Auditoria de Sistemas - Questionário 02

Prévia do material em texto

Questão 01 
 
Segundo Claudia Dias, as ameças podem ser classificadas como: _____________ e _______________. Marque a opção que completa 
corretamente a afirmativa: 
 
 
DELIBERADAS E ATIVAS 
 
 
DELIBERADAS E PASSIVAS 
 
 
ACIDENTAIS E DELIBERADAS 
 
 
ACIDENTAIS E PASSIVAS 
 
 
ACIDENTAIS E ATIVAS 
Questão 02 
 
O plano de contingência de uma área de negócio é desenvolvido 
 
 
pelo responsável pelo CPD (Centro de Processamento de Dados) 
 
 
pelo comite de sistemas da empresa 
 
 
pela própria área de negócios 
 
 
pelo gestor do negócio 
 
 
pelos auditores de sistema 
Explicação: 
Os planos de negócio das diversas áreas de negócio são desenvolvidos pela própria área de negócios, podendo ter ajuda do pessoal 
de TI. Não é desenvolvido por uma pessoa apenas pois o enfoque deve ser para toda a área. 
 
Questão 03 
 
As empresas devem fazer auditoria em seus sistemas mas não em todos, devido a seu custo. Para tanto, os sistemas são avaliados 
quanto ao risco que representam para a empresa e são auditados prioritariamente os sistemas de maior escore de risco. São fatores que 
influenciam o escore de risco de um sistema: 
 
 
visibilidade do cliente, volume médio diário de transações processadas e idade do sistema 
 
 
volume médio diário de transações processadas, valor diário das transações em reais e impacto em outros sistemas 
 
 
capacidade dos profissionais da equipe de desenvolvimento, idade do sistema e número de requisitos funcionais 
 
 
custo do sistema, nível de documentação existente e complexidade dos cálculos 
 
 
custo do sistema, número de requisitos funcionais e visibilidade do cliente 
 
Questão 04 
 
A auditoria de plano de contingência e de recuperação de desastres de uma empresa tem por objetivo certificar-se de que ........ De 
acordo com a afirmativa assinale a alternativa coreta: 
 
 
esses planos são testados periodicamente. 
 
 
a equipe de contingência está preparada para realizar um treinamento no momento de ocorrência de um desastre 
 
 
o sistema de qualidade executa suas tarefas periodicamente 
 
 
existe a possibilidade de se desenvolver planos que contemplem todas as necessidades de contingências 
 
 
o sistema de recuperação de backups é lento e não satisfaz plenamente ao desejado pela organização 
 
 
 
 
Questão 05 
 
Ameaça é um evento que potencialmente remove, desabilita ou destrói um recurso. Para um call center, identifique qual das ameaças 
elencadas é FALSA. 
 
 
Greve de transportes 
 
 
Pessoa fazendo-se passar por outra 
 
 
Ataque de hackers 
 
 
Sistema com erro de identificação de clientes 
 
 
Sistema sem controle de acesso ao banco de dados dos clientes 
Explicação: 
Sistema com erro não é uma ameaça. É um erro. Não fazemos contingência para erros embora identifiquemos os erros em 
auditorias. Devemos partir do principio que as pessoas fazem seus trabalhos conforme o esperado (sistemas bem testados) 
Se houver greve de transportes os funcionários não conseguirão chegar ao trabalho, gerando uma parada de serviço. 
 
Questão 06 
 
Não fazemos planos de contingencia para todos os serviços ou sistemas da organização, mas apenas para os sistemas críticos que são 
aqueles: 
 
 
sujeitos a aprovação da crítica do cliente 
 
 
prioritários para serem refeitos 
 
 
definidos pelo usuário como sendo os mais complexos 
 
 
que não devem ser descontinuados por terem caducado 
 
 
essenciais para manter a continuidade do serviço 
Questão 07 
 
Para um CPD, seriam consideradas atividades do plano de emergência as atividades das sentenças: 
I - desligar a força da sala do CPD 
II - instalar sprinklers e sensores de calor na sala do CPD 
III - telefonar para o Corpo de Bombeiros 
 
 
I e III 
 
 
Somente a II 
 
 
somente a III 
 
 
I e II 
 
 
I, II e III 
Questão 08 
 
Um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente remove, desabilita ou destrói um recurso é 
chamado de: 
 
 
risco 
 
 
impacto 
 
 
ameaça 
 
 
vulnerabilidade 
 
 
ataque 
Explicação:Por definição, ameaça é um evento ou atitude indesejável (assalto, sabotagem, inundação, etc) que potencialmente 
remove, desabilita ou destrói um recurso. 
 
Questão 09 
 
Analise as seguintes afirmações relacionadas a Auditoria de Sistemas. 
I. A gerência da empresa deve estabelecer critérios para a criação, processamento e disseminação de informações de dados, por meio de 
autorização e registro de responsabilidade. 
II. A gerência deve implementar um plano adequado, bem como procedimentos de implantação para prevenir-se contra falhas de 
controle que podem surgir durante especificações de sistemas, desenho, programação, testes e documentação de sistemas. 
III. A gerência deve ter acesso restrito de "somente leitura" ao sistema, ficando o controle sob a responsabilidade dos colaboradores 
auditados. 
IV. Para um bom andamento e independência das auditorias, nenhum investimento em treinamentos em tecnologia da informação deve 
ser realizado ou planejado para a equipe de auditores do quadro de colaboradores da organização. 
 
Indique a opção que contenha todas as afirmações verdadeiras. 
 
 
II e IV 
 
 
I e III 
 
 
III e IV 
 
 
II e III 
 
 
I e II 
Questão 10 
 
 
Os principais objetivos de um _____________________ são: Prever as possibilidades de desastres (naturais ou 
provocados); Prover meios necessários para detectar antecipadamente e eliminar/frear o dano; Prover segurança 
física contra fogo, fumaça, água e intrusos; e, Prover respostas de risco para ameaças identificadas como de alto 
escore na matriz de risco. 
 
• Tratando-se dos componentes de um Plano de Contingência, o plano que melhor preenche a lacuna é: 
 
 
Plano de Recuperação 
 
 
Plano de Backup 
 
 
Plano de Emergência 
 
 
Plano de Provisões 
 
 
 
Plano de Risco 
 
Questão 11 
 
 
Identifique a que planos as ações abaixo pertencem: 
E => plano de emergência . B=> plano de back-up, R=> plano de recuperação 
1 - Acionar o corpo de bombeiros ao verificar um incêncio em andamento 
2 - Fazer up-grade de servidor 
3 - Fazer manutenção da rede eletrica do CPD 
4 - Atualizar o anti-virus 
 
 
 
B, R, B, E 
 
 
E, B, B, R 
 
 
B, B, E, E 
 
 
B, E, R, B 
 
 
E, R, B, B 
 
Explicação: 
Uma boa hora de trocarmos os equipamentos e fazermos algum up-grade é quando saímos da situação de emergência e voltamos ao 
normal. 
O plano de back-up prove recursos para estarem disponíveis no plano de emergência e executam medidas para minimizarem a 
ocorrência de riscos. 
As ações do plano de emergência são executadas na eventual ocorrência de uma emergência. 
 
 
Questão 12 
 
Plano de contingência é formado por 3 componentes: a) Plano de emergência b) plano de backup c) plano de Recuperação. As descrições 
a seguir: 1).Seu objetivo é providenciar os recursos necessários para uma eventual utilização do plano de emergência. 2). Formado pelas 
respostas de risco (ações a serem seguidas na eventualidade de uma ameaça ocorrer) e tentativas de evitar danos causados por 
desastres mantendo, dentro do possível, a capacidade de funcionamento da empresa/sistema. 3). São as atividades e recursos 
necessários para se passar da situação de emergência para a situação normal. Correspondem, respectivamente a: 
 
 
1b, 2c, 3a 
 
 
1a, 2b, 3c 
 
 
1b,2a,3c 
 
 
1c. 2b, 3a 
 
 
1c, 2a, 3b 
Questão 13 
 
Em relação à matriz de risco para confecção de um plano de contingência para um CPD, podemos afirmar que 
 
 
os critérios de seleção são escolhidos pelo gerente da área de segurança 
 
 
ela deve ser atualizada a cada descoberta de um novo vírus 
 
 
para sua elaboração só consideramos os riscos identificados pelo cliente 
 
 
consideramos para sua elaboração as variáveis probabilidade de ocorrência e impacto 
 
 
ela determinará a frequência com que os anti-virus deverão ser atualizados 
Questão 14 
 
Os possíveis riscos de um sistema, negócio ou área devem ser levantados poruma equipe multidisciplinar, envolvendo o objeto da 
contingência. Identifique qual das afirmativas é FALSA em relação ao que se é discutido nessa reunião: 
 
 
a disponibilidade de recursos para elaboração do plano de emergência 
 
 
a frequência com que tais riscos podem ocorrer 
 
 
os custos dos salários/hora das pessoas envolvidas na reunião 
 
 
os estragos materiais, financeiros ou morais que poderão surgir caso o risco ocorra 
 
 
os custos envolvidos na confecção do plano de contingência 
 
 
 
Explicação: 
Todos os itens devem ser considerados exceto o salario das pessoas envolvidas na reunião (este custo é da área de segurança). 
Questão 15 
 
Sabendo que um dos objetivos do plano de contingência é manter a continuidade dos serviços, indique se falsas (F) ou 
verdadeiras (V) as afirmativas abaixo em relação a serem sistemas/processos críticos em uma agência bancária: 
I - Cadastro clientes novos. 
II - Pagamento de fatura de cartão de crédito com cheque. 
III - Saque no caixa em notas de R$ 20,00. 
 
 
F, F, V 
 
 
F, V, V 
 
 
V, F, V 
 
 
V, V, F 
 
 
F, V, F 
 
Explicação: 
I - Cadastro clientes novos. => FALSA. O serviço pode ser feito manualmente e, posteriormente, inserido no sistema. 
II - Pagamento de fatura de cartão de crédito com cheque.=> FALSA. O serviço pode ser feito manualmente e, posteriormente, 
inserido no sistema. 
III - Saque no caixa em notas de R$50,00.=> VERDADEIRA. É um sistema crítico pois necessariamente deve ser verificado o saldo do 
cliente para permitir o saque. 
 
Questão 16 
 
Sabendo que um plano de contingência é uma sequência de ações a serem seguidas em situações de emergência, previstas ou não, para 
assegurar a continuidade do serviço, identifique as sentenças abaixo como sendo verdadeiras (V) ou falsas (F) em relação ao plano de 
emergência. 
I - Guardar cópia de arquivo de transações por um período de 10 dias úteis. 
II - Declarar que o prédio onde situa-se a empresa encontra-se em situação de emergência. 
III - Fazer manutenção na rede elétrica do CPD. 
 
 
V, F, V 
 
 
F, V, V 
 
 
V, V, F 
 
 
V, F, F 
 
 
F, V, F 
Explicação: 
I - Guardar cópia de arquivo de transações por um período de 10 dias úteis. => Falsa. trata-se de uma atividade do plano de back-
up 
II - Declarar que o prédio onde situa-se a empresa encontra-se em situação de emergência. => verdadeira. É uma atividade 
prevista no plano de emergência 
III - Fazer manutenção na rede elétrica do CPD.=> Falsa. trata-se de uma atividade do plano de back-up.