 27013 c. ISO 27001 e ISO 27009 d. ISO 27007 e ISO 27009 e. ISO 27001 e ISO 27002 Tema: Introdução às normas e padrões de segurança da informação, opção (E). A norma ISO 27001 é a principal norma que uma organização deve utilizar como base para obter a certificação empresarialem gestão da segurança da informação sendo a única norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e a ISO 27002 é um conjunto completo de controles que auxiliam a aplicação do SGSI. Fonte: Cap 2, pag. 2 Feedback A resposta correta é: ISO 27001 e ISO 27002. Questão 9 Correto Marcar questão Texto da questão Sobre a utilização de recursos de TI em uma organização, assinale a alternativa incorreta: Escolha uma: a. A maioria dos incidentes de segurança da informação ocorrem no ambiente interno das organizações. b. Os colaboradores da instituição devem ter ciência de que o uso dos recursos tecnológicos deve ser feito apenas para atividades diretamente relacionadas aos negócios da organização. c. É de fundamental importância que a organização possua uma política de utilização dos recursos de TI bem definida. d. Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação. Tema: Utilização dos recursos de TI, opção (D). Os usuários finais não devem ter acesso privilegiado para instalação de aplicativos em suas estações de trabalho, visto que tal prática por representar riscos, como a instalação de malwares, pois o usuário final não possui, via de regra, conhecimento técnico suficiente para evitar tais incidentes. Fonte: Cap 3, pag. 1 e. Cabe à equipe de TI disponibilizar aos colaboradores (funcionários ou terceiros) somente os recursos tecnológicos que irão auxiliá-los no desempenho de suas funções e execução de seus trabalhos. Feedback A resposta correta é: Os usuários finais devem ter acesso privilegiado para instalação de softwares, visto que tal prática não representa risco significativo à segurança da informação.. Questão 10 Incorreto Marcar questão Texto da questão Quanto ao ITIL, considere as afirmações, analise sua veracidade (V = VERDADEIRO ou F = FALSO) e assinale a alternativa correspondente: Esta biblioteca teve início nos anos 1990, quando o governo suíço percebeu a necessidade de melhorar os seus serviços de TI. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. A ITIL organiza os processos para o gerenciamento dos serviços de TI por meio de um ciclo de vida de serviços. A ITIL é descrita em três componentes básicos: núcleo do ITIL, guias complementares e guias de gestão e governança de TI. Escolha uma: a. F,V,V,F b. F,V,F,V Introdução ao ITIL, opção (C). A alternativas II e III são verdadeiras. A alternativa I é falsa pois foi o governo britânico que iniciou tal padronização. A alternativa IV é falsa pois a ITIL é descrita em dois componentes básicos: núcleo do ITIL e guias complementares.Fonte: Cap 2, pag. 16 c. V,V,F,F d. V,V,V,F e. V,F,V,F Feedback A resposta correta é: F,V,V,F. Sobre tipos de backup é correto afirmar: Escolha uma: a. Backup completo é a soma de um backup diferencial com um backup incremental. b. Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo. c. Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. Tema: Política de backup e restore.A estratégia de backups diferenciais ou incrementais deve ser adotada de acordo com a disponibilidade de recursos e necessidades da organização. Backups diferenciais são cópias de todos os dados que foram alterados desde o último backup completo, diferentemente do incremental onde são copiados apenas os dados que foram alterados desde a última tarefa de backup. Fonte: Cap 3, pag. 18,19 d. Os backups diferenciais são mais seguros que os backups incrementais. e. Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup. Feedback A resposta correta é: Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.. Questão 2 Incorreto Marcar questão Texto da questão Sobre política de backup é correto afirmar: Escolha uma: a. De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. b. Backup em discos são mais seguros do que backup em fitas. De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais. c. Backups completos devem ser realizados diariamente. d. Somente dados críticos necessitam de backup. e. A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre. Feedback A resposta correta é: De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.. Questão 3 Incorreto Marcar questão Texto da questão Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta: Escolha uma: a. É um ataque onde são utilizadas senhas armazenadas em um dicionário. Tema: Criptografia.O ataque de força bruta também é conhecido como busca exaustiva de chaves e pode, em teoria, ser utilizado contra quaisquer dados criptografados. Fonte: Cap 4, pag. 14 b. É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais. c. É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico. d. Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca. e. É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico. Feedback A resposta correta é: Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.. Questão 4 Incorreto Marcar questão Texto da questão Quanto às categorias de malwares, analise as sentenças abaixo: I- Vírus é um programa que se autorreplica após alguma ação do usuário. Worm é um programa que se autorreplica sem a necessidade de ação do usuário. II- Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário. III-Spyware é um malware que monitora o equipamento do usuário e efetua coleta de informações do mesmo. IV-Está correto o que consta em: Escolha uma: a. I,II,III,IV. Tema: Software malicioso.A alternativas I, II e IV são verdadeiras. A alternativa III é falsa pois o ransomware é uma categoria de malware perigosa, que efetua o sequestro dos dados do usuário, criptografando os mesmos, e exigindo valor monetário como resgate. Fonte: Cap 4, pag. 1,2 b. I e IV, apenas. c. I,II e IV apenas d. IV, apenas. e. I e II, apenas. Feedback A resposta correta é: I,II e IV apenas. Questão 5 Correto Marcar questão Texto da questão Sobre gerenciamento de riscos em segurança da informação, é correto afirmar: Escolha uma: a. É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada. b. É um conjunto de políticas, procedimentos e vários outros controles que definem as regrasde segurança da informação em uma organização. c. É um sistema de apoio à decisão para o negócio de uma organização. d. É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização. Tema: Introdução ao gerenciamento de riscos em segurança da informação.As empresas têm percebido que a existência de riscos, sem o devido tratamento são prejudiciais aos resultados, pois sua ocorrência pode afetar as operações do negócio, por isto a importância do gerenciamento de riscos em uma organização. Fonte: Cap 6, pag. 1 e. É o padrão atual da indústria para implantar o gerenciamento de serviços de TI. Feedback A resposta correta é: É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização.. Questão 6 Incorreto Marcar questão Texto da questão As sentenças abaixo apresentam estratégias de defesa contra engenharia social, EXCETO: Escolha uma: a. Estabelecer um padrão para que as senhas nunca sejam pronunciadas por telefone. b. Investir em software específico disponível para proteger uma empresa contra a engenharia social. c. Implementar tecnologias de identificação de chamadas de/ou para o suporte. Tema: Engenharia Social.A defesa contra a engenharia social é alcançada com a implementação de boas práticas de segurança que auxiliem na proteção da empresa, não existindo um software específico para tal ação. Fonte: Cap 5, pag. 7,8 d. Exigir que qualquer prestador de serviço seja cadastrado e identificado apropriadamente. e. Investir em equipamento triturador. Feedback A resposta correta é: Investir em software específico disponível para proteger uma empresa contra a engenharia social.. Questão 7 Incorreto Marcar questão Texto da questão Um dos profissionais especialistas em segurança da informação tem um destaque especial, por efetuar o papel de coordenação da equipe de segurança, é o denominado Security Officer, ou agente de segurança. As sentenças abaixo destacam as qualificações de um Security Officer, EXCETO: Escolha uma: a. Familiaridade com termos e conceitos da área. b. Certificações e especializações na área de segurança da informação. c. Dominar técnicas de engenharia social. d. Excelente capacidade de comunicação. e. Capacidade de conciliar os interesses de segurança com os interesses do negócio. Tema: Papel dos profissionais da segurança da informação.A alternativa é incorreta pois não faz parte dos requisitos básicos deste profissional o domínio de técnicas de engenharia social. Fonte: Cap 5, pag. 10,11,12 Feedback A resposta correta é: Dominar técnicas de engenharia social.. Questão 8 Incorreto Marcar questão Texto da questão Quanto a certificados digitais, NÃO é correto afirmar: Escolha uma: a. O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz). b. O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais. c. O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”. Tema: Certificados digitais.Os certificados digitais são emitidos pelas Autoridades Certificadoras (AC) e Autoridades de Registro (AR). Fonte: Cap 4, pag. 20,21 d. No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil. e. Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian. Feedback A resposta correta é: O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz).. Questão 9 Incorreto Marcar questão Texto da questão Quanto ao gerenciamento de riscos em segurança da informação, a etapa de identificação de vulnerabilidades apresenta os seguintes aspectos, EXCETO: Escolha uma: a. Os métodos proativos, que empregam testes de segurança do sistema, podem ser usados para identificar eficientemente as vulnerabilidades. Tema: Avaliação de riscos.A sentença descrita na opção não apresenta relação com a etapa de identificação de vulnerabilidades. Fonte: Cap 6, pag. 7,8 b. Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança. c. Um exemplo de vulnerabilidade que pode ser citado é o fato dos usuários demitidos não serem bloqueados nos sistemas de informação. d. Nesta etapa são identificadas as vulnerabilidades do sistema que podem ser exploradas pelas potenciais fontes de ameaças. e. Existem testes que podem auxiliar nesta tarefa, como por exemplo testes de invasão ativos (pentest). Feedback A resposta correta é: Orienta quanto aos procedimentos a fim de evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de quaisquer requisitos de segurança.. Questão 10 Incorreto Marcar questão Texto da questão Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar: Escolha uma: a. Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações. b. A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS. Tema: Gerenciamento de riscos em segurança da informação aplicado ao CVDS.Um processo iterativo é um processo que se repete diversas vezes para se chegar a um resultado parcial, que pode ser utilizado no próximo ciclo. Isto pode ser aplicado ao gerenciamento de riscos para cada ciclo do CVDS. Fonte: Cap 6, pag. 2,3. c. O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS. d. O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS. e. Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos. Feedback A resposta correta é: O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS.. Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a: Escolha uma: a. ACL b. ISACA c. INMETRO Tema: Associações e certificações. A certificação CISA é mantida pela ISACA, uma associação que auxilia profissionais em todo o mundo atuando no desenvolvimento de metodologias e certificações. Fonte: Cap 7, pag. 17 d. COBIT e. ISSO Feedback A resposta correta é: ISACA. Questão 2 Incorreto Marcar questão Texto da questão As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. Assinale a alternativa que apresenta estas fases: Escolha uma: a. Entrevistas, Planejamento, Execução. Tema: Abordagens de auditoria de sistemas de informação. Para a execução do planejamento é primordial estar definido o enfoque,abrangência e delimitação dos sistemas a participarem da auditoria de sistemas de informação. A fase de execução é centrada na coleta, análise e avaliação e documentação da informação relevante. Finalmente, a fase de conclusão tem como objetivo comunicar os resultados da auditoria. Fonte: Cap 8 pag. 2,3 b. Planejamento, Execução, Conclusão. c. Planejamento, Entrevistas, Revisão. d. Planejamento, Conclusão, Revisão. e. Execução, Conclusão, Revisão. Feedback A resposta correta é: Planejamento, Execução, Conclusão.. Questão 3 Incorreto Marcar questão Texto da questão O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia: Escolha uma: a. INMETRO b. TCU c. ISSO d. INTOSAI e. IEEE. Tema: Ciclo de Auditoria Operacional – TCU. O TCU propõe no Ciclo de Auditoria Operacional (ANOp) uma abordagem para avaliação com foco na gestão pública. A abordagem do TCU é fortemente influenciada pela INTOSAI, e pelas normas internacionais de entidades fiscalizadoras superiores (ISSAI). Fonte: Cap 8 pag. 8. Feedback A resposta correta é: TCU. Questão 4 Incorreto Marcar questão Texto da questão Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que: Escolha uma: a. A auditoria deve ser realizada somente por órgãos governamentais, como o TCU. Tema: Conceitos complementares de auditoria de sistemas de informação. É de fundamental importância a imparcialidade do auditor, visto que o contrário pode comprometer a validade do relatório de auditoria. Fonte: Cap 7, pag. 7,8 b. A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal). c. A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras de negócio, de modo a assegurar a fidelidade no julgamento. d. A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013. e. A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento. Feedback A resposta correta é: A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.. Questão 5 Correto Marcar questão Texto da questão A respeito do relatório de auditoria de sistemas de informação, assinale a alternativa INCORRETA: Escolha uma: a. Os relatórios não são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam de informações confidenciais das organizações. Tema: Relatório de auditoria de sistemas de informação. A alternativa é incorreta pois os relatórios também são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria. Fonte: Cap 9 pag. 9 b. O conteúdo do relatório deve ser suficientemente abrangente para permitir que o mesmo seja independente. c. O relatório pode ter um impacto significativo nas decisões de gestão relativas à organização auditada e aos seus destinatários. d. O relatório é o principal meio de comunicar os resultados de uma auditoria ao cliente ou entidade auditada. e. Os relatórios devem ajudar os auditados a compreender as questões de controle, recomendações e o risco associado de não tomarem medidas corretivas. Feedback A resposta correta é: Os relatórios não são distribuídos a partes externas, como o público em geral ou agências governamentais que têm autoridade reguladora sobre a entidade de auditoria, visto que tratam de informações confidenciais das organizações.. Questão 6 Correto Marcar questão Texto da questão Uma das etapas mais importantes quanto ao uso da ferramenta ACL para auditoria de sistemas de informação é a etapa de verificação de integridade dos dados. Assinale a alternativa que contém um elemento desta etapa: Escolha uma: a. Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado. Tema: Ferramentas de auditoria de sistemas de informação. Uma das formas de verificar a integridade dos dados é através da comparação entre os totais numéricos obtidos e os totais numéricos de controle. Fonte: Cap 10 pag. 7,8 b. O auditor adquire os dados para o projeto. c. O auditor informa ao software ACL como ler e interpretar os dados que ele contém. d. O auditor considera o meio no qual receberá os dados e a capacidade do servidor de rede ou unidade de disco local. e. Os auditores começam o projeto com uma caneta e papel escrevendo de forma clara e inequívoca as declarações dos objetivos do projeto. Feedback A resposta correta é: Os totais numéricos correspondem aos totais de controle fornecidos pelo proprietário do dado.. Questão 7 Incorreto Marcar questão Texto da questão As ferramentas para auditoria de sistemas de informação são classificadas em três categorias básicas. Assinale a alternativa que corresponde estas categorias: Escolha uma: a. Ferramentas estatísticas, ferramentas generalistas e ferramentas especializadas. Tema: Ferramentas de auditoria de sistemas de informação. Ferramentas generalistas possuem foco mais abrangente, ferramentas especializadas são desenvolvidas para um fim específico, e ferramentas de uso geral servem como apoio ao trabalho de auditoria. Fonte: Cap 10 pag. 1 b. Ferramentas estatísticas, ferramentas de uso geral e ferramentas ACL. c. Ferramentas especializadas, ferramentas ACL e ferramentas de uso geral. d. Ferramentas de banco de dados, ferramentas ACL e ferramentas de uso geral. e. Ferramentas generalistas, ferramentas especializadas e ferramentas de uso geral. Feedback A resposta correta é: Ferramentas generalistas, ferramentas especializadas e ferramentas de uso geral.. Questão 8 Incorreto Marcar questão Texto da questão Uma das técnicas utilizadas para auditoria de sistemas de informação é a técnica de inserção de dados de teste. A respeito desta técnica assinale a alternativa INCORRETA: Escolha uma: a. Os tipos gerais de condições que devem ser testados incluem, mas não se limitam a: testes de transações que ocorrem normalmente e testes usando dados inválidos. Tema: Técnicas de auditoria de sistemas de informação. A alternativa é incorreta pois quanto mais combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. Fonte: Cap 9 pag. 2. b. Esta técnica envolve o uso de um conjunto de dados especialmente projetados e preparados com o objetivo de testar as funcionalidades de entrada de dados no sistema. c. Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste. d. Não é necessário um avançado conhecimento de informática para a elaboração dos dados, o qual pode ser feito inclusive utilizando-se de softwares automatizados que tornam a tarefa mais simples. e. Antes das transações serem executadas, os resultados de teste esperado são predeterminados, para que os resultados reais possam ser comparados com os resultados predeterminados. Feedback A resposta correta é: Quanto menos combinações de transações puderem ser feitas no arquivo de carga, maior será a cobertura do teste.. Questão 9 Incorreto Marcar questão Texto da questão Consideram as afirmações: I - “O software Audit Command Language faz parte da categoria de softwares especializados em auditoria, visto que possui diversas funcionalidades,podendo ler bases de dados de diversos formatos.” II - O software IDEA permite auditoria baseada em gestão de risco, através de governança organizacional e alto desempenho operacional. III - As ferramentas específicas de auditoria de SI possuem a vantagem de serem desenvolvidas para uma demanda específica, por isso a eficiência da ferramenta é muito maior do que um software generalista, além de ter custo baixo de produção, visto que possui menos funcionalidades que necessitam ser desenvolvidas. Podemos dizer que: Escolha uma: a. Somente III é verdadeira b. I, II e III são verdadeiras Comentário: I - O software especializado é desenvolvido para a execução de uma tarefa específica, diferentemente do software generalista, capaz de realizar tarefas diversificadas. II - Estas são características presentes no software Pentana. III - Comentários: O custo de desenvolvimento de uma ferramenta específica costuma ser oneroso, visto que trata-se de um software que atenderá somente a um cliente. Fonte: capítulo 10 c. I, II e III são falsas d. Somente II e III são verdadeiras e. II e III são falsas Feedback A resposta correta é: I, II e III são falsas. Questão 10 Correto Marcar questão Texto da questão Quanto à ferramenta IDEA (Interactive Data Extraction & Analisys) para auditoria de sistemas de informação, assinale a alternativa INCORRETA: Escolha uma: a. O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e Externo. b. O software usa projetos para organizar os arquivos a serem auditados. c. A ferramenta oferece a capacidade de importar quantidades massivas de dados de fontes diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados, arquivos impressos, entre outros. d. Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida especificamente para execução de uma tarefa determinada. Tema: Ferramentas de auditoria de sistemas de informação. A ferramenta IDEA é uma ferramenta generalista de auditoria de SI. Fonte: Cap 10 pag. 10> e. O software IDEA inclui uma ferramenta de desenvolvimento conhecida como IDEAScript para criar macros a fim de estender a funcionalidade do IDEA. Feedback A resposta correta é: Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida especificamente para execução de uma tarefa determinada..
Compartilhar