Baixe o app para aproveitar ainda mais
Prévia do material em texto
· Pergunta 1 0,25 em 0,25 pontos A adoção de controles internos aufere custos à organização. Sobre esses custos é correto afirmar que: I- Quanto mais investimento, mais êxito os controles internos terão. II- A simples introdução de investimentos não garante a eficácia dos controles internos. III- É necessária uma avaliação para conhecermos a faixa que maximiza os investimentos e a eficácia do processo de controles internos. IV- Os controles internos são a base para processo de auditoria, que pode ser representado pelas palavras: exame, investigação e perícia. Resposta Selecionada: d. II, III e IV estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, II, III e IV estão corretas. Feedback da resposta: Resposta: D Comentário: nem sempre o excesso de investimento resolve a situação. No caso dos controles internos, essa afirmação é uma realidade; como foi mencionado, a introdução das ferramentas de controles internos requer investimentos, porém as organizações devem estar atentas à "curva de eficácia do investimento em controles internos", que nada mais é do que comparar o valor do ativo com o controle a ser investido, achando o que chamamos de faixa aceitável de investimento. · Pergunta 2 0,25 em 0,25 pontos A segurança em redes sempre foi considerada uma alternativa à segurança em estações de trabalho. O argumento sempre foi a praticidade e a facilidade. Achava-se que, se a rede estivesse protegida, as máquinas estariam seguras, mesmo porque quando a informação está trafegando na rede é onde ela corre mais risco. Sobre a tipificação das ameaças, podemos afirmar que: I- As ameaças podem ser de interceptação, modificação, interrupção ou fabricação. II- No ataque de interceptação, o atacante se posiciona entre dois dispositivos que estão se comunicando e faz com que essa comunicação passe por ele. Dessa forma, o atacante consegue copiar as informações que estão sendo transmitidas. III- O ataque de modificação visa a alterar a comunicação entre duas partes, atacando a integridade das informações comunicadas naquele canal. IV- Um exemplo de ataque de interrupção é o ataque de IP Spoofing. V- Um exemplo de ataque de fabricação é o ataque de DOS – Denial of Service. Resposta Selecionada: c. I, II e III estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, III e V estão corretas. Feedback da resposta: Resposta: C Comentário: os ataques de IP Spoofing e DOS – Denial of Service são, respectivamente, ataques de fabricação e interrupção. · Pergunta 3 0,25 em 0,25 pontos A segurança física cuida da proteção de todos os ativos valiosos da organização, por essa razão sua abrangência é extensa e vai desde as instalações físicas, internas e externas em todas as localidades da organização. A essência da segurança física reside na prevenção, por esse motivo é correto afirmar que: I- Uma barreira de segurança é adicionada como um obstáculo para prevenir um ataque. II- A segurança física não requer preocupação por parte da segurança da informação. Esse assunto deve ser tratado pela segurança patrimonial da empresa. III- Compreender o ambiente físico da organização é o primeiro passo para a identificação das vulnerabilidades. IV- São exemplos de ameaças à segurança física da organização; roubos e furtos, sabotagem e vandalismos. Resposta Selecionada: e. I, III e IV estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, III e IV estão corretas. Feedback da resposta: Resposta: E Comentário: a Segurança da Informação é responsável também pela segurança física, isso inclui desde o controle de acesso por biometria, extintores de incêndio e altura dos muros. · Pergunta 4 0,25 em 0,25 pontos Diante de uma auditoria após a análise, cabe ao auditor emitir um relatório chamado de parecer, que é um documento no qual o auditor expressa sua opinião, de forma clara e objetiva, se os resultados apurados, em todos os aspectos relevantes, estão representados, adequadamente ou não, na data do levantamento e para o período correspondente. Quando o auditor emite um parecer com ressalva, isso quer dizer que: Resposta Selecionada: b. O auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. Trata-se de exceções. Respostas: a. O auditor está convencido de que as demonstrações foram elaboradas consoante as disposições contidas nos controles internos ou nas normas, em todos os aspectos relevantes. b. O auditor conclui que o efeito de qualquer discordância ou restrição na extensão de um trabalho não é de tal magnitude que requeira parecer adverso ou abstenção de opinião. Trata-se de exceções. c. O auditor emite opinião de que as demonstrações não estão adequadamente representadas, nas datas e nos períodos indicados, de acordo com as disposições contidas nos controles internos ou nas normas. d. O auditor deixa de emitir opinião sobre as demonstrações, por não ter obtido comprovação suficiente para fundamentá-la. e. O auditor adiciona um parágrafo de ênfase em seu parecer, após o parágrafo de opinião, fazendo referência à nota explicativa da administração, que deve descrever de forma mais extensa a natureza e, quando possível, o efeito da incerteza. Feedback da resposta: Resposta: B Comentário: quando um auditor emite um parecer com ressalva significa que apenas alguns pontos específicos não estão em conformidade; porém, apesar de compor o processo, não altera significativamente o resultado final. Um parecer com ressalva requer em sequência um plano de ação para solucioná-lo, a fim de que no próximo processo de auditoria ele esteja sanado. · Pergunta 5 0,25 em 0,25 pontos Marco Antônio estava com problemas com invasões na rede corporativa da qual era responsável. Foi chamado pelo executivo de TI para uma conversa e foi intimado a minimizar esses ataques. Desesperado com risco de perder seu emprego, Marco Antônio decidiu procurar ajuda; foi quando recebeu instruções para implantar estratégias de proteção. Sobre as possíveis estratégias de proteção que Marco pode implantar é correto afirmar que: I- A estratégia de confiança se assemelha à situação em que uma pessoa passa o cartão em uma loja e ela está confiando os dados do cartão ao estabelecimento. II- A estratégia de defesa em profundidade tem como objetivo implantar diversos tipos de controles. III- A estratégia de privilégio mínimo parte da ideia de que os usuários tenham apenas os privilégios necessários para desempenhar suas tarefas. IV- Deve-se escolher apenas um tipo de estratégia, a implantação de mais de um tipo pode causar conflito, invalidando uma a outra. Resposta Selecionada: c. I, II e III estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, III e IV estão corretas. Feedback da resposta: Resposta: C Comentário: exatamente o contrário, a implantação de mais de um tipo de estratégia de proteção leva ao que chamamos de segurança em profundidade, o que é altamente recomendado em segurança da informação. · Pergunta 6 0,25 em 0,25 pontos O conceito de prevenção criminal por meio do desenho ambiental vem sendo desenvolvido por trinta e cinco anos e ainda está em evolução. Após a sua elaboração inicial na década de sessenta, foi em 1972 que Oscar Newman estabeleceu as bases do assunto com o livro “Defensible Space”. A teoria de Newman é baseada: Resposta Selecionada: c. Na possibilidadede reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas. Respostas: a. Na necessidade de estabelecer os conceitos de segurança em todos os funcionários. b. Na prospecção de ataques que a empresa pode sofrer. c. Na possibilidade de reduzir o crime e o medo por meio de certas medidas de planejamento e projeto de áreas. d. Na percepção das vulnerabilidades, identificando as possíveis ameaças. e. No estabelecimento de uma norma corporativa de segurança física. Feedback da resposta: Resposta: C Comentário: a teoria de Oscar Newman prevê que é possível desenhar ambientes que reduzem as oportunidades para que um crime possa ocorrer e na redução do medo do crime pelo aumento da sensação de segurança pessoal, melhorando a qualidade de vida das pessoas e o seu relacionamento com medidas necessárias de segurança. · Pergunta 7 0,25 em 0,25 pontos O processo de auditoria de Segurança da Informação não diferencia em nada dos outros processos e auditorias administrativas; isso quer dizer que está ligado às necessidades de auxiliar a alta administração a atingir os objetivos da organização de uma maneira geral. Sobre os processos de auditoria é correto afirmar que: I- O processo de auditoria deve ser realizado por órgãos idôneos e comprometidos com o resultado. II- A auditoria interna é realizada por departamento interno responsável pela verificação e pela avaliação de sistemas e procedimentos internos de uma entidade. III- A auditoria externa é realizada por instituição externa e independente da entidade auditada, com o objetivo de assegurar aos proprietários e/ou acionistas ao conselho de administração e ao mercado em geral. IV- A auditoria articulada é realizada em conjunto pelas auditorias internas e externas, devido à superposição de responsabilidades dos órgãos fiscalizadores. Resposta Selecionada: e. I, II, III e IV estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, II, III e IV estão corretas. Feedback da resposta: Resposta: E Comentário: o processo de auditoria deve ser realizado por órgãos idôneos, podendo ser interno, externo e articulado que visa, de uma forma geral, a auxiliar as empresas a atingirem seus objetivos ou manter controles em virtude de legislação, certificações ou normas internas. · Pergunta 8 0,25 em 0,25 pontos Os mecanismos para controle de acesso lógico contribuem para a segurança da informação, preservando os pilares da segurança da informação com os objetivos de: confidencialidade, integridade e disponibilidade. Os métodos de autenticação podem ser divididos em três grandes grupos de acordo com a técnica utilizada, em que é correto afirmar que: I- O método de autenticação, baseado no que você sabe, refere-se a que os usuários sabem utilizar. O meio mais comum dessa técnica é o uso de senhas para a autenticação. II- O método de autenticação, que utiliza o que você tem, é baseado em dispositivos físicos como tokens ou smartcards, que são entregues aos usuários que devem guardar para uso no momento em que o sistema faça a requisição. III- É recomendada a implantação de apenas um método de autenticação por autenticação. IV- O método de autenticação, pelo que você é, baseia-se em características físicas (reconhecimento biométrico) como o uso de impressão digital para o acesso a sistemas. Resposta Selecionada: e. I, II e IV estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, II e IV estão corretas. Feedback da resposta: Resposta: E Comentário: exatamente o contrário, a implantação de mais de uma técnica de autenticação é recomendada, pois assegura ainda autenticação segura do acesso. · Pergunta 9 0,25 em 0,25 pontos Os processos de auditoria devem receber atenção em todas as áreas da empresa, porém em todos os processos existem personagens que estão diretamente envolvidos que são: I- Cliente, fornecedor e auditado. II- Fornecedor, auditor e auditado. III- Cliente, auditado e auditor. IV- Auditado, auditor e validador. Resposta Selecionada: b. Apenas a afirmativa III está correta. Respostas: a. Apenas a afirmativa II está correta. b. Apenas a afirmativa III está correta. c. Apenas a afirmativa I está correta. d. Apenas a afirmativa IV está correta. e. I e II estão corretas. Feedback da resposta: Resposta: B Comentário: os personagens envolvidos nos processos de auditoria são: cliente é aquele que solicita ou contrata a auditoria e sua função é determinar o propósito da auditoria. Auditado é aquele que é avaliado na auditoria, sua responsabilidade é de cooperar, apresentando as informações e os documentos solicitados pelo auditor. Auditor é aquele que coordena e/ou realiza os trabalhos de auditoria, responsável pelo trabalho de auditoria, organiza e propõe o plano de auditoria, cumpre e comunica os requisitos de auditoria. · Pergunta 10 0,25 em 0,25 pontos Sobre os controles internos é correto afirmar: I- São ferramentas que visam a minimizar problemas que podem causar impacto nas operações e no cotidiano das organizações. II- Os controles internos podem ou não utilizar recursos computacionais, podem ser preventivos quando visam a evitar erros, falhas e promover boas práticas; detectivos quando identificam ou corrigem problemas; e corretivos quando visam a sanar o problema ocorrido. III- O controle interno pode ser definido como um plano de organização e todos os métodos e as medidas coordenadas aplicadas em uma organização a fim de proteger seus bens, conferir a exatidão e a fidelidade de seus dados. IV- Alguns parâmetros de controle interno devem ser compreendidos na esfera administrativa para a formação dos padrões que serão definidos pela organização e logo após auditados e, consequentemente, protegidos nos quesitos relacionados à Segurança da Informação. Resposta Selecionada: e. I, II, III e IV estão corretas. Respostas: a. I e II estão corretas. b. III e IV estão corretas. c. I, II e III estão corretas. d. II, III e IV estão corretas. e. I, II, III e IV estão corretas. Feedback da resposta: Resposta: E Comentário: os controles internos são ferramentas desenvolvidas para conferir e auxiliar na melhoria de todos os processos organizacionais desde da área contábil, passando pelas áreas de tecnologia, chegando à segurança da informação.
Compartilhar