SEGURANÇA_E_AUDITORIA_DE_SISTEMAS

Prévia do material em texto

29/06/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 1/5
Local: Sala 1 - Sala de Aula / Andar / Polo São João de Meriti / POLO SÃO JOÃO DE MERITI - RJ
Acadêmico: EAD-IL10317-20202A
Aluno: CRISTOVÃO DAS VIRGENS SOARES
Avaliação: A2-
Matrícula: 20191301540
Data: 18 de Junho de 2020 - 08:00 Finalizado
Correto Incorreto Anulada  Discursiva  Objetiva Total: 8,50/10,00
1  Código: 31847 - Enunciado: Em paralelo, novas vulnerabilidades e ameaças foram criadas,
tornando os negócios das organizações mais suscetíveis a ataques. Tal possibilidade forçou os
administradores, em conjunto com a sua equipe de Tecnologia da Informação, a buscar alternativas
de proteção com a finalidade de mitigar essas vulnerabilidades e, assim, reduzir a chance de
ocorrer ataques ao seu negócio.Dessa forma, conforme citado em Sêmola (2010), a importância da
Gestão da Segurança da Informação é hoje um fator fundamental para o sucesso do negócio de
qualquer organização, independente de seu tamanho ou área de atuação.(Fonte:
https://pt.linkedin.com/pulse/conceito-tipos-e-caracter%C3%ADsticas-de-auditoria-
seguran%C3%A7a-f%C3%A1bio-santos)A norma ISO 27001, responsável em estabelecer os
requisitos do SGSI de uma organização, baseia-se no modelo de processo PDCA (Plan – Do – Check
– Act).Diante disto, detecte quais são as fases do ciclo
PDCA:I. Controle.II. Planejamento.III. Execução.IV. Verificação.V. Ações corretivas.
 a) I, II, III, IV e V.
 b) III, IV e V apenas.
 c) II, IV e V apenas.
 d) I, III, IV e V apenas.
 e) II, III, IV e V apenas.
Alternativa marcada:
e) II, III, IV e V apenas.
Justificativa: GabaritoControle. Errado, pois a parte de controle está ligada o que tange o
gerenciamento de projeto que contempla em suas etapas: início; planejamento; monitoramento e
controle e execução.Planejamento. Corretor, pois nesta fase, de forma geral, são planejadas e
projetadas as atividades referentes ao SGSI, como por exemplo, políticas e procedimentos de
segurança.Execução. Correto, pois aqui são implantadas e operacionalizadas as políticas, controles,
processos e procedimentos do SGSI.Verificação. Correto, pois de uma forma geral, nessa etapa
audita-se o SGSI, analisando e avaliando a eficiência, por exemplo, de suas políticas,
procedimentos e controles.Ações corretivas. Correto, pois com base na etapa de verificação, são
tomadas ações que previnam ou que venham a corrigir as atividades referentes ao SGSI,
especificadas na fase de planejamento e implantadas na fase de execução.
1,00/ 1,00
2  Código: 31843 - Enunciado: “Alguns fatos podem acontecer por falta de segurança adequada,
como o furto de senhas e números de cartões de crédito, dados pessoais ou comerciais podem ser
alterados, a conta de acesso à internet ou sistema operacional utilizados por pessoas não
autorizadas e, por último, o computador pode até deixar de funcionar, por comprometimento e
corrompimento de arquivos essenciais.”(Fonte: <http://seguranca-da-informacao.info/politicas-de-
seguranca.html>. Acesso em: 30 out. 2018.) Existem diversas razões para que um terceiro queira
invadir um sistema ou máquina. Identifique entre as razões listadas abaixo aquelas que remetem a
isso e marque a alternativa que as apresenta: Utilização para fim de práticas ilegais. Utilização do
computador de outros para promover ataques. Destruição de informações. Furto de números de
cartões de crédito e senhas de banco. Furto de informações salvas nas máquinas. 
 a) II, III, IV e V.
 b) I, III, IV e V.
 c) I, II, III e IV.
 d) I, II, III, IV e V.
0,00/ 1,00
29/06/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 2/5
 e) I, II, III e V.
Alternativa marcada:
c) I, II, III e IV.
Justificativa: Resposta correta: I, II, III, IV e V.Utilização para fim de práticas ilegais. Correta.
A utilização desse computador permitirá que vários usos indevidos sejam realizados.Utilização do
computador de outros para promover ataques. Correta. Ele faz uma ponte, como se outro usuário
fosse o invasor e o causador dos possíveis danos.Destruição de informações. Correta. Com acesso
ao HD, o hacker pode destruir tudo ou parte dos conteúdos.Furto de números de cartões de crédito
e senhas de banco. Correta. O hacker se utiliza dessas informações para furtar dinheiro.Furto de
informações salvas nas máquinas. Correta. O usuário pode ter várias informações importantes
tanto de cunho quanto profissional. 
3  Código: 31845 - Enunciado: “A ISO 27001 não termina com a implementação de várias
salvaguardas, seus autores entenderam perfeitamente bem que as pessoas do departamento de TI,
ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não
fizerem algo a respeito. Por exemplo, você pode propor uma nova política para a proteção de
documentos confidenciais, mas, se a alta administração não impuser tal política para todos os
empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua
organização.”(Fonte: <https://advisera.com/27001academy/pt-br/knowledgebase/a-logica-basica-
da-iso-27001-como-a-seguranca-da-informacao-funciona/>. Acesso em: 30 out. 2018.) Indique o
que a alta administração deve fazer de acordo com a ISO 27001: Definir suas expectativas de
negócio (objetivos) para a segurança da informação. Publicar uma política sobre como controlar se
esses objetivos são atingidos. Designar as principais responsabilidades para a segurança da
informação. Prover apenas recursos financeiros suficientes, sendo responsabilidade dos
colaboradores a promoção dos recursos humanos. Revisar no início do processo se todas as
expectativas foram realmente atingidas.
 a) I, II e III.
 b) I e V.
 c) I, II, III, IV e V.
 d) I, II, III e V.
 e) II, III, IV e V.
Alternativa marcada:
a) I, II e III.
Justificativa: Resposta correta: I, II e III.Definir suas expectativas de negócio (objetivos) para a
segurança da informação. Correta. Esse planejamento permitirá que haja uma forte segurança nas
informações da empresa.Publicar uma política sobre como controlar se estes objetivos são
atingidos. Correta. Apesar de parecer que não são atingíveis, é preciso que haja um resguardo sobre
eles. Designar as principais responsabilidades para a segurança da informação. Correta. As políticas
estabelecidas é que serão responsáveis por resguardar as informações. Distratores:Prover apenas
recursos financeiros suficientes, sendo responsabilidade dos colaboradores a promoção dos
recursos humanos. Incorreta. Deve promover recursos humanos e financeiros, uma vez que a
tecnologia a ser utilizada precisa ser de ponta e isso demanda investimento.Revisar no início do
processo se todas as expectativas foram realmente atingidas. Incorreta. Essa revisão deve ser
regular, a fim de verificar se houve alguma falha.
1,00/ 1,00
4  Código: 31842 - Enunciado: Temos uma norma que estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Essa norma possui uma seção introdutória sobre o processo de avaliação e tratamento de riscos e
está dividida em onze seções específicas, que são: política de segurança da informação;
organização da segurança da informação; gestão de ativos; segurança em recursos humanos;
1,00/ 1,00
29/06/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 3/5
segurança física e do ambiente; gestão das operações e comunicações; controle de acesso;
aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de incidentes de
segurança da informação; gestão da continuidade do negócio, e conformidade.Indique qual norma
está sendo abordada no texto.
 a) ISO 10011.
 b) ISO 9004.
 c) ISO 9001.
 d) ISO 9000.
 e) ISO 27001.
Alternativa marcada:
e) ISO 27001.
Justificativa: GabaritoISO 27001.Correto, pois estabelece diretrizes e princípios gerais para se
iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Todo o seu processo de organização permite qe o trâmite executado no sistema garante toda a
integridade e confidencialidade dos dados.DistratoresISO 9001. Errado, pois é uma norma de
padronização para um determinado serviço ou produto. Esta norma faz parte do conjunto de
normas designado ISO 9000 e pode ser implementada por organizações de qualquer tamanho,
independentemente da sua área de atividade.ISO 9000. Errado, pois é ligada a sistemas de gestão
da qualidade cujos princípios essenciais e vocabulário da norma ISO 9000 descrevem a base de um
sistema de gerenciamento da qualidade e definem a terminologia global. 
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas diretivas para a melhoria
do desempenho. Esta norma, prevista para uso interno e não com fins contratuais, versa
principalmente sobre a melhoria contínua dos desempenhos. 
ISO 10011. Errado, pois pertence a  linhas diretivas para a auditoria dos sistemas de gestão da
qualidade e/ou de gestão ambiental. 
5  Código: 32268 - Enunciado: Os sistemas de informação que utilizamos no dia a dia são cenários
vitais na maioria dos processos empresariais, sobretudo quando se precisa tomar uma decisão.
Como esses recursos de TI são primordiais para o sucesso de uma empresa, é fundamental que os
serviços fornecidos por esses sistemas possam operar efetivamente sem interrupção excessiva.
Para tal, é preciso que o plano de contingência apoie essa exigência, estabelecendo planos,
procedimentos e medidas técnicas que permitam que um sistema seja recuperado rápida e
efetivamente após uma interrupção do serviço ou desastre.Diante do exposto, analise os itens a
seguir:I - Falhas no equipamento.
II - Roubo.
III - Cibercrime.
IV - Impactos ambientais.
V - Erro humano.São itens referentes a eventos que podem afetar a infraestrutura de TI em uma
empresa:
 a) II, IV e V.
 b) I, III, IV e V.
 c) II, III, IV e V.
 d) I, II, IV e V.
 e) I, II, III, IV e V.
Alternativa marcada:
e) I, II, III, IV e V.
Justificativa: Resposta correta: I, II, III, IV e V.Falhas no equipamento. Correta. Há vírus que
danificam diretamente o hardware da empresa.Roubo. Correta. Roubar informações significa que a
empresa está tendo suas informações sigilosas violadas.Cibercrime. Correta. Isso impacta na
1,00/ 1,00
29/06/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 4/5
página da empresa, nas redes sociais da empresa e também no acesso a informações
sigilosas.Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos processos
de uma TI Verde.Erro humano. Correta. Quem faz boa parte da programação do ambiente de
segurança da empresa é o próprio funcionário.
6  Código: 33228 - Enunciado: Objetos de controle são metas de controle a serem alcançadas ou
efeitos negativos a serem evitados, traduzidos em procedimentos de auditoria. Assim, os objetivos
de controle são detalhados conforme o enfoque ao qual está relacionado. Existem diversas áreas
que esses objetivos podem contemplar, como segurança, atendimento a solicitações externas,
materialidade, altos custos de desenvolvimento, grau de envolvimento dos usuários e
outsourcing (Disponível em: <https://www.profissionaisti.com.br/2012/04/auditoria-de-sistemas-
de-informacao-conheca-mais-sobre-o-assunto/>. Acesso em: 8 out. 2018). Diante do cenário, uma
das caracterísiticas fundamentais para uma boa auditoria dentro da governança de TI é a
implementação bem estruturada do framework COBIT. Segundo o COBIT, as metas a serem
alcançadas em uma auditoria de sistemas de informação se enquadrarão em quais dos itens a
seguir? I- Recursos do projeto.II- Gerenciamento de riscos do projeto.III- Planejamento do projeto
integrado.
 a) I, II e III apenas.
 b) I, apenas.
 c) I e II, apenas.
 d) II e III apenas.
 e) I e III, apenas.
Alternativa marcada:
a) I, II e III apenas.
Justificativa: Resposta correta: I, II e III apenas.Recursos do projeto. Correta. Para um bom
processo de auditoria, é importante que a meta tenha um olhar atento para os recursos
estabelecidos em um projeto. Assim, é possível verificar se o que foi estipulado é o que foi
implementado.Gerenciamento de riscos do projeto. Correta. É preciso estabelecer se todos os
gerenciamentos de riscos descritos foram contemplados na implantação do projeto, evitando
assim problemas futuros.Planejamento do projeto integrado. Correta. Tudo aquilo que foi
planejado é o que deve ser efetivamente implementado para que o projeto alcance seu sucesso.
1,00/ 1,00
7  Código: 32282 - Enunciado: "Outros so�wares, embora não específicos para a atividade de
auditoria, também vêm sendo utilizados com esse propósito, sendo possível citar como exemplos
as planilhas eletrônicas, como Excel, so�wares de gerenciamento de banco de dados, como Access
e MySQL, ferramentas de business intelligence, como Business Objects, so�wares estatísticos etc.
Segundo Imoniana (2008) e Lyra (2008), so�wares utilitários utilizados para executar algumas
funções muito comuns de processamento, como sortear arquivos, sumarizar, concatenar, gerar
relatórios etc. Esses programas não foram desenvolvidos para executar trabalhos de auditoria,
portanto não têm recursos tais como verificação de totais de controles, ou gravação das trilhas de
auditoria. A grande vantagem desse tipo de ferramenta é que elas podem ser utilizadas como
'quebra-galho' na ausência de outros recursos."(Fonte: TERUEL, E. C. Principais ferramentas
utilizadas na auditoria de sistemas e suas características.  Centro Paula Souza. Pós-graduação.
Disponível em: <http://www.portal.cps.sp.gov.br/pos-graduacao/workshop-de-pos-graduacao-e-
pesquisa/anais/2010/trabalhos/gestao-e-desenvolvimento-de-tecnologias-da-informacao-
aplicadas/trabalhos-completos/teruel-evandro-carlos.pdf>. Acesso em: 27 nov. 2019.)
Cite qual ferramenta de auditoria apresenta a característica descrita no texto exposto.
Resposta:
audit command language (ACL), interactive data extraction e analisys, (idea), idea/audimation,
galileo e change auditor.
1,80/ 2,00
29/06/2020 Ilumno
ilumno.sgp.starlinetecnologia.com.br/ilumno/schedule/resultcandidatedetailprint/5726521/74c7f2c4-2fb5-11e9-bdaa-0242ac110016/ 5/5
Justificativa: Expectativa de resposta: Ferramentas de utilidade geral, que são ferramentas mais
amplas e de uso mais comum, que podem propiciar a extração de dados para que uma série de
demandas possa ser levantada e analisada.
8  Código: 31852 - Enunciado: "Milhões de bits e bytes de informação circulam na internet
diariamente. Nunca na história tivemos uma ferramenta tão democrática na hora de publicar e de
consumir conteúdo. Mas tudo tem seu limite, e talvez seja o momento de repensar aquilo que você
envia para a grande rede. Você já refletiu sobre a quantidade de informações a seu respeito que
estão disponíveis por aí, a partir de um simples “Buscar” no so�ware de busca na Web?"(Fonte:
VELOSO, T. O que é segurança da informação? Tecnoblog. 04/12/2010. Disponível em:
https://tecnoblog.net/43829/o-que-e-seguranca-da-informacao/. Acesso: 22 nov. 2019).
Diante desse apontamento, defina o conceito de segurança da informação.
Resposta:
a segurança da informação (si) está diretamente relacionada com proteção de um conjunto de
informações, no sentido presevar o valor que possuem para um indivíduo ou uma organização.
são propriedades básicas da segurança da informação: confidencialidade, integridade,
disponibilidade, autenticidade e legalidade.
Justificativa: Expectativa de resposta:A segurança da informação é o que está por trás da defesa
dos dados, detalhes e afins, para assegurar que eles estejam acessíveis somente aos seus
responsáveis de direito ou às pessoas às quais foram enviados.
1,70/ 2,00