PROVA AUDITORIA E CONTROLES DE SEG E CLAS DA INFO(1)

Prévia do material em texto

Gabarito: Controle interno pode ser definido como processos executados para apoiar e 
orientar a organização, no cumprimento dos objetivos da instituição, quanto à eficiência e à 
eficácia nas operações e sua gestão. 
 
Gabarito: Os controles internos auxiliam as auditorias e a governança na busca pela 
efetividade e eficácia dos processos organizacionais. 
 
Gabarito: É nessa fase que a auditoria propriamente dita ocorre, as fases anteriores 
servem para organizar e estruturar a auditoria. 
 
 
 
 
Gabarito: O Relatório de Fraquezas de controle interno apresenta o objetivo do projeto de 
auditoria, a lista dos pontos de controle auditados, a conclusão alcançada a cada ponto de 
controle, além das alternativas de solução propostas. O Certificado de Controle 
Interno indica se o ambiente está em boa, razoável ou má condição em relação aos 
parâmetros de controle interno. Apresenta o parecer da auditoria em termos globais e 
sintéticos. As pastas contendo a documentação da auditoria de sistemas irão conter toda 
a documentação do ambiente e dos trabalhos realizados como: relação de programas, 
relação de arquivos do sistema, relação de relatórios e telas, fluxos, atas de reunião etc. 
 
Gabarito: Cliente é quem solicita a auditoria e determina o seu propósito. O auditado tem 
como papel informar aos funcionários sobre a auditoria. O auditor líder é responsável, em 
última instância, por todas as fases da auditoria, e participa da seleção da equipe e prepara 
o plano de auditoria. 
 
Gabarito: A Governança de TI é aplicada de forma a alinhar o uso da Tecnologia da 
informação aos objetivos de negócio de cada organização. 
 
Gabarito: O CMMI está relacionado com o desenvolvimento de software; o ITIL com as 
questões ligadas à infraestrutura de TI; o PMBOK às melhores práticas de projeto e o COBIT 
à implementação de práticas de TI para toda organização. 
 
Gabarito: Um sistema implantado é um sistema em produção. 
 
Gabarito: Acuidade: as transações processadas podem ser validadas; auditabilidade: 
presença de logs no sistema que permitem implementar trilha de auditoria; 
confidencialidade: as informações são reveladas somente às pessoas que necessitam 
conhecê-las; Privacidade: os usuários enxergam apenas as informações necessárias à 
execução de suas tarefas. 
 
Gabarito: As ferramentas classificadas como generalistas são os softwares que possuem a 
capacidade de processar, analisar e simular amostras, sumarizar, apontar possíveis 
duplicidades, gerar dados estatísticos, e diversas outras funções que o auditor pode desejar. 
 
Gabarito: As ferramentas de utilidade geral podem ser classificadas 
com softwares utilitários, próprios para a execução de funções muito comuns de 
processamento, como sortear arquivos, concatenar, sumarizar e gerar relatórios. Sua 
grande vantagem está na capacidade que possuem de servir como substitutos na ausência 
de recursos mais completos. 
 
Gabarito: O COBIT possui uma seção dedicada ao assunto. 
 
Gabarito: O inventário de dispositivos autorizados e não autorizados faz parte dos 20 
controles sugeridos pelo Sans Institute. 
 
Gabarito: 
 
 
Foram criados 20 controles: 
 
 
1. Inventário de dispositivos autorizados e não autorizados; 
2. Inventário de softwares autorizados e não autorizados; 
3. Configurações seguras para hardware e software; 
4. Avaliação e correção contínuas de vulnerabilidades; 
5. Defesas contra malware; 
6. Segurança de software de aplicação; 
7. Controle de acesso wireless; 
8. Recurso de recuperação de dados; 
9. Avaliação de habilidades de segurança e treinamento adequado para corrigir falhas; 
10. Configurações seguras para dispositivos de rede como firewalls, roteadores e switches; 
11. Limitação e controle de portas de rede, protocolos e serviços; 
12. Uso controlado de privilégios administrativos, 
13. Defesa de limites, manutenção, monitoramento e análises de registros de auditoria, 
14. Acesso controlado com base na necessidade de saber; 
15. Monitoramento e controle de contas; 
16. Proteção de dados; 
17. Resposta a incidentes e gerenciamento; 
18. Engenharia de rede segura, 
19. Testes de penetração; 
20. Exercícios da equipe vermelha.