AUDITORIA DE SISTEMAS - Aulas 6 a 10

Prévia do material em texto

1.
		As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade.
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve ....................................
Marque a opção abaixo que completa a afirmativa:
	
	
	
	
	a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema
	
	
	o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos
	
	
	a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
	
	
	a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes.
	
	
	o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações.
	
	
	
	
	 
	
	
	
	
	
		2.
		Informações cuja violação seja extremamente crítica são classificadas como:
	
	
	
	
	
	
	secretas
	
	
	de uso irrestrito
	
	
	de uso restrito
	
	
	internas
	
	
	confidenciais
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos
	
	
	
	
	
	
	Definir o que precisa ser desenvolvido
	
	
	Definir o que precisa ser duplicado;
	
	
	Definir o que precisa implantado;
	
	
	Definir o que precisa ser orçado;
	
	
	Definir o que precisa ser protegido;
	
	
	
	
	 
	
	
	
	
	
		4.
		Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo.
PORQUE
II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos
A respeito dessas asserções, assinale a opção correta.
	
	
	
	
	
	
	As asserções I e II são proposições falsas.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
Explicação:
A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário.
	
	
	
	
	 
	
	
	
	
	
		5.
		Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório.
Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V).
I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório.
II - O descumprimento de uma politica de segurança deve ser analisado caso a caso.
III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança.
	
	
	
	
	
	
	F, V, V
	
	
	V, F, V
	
	
	F, V, F
	
	
	V, V, F
	
	
	V, F, F
	
Explicação:
As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada.
	
	
	
	
	 
	
	
	
	
	
		6.
		Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima.
	
	
	
	
	
	
	Políticas de Cargos e Salários;
	
	
	Políticas de RH;
	
	
	Políticas Comerciais;
	
	
	Políticas Orçamentárias
	
	
	Políticas Administrativas,
	
	
	
	
	 
	
	
	
	
	
		7.
		Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas.
	
	
	
	
	
	
	um grande número, sem repetí-los
	
	
	um número razoável, muitos detalhes
	
	
	um grande número, sem palavras difíceis
	
	
	o máximo, alguns detalhes
	
	
	um mínimo, o bastante
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). 
I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos.
II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias.
III - O acesso aos sistemas da empresa deve ser realizado através de senha individual.
	
	
	
	
	
	
	E, C, C
	
	
	C, E, E
	
	
	C, C, E
	
	
	C, E, C
	
	
	E, E, C
	
Explicação:
Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado.
	
	
	
	
		1.
		Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança.
	
	
	
	
	colaboradores terceirizados
	
	
	modens
	
	
	suprimento 
	
	
	celulares particulares de colaboradores
	
	
	automóvel da frota da empresa
	
Explicação:
Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no caso de dados e recursos materiais).
Celulares particulares de colaboradores não são recursos críticos.
	
	
	
	
	 
	
	
	
	
	
		2.
		Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,.
	
	
	
	
	
	
	Necessita de senha para acessá-las;
	
	
	Excepcionalmente, agentes externos podem obter o conteúdo;
	
	
	Só pode ser acessada por auditores internos;
	
	
	Não devem sair do âmbito interno da organização.
	
	
	Somente a diretoria de segurança pode saber seu conteúdo.
	
	
	
	
	 
	
	
	
	
	
		3.
		A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento.
	
	
	
	
	
	
	Justifica demissão por justa causa;
	
	
	Justifica perdas de vantagens financeiras;
	
	
	Justifica suspensão temporaria
	
	
	Justifica perda de cargo;
	
	
	Justifica processo de auditoria.
	
	
	
	
	 
	
	
	
	
	
		4.
		Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado.
	
	
	
	
	
	
	Controle de entrada e saída de funcionários;
	
	
	Identificação biométrica;
	
	
	Utilização de crachá;
	
	
	Identificação pela biometria de iris;
	
	
	Matriz de riscos;
	
	
	
	
	 
	
	
	
	
	
		5.
		Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas.
	
	
	
	
	
	
	Pública, customizada , confidencial, secreta;
	
	
	Pública, interna , confidencial, secreta;
	
	
	Pública, interna , confidencial,criptografada;
	
	
	Pública, interna , criptografada, secreta;
	
	
	Pública, criptografada , confidencial, customizada;
	
	
	
	
	 
	
	
	
	
	
		6.
		Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para::
	
	
	
	
	
	
	Para qualquer pessoa;
	
	
	Somente para os integrantes da equipe de auditoria;
	
	
	Somente para quem ocupa cargos gerenciais;
	
	
	Somente para quem controla o acesso aos sisterma;
	
	
	Somente para os integrantes da área de TI;
	
	
	
	
	 
	
	
	
	
	
		7.
		Segurança é responsabilidade de todos.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar
PORQUE
II - o comportamento das pessoas deve refletir a sua hierarquia funcional.
A respeito dessas asserções, assinale a opção correta.
	
	
	
	
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	As asserções I e II são proposições falsas.
	
Explicação:
É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados.
	
	
	
	
	 
	
	
	
	
	
		8.
		A segurança da empresa é responsabilidade
	
	
	
	
	
	
	da área de auditoria
	
	
	de todos os envolvidos
	
	
	da área de TI
	
	
	da gerencia administrativa
	
	
	da diretoria operacional
	
	
	
	
		1.
		Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas?
	
	
	
	
	Somente uma pessoa;
	
	
	Somente duas pessoas;
	
	
	Somente do auditor chefe;
	
	
	Somente dos integrantes da diretoria;
	
	
	Somente 2 ou 3 pessoas;
	
	
	
	
	 
	
	
	
	
	
		2.
		Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT)
I - Data de aniversário dos colaboradores.
II - Endereço do CPD da empresa.
III - Organograma da empresa.
	
	
	
	
	
	
	PUB, INT, PUB
	
	
	INT, PUB, PUB
	
	
	PUB, PUB, INT
	
	
	INT, INT, PUB
	
	
	INT, PUB, INT
	
Explicação:
Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas.
Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa)
	
	
	
	
	 
	
	
	
	
	
		3.
		Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório.
Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V).
I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório.
II - O descumprimento de uma politica de segurança deve ser analisado caso a caso.
III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança.
	
	
	
	
	
	
	V, F, F
	
	
	V, V, F
	
	
	V, F, V
	
	
	F, V, F
	
	
	F, V, V
	
Explicação:
As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada.
	
	
	
	
	 
	
	
	
	
	
		4.
		Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima.
	
	
	
	
	
	
	Políticas Orçamentárias
	
	
	Políticas Comerciais;
	
	
	Políticas de RH;
	
	
	Políticas de Cargos e Salários;
	
	
	Políticas Administrativas,
	
	
	
	
	 
	
	
	
	
	
		5.
		Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos
	
	
	
	
	
	
	Definir o que precisa implantado;
	
	
	Definir o que precisa ser duplicado;
	
	
	Definir o que precisa ser protegido;
	
	
	Definir o que precisa ser orçado;
	
	
	Definir o que precisa ser desenvolvido
	
	
	
	
	 
	
	
	
	
	
		6.
		Informações cuja violação seja extremamente crítica são classificadas como:
	
	
	
	
	
	
	secretas
	
	
	internas
	
	
	de uso irrestrito
	
	
	de uso restrito
	
	
	confidenciais
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade.
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve ....................................
Marque a opção abaixo que completa a afirmativa:
	
	
	
	
	
	
	o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações.
	
	
	o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos
	
	
	a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema
	
	
	a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
	
	
	a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes.
	
	
	
	
	 
	
	
	
	
	
		8.
		Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). 
I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos.
II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias.
III - O acesso aos sistemas da empresa deve ser realizado através de senha individual.
	
	
	
	
	
	
	C, C, E
	
	
	C, E, C
	
	
	E, E, C
	
	
	E, C, C
	
	
	C, E, E
	
Explicação:
Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado.
	
	
	
	
		1.
		Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas.
	
	
	
	
	o máximo, alguns detalhes
	
	
	um número razoável, muitos detalhes
	
	
	um mínimo, o bastante
	
	
	um grande número, sem palavras difíceis
	
	
	um grande número, sem repetí-los
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo.
PORQUE
II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos
A respeito dessas asserções, assinalea opção correta.
	
	
	
	
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	As asserções I e II são proposições falsas.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
Explicação:
A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário.
	
	
	
	
	 
	
	
	
	
	
		3.
		Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança.
	
	
	
	
	
	
	automóvel da frota da empresa
	
	
	colaboradores terceirizados
	
	
	celulares particulares de colaboradores
	
	
	modens
	
	
	suprimento 
	
Explicação:
Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no caso de dados e recursos materiais).
Celulares particulares de colaboradores não são recursos críticos.
	
	
	
	
	 
	
	
	
	
	
		4.
		Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,.
	
	
	
	
	
	
	Só pode ser acessada por auditores internos;
	
	
	Não devem sair do âmbito interno da organização.
	
	
	Excepcionalmente, agentes externos podem obter o conteúdo;
	
	
	Necessita de senha para acessá-las;
	
	
	Somente a diretoria de segurança pode saber seu conteúdo.
	
	
	
	
	 
	
	
	
	
	
		5.
		A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento.
	
	
	
	
	
	
	Justifica perdas de vantagens financeiras;
	
	
	Justifica processo de auditoria.
	
	
	Justifica demissão por justa causa;
	
	
	Justifica suspensão temporaria
	
	
	Justifica perda de cargo;
	
	
	
	
	 
	
	
	
	
	
		6.
		Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado.
	
	
	
	
	
	
	Matriz de riscos;
	
	
	Utilização de crachá;
	
	
	Controle de entrada e saída de funcionários;
	
	
	Identificação biométrica;
	
	
	Identificação pela biometria de iris;
	
	
	
	
	 
	
	
	
	
	
		7.
		Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas.
	
	
	
	
	
	
	Pública, criptografada , confidencial, customizada;
	
	
	Pública, customizada , confidencial, secreta;
	
	
	Pública, interna , confidencial, secreta;
	
	
	Pública, interna , criptografada, secreta;
	
	
	Pública, interna , confidencial, criptografada;
	
	
	
	
	 
	
	
	
	
	
		8.
		Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para::
	
	
	
	
	
	
	Somente para quem controla o acesso aos sisterma;
	
	
	Somente para os integrantes da equipe de auditoria;
	
	
	Somente para os integrantes da área de TI;
	
	
	Somente para quem ocupa cargos gerenciais;
	
	
	Para qualquer pessoa;
	
	
	
	
		1.
		A segurança da empresa é responsabilidade
	
	
	
	
	da área de TI
	
	
	da diretoria operacional
	
	
	da área de auditoria
	
	
	da gerencia administrativa
	
	
	de todos os envolvidos
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		Segurança é responsabilidade de todos.
Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas.
I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar
PORQUE
II - o comportamento das pessoas deve refletir a sua hierarquia funcional.
A respeito dessas asserções, assinale a opção correta.
	
	
	
	
	
	
	As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I.
	
	
	As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I.
	
	
	A asserção I é uma proposição falsa, e a II é uma proposição verdadeira.
	
	
	A asserção I é uma proposição verdadeira, e a II é uma proposição falsa.
	
	
	As asserções I e II são proposições falsas.
	
Explicação:
É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados.
	
	
	
	
	 
	
	
	
	
	
		3.
		Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima.
	
	
	
	
	
	
	Políticas de RH;
	
	
	Políticas Comerciais;
	
	
	Políticas Administrativas,
	
	
	Políticas de Cargos e Salários;
	
	
	Políticas Orçamentárias
	
	
	
	
	 
	
	
	
	
	
		4.
		Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT)
I - Data de aniversário dos colaboradores.
II - Endereço do CPD da empresa.
III - Organograma da empresa.
	
	
	
	
	
	
	INT, INT, PUB
	
	
	INT, PUB, INT
	
	
	PUB, PUB, INT
	
	
	PUB, INT, PUB
	
	
	INT, PUB, PUB
	
Explicação:
Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas.
Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa)
	
	
	
	
	 
	
	
	
	
	
		5.
		Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos
	
	
	
	
	
	
	Definir o que precisa ser desenvolvido
	
	
	Definir o que precisa ser duplicado;
	
	
	Definir o que precisa implantado;
	
	
	Definir o que precisa ser protegido;
	
	
	Definir o que precisa ser orçado;
	
	
	
	
	 
	
	
	
	
	
		6.
		Informações cuja violação seja extremamente crítica são classificadas como:
	
	
	
	
	
	
	de uso irrestrito
	
	
	internas
	
	
	secretas
	
	
	confidenciais
	
	
	de uso restrito
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade.
Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve ....................................
Marque a opção abaixo que completa a afirmativa:
	
	
	
	
	
	
	o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações.
	
	
	a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema
	
	
	a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos.
	
	
	o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos
	
	
	a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes.8.
		Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). 
I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos.
II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias.
III - O acesso aos sistemas da empresa deve ser realizado através de senha individual.
	
	
	
	
	
	
	E, E, C
	
	
	C, E, E
	
	
	C, E, C
	
	
	E, C, C
	
	
	C, C, E
	
Explicação:
Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado.
	
	
	
	
		1.
		A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno:
	
	
	
	
	Controle de acesso físico ao ambiente de informática
	
	
	Controle sobre os recursos instalados
	
	
	Controle de acesso físico a equipamentos de hardware, periféricos e de transporte
	
	
	Controle de back-up e off-site
	
	
	Controle de aquisição e disposição do equipamento
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente.
· Considere as seguintes proposições:
1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos.
3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional.
4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa.
Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança:
	
	
	
	
	
	
	Física, Aplicação, Enlace e Lógica.
	
	
	Física, Lógica, Enlace e Aplicação.
	
	
	Física, Biométrica, Enlace e Aplicação.
	
	
	Física, Enlace, Lógica e Aplicação.
	
	
	Física, Biométrica, Lógica e Aplicação.
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO
	
	
	
	
	
	
	listagens jogadas no lixo
	
	
	acesso aos back-ups
	
	
	acesso à fitoteca
	
	
	acesso à biblioteca externa
	
	
	acesso à central telefonica
	
Explicação:
O acesso à central telefonica da empresa não é específico do ambiente de TI
	
	
	
	
	 
	
	
	
	
	
		4.
		O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança
	
	
	
	
	
	
	fisica, de protocolos e de reposição
	
	
	lógica, de enlace e de monitoramento
	
	
	de desempenho, de configuração e física
	
	
	fisica, de enlace e de aplicação
	
	
	lógica, de desempenho e de protocolos
	
	
	
	
	 
	
	
	
	
	
		5.
		Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado:
	
	
	
	
	
	
	Controle de acesso físico a equipamentos de hardware, periféricos e de transporte
	
	
	Controle sobre o firewall instalado
	
	
	Controle sobre os recursos instalados
	
	
	Controle sobre nível de acesso a aplicativos
	
	
	Localização e infraestrutura do CPD
	
	
	
	
	 
	
	
	
	
	
		6.
		Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta:
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria.
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas.
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
	
	
	
	
	
	
	Todas as sentenças estão corretas
	
	
	Apenas as sentenças I e III estão corretas
	
	
	Apenas a sentença I está correta
	
	
	Apenas as sentenças II e III estão corretas
	
	
	Apenas a sentença III está correta
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é:
	
	
	
	
	
	
	Cidade onde nasceu?
	
	
	Nome do pai?
	
	
	Data de seu nascimento?
	
	
	Número de seu RG?
	
	
	Data de vencimento da fatura do cartão?
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta:
I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento.
II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.
III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos.
	
	
	
	
	
	
	Apenas a sentença III está correta
	
	
	Apenas a sentença II está correta
	
	
	Todas as sentenças estão corretas
	
	
	Apenas as sentenças I e II estão corretas
	
	
	Apenas as sentenças II e III estão corretas
	
	
	
	
		1.
		A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria:
	
	
	
	
	Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa
	
	
	Fornecer treinamento de segurança ao pessoal de portaria
	
	
	Colocar cartazes sobre segurança nas dependências da empresa
	
	
	Solicitar ao setor de RH listagem de funcionários para uso na portaria
	
	
	Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
	
	
	
	
	
	
	Segurança de atualização de senhas
	
	
	Segurança da criação de arquivos log
	
	
	Segurança de programas de atualização
	
	
	Segurança da emissão e distribuição de relatórios
	
	
	Segurança quanto à disponibilidade da rede
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F).
I - Conversa em sala de bate papo na internet.
II - Telefonema de falsos sequestros.
III - Levar uma pessoa a visitar sites erroneos.
	
	
	
	
	
	
	V, F, F
	
	
	V, V, F
	
	
	F, F, V
	
	
	F, V, F
	
	
	V, F, V
	
Explicação:
A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas afim delas obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc.
Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.)
	
	
	
	
	 
	
	
	
	
	
		4.
		Devemos considerar os seguintes processos na auditoria de redes, EXCETO
	
	
	
	
	
	
	Desenho das arquiteturas e da topologia de rede.
	
	
	Monitoramento dos desempenhos e possíveis interceptações nas redes.
	
	
	Levantamento dos problemas operacionais e sua resolução.
	
	
	Replanejamento da arquitetura da rede.
	
	
	Replanejamento da capacidade da rede.
	
Explicação:
O replanejamento da arquitetura da rede é um projeto e não um processo rotineiro da auditoria.
	
	
	
	
	 
	
	
	
	
	
		5.
		O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc.
· Escolha a alternativa que preencha corretamente a lacuna:
	
	
	
	
	
	
	Software de controle de perfil.
	
	
	Software de controle de trilha de auditoria.
	
	
	Software de controle de inventário.
	
	
	Software de controle de acesso.
	
	
	Software de controle de rede.
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		6.
		Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes:
	
	
	
	
	
	
	Monitoramento dos desempenhod e possíveis interceptações nas redes;
	
	
	Desenho das arquiteturas e topologia da rede;
	
	
	Processo de escolha do Gerente do Projeto.
	
	
	Implementação dos projetos físicos e lógicos;
	
	
	Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática;
	
	
	
	
	 
	
	
	
	
	
		7.
		Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA
	
	
	
	
	
	
	Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área.
	
	
	Os auditores devem preocupar-se com a localização e infraestrutura do CPD
	
	
	Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada
	
	
	A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador
	
	
	Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física
	
	
	
	
	 
	
	
	
	
	
		8.
		Analise as proposições a seguir e depois marque a alternativa correta:
I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis.
II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente.
III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente.
IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI.
· Agora assinale a resposta correta:
	
	
	
	
	
	
	Somente I, II e III são proposições verdadeiras
	
	
	Somente I e II são proposições verdadeiras
	
	
	I, II, III e IV são proposições verdadeiras
	
	
	Somente I é proposição verdadeira
	
	
	Somente II e III são proposições verdadeiras
	
 
	
	
	
	
	
		1.
		Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico
	
	
	
	
	
	
	Destino dos relatórios gerados
	
	
	Relatórios de clientes jogados no lixo
	
	
	Entrada de visitantes no CPD
	
	
	Processamento de um sistema por pessoas não autorizadas
	
	
	Guarda de arquivos back-ups vencidos na biblioteca externa
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: 
Marque verdadeiro (V) ou falso (F)
I - biometria
II - cartão com tarja magnética
III - cracha com foto
 
	
	
	
	
	
	
	V, F, F
	
	
	F, V, V
	
	
	V, F, V
	
	
	F, V, F
	
	
	V, V, F
	
Explicação:
A biometria serve tanto para acesso lógico como para acesso físico
Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa eletronico, por exemplo.
Cracha com foto é utilizado somente para controle de acesso físico
	
	
	
	
	 
	
	
	
	
	
		3.
		Falando em técnicas de auditoria, podemos afirmar que:
	
	
	
	
	
	
	A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time
	
	
	A técnica de dados simulados de teste deve prever somente situações incorretas
	
	
	O mapeamento estatístico é uma técnica de verificação de transações incompletas
	
	
	A gravação de arquivos logs poderia ser incluida na técnica de teste integrado
	
	
	A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto
	
	
	
	
	 
	
	
	
	
	
		4.
		Em relação a controle de acesso, identifique a única afirmativa correta.
	
	
	
	
	
	
	O assédio moral é um exemplo de engenharia social
	
	
	Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD
	
	
	Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico
	
	
	A biometria é usada para assegurar o controle lógico das informações
	
	
	Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico
	
	
	
	
	 
	
	
	
	
	
		5.
		Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada?
Marque a opção correta:
	
	
	
	
	
	
	Auditoria de controle
	
	
	Auditoria online
	
	
	Auditoria de redes
	
	
	Auditoria de dados
	
	
	Auditoria de informações
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		6.
		Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é:
	
	
	
	
	
	
	Data de seu nascimento?
	
	
	Número de seu RG?
	
	
	Cidade onde nasceu?
	
	
	Nome do pai?
	
	
	Data de vencimento da fatura do cartão?
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente.
· Considere as seguintes proposições:
1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos.
3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional.
4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa.
Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança:
	
	
	
	
	
	
	Física, Aplicação, Enlace e Lógica.
	
	
	Física, Lógica, Enlace e Aplicação.
	
	
	Física, Biométrica, Lógica e Aplicação.
	
	
	Física, Enlace, Lógica e Aplicação.
	
	
	Física, Biométrica, Enlace e Aplicação.
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Avaliar se o acesso ao local de instalação do CPDé restrito é preocupação do controle interno chamado:
	
	
	
	
	
	
	Controle de acesso físico a equipamentos de hardware, periféricos e de transporte
	
	
	Controle sobre o firewall instalado
	
	
	Controle sobre nível de acesso a aplicativos
	
	
	Localização e infraestrutura do CPD
	
	
	Controle sobre os recursos instalados
	
 
	
	
	
	
	
		1.
		Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta:
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria.
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas.
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
	
	
	
	
	
	
	Apenas a sentença III está correta
	
	
	Apenas as sentenças II e III estão corretas
	
	
	Apenas a sentença I está correta
	
	
	Apenas as sentenças I e III estão corretas
	
	
	Todas as sentenças estão corretas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança
	
	
	
	
	
	
	de desempenho, de configuração e física
	
	
	fisica, de enlace e de aplicação
	
	
	lógica, de enlace e de monitoramento
	
	
	fisica, de protocolos e de reposição
	
	
	lógica, de desempenho e de protocolos
	
	
	
	
	 
	
	
	
	
	
		3.
		Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO
	
	
	
	
	
	
	acesso à biblioteca externa
	
	
	acesso à central telefonica
	
	
	listagens jogadas no lixo
	
	
	acesso aos back-ups
	
	
	acesso à fitoteca
	
Explicação:
O acesso à central telefonica da empresa não é específico do ambiente de TI
	
	
	
	
	 
	
	
	
	
	
		4.
		Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta:
I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento.
II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.
III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos.
	
	
	
	
	
	
	Apenas as sentenças II e III estão corretas
	
	
	Apenas a sentença III está correta
	
	
	Apenas a sentença II está correta
	
	
	Todas as sentenças estão corretas
	
	
	Apenas as sentenças I e II estão corretas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		5.
		Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F).
I - Conversa em sala de bate papo na internet.
II - Telefonema de falsos sequestros.
III - Levar uma pessoa a visitar sites erroneos.
	
	
	
	
	
	
	V, F, F
	
	
	F, F, V
	
	
	V, F, V
	
	
	V, V, F
	
	
	F, V, F
	
Explicação:
A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas a fim delas obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc.
Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.)
	
	
	
	
	 
	
	
	
	
	
		6.
		Devemos considerar os seguintes processos na auditoria de redes, EXCETO
	
	
	
	
	
	
	Desenho das arquiteturas e da topologia de rede.
	
	
	Replanejamento da arquitetura da rede.
	
	
	Monitoramento dos desempenhos e possíveis interceptações nas redes.
	
	
	Levantamento dos problemas operacionais e sua resolução.
	
	
	Replanejamento da capacidade da rede.
	
Explicação:
O replanejamento da arquitetura da rede é um projeto e não um processo rotineiro da auditoria.
	
	
	
	
	 
	
	
	
	
	
		7.
		O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc.
· Escolha a alternativa que preencha corretamente a lacuna:
	
	
	
	
	
	
	Software de controle de inventário.
	
	
	Software de controle de acesso.
	
	
	Software de controle de rede.
	
	
	Software de controle de trilha de auditoria.
	
	
	Software de controle de perfil.
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes:
	
	
	
	
	
	
	Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática;
	
	
	Implementação dos projetos físicos e lógicos;
	
	
	Processo de escolha do Gerente do Projeto.
	
	
	Monitoramento dos desempenhod e possíveis interceptações nas redes;
	
	
	Desenho das arquiteturas e topologia da rede;
	
	
 
	
	
	
	
	
		1.
		Analise as proposições a seguir e depois marque a alternativa correta:
I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis.
II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente.
III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente.
IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI.
· Agora assinale a resposta correta:
	
	
	
	
	
	
	Somente II e III são proposições verdadeiras
	
	
	I, II, III e IV são proposições verdadeiras
	
	
	Somente I, II e III são proposições verdadeiras
	
	
	Somente I é proposição verdadeira
	
	
	Somente I e II são proposições verdadeiras
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		2.
		Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
	
	
	
	
	
	
	Segurança de programas de atualização
	
	
	Segurança da criação de arquivos log
	
	
	Segurança de atualização de senhas
	
	
	Segurança da emissão e distribuição de relatórios
	
	
	Segurança quanto à disponibilidade da rede
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria:
	
	
	
	
	
	
	Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa
	
	
	Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa
	
	
	Solicitar ao setor de RH listagem de funcionários para uso na portaria
	
	
	Colocar cartazes sobre segurança nas dependências da empresa
	
	
	Fornecer treinamento de segurança ao pessoal de portaria
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		4.
		Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA
	
	
	
	
	
	
	Os auditores devem preocupar-se com a localização e infraestruturado CPD
	
	
	Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área.
	
	
	Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física
	
	
	Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada
	
	
	A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador
	
	
	
	
	 
	
	
	
	
	
		5.
		O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança, EXCETO de 
	
	
	
	
	
	
	segurança de enlace
	
	
	segurança de aplicação
	
	
	segurança lógica
	
	
	segurança de complexidade
	
	
	segurança física
	
Explicação:
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança física, lógica, de enlace e de aplicações.
	
	
	
	
	 
	
	
	
	
	
		6.
		Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada?
Marque a opção correta:
	
	
	
	
	
	
	Auditoria de informações
	
	
	Auditoria online
	
	
	Auditoria de dados
	
	
	Auditoria de redes
	
	
	Auditoria de controle
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico
	
	
	
	
	
	
	Processamento de um sistema por pessoas não autorizadas
	
	
	Entrada de visitantes no CPD
	
	
	Relatórios de clientes jogados no lixo
	
	
	Guarda de arquivos back-ups vencidos na biblioteca externa
	
	
	Destino dos relatórios gerados
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: 
Marque verdadeiro (V) ou falso (F)
I - biometria
II - cartão com tarja magnética
III - cracha com foto
 
	
	
	
	
	
	
	V, V, F
	
	
	F, V, V
	
	
	V, F, V
	
	
	F, V, F
	
	
	V, F, F
	
Explicação:
A biometria serve tanto para acesso lógico como para acesso físico
Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa eletronico, por exemplo.
Cracha com foto é utilizado somente para controle de acesso físico
	
 
	
	
	
	
	
		1.
		Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa.
	
	
	
	
	
	
	Planejamento das solicitações ;
	
	
	Pagamento de Fatura;
	
	
	Administração do contrato ;
	
	
	Planejamento das aquisições ;
	
	
	Solicitação ;
	
	
	
	
	 
	
	
	
	
	
		2.
		Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos:
	
	
	
	
	
	
	contratação de profissionais e infra-estrutura
	
	
	risco e implementação de uma política de segurança
	
	
	riscos envolvidos e ao custo-benefício de ambas as alternativas.
	
	
	riscos de perda de informação e custo-benefício
	
	
	riscos envolvidos e ao custo
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ?
	
	
	
	
	
	
	Auditoria de manutenção de sistemas
	
	
	Auditoria de operações de sistemas
	
	
	Auditoria de desenvolvimnto de sistemas
	
	
	Auditoria de redes
	
	
	Auditoria de suporte técnico
	
	
	
	
	 
	
	
	
	
	
		4.
		Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO
 
 
	
	
	
	
	
	
	revisão documental
	
	
	entrevista
	
	
	teste dos controles internos
	
	
	observação
	
	
	questionários
	
Explicação:
A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria
	
	
	
	
	 
	
	
	
	
	
		5.
		Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta:
I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas.
II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica.
III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa.
	
	
	
	
	
	
	Todas as sentenças estão corretas
	
	
	Apenas a sentença I está correta
	
	
	Apenas as sentenças I e II estão corretas
	
	
	Apenas as sentenças I e III estão corretas
	
	
	Apenas as sentenças II e III estão corretas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		6.
		O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de:
	
	
	
	
	
	
	Regressão
	
	
	Sistema
	
	
	Completude
	
	
	Unidade
	
	
	Acuidade
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde obtemos as cotações.
II - Planejamento das aquisições - onde definimos as declarações de trabalho
III - Solicitação - onde escolhemos a melhor proposta
	
	
	
	
	
	
	V, F, V
	
	
	V, V, F
	
	
	F, V, F
	
	
	F, F, V
	
	
	V, F, F
	
Explicação:
São processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
	
	
	
	
	 
	
	
	
	
	
		8.
		Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde identificamosfontes potenciais..
II - Fechamento do contrato - onde obtemos as cotações.
III - Seleção da fonte - onde procedemos à administração do contrato
 
 
	
	
	
	
	
	
	V, V, V
	
	
	F, V, V
	
	
	F, F, V
	
	
	V, F, F
	
	
	V, V, F
	
Explicação:
São seguintes os processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
	
 
	
	
	
	
	
		1.
		Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que:
Marque a alternativa INCORRETA
 
	
	
	
	
	
	
	requisitos de segurança de informação sejam adequadamente considerados.
	
	
	dados de entrada e o meio de entrada desses dados no sistema sejam identificados.
	
	
	ambientes de software e hardware apropriados sejam especificados.
	
	
	tenha sido fornecido treinamento para operar o sistema e então realiza-lo.
	
	
	os usuários dos sistemas estejam envolvidos.
	
Explicação:
O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado.
	
	
	
	
	 
	
	
	
	
	
		2.
		O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas.
· Entre as alternativas abaixo, qual delas descreve três desses critérios?
	
	
	
	
	
	
	Eficiência, responsabilidade e atitude
	
	
	Conformidade, efetividade e responsabilidade
	
	
	Integridade, confidencialidade e responsabilidade
	
	
	Confidencialidade, integridade e disponibilidade
	
	
	Responsabilidade, habilidade e atitude
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE:
	
	
	
	
	
	
	Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno?
	
	
	Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa?
	
	
	Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes?
	
	
	As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários?
	
	
	O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias?
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		4.
		A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos:
	
	
	
	
	
	
	Funções Rotineiras e Funções Integradas
	
	
	Funções Integradas e Funções Superficiais
	
	
	Funções Rotineiras e Funções Esporádicas
	
	
	Funções Rotineiras e Funções Superficiais
	
	
	Funções Superficiais e Funções Esporádicas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		5.
		Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como:
	
	
	
	
	
	
	teste paralelo
	
	
	teste de sistema integrado
	
	
	teste de unidade
	
	
	teste de regressão
	
	
	teste de significância
	
Explicação:
teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento
	
	
	
	
	 
	
	
	
	
	
		6.
		Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação.
	
	
	
	
	
	
	testes de regressão
	
	
	evidências de participação do usuário na definição e testes do projeto
	
	
	existência de plano de teste, incluindo os casos de teste
	
	
	testes de controles e características de segurança
	
	
	evidências de acompanhamento número de erros nos testes de lógica de programas
	
	
	
	
	 
	
	
	
	
	
		7.
		Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre
	
	
	
	
	
	
	custo benefício
	
	
	custo operacional
	
	
	custo do investimento
	
	
	custo de upgrade de equipamentos
	
	
	custo de instalações operacionais
	
Explicação:
Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software.
	
	
	
	
	 
	
	
	
	
	
		8.
		se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir.
	
	
	
	
	
	
	Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.:
	
	
	A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação;
	
	
	Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;;
	
	
	Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema.
	
	
	Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.;
	
 
	
	
	
	
	
		1.
		Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que:
Marque a alternativa INCORRETA
 
	
	
	
	
	
	
	tenha sido fornecido treinamento para operar o sistema e então realiza-lo.
	
	
	dados de entrada e o meio de entrada desses dados no sistema sejam identificados.
	
	
	ambientes de software e hardware apropriados sejam especificados.
	
	
	os usuários dos sistemas estejam envolvidos.
	
	
	requisitos de segurança de informação sejam adequadamente considerados.
	
Explicação:
O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado.
	
	
	
	
	 
	
	
	
	
	
		2.
		se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir.
	
	
	
	
	
	
	Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema.
	
	
	A codificação de programas novos ou alterados deverão estar sujeitaà revisão pelos supervisores de programação;
	
	
	Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.;
	
	
	Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;;
	
	
	Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.:
	
	
	
	
	 
	
	
	
	
	
		3.
		Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como:
	
	
	
	
	
	
	teste de regressão
	
	
	teste paralelo
	
	
	teste de unidade
	
	
	teste de sistema integrado
	
	
	teste de significância
	
Explicação:
teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento
	
	
	
	
	 
	
	
	
	
	
		4.
		Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre
	
	
	
	
	
	
	custo operacional
	
	
	custo de instalações operacionais
	
	
	custo benefício
	
	
	custo do investimento
	
	
	custo de upgrade de equipamentos
	
Explicação:
Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software.
	
	
	
	
	 
	
	
	
	
	
		5.
		A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos:
	
	
	
	
	
	
	Funções Rotineiras e Funções Superficiais
	
	
	Funções Rotineiras e Funções Esporádicas
	
	
	Funções Superficiais e Funções Esporádicas
	
	
	Funções Rotineiras e Funções Integradas
	
	
	Funções Integradas e Funções Superficiais
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		6.
		Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação.
	
	
	
	
	
	
	existência de plano de teste, incluindo os casos de teste
	
	
	testes de regressão
	
	
	testes de controles e características de segurança
	
	
	evidências de acompanhamento número de erros nos testes de lógica de programas
	
	
	evidências de participação do usuário na definição e testes do projeto
	
	
	
	
	 
	
	
	
	
	
		7.
		O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas.
· Entre as alternativas abaixo, qual delas descreve três desses critérios?
	
	
	
	
	
	
	Conformidade, efetividade e responsabilidade
	
	
	Integridade, confidencialidade e responsabilidade
	
	
	Eficiência, responsabilidade e atitude
	
	
	Confidencialidade, integridade e disponibilidade
	
	
	Responsabilidade, habilidade e atitude
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE:
	
	
	
	
	
	
	Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno?
	
	
	Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes?
	
	
	As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários?
	
	
	O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias?
	
	
	Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa?
	
 
	
	
	
	
	
		1.
		Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa.
	
	
	
	
	
	
	Solicitação ;
	
	
	Planejamento das aquisições ;
	
	
	Planejamento das solicitações ;
	
	
	Pagamento de Fatura;
	
	
	Administração do contrato ;
	
	
	
	
	 
	
	
	
	
	
		2.
		Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta:
I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas.
II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica.
III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa.
	
	
	
	
	
	
	Todas as sentenças estão corretas
	
	
	Apenas as sentenças II e III estão corretas
	
	
	Apenas as sentenças I e II estão corretas
	
	
	Apenas a sentença I está correta
	
	
	Apenas as sentenças I e III estão corretas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		3.
		Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ?
	
	
	
	
	
	
	Auditoria de desenvolvimnto de sistemas
	
	
	Auditoria de manutenção de sistemas
	
	
	Auditoria de redes
	
	
	Auditoria de suporte técnico
	
	
	Auditoria de operações de sistemas
	
	
	
	
	 
	
	
	
	
	
		4.
		Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO
 
 
	
	
	
	
	
	
	entrevista
	
	
	questionários
	
	
	revisão documental
	
	
	observação
	
	
	teste dos controles internos
	
Explicação:
A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria
	
	
	
	
	 
	
	
	
	
	
		5.
		Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde obtemos as cotações.
II - Planejamento das aquisições - onde definimos as declarações de trabalho
III- Solicitação - onde escolhemos a melhor proposta
	
	
	
	
	
	
	F, F, V
	
	
	V, F, F
	
	
	F, V, F
	
	
	V, F, V
	
	
	V, V, F
	
Explicação:
São processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
	
	
	
	
	 
	
	
	
	
	
		6.
		Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos:
	
	
	
	
	
	
	riscos de perda de informação e custo-benefício
	
	
	risco e implementação de uma política de segurança
	
	
	riscos envolvidos e ao custo-benefício de ambas as alternativas.
	
	
	contratação de profissionais e infra-estrutura
	
	
	riscos envolvidos e ao custo
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		7.
		O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de:
	
	
	
	
	
	
	Sistema
	
	
	Completude
	
	
	Regressão
	
	
	Acuidade
	
	
	Unidade
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais:
Indique se falsas (F) ou verdadeiras (V) as afirmativas
I - Planejamento das solicitações, onde identificamos fontes potenciais..
II - Fechamento do contrato - onde obtemos as cotações.
III - Seleção da fonte - onde procedemos à administração do contrato
 
 
	
	
	
	
	
	
	V, F, F
	
	
	F, F, V
	
	
	F, V, V
	
	
	V, V, F
	
	
	V, V, V
	
Explicação:
São seguintes os processos da Gerencia de Aquisições:
1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho
2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais.
3. Solicitação - Obtém a cotação, ofertas, propostas.
4. Seleção da fonte - Escolhe a melhor proposta.
5. Administração do contrato - Gerencia e relaciona-se com o fornecedor.
6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos.
	
 
	
	
	
	
	
		1.
		Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que:
Marque a alternativa INCORRETA
 
	
	
	
	
	
	
	tenha sido fornecido treinamento para operar o sistema e então realiza-lo.
	
	
	requisitos de segurança de informação sejam adequadamente considerados.
	
	
	ambientes de software e hardware apropriados sejam especificados.
	
	
	os usuários dos sistemas estejam envolvidos.
	
	
	dados de entrada e o meio de entrada desses dados no sistema sejam identificados.
	
Explicação:
O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado.
	
	
	
	
	 
	
	
	
	
	
		2.
		se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir.
	
	
	
	
	
	
	A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação;
	
	
	Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.;
	
	
	Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema.
	
	
	Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;;
	
	
	Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.:
	
	
	
	
	 
	
	
	
	
	
		3.
		Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como:
	
	
	
	
	
	
	teste de regressão
	
	
	teste de significância
	
	
	teste de unidade
	
	
	teste paralelo
	
	
	teste de sistema integrado
	
Explicação:
teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento
	
	
	
	
	 
	
	
	
	
	
		4.
		Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre
	
	
	
	
	
	
	custo operacional
	
	
	custo de upgrade de equipamentos
	
	
	custo benefício
	
	
	custo de instalações operacionais
	
	
	custo do investimento
	
Explicação:
Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software.
	
	
	
	
	 
	
	
	
	
	
		5.
		A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos:
	
	
	
	
	
	
	Funções Integradas e Funções Superficiais
	
	
	Funções Superficiais e Funções Esporádicas
	
	
	Funções Rotineiras e Funções Integradas
	
	
	Funções Rotineiras e Funções Superficiais
	
	
	Funções Rotineiras e Funções Esporádicas
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		6.
		Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação.
	
	
	
	
	
	
	evidências de acompanhamento número de erros nos testes de lógica de programas
	
	
	testes de controles e características de segurança
	
	
	evidências de participação do usuário na definição e testes do projeto
	
	
	existência de plano de teste, incluindo os casos de teste
	
	
	testes de regressão
	
	
	
	
	 
	
	
	
	
	
		7.
		O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas.
· Entre as alternativas abaixo, qual delas descreve três desses critérios?
	
	
	
	
	
	
	Confidencialidade, integridade e disponibilidade
	
	
	Integridade, confidencialidade e responsabilidade
	
	
	Conformidade, efetividade e responsabilidade
	
	
	Eficiência, responsabilidade e atitude
	
	
	Responsabilidade, habilidade e atitude
		
	Gabarito
Comentado
	
	
	
	
	
	
	 
	
	
	
	
	
		8.
		As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem