Baixe o app para aproveitar ainda mais
Prévia do material em texto
Auditoria de sistemas Aponte qual das opções abaixo não corresponde ao pefil do auditor ; Deve ter conhecimento teórico e prático em Sistemas de Informação Deve ter visão abrangente da empresa; Deve ter comportamento condizente com quem tem autoridade no assunto; Deve ser profundo conhecedor de linguagens orientada a objetos; Deve consultar especialistas quando o assunto fugir de seu domínio ; Sobre a Auditoria de Sistemas podemos assegurar que : I - ela preocupa-se com a integridade da frota de veiculos da empresa II - ela preocupa-se com a conformidade do sistema com a lei vigente no país onde o sistema será processado III - ela deve identificar vulnerabilidades nos sistemas e indicar como soluciona-las Identifique a(s) alternativa (s) correta (s) Todas as opções estão corretas Nenhuma opção está correta Somente as opções II e III estão corretas Somente as opções I e II estão corretas Somente as opções I e III estão corretas Assegurar que os dados encontram-se iguais a quando foram gravados é um dos objetivos da segurança e este objetivo é conhecido por: credibilidade confidencialidade integridade confiabilidade consistência Quando a empresa contrata uma firma de Auditoria para fazer uma auditoria no sistema Folha de Pagamento, estamos falando de auditoria externa. Neste caso: o controle sobre trabalhos realizados é mais seguro o custo é distribuído pelos auditados o treinamento dos auditores é responsabilidade da área de recursos humanos a metodologia utilizada é da empresa de auditoria externa a equipe será treinada conforme objetivos de segurança da empresa A preocupação em sobreviver frente um mercado cada vez mais competitivo e a busca pela melhoria contínua motivou empresas a investirem na auditoria de sistema da informação, ou seja, uma solução encontrada por gestores para problemas em potencial, como no caso da segurança dos dados manipulados através dos computadores na organização. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Podemos inferir que a Auditoria de Sistemas é uma atividade que engloba exame de sistemas, operações, processos e responsabilidades gerenciais de uma empresa PORQUE II - seu objetivo é a segurança de informações e recursos além de observar a conformidade com os padrões atuais. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. Utilizar a capacidade de cálculos estatísticos e de geração de amostras que facilitem confirmação de saldos necessários para aferir a integridade de dados de um sistema de controle de estoque pode ser conseguida através da técnica: abordagem interna ao computador abordagem ao redor do computador abordagem através do computador abordagem externa ao computador abordagem com o computador Verificar se o sistema auditado suporta adequadamente os usuários do mesmo faz parte do perfil do auditor de sistemas. Isso significa dizer que: I - O auditor de sistemas deve conhecer a rotina operacional para o qual o sistema auditado dará suporte. II - O auditor de sistemas deve necessariamente conhecer o negócio da empresa. III - O auditor de sistemas deve conhecer as funções dos colaboradores que trabalham na área para a qual o sistema dará suporte. Identifique as sentenças verdadeiras (V) e as falsas (F) F, V, V V, F, F F, V, F V, F, V V, V, F A auditoria de um sistema pode ser realizda tanto por auditores internos quanto por auditores independentes, externos. Observe as sentenças sobre o tipo de auditoria: I - O trabalho do auditor de sistemas pode ser realizado por um analista de sistemas senior que não esteja alocado em nenhum projeto no momento. II - A auditoria de sistemas realizada por auditores externos tem mais valor perante os clientes externos. III - A auditoria de sistemas interna não precisa necessariamente comprar uma metodologia de trabalho. Pode desenvolve-la em casa. Assinale as sentenças verdadeiras (V) e as sentenças falsas (F). V, V, F V, F, F F, F, V F, V, F F, V, V Podemos afirmar que relacionado ao trabalho de Auditoria de Sistemas as afirmativas abaixo estão corretas, exceto uma. Identifique-a Os auditores de sistema devem evitar relacionamento pessoal com os auditados O auditor de Sistemas deve conhecer os negócios da empresa Os auditores de sistema devem ter elegância no falar (evitar gírias, por exemplo) já que estão posicionados em um alto nível no organograma da empresa Os auditores de sistema possuem autoridade para verificarem dados extremamente confidenciais da empresa, desde que façam parte dos sistemas auditados Para a Auditoria interna, a metodologia de trabalho deve necessariamente ser desenvolvida pela empresa A Auditoria necessita estar em alta posição no organograma da empresa, logo abaixo da direção executiva. Marque a opção que responde de forma verdadeira a afirmativa: ela diz para os gerentes como consertar as falhas encontradas esta posição demonstra o status e o poder que a Auditoria possui os auditores não tem horário fixo para exercer suas atividades os salários dos auditores são compatíveis com os dos diretores ela necessita de autonomia para executar suas atividades As opções abaixo citam recursos passíveis de serem auditados pela Auditoria de Sistemas. Uma delas não esta correta. Identifique-a. Software, hardware e visitantes. Móveis, escadas entre andares e colaboradores terceirizados. Equipamentos eletrônicos da empresa, celulares e móveis. Colaboradores, software e existência de plano de contingência Pessoas, hardware e suprimentos. Como exemplo de objetivo da auditoria podemos citar: A experiência dos programadores do sistema O número de paginas da documentação do sistema A verificação de existência de digito de controle na chave primaria do arquivo de cadastro de clientes O numero de testes feitos no programa de geração de cadastro de clientes O número de revisões feitas pelo analista na documentação da definição do sistema O treinamento para futuros auditores de sistemas que possuem pouca ou nenhuma experiência em Tecnologia da Informação deve incluir: Marque a alternativa FALSA. Rede de computadores. Processamento lógico. Internet, intranet e extranet, com configurações pertinentes. Conceitos de fluxograma e Fluxo de Dados. Softwares de Auditoria. Uma das funções clássicas de uma organização, segundo Antonio Gil, é o controle. Ao identificar que o cronograma deverá estourar, ou seja, não será cumprido, o responsável deverá executar: respostas de risco retrabalho alterações de cronograma replanejamento ações corretivas Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. O auditor de Tecnologia da Informação deve ser ligado diretamente à área sob auditoria, devendo ser, preferencialmente, um funcionário ou ter um cargo nessa área. II. O colaborador a ser auditado deve planejar as tarefas de auditoria para direcionar os objetivos da auditoria e seguir os padrões profi ssionais aplicáveis. III. O auditor de Tecnologia da Informação deve requisitar e avaliar informações apropriadas sobre pontos, conclusões e recomendações anteriores e relevantes para determinar se ações apropriadas foram implementadas em tempo hábil. IV. De acordo com o código de ética profissional da Associação de Auditores de Sistemase Controles, seus membros devem manter privacidade e confi dencialidade das informações obtidas no decurso de suas funções, exceto quando exigido legalmente. Indique a opção que contenha todas as afirmações verdadeiras. II e III I e III III e IV II e IV I e II Há dois grandes meios de se ter uma equipe de auditoria. Com base na afirmativa marque a opção que indica os dois tipos de equipe de auditoria: EQUIPE PREESENCIAL E VIRTUAL EQUIPE EXTERNA E CONSULTORIA EQUIPE INTERNA E EXTERNA EQUIPE INTERNA E VIRTUAL EQUIPE INTERNA E CONSULTORIA Considere as seguintes descrições: I. Controle de acesso (físico e lógico) II. Gravação e atualização autorizadas III. Sistema disponível quando necessário IV. Sistema funciona conforme requisitos V. Sistema atuará conforme o esperado · A opção que melhor representa o significado de cada uma delas respectivamente é: · Confidencialidade; Confiabilidade; Integridade; Disponibilidade; e, Consistência. Confiabilidade; Integridade; Confidencialidade; Disponibilidade; e, Consistência. Consistência; Confidencialidade; Integridade; Disponibilidade; e, Confiabilidade. Confidencialidade; Integridade; Disponibilidade; Consistência; e, Confiabilidade. Confidencialidade; Disponibilidade; Consistência; Integridade; e, Confiabilidade. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser: No mesmo nível das demais Diretorias. logo abaixo da direção executiva da empresa. Subordinada a Diretoria Jurídica. Subordinada a Diretoria de Tecnologia. Subordinada a diretoria Financeira. Considerando que um auditor de sistemas necessita de autonomia para verificar o trabalho realizado e apontar distorções encontradas no que tange à segurança de informações, recursos, serviços e acesso, além de conformidade com os objetivos da empresa, políticas administrativas, orçamentos, regras, normas ou padrões, não só na área de Sistemas mas também nas áreas do cliente, seu posicionamento no organograma da empresa deve ser logo abaixo: Diretoria Financeira Diretoria de Informática Presidência Executiva Diretoria Administrativa Diretoria Executiva Analise as sentenças abaixo sobre Auditoria em TI e, em seguida, assinale a alternativa correta: I. Está calçada em segurança e em controles internos II. Seu objetivo maior é verificar se os controles internos foram implementados e, se existirem, se são efetivos III. Engloba o exame das operações, processos, sistemas e responsabilidades gerenciais de uma determinada empresa Somente a sentença III está correta Somente as sentenças I e II estão corretas Todas as sentenças estão corretas Somente as sentenças I e III estão corretas Somente as sentenças II e III estão corretas Considerando os conceitos de avaliação e validação que envolvem as atividades de Auditoria de Sistemas, classifique as seguintes atividades como sendo uma atividade de avaliação (A) ou uma atividade de validação (V): I - Dentre os 100 testes realizados, o sistema apresentou 5 registros com erro. II - O sistema Folha de Pagamento carece de rotina de validação de digito de controle na matricula dos colaboradores. III - O sistema de Contas-correntes não apresenta estabilidade no saldo final do cliente em relação aos centavos. V, V, V A, V, V A, A, V V, A, A V, A, V A Auditoria de Sistemas tem como objetivo: gerenciar todo hardware e software da empresa, garantindo sua manutenção garantir a segurança de informações, recursos, serviços e acesso expandir as fronteiras de acesso aos sistemas e também à Internet permitir o compartilhamento de informações e serviços na rede permitir o acesso à documentação dos aplicativos e sistemas operacionais TESTE 2 Assinale a opção verdadeira: Respostas de risco são ações que devemos executar caso o auditado não corrija as falhas a tempo de emitirmos o relatório final de auditoria ações a serem seguidas na eventualidade da ocorrência de uma ameaça atividades que devem ser evitadas para não gerar riscos relatórios que enviamos aos auditados ao detectarmos uma falha no sistema auditado ações tomadas pelos auditados para corrigir falhas detectadas pelos auditores Identifique a que planos as ações abaixo pertencem: E => plano de emergência . B=> plano de back-up, R=> plano de recuperação 1 - Acionar o corpo de bombeiros ao verificar um incêncio em andamento 2 - Fazer up-grade de servidor 3 - Fazer manutenção da rede eletrica do CPD 4 - Atualizar o anti-virus E, R, B, B B, E, R, B B, R, B, E E, B, B, R B, B, E, E plano de contingência é formado por 3 compontes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 1c. 2b, 3a 1a, 2b, 3c 1b, 2c, 3a 1b,2a,3c 1c, 2a, 3b A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De acordo com a afirmativa assinale a alternativa coreta: o sistema de qualidade executa suas tarefas periodicamente o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre esses planos são testados periodicamente. Um plano de contingência pode ser definido como: A solução de emergência para eventos não identificados previamente A identificação de uma serie de ameaças e suas ponderações de probabilidade de ocorrência e provavel impacto gerado Uma sequencia de ações pre-definidas, a serem executadas na eventualidae da ocorrência de uma ameaça Uma sequencia de ações para geração de arquivos cópia (back-ups) dos principais sistemas da empresa A manutenção de ambiente preparado para funcionar como back-up na eventualidade de uma parada do CPD da empresa Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: I - desligar a força da sala do CPD II - instalar sprinklers e sensores de calor na sala do CPD III - telefonar para o Corpo de Bombeiros Somente a II somente a III I, II e III I e II I e III Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que ela deve ser atualizada a cada descoberta de um novo virus para sua elaboração só consideramos os riscos identificados pelo cliente os critérios de seleção são escolhidos pelo gerente da área de segurança consideramos para sua elaboração as variáveis probabilidade de ocorrencia e impacto ela determinará a frequencia com que os anti-virus deverão ser atualizados Considerando-se os riscos e amaças dentro do contexo de Auditoria de Sistemas, aponte a opção que não se constituiuma ameaça; Ameça Concretizada; Violação de integridade; Vazamento de Informação; Indisponibilidade de serviços de informatica; Troca de senha por invasão de hacker Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa corretamente a afirmativa: ACIDENTAIS E PASSIVAS DELIBERADAS E ATIVAS ACIDENTAIS E DELIBERADAS ACIDENTAIS E ATIVAS DELIBERADAS E PASSIVAS Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto escore na matriz de risco. · Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: · Plano de Provisões Plano de Emergência Plano de Risco Plano de Recuperação Plano de Backup O plano de contingência de uma área de negócio é desenvolvido pelo gestor do negócio pela própria área de negócios pelos auditores de sistema pelo responsável pelo CPD (Centro de Processamento de Dados) pelo comite de sistemas da empresa As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que influenciam o escore de risco de um sistema: capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais custo do sistema, nível de documentação existente e complexidade dos cálculos custo do sistema, número de requisitos funcionais e visibilidade do cliente volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas visibilidade do cliente, volume médio diário de transações processadas e idade do sistema Identifique nas sentenças abaixo o que são erros (E) e o que são riscos (R). I - Falha no dispositivo de gravação de disco II - Falta de suprimento para impressão de contra-cheques III - Totalização no relatório de estoque incorreto IV - Queda de energia eletrica R,R,E,E R,E,R,E E,R,R,E R,E,E,R E,R,E,R Analise as sentenças abaixo em relação a planos de contingência para um CPD (Centro de Processamento de Dados) e assinale se são verdadeiras (V) ou falsas (F). I - Fazemos planos de emergência apenas para os sistemas não críticos II - Os planos de back-up refletem os recursos necessários para a viabilidade do plano de emergência III - Os planos de recuperação serão executados sempre que houver a ocorrencia de uma ameaça. F,F,V V,F,F F,V,F F,F,F V,F,V Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são aqueles: essenciais para manter a continuidade do serviço sujeitos a aprovação da crítica do cliente prioritários para serem refeitos definidos pelo usuário como sendo os mais complexos que não devem ser descontinuados por terem caducado Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call center, identifique qual das ameaças elencadas é FALSA. Pessoa fazendo-se passar por outra Greve de transportes Ataque de hackers Sistema sem controle de acesso ao banco de dados dos clientes Sistema com erro de identificação de clientes Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é chamado de: vulnerabilidade impacto ataque risco ameaça Sabendo que um plano de contingência é uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para assegurar a continuidade do serviço, identifique as sentenças abaixo como sendo verdadeiras (V) ou falsas (F) em relação ao plano de emergência. I - Guardar cópia de arquivo de transações por um período de 10 dias úteis. II - Declarar que o prédio onde situa-se a empresa encontra-se em situação de emergência. III - Fazer manutenção na rede elétrica do CPD. V, F, V V, F, F F, V, F V, V, F F, V, V Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária: I - Cadastro clientes novos. II - Pagamento de fatura de cartão de crédito com cheque. III - Saque no caixa em notas de R$ 20,00. F, F, V F, V, V F, V, F V, V, F Os possíveis riscos de um sistema, negócio ou área devem ser levantados por uma equipe multidisciplinar, envolvendo o objeto da contingência. Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião: a disponibilidade de recursos para elaboração do plano de emergência a frequencia com que tais riscos podem ocorrer os estragos materiais, financeiros ou morais que poderão surgir caso o risco ocorra os custos dos salários/hora das pessoas envolvidas na reunião os custos envolvidos na confecção do plano de contingência CIPA ¿ Comissão Interna de Prevenção de Acidentes, tem como objetivo a prevenção de acidentes e doenças profissionais, tornando compatível o trabalho com a preservação da vida e da saúde do trabalhador. Assinale dentre as opções abaixo aquela que apresenta o documento que contem as disposições legais; Regulamentadora número 5 (NR 5) do Ministério do planejamento; Regulamentadora número 5 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 7 (NR 5) do Ministério do Trabalho e Emprego. Regulamentadora número 5 (NR 5) do Ministério da Educação; Regulamentadora número 5 (NR 5) do Ministério da Justiça; Assinale dentre as opções abaixo aquela que correponde as COLUNAS da matriz de risco; Ameaça, impacto,custo,escore de risco; Custo, impacto,probabilidade,escore de risco; Impoortância impacto,probabilidade,escore de risco; Importância, impacto,probabilidade,custo; Ameaça, impacto,probabilidade,escore de risco; Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de autorização e registro de responsabilidade. II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores auditados. IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. Indique a opção que contenha todas as afirmações verdadeiras. II e III I e III II e IV III e IV I e II Considerando que um plano de contingência deve conter as ações para que possamos sobreviver em situações de emergência na empresa, devemos divulgá-lo para: os diretores e gerentes da empresa funcionários e clientes da empresa só para a diretoria da empresa as pessoas que tem seus nomes mencionados no plano todas as pessoas da empresa TESTE ( 3 ) Controle de processos significa identificar se os processos existem e se estão coerentes com ospadrões da empresa. Identifique os itens abaixo se são considerados controles de processo de um sistema. Use V para verdadeiro e F para falso. I - Seleção de parceiros/fornecedores II - Relatórios de aceitação de teste III - Compra de equipamento F, V, V V, F, V F, V, F V, V, F V, F, F O objetivo de auditoria que se preocupa se o sistema funciona conforme expectativa dos usuários autorizados é: integridade confiabilidade confidencialidade consistência credibilidade Na metodologia estudada, ponto de auditoria significa: Um controle de presença do auditor. Uma fraqueza encontrada no sistema auditado. Assinatura do auditor quando começa e quando termina o trabalho no dia. Uma unidade a ser auditada. Assinatuda do auditor quando começa o trabalho no dia. Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: segurança do sistema integridade de dados conformidade processo de desenvolvimento legibilidade operacional As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor A auditoria é uma atividade realizada em fases. Uma das fases é conhecida como FOLLOW-UP. Esta fase trata efetivamente do acompanhamneto de falahas. Marque a afirmativa correta referente ao acompanhamento desta fase: uma auditoria realizada em um sistema não influência na próxima auditoria que o memso venha passar. Inclusive o cpd nunca é auditado. todo o acompanhamento não necessita ser documentado e não servirá de subsídio para auditorias futuras do mesmo sistema ou cpd todo o acompanhamento deve ser documentado e servirá de subsídio para auditorias futuras do mesmo sistema ou cpd o acompanhamento é opcional não tem nenhuma relevância para a próxima auditoria independente de ser ou não o mesmo sistema ou cpd todo o acompanhamento deve ser documentado e será aproveitado para auditorias futuras em outro novo sistema ou cpd Identifique os itens abaixo se são considerados controles internos de um sistema. Use V para verdadeiro e F para falso. I - Assinatura digital II - Suporte de rede. III - Comparação de dados no sistema. V, F, V V, F, F F, V, V V, V, F F, V, F As fases de uma Auditoria de Sistemas são: Planejamento; Exemplificação; Transferência de relatórios; Backup Planejamento; Execução; Emissão e divulgação de relatórios; Follow-up Projeto; Execução; Emissão e divulgação de requisitos; Follow-up Planejamento; Exemplificação; Transmissão de relatórios; Backup Projeto; Execução; Emissão e divulgação de releases; Acompanhamento Ao elegermos um sistema para auditoria devemos selecionar as unidades de controles internos, de controles de processo e de controles de negócio que expressam as preocupações da Auditoria para com o sistema a ser auditado. É exemplo de controle de processo: aceite do usuário suprimento sensível ordem de serviço segurança do sistema política empresarial Para o cálculo do risco de um sistema em desenvolvimento podemos considerar os seguintes itens, EXCETO O impacto em outros sistemas. O valor diário das transações processadas pelo sistema, em reais. O número de clientes afetados pelo sistema. A linguagem em que o sistema está sendo desenvolvido. O número de unidades operacionais que o sistema servirá. Na metodologia estudada, ponto de controle é: Assinatura do auditor quando começa e quando termina o trabalho no dia. Um controle de presença do auditor. Uma unidade a ser auditada. Assinatuda do auditor quando começa o trabalho no dia. Uma fraqueza encontrada no sistema auditado. Sobre o trabalho de auditoria, podemos afirmar que: I) O auditor deve guardar as evidências relacionadas com as não conformidades encontradas durante o trabalho de campo; II) Existem determinados tipos de não conformidades que o auditor deve ajudar, orientando sobre a melhor solução que deve ser dada para o cenário encontrado; III) O auditado pode discordar de uma não conformidade, informando ao auditor por escrito e justificando a sua discordância. · Agora assinale a alternativa correta: · Somente I e III são proposições verdadeiras. Somente I é proposição verdadeira. I, II e III são proposições verdadeiras. Somente II e III são proposições verdadeiras. Somente I e II são proposições verdadeiras. A nota do relatório de auditoria será dada conforme: o número de testes necessários para eliminar uma falha. a completude da documentação do sistema auditado. a participação dos auditados em fornecer as evidências solicitadas. as falhas encontradas no sistema /área auditada. as falhas reportadas e não resolvidas. Você esta auditando um Sistema de Folha de Pagamento e fará uma reunião inicial entre a Auditoria e as pessoas chaves da área de Sistemas, da área de Recursos Humanos e da área de Contabilidade a fim de informar que o sistema foi selecionado para ser auditado. Esta reunião é feita na fase do trabalho de auditoria chamada de: priorização de sistemas a serem auditados planejamento levantamento execução controle Ao fazermos a analise de risco de um sistema para determinar seu escore de risco e, desta forma, prioriza-lo para ser auditado, devemos considerar: a linguagem de desenvolvimento, o custo de treinamento dos desenvolvedores e o número de interface com outros sistemas O custo do sistema, o local físico do CPD e o número de arquivos do sistema seu volume médio diário de transações, seu custo de desenvolvimento e o impacto em outros sistemas O número de arquivos do sistema, o nivel tecnico dos operadores do sistema e seu volume médio diário de transações O número de periféricos necessários, a linguagem de desenvolvimento e o local físico do CPD Situação do ambiente computacional considerada pelo auditor como sendo de interesse para validação e avaliação é conhecido como: ponto de integração ponto de partida ponto de auditoria documentação ponto de controle Marque a alternativa que preencha corretamente as lacunas: A ________________ diz o que deve ser feito. Por esta razão não devemos acrescentar detalhes de implementação nela. Isto fica por conta dos ________________, que representam o como ela será implementada. política de segurança / acionistas majoritários política de segurança / procedimentos classificação da informação / programas política de segurança / programas estrutura organizacional / grau de maturidade Autorização, confidencialidade e acuidade de dados seriam controles internos da categoria: segurança do sistema processo de desenvolvimento integridade de dados guarda de ativos conformidade Toda auditoria deve ser tratada como um projeto e para tanto deverá ter um cronograma e um orçamento. Além do tempo gasto na confecção e emissão do relatório de auditoria, o cronograma é baseado na estimativa de tempo que o auditor gastará no trabalho efetuado em cada: comunicação de falha encontrada unidadede controle teste de unidade ponto de auditoria ponto de controle AS fases de uma auditoria são: Planejamento ,Execução,Emissão e divulgação de relatórios e Arquivamento. Planejamento ,Execução e Arquivamento. Planejamento,Execução,Follow-up e Arquivamento Execução,Follow-up e emissão e de relatórios. Planejamento ,Execução,Emissão e divulgação de relatórios e Follow-up As Técnicas De Auditoria utilizam a simulação paralela. Qual item abaixo NÃO corresponte a esta técnica? Trata-se da elaboração de um programa de computador (pelo auditor) para simular as funções de rotina do sistema sob auditoria, com foco nos pontos de controle a serem verificados. Utiliza-se de dados de produção alimentados à rotina do sistema sob auditoria como entrada do programa de computador para auditoria, simulado e elaborado pelo auditor. Envolve a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. Preparação do ambiente de computação para processamento de programa elaborado pelo Auditor Rotinas para gravação de arquivos logs (arquivo log: arquivo com dados históricos) Encriptação de dados, assinatura digital e supervisão de redes seriam controles internos da categoria: conformidade segurança do sistema integridade de dados legibilidade operacional processo de desenvolviment TESTE (4) Na visita in loco o auditor poderá obter dados através de Marque a opção INCORRETA: mensagem de voz documentação teste observações informação solicitada Assinale a alternativa que completa corretamente a lacuna da sentença: A técnica chamada __________ visa obter evidências do trabalho do auditor para que ele possa opinar sobre o sistema que está auditando: programa de computador entrevista simulação paralela rastreamento questionário Quando a auditorias de sistemas ocorre em sistremas em desenvolvimento, a atenção dos auditores é focada em qual etapa do desenvolvimento? Naquilo que foi planejado em termos de controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de testes internos, processos e controles de negócios a serem desenvolvidos; Naquilo que foi planejado em termos de controles internos, orçamentos de hardware para os sistemas. Nos controles internos, processos e controles de negócios a serem implementados nos sistemas. Naquilo que foi planejado em termos de controles internos, processos custos de negócios a serem implementados nos sistemas. Uma das vantagens de uso de softwares generalista é que: podem processar header labels o softaware aceita inclusão de testes de controles internos específicos tais como digito verificador o software pode processar vários arquivos ao mesmo tempo as aplicações podem ser feitas online e utilizadas em outros sistemas provê cálculos específicos para sistemas específicos tais como Contas-Correntes Indique quais as formas verdadeiras (V) ou falsas (F) de testarmos programas em produção durante uma auditoria. I - Auditoria constrói um programa e o processa com a massa de dados real. II - Auditoria prepara a massa de teste e a processa com programas da Produção. III - Auditoria constrói programas e massa de dados para testes de rotinas sensíveis. IV - Auditoria prepara massa de dados e processa com programa elaborado pela Auditoria a fim de verificar a integridade dos dados. V, V, F, F F, V, F, F F, V, F, V V, F, V, F V, F, F, F Analise se as proposições abaixo são verdadeiras (V) ou falsas (F) e depois marque a alternativa correta: ( ) Softwares generalistas normalmente são sistemas comprados prontos que necessitam de personalização, conforme a necessidade dos auditores. Exemplo: ACL (Audit Command language) e IDEA (Interactive Data Extraction & Analysis). ( ) Softwares especializados em auditoria são programas desenvolvidos pelos auditores ou sob encomenda, com a finalidade de testar particularidades de alguns tipos de sistemas auditados que possuem características pouco comuns, como, por exemplo, sistemas de leasing e sistemas de câmbio. ( ) Softwares utilitários são programas utilitários para funções básicas de processamento, como, por exemplo, somar determinados campos de um arquivo, classificar um arquivo e listar determinados campos de registros de um arquivo. ( ) A visita in loco é uma técnica de auditoria na qual o auditor captura várias informações sobre os pontos de controle de forma remota, através de um programa instalado no seu computador. ( ) As entrevistas de campo podem ser estruturadas e não estruturadas. As entrevistas não estruturadas utilizam formulários especiais para coleta de dados. · Agora assinale a alternativa correta: · F,F,F,F,F F,F,F,V,V V,V,V,F,F V,V,V,V,F V,V,V,V,V Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir: I - Os softwares especialistas normalmente são comprados prontos. II - Os softwares utilitários tem a vantagem de processar vários arquivos ao mesmo tempo. III - Os softwares generalistas não proveem cálculos específicos para sistemas específicos. F, F, V F, V, F V, F, V V, V, F F, V, V A Auditoria de Sistemas é uma atividade orientada para a avaliação dos procedimentos de controle e segurança da informação, recursos, serviços e acessos, bem como, a conformidade com objetivos da empresa, políticas, orçamentos, normas ou padrões. Podemos realizar uma auditoria de sistemas em sistemas em desenvolvimento ou em operação. · Para executar o seu trabalho, o auditor pode contar com três tipos de programas de auditoria de tecnologia de informação, que são: · Softwares de instalação, Softwares de observação e Softwares de correção. Softwares de instalação, Softwares de backup e Softwares de restore. Softwares generalistas, Softwares especializados e Softwares utilitários. Softwares de instalação, Softwares de especialização e Softwares de proposição. Softwares de instalação, Softwares de correção e Softwares de observação. Os programas utilitários são programas que contém funções básicas de processamento e normalmente vem embutidos em sistemas operacionais ou banco de dados. É correto afirmar que em relação aos programas utilitários: a desvantagem é o extenso tempo em aprender sua utilização a vantagem é a execução de apenas funções padrões os auditores não necessitam de muita experiência em programação podemos incluir testes específicos do sistema auditado podemos usar cálculos específicos para os sistemas auditados O Senhor Alexandre possui uma Corretora de Seguros e resolveu investir em tecnologia da informação para aumentar o diferencial competitivo de sua empresa. Para viabilizar a sua estratégia ele contratou consultores com experiência em inovação na área de seguros. Os consultores incluíram no projeto a utilização de um "Data Center", deixando a própria Corretora como responsável pela execução do backup das operações diárias de serviço. · Considerando o cenário apresentado, o tipo de software que melhor se aplica a demanda da Corretora para a realização dos backups é: · Software Especialista. Software ERP. Software Generalista. Software CRM. Software Utilitário. Sabemos que a atividade de auditoria possui técnicas e ferramentas próprias. Uma dessas ferramentas é chamado de ______________________________. Estes, são porgramas desenvolvidos pelos auditores ou sob encomenda. Sua finalidade é testar particularidades de sistemas auditados que possuem características comuns. Marque a opção que completa corretamente a afirmativa: SOFTWARE ESPECIALIZADO EM AUDITORIA SOFTWARE ESPECIALISTA PARA CONTROLE E AUTOMAÇÃO SOFTWARE ESPECIALISTAPARA CONSUMO PÚBLICO SOFTWARE GENERALISTA SOFTWARE PRÓPRIO E GENERALISTA A técnica de entrevista pode ser: Marque a opção INCORRETA. estruturada através de video conferência por telefone por correio pessoal Assinale a alternativa que completa corretamente a lacuna da sentença: O programa generalista __________ independe das plataformas de tecnologia da informação adotada nas empresas e é recomendado pelo ISACF (Information Systems Audit and Control Foundation) Pentana Nmap Nessus Snort Cobit Quando fazemos auditoria em sistemas em operação, além de vermos se os pontos de controle foram implementados, devemos testá-los. Para tanto podemos utilizar softwares generalistas. Como funções de softwares generalistas, entre outras, podemos citar: controle de lote inclusão de trailler label testes do digito verificador do cliente saldo devedor do sistema de financiamento de casa própria extração de dados de amostra A técnica de questionário é, normalmente, aplicada de forma casada a outras técnicas de Auditoria, como por exemplo: Indique as opções verdadeiras (V) e opções falsas (F). I - brainstorming II - entrevistas III - visita in loco IV - workshops F, V, V, F V, V, V, F F, V, F, F V, F, V, V F, V, F, V Considerando as opções abaixo identifique a correta para a seguinte questão:Podemos realizar uma auditoria de sistemas naqueles que estiverem em : desenvolvimento ou aquisição de hardware desenvolvimento ou aquisição de software desenvolvimento ou em operação. aquisição de hardware ou de software. documentação ou em testes. O Senhor Albino é um auditor com experiência em realizar trabalhos em grandes empresas. Em uma das últimas auditorias que participou, ele encontrou um determinado sistema com particularidades que impossibilitavam a realização de testes com as ferramentas disponíveis para o trabalho. Logo ele percebeu que seria necessário o desenvolvimento de um software para atender esta demanda. · Pelas características do trabalho, o Senhor Albino providenciou: · Um software utilitário. Um software generalista. Um software ERP. Um software especialista. Um software B2B. Somar data da última movimentação de cada item em estoque e verificar se o total coincide com o total informado no header label é um exemplo de análise que pode ser feita quando usamos a ferramenta: mapeamento simulação paralela teste integrado programa de computador para auditoria questionário para auditoria No processo de auditoria de sistemas as ferramentas são instrumentos que o auditor possui para ajudá-lo a realizar o trabalho que foi planejado. Apesar de existir no mercado uma oferta significativa dessas ferramentas, a pouca propaganda faz com que muitos desses profissionais tenham dificuldade para fazer uma boa escolha. · Associe a cada tipo de software a vantagem ou desvantagem a ele associada: 1. Generalista. 2. Especialista. 3. Utilitário. [ ] Pode processar vários arquivos ao mesmo tempo. [ ] Não provê cálculos específicos para sistemas específicos. [ ] Inclusão de testes de controle internos específicos, tais como dígito verificador. [ ] Existe custo de desenvolvimento de programa. [ ] São fáceis de serem utilizados. Agora assinale a alternativa correta: 1,1,2,2,3. 1,1,3,3,2. 1,1,2,3,2. 2,2,1,1,3. 1,2,2,1,3. Em relação ao tipo de software, indique se falsos (F) ou verdadeiros (V) os exemplos a seguir: I - Nos softwares utilitários as aplicações não podem ser feitas online já que eles gravam diversos arquivos para serem analisados em separado. II - Uma vantagem dos softwares utilitários é que são fáceis de serem aprendidos. III - Os softwares utilitários são desenvolvidos para a Auditoria conforme sua específica utilização. V, F, V V, F, F F, V, F V, V, F F, V, V Programa De Computador Para Auditoria são programas especializados, correlacionando dados e arquivos, tabulando e imprimindo seus conteúdos. Podem usar arquivos sequenciais, indexados, banco de dados, tanto para alta (mainframe) como para baixa plataforma (microcomputadores).Qual tem abaixo NÃO é considerado como uma função inclusa em programas de Auditoria? Correlação de arquivos Executa somente fuções padrão Tabulação de campos Estatística dos campos dos arquivos Contagem de campos/registros TESTE ( 5 ) A quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados é uma técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas. Para tanto são utilizados: Mapeamento estatístico dos programas de computador Mapeamento estatístico de testes substantivos; Mapas de Ponto de Função; Mapeamento estatísticos de testes de observância Mapeamento estatístico dos testes de regressão; Observe a afirmativa: Técnica de computação que pode ser utilizada por auditores para efetuar verificações durante o processamento de programas, flagrando situações tais como: - Rotinas não utilizadas; - Quantidade de vezes que cada rotina foi utilizada quando submetida a processamento de uma quantidade de dados. Marque a opção que se refere a técnica citada: Teste do Sistema Auditado Simulação Paralela Mapeamento Estatístico Dos Programas De Computador (Mapping) Facilidade De Teste Integrado Dados De Teste Os testes de observância são empregado pelo auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. Estes testes são largamente aplicado em: Auditoria de Software Auditorias de aquisição de hardware Auditorias operacionais; Emissão de Relatoios Software Generalista Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S). I - Verificar se há controle de lote de transações digitadas e se o total nele informado confere com o total constante no relatório de movimento do dia. II - Conferir documentos dos clientes com documentos registrados no cadastro de clientes. III - Obter evidências de controle de acesso à base de dados por pessoas autorizadas. O, S, S O, O, S S, O, S S, O, O O, S, O A técnica de auditoria que permite captar tentativas de acesso a arquivos indevidas, ou seja, por senhas não autorizadas é a técnica: lógica de auditoria embutida nos sistemas análise lógica de programação análise dolog accounting mapping análise do log/accounting O Teste Substantivo é empregado pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações, que lhe proporcionem fundamentação para a sua opinião sobre determinados fatos. Como objetivos fundamentais dos testes substantivos, a constatação de que que as transações comunicadas/registradas realmente tenham ocorrido refere-se a que tipo de constatação: Avaliação da rede de PERT Avaliação da regra de Pareto; Parte interessada; Avaliação e aferição; Existência real; A técnica de auditoria que possibilita seguir o caminho de uma transação durante o processamento do programa chama-se: análise do log accounting mapping facilidade de teste integrado análise lógica de programação rastreamento Marque V para verdadeiro e F para falso. A técnica Facilidade de Teste Integrado consiste em: I - Testar situações inexistentes junto com os dados de produção. II - Testar massa de dados preparada pela Auditoria em programas de produção integrados com programas elaborados pela Auditoria. III - Os resultados dos testes são enviados aos clientes e à Auditoria. V, F, F V, V, F F, V, FV, F, V F, V, V Quando os auditores querem obter evidências, isto é, provas suficientes e convincentes sobre transações, que lhe proporcionem fundamentação para suas opiniões eles utilizam que tipo de teste? Testes da caixa branca; Testes da caixa preta; Testes de regressão; Testes de observância; Testes substantivos Na técnica de teste integrado, sua execução envolve aplicação de entidades fictícias tais como funcionários fantasmas na folha de pagamento ou clientes inexistentes em saldos bancários. Confrontamos os dados no processamento de transações reais com esses dados inseridos pela auditoria. Partindo desse pressuposto, podemos dizer que: I. Eessa técnica pode ser utilizada por auditores iniciantes II. Os saldos do processamento desses dados (reais mais dados inseridos) deve representar o saldo de transações no dia para não gerar desconfiança no pessoal da produção III. A base de dados real fica integra em relação aos dados inseridos. Marque a opção correta: só a opção II só a opção III só a opção I opções I e II opções I e III Correlacione as colunas abaixo e depois marque a alternativa correta: 1) Testes de observância 2) Testes substantivos 3) Simulação paralela ( ) Esta técnica simula o programa e realiza o processamento com a massa (dados) real de produção. ( ) Esta técnica é utilizada pelo o auditor para verificar se os procedimentos internos determinados pela empresa estão sendo cumpridos pelos seus colaboradores. ( ) Esta técnica é empregada pelo auditor quando ele deseja obter provas suficientes e convincentes sobre as transações que lhe proporcionem fundamentação para a sua argumentação sobre determinados fatos. ( ) Esta técnica necessita da preparação do ambiente de computação para processamento do programa que foi elaborado ou encomendado pelo auditor. ( ) Esta técnica é bastante aplicada em auditorias operacionais, onde a preocupação central do auditor é verificar se os colaboradores da organização respeitam as normas internas pré-estabelecidas: padrões, metodologias, políticas, etc. · Agora assinale a alternativa correta: · 3,1,2,3,1 3,2,1,3,1 3,1,2,1,3 3,2,1,1,3 1,1,3,2,2 Uma técnica sempre presente nas auditoiras se refere ao teste do sistema auditado. Esse teste faz a distinção de quais outros teste? Marque a opção que responde corretamente ao questionamento. Esse teste faz a distinção entre os teste de usuário e o teste de sistemas. Esse teste faz a distinção entre os teste de unidade e o teste modular. Esse teste faz a distinção entre os teste de inteface e o teste de unidade. Esse teste faz a distinção entre os teste de software e o teste substantivo. Esse teste faz a distinção entre os teste de observância e o teste substantivo. Marque V para verdadeira e F para falsa. A técnica de simulação paralela é: I - Um programa preparado pelo auditor para simular funções de rotina do sistema sob auditoria. É processado com a massa real de produção. II - É uma técnica que utiliza dados preparados pelo auditor para serem processados por programas em produção. III - Utiliza-se de dados preparados pelo auditor para serem processados por programas elaborados pelo auditor para teste de rotinas sob auditoria. F, V, F F, V, V V, F, V V, V, F V, F, F A técnica onde o auditor prepara um conjunto de dados com o objetivo de testar os controles programados para rotinas sistêmicas ou manuais é chamada de dados para simulação dados de teste técnica simulada massa de dados técnica indutiva A técnica de auditoria que pode ser utilizada para efetuar verificações durante o processamento de programas, flagrando rotinas não utilizadas é a técnica: análise lógica de programação simulação paralela mapping análise do log accounting lógica de auditoria embutida nos sistemas Classifique os testes de auditoria abaixo quanto a serem testes de observância (O) ou testes substantivos (S). I - Obter cópia da documentação dos clientes inadimplentes. II - Observar o uso de crachá das pessoas que transitam pela empresa III - Obter saldos diários dos clientes O, O, S S, O, O S, S, O S, O, S O, S, O TESTE ( 6 ) Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório. Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V). I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório. II - O descumprimento de uma politica de segurança deve ser analisado caso a caso. III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança. V, F, V F, V, F F, V, V V, V, F V, F, F A segurança da empresa é responsabilidade da diretoria operacional da área de TI da área de auditoria da gerencia administrativa de todos os envolvidos Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT) I - Data de aniversário dos colaboradores. II - Endereço do CPD da empresa. III - Organograma da empresa. PUB, PUB, INT INT, PUB, INT INT, INT, PUB INT, PUB, PUB PUB, INT, PUB Informações cuja violação seja extremamente crítica são classificadas como: internas secretas confidenciais de uso restrito de uso irrestrito Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados. Referente a esta afirmativa quais recursos estão sendo tratados: hardware e relatórios hardware e aplicativos software e relatórios dados e recursos materiais software e aplicativos Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas. Pública, interna , confidencial, criptografada; Pública, customizada , confidencial, secreta; Pública, interna , confidencial, secreta; Pública, criptografada , confidencial, customizada; Pública, interna , criptografada, secreta; Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos. II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias. III - O acesso aos sistemas da empresa deve ser realizado através de senha individual. C, E, E E, E, C E, C, C C, C, E C, E, C Segurança é responsabilidade de todos. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar PORQUE II - o comportamento das pessoas deve refletir a sua hierarquia funcional. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições falsas. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,. Só pode ser acessada por auditores internos; Necessita de senha para acessá-las;Excepcionalmente, agentes externos podem obter o conteúdo; Não devem sair do âmbito interno da organização. Somente a diretoria de segurança pode saber seu conteúdo. Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança. suprimento modens celulares particulares de colaboradores colaboradores terceirizados automóvel da frota da empresa Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas? Somente 2 ou 3 pessoas; Somente do auditor chefe; Somente uma pessoa; Somente duas pessoas; Somente dos integrantes da diretoria; Em relação a um determinado item, o objetivo de uma política de segurança é: organizar a área de Auditoria homogeneizar o comportamento das pessoas proteger os ativos da empresa assegurar a continuidade dos serviços organizar a área de segurança Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para:: Somente para os integrantes da equipe de auditoria; Somente para quem ocupa cargos gerenciais; Para qualquer pessoa; Somente para os integrantes da área de TI; Somente para quem controla o acesso aos sisterma; Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo. PORQUE II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições falsas. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas de Cargos e Salários; Políticas Orçamentárias Políticas Comerciais; Políticas Administrativas, Políticas de RH; Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa ser orçado; Definir o que precisa implantado; Definir o que precisa ser duplicado; Definir o que precisa ser desenvolvido Definir o que precisa ser protegido; Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas. um número razoável, muitos detalhes um grande número, sem repetí-los um grande número, sem palavras difíceis um mínimo, o bastante o máximo, alguns detalhes Dos itens abaixo, assinale aquele que NÃO faz referência ao acesso lógico. O controle de acesso pelo reconhecimento de voz O controle de acesso pela biometria Processamento por pessoas não autorizadas utilizando a senha de outra pessoa. O controle de acesso através de um token. Guarda de arquivos de um sistema por pessoas não autorizadas As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Identificação biométrica; Utilização de crachá; Identificação pela biometria de iris; Controle de entrada e saída de funcionários; Matriz de riscos; A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento. Justifica perda de cargo; Justifica processo de auditoria. Justifica demissão por justa causa; Justifica perdas de vantagens financeiras; Justifica suspensão temporaria TESTE ( 7 ) Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Data de seu nascimento? Cidade onde nasceu? Nome do pai? Data de vencimento da fatura do cartão? Número de seu RG? A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle sobre os recursos instalados Controle de acesso físico ao ambiente de informática Controle de back-up e off-site Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle de aquisição e disposição do equipamento Respondido em 09/09/2019 13:40:44 Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado: Controle sobre os recursos instalados Localização e infraestrutura do CPD Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle sobre o firewall instalado Controle sobre nível de acesso a aplicativo Em relação a controle de acesso, identifique a única afirmativa correta. O assédio moral é um exemplo de engenharia social Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD A biometria é usada para assegurar o controle lógico das informações Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico A rede empresarial é onde se encontram as informações que alimentam as transaçõese os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. · Considere as seguintes proposições: 1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. 2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. 3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. 4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: Física, Enlace, Lógica e Aplicação. Física, Lógica, Enlace e Aplicação. Física, Biométrica, Enlace e Aplicação. Física, Aplicação, Enlace e Lógica. Física, Biométrica, Lógica e Aplicação. Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas Apenas as sentenças II e III estão corretas Apenas a sentença III está correta Apenas a sentença II está correta Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Implementação dos projetos físicos e lógicos; Desenho das arquiteturas e topologia da rede; Processo de escolha do Gerente do Projeto. Monitoramento dos desempenhod e possíveis interceptações nas redes; Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO acesso à fitoteca acesso à biblioteca externa listagens jogadas no lixo acesso à central telefonica acesso aos back-ups O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama: Integridade Confidencialidade Auditabilidade Acuidade Privacidade Falando em técnicas de auditoria, podemos afirmar que: A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time O mapeamento estatístico é uma técnica de verificação de transações incompletas A gravação de arquivos logs poderia ser incluida na técnica de teste integrado A técnica de dados simulados de teste deve prever somente situações incorretas A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada Os auditores devem preocupar-se com a localização e infraestrutura do CPD A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Fornecer treinamento de segurança ao pessoal de portaria Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Solicitar ao setor de RH listagem de funcionários para uso na portaria Colocar cartazes sobre segurança nas dependências da empresa Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança de atualização de senhas Segurança da criação de arquivos log Segurança de programas de atualização Segurança da emissão e distribuição de relatórios Segurança quanto à disponibilidade da rede Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta: I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas. II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc. III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto. Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Apenas a sentença III está correta Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas Respondido em 09/09/2019 13:44:49 O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. · Escolha a alternativa que preencha corretamente a lacuna: · Software de controle de rede. Software de controle de trilha de auditoria. Software de controle de inventário. Software de controle de acesso. Software de controle de perfil. Devemos considerar os seguintes processos na auditoria de redes, EXCETO Replanejamento da arquitetura da rede. Levantamento dos problemas operacionais e sua resolução. Desenho das arquiteturas e da topologia de rede. Monitoramento dos desempenhos e possíveis interceptações nas redes. Replanejamento da capacidade da rede. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança, EXCETO de segurança de complexidade segurança de enlace segurança de aplicação segurança lógica segurança física O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança fisica, de protocolos e de reposição lógica, de desempenho e de protocolos fisica, de enlace e de aplicação de desempenho, de configuração e física lógica, de enlace e de monitoramento Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes decomunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada? Marque a opção correta: Auditoria de informações Auditoria de redes Auditoria de dados Auditoria online Auditoria de controle Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: Marque verdadeiro (V) ou falso (F) I - biometria II - cartão com tarja magnética III - cracha com foto V, F, F V, F, V V, V, F F, V, V F, V, F O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamento instalados na empresa. Neste sentido, os auditores devem verificar I - Se há controles de acesso físico ao ambiente de computadores II - Se há controles de acesso lógico ao ambiente de computadores III - Se há uso de recursos para amenizar os riscos de segurança física tais como extintores de incendio e portas corta-fogo. V, V, F V, F, V F, V, V V, F, F F, F, V Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. · Agora assinale a resposta correta: · Somente II e III são proposições verdadeiras Somente I e II são proposições verdadeiras Somente I é proposição verdadeira I, II, III e IV são proposições verdadeiras Somente I, II e III são proposições verdadeiras Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F). I - Conversa em sala de bate papo na internet. II - Telefonema de falsos sequestros. III - Levar uma pessoa a visitar sites erroneos. V, V, F V, F, F F, V, F F, F, V V, F, V Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Apenas as sentenças I e III estão corretas Apenas a sentença III está correta Apenas as sentenças II e III estão corretas Apenas a sentença I está correta Todas as sentenças estão corretas Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Destino dos relatórios gerados Relatórios de clientes jogados no lixo Entrada de visitantes no CPD Guarda de arquivos back-ups vencidos na biblioteca externa Processamento de um sistema por pessoas não autorizadas TESTE ( 8 ) Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que Marque a alternativa INCORRETA ambientes de software e hardware apropriados sejam especificados. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. os usuários dos sistemas estejam envolvidos. requisitos de segurança de informação sejam adequadamente considerados. tenha sido fornecido treinamento para operar o sistema Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação. existência de plano de teste, incluindo os casos de teste testes de regressão evidências de acompanhamento número de erros nos testes de lógica de programas testes de controles e características de segurança evidências de participação do usuário na definição e testes do projeto As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários? O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa? Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? Na aquisição de um software para sua empresa, voce deverá verificar alguns controles. Uma das perguntas a se fazer seria: Há rotinas e procedimentos estabelecidos para o envolvimento do usuário na seleção de sistemas? Suponha que voce obteve a resposta sim. Então voce deve preocupar-se com controles para assegurar que: Marque a única opção NÃO verdadeira A seleção da melhor proposta foi feita com base em critérios previamente definidos e distribuidos para os candidatos a fornecedores (preço, prazo de entrega ,etc) É irrelevante o feedback de possiveis clientes do fornecedor vitorioso Houve participação na concorrência de pelo menos 3 fornecedores. As declarações de trabalho estão especificadas e aprovadas pelo usuário. Há documentação que garanta a manutenção do sistema fornecido por parte dos fornecedores O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. · Entre as alternativas abaixo, qual delas descreve três desses critérios? · Eficiência, responsabilidade e atitude Responsabilidade, habilidade e atitude Conformidade, efetividade e responsabilidade Confidencialidade, integridade e disponibilidade Integridade, confidencialidade e responsabilidade Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como: teste de significância teste de unidade teste paralelo teste de regressão teste de sistema integrado Respondido em 09/09/2019 14:04:33 Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa
Compartilhar