Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. 2. Informações cuja violação seja extremamente crítica são classificadas como: secretas de uso irrestrito de uso restrito internas confidenciais Gabarito Comentado 3. Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa ser desenvolvido Definir o que precisa ser duplicado; Definir o que precisa implantado; Definir o que precisa ser orçado; Definir o que precisa ser protegido; 4. Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo. PORQUE II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições falsas. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. Explicação: A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário. 5. Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório. Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V). I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório. II - O descumprimento de uma politica de segurança deve ser analisado caso a caso. III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança. F, V, V V, F, V F, V, F V, V, F V, F, F Explicação: As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada. 6. Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas de Cargos e Salários; Políticas de RH; Políticas Comerciais; Políticas Orçamentárias Políticas Administrativas, 7. Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas. um grande número, sem repetí-los um número razoável, muitos detalhes um grande número, sem palavras difíceis o máximo, alguns detalhes um mínimo, o bastante Gabarito Comentado 8. Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos. II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias. III - O acesso aos sistemas da empresa deve ser realizado através de senha individual. E, C, C C, E, E C, C, E C, E, C E, E, C Explicação: Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado. 1. Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança. colaboradores terceirizados modens suprimento celulares particulares de colaboradores automóvel da frota da empresa Explicação: Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no caso de dados e recursos materiais). Celulares particulares de colaboradores não são recursos críticos. 2. Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,. Necessita de senha para acessá-las; Excepcionalmente, agentes externos podem obter o conteúdo; Só pode ser acessada por auditores internos; Não devem sair do âmbito interno da organização. Somente a diretoria de segurança pode saber seu conteúdo. 3. A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento. Justifica demissão por justa causa; Justifica perdas de vantagens financeiras; Justifica suspensão temporaria Justifica perda de cargo; Justifica processo de auditoria. 4. Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Controle de entrada e saída de funcionários; Identificação biométrica; Utilização de crachá; Identificação pela biometria de iris; Matriz de riscos; 5. Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas. Pública, customizada , confidencial, secreta; Pública, interna , confidencial, secreta; Pública, interna , confidencial,criptografada; Pública, interna , criptografada, secreta; Pública, criptografada , confidencial, customizada; 6. Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para:: Para qualquer pessoa; Somente para os integrantes da equipe de auditoria; Somente para quem ocupa cargos gerenciais; Somente para quem controla o acesso aos sisterma; Somente para os integrantes da área de TI; 7. Segurança é responsabilidade de todos. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar PORQUE II - o comportamento das pessoas deve refletir a sua hierarquia funcional. A respeito dessas asserções, assinale a opção correta. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições falsas. Explicação: É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados. 8. A segurança da empresa é responsabilidade da área de auditoria de todos os envolvidos da área de TI da gerencia administrativa da diretoria operacional 1. Toda informação tem um dono, é aquele que a gera. A informação a classificada como secreta , aponta que a sua violação interna ou externa é extremamente crítica. Este tipo de informação de deve ser autorizada para quantas pessoas? Somente uma pessoa; Somente duas pessoas; Somente do auditor chefe; Somente dos integrantes da diretoria; Somente 2 ou 3 pessoas; 2. Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT) I - Data de aniversário dos colaboradores. II - Endereço do CPD da empresa. III - Organograma da empresa. PUB, INT, PUB INT, PUB, PUB PUB, PUB, INT INT, INT, PUB INT, PUB, INT Explicação: Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas. Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa) 3. Sabemos que o cumprimento de uma politica de segurança é de carater compulsório, obrigatório. Analise as situações abaixo e indique se são falsas (F) ou verdadeirs (V). I - Uma violação de uma politica de segurança deve gerar uma demissão por justa causa já que o cumprimento da politica é compulsório. II - O descumprimento de uma politica de segurança deve ser analisado caso a caso. III - Uma violação de uma politica de segurança por negligência deve ter igual punição que uma violação gerada por desconhecimento da mesma, já que não podemos violar as politicas de segurança. V, F, F V, V, F V, F, V F, V, F F, V, V Explicação: As violações das politicas de segurança devem ser vistas cso a caso, devm ser analisadas as razões pelas quais a politica foi violada. 4. Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas Orçamentárias Políticas Comerciais; Políticas de RH; Políticas de Cargos e Salários; Políticas Administrativas, 5. Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa implantado; Definir o que precisa ser duplicado; Definir o que precisa ser protegido; Definir o que precisa ser orçado; Definir o que precisa ser desenvolvido 6. Informações cuja violação seja extremamente crítica são classificadas como: secretas internas de uso irrestrito de uso restrito confidenciais Gabarito Comentado 7. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes. 8. Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos. II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias. III - O acesso aos sistemas da empresa deve ser realizado através de senha individual. C, C, E C, E, C E, E, C E, C, C C, E, E Explicação: Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado. 1. Assinale a alternativa que preenche corretamente a lacuna. Em relação ao número de informações, uma política de segurança deve conter ______________ de informação mas __________ para que seja entendida, sem dúvidas. o máximo, alguns detalhes um número razoável, muitos detalhes um mínimo, o bastante um grande número, sem palavras difíceis um grande número, sem repetí-los Gabarito Comentado 2. Uma politica organizacional representa os valores e o credo da empresa não devendo, portanto, ser alterada. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - Após a revisão, a politica de segurança (texto e procedimentos) é implementada em definitivo. PORQUE II - as alterações que porventura venham a ocorrer devem ser alteradas nos seus procedimentos A respeito dessas asserções, assinalea opção correta. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. Explicação: A implantação da politica é em carater definitivo e não devemos trocar seu texto, apenas os procedimentos , quando necessário. 3. Identifique quais dos recursos abaixo NÃO são considerados críticos para a confecção de politicas de segurança. automóvel da frota da empresa colaboradores terceirizados celulares particulares de colaboradores modens suprimento Explicação: Identificar os recursos críticos significa definir o que precisa ser protegido. De que forma eles estão armazenados (no caso de dados e recursos materiais). Celulares particulares de colaboradores não são recursos críticos. 4. Toda informação tem um dono, que corresponde aquele que a gera. Assinale dentre as opções abaixo aquela que está correta, caso o dono da informação a classifique como internas ou uso interno,. Só pode ser acessada por auditores internos; Não devem sair do âmbito interno da organização. Excepcionalmente, agentes externos podem obter o conteúdo; Necessita de senha para acessá-las; Somente a diretoria de segurança pode saber seu conteúdo. 5. A politica organizacional deve tratar de princípios éticos,sendo ela compulsória . Aponte dentre as opções colocadas abaixo aquela que esta correta em caso do seu descumprimento. Justifica perdas de vantagens financeiras; Justifica processo de auditoria. Justifica demissão por justa causa; Justifica suspensão temporaria Justifica perda de cargo; 6. Similar ao que fé feito na definição de um plano de contingência, também na definição das políticas devem ser levantadas as ameaças possíveis de ocorrência e adotar meios para que possam ser identificadas as piores ameaças. Assinale dentre as opções abaixo aquela atende ao objetivo do que está colocado. Matriz de riscos; Utilização de crachá; Controle de entrada e saída de funcionários; Identificação biométrica; Identificação pela biometria de iris; 7. Toda informação tem um dono, que é caracteizado por aquele que a gera. Assinale dentre as opções abaixo como o dono da informação classifica as mesmas. Pública, criptografada , confidencial, customizada; Pública, customizada , confidencial, secreta; Pública, interna , confidencial, secreta; Pública, interna , criptografada, secreta; Pública, interna , confidencial, criptografada; 8. Toda informação tem um dono, é aquele que a gera. Quando o dono da informação a classifica em PÚBLICA OU USO IRRESTRITO, é porque esta informação pode ser divulgada para:: Somente para quem controla o acesso aos sisterma; Somente para os integrantes da equipe de auditoria; Somente para os integrantes da área de TI; Somente para quem ocupa cargos gerenciais; Para qualquer pessoa; 1. A segurança da empresa é responsabilidade da área de TI da diretoria operacional da área de auditoria da gerencia administrativa de todos os envolvidos Gabarito Comentado 2. Segurança é responsabilidade de todos. Considerando esse contexto, avalie as seguintes asserções e a relação proposta entre elas. I - A empresa cria politicas de segurança para homogeneizar o comportamento das pessoas em relação ao objeto que deseja preservar PORQUE II - o comportamento das pessoas deve refletir a sua hierarquia funcional. A respeito dessas asserções, assinale a opção correta. As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. A asserção I é uma proposição falsa, e a II é uma proposição verdadeira. A asserção I é uma proposição verdadeira, e a II é uma proposição falsa. As asserções I e II são proposições falsas. Explicação: É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades e não de sua hierarquia funcional. Mesmo porque as politicas também abrangem clientes, fornecedores, terceirizados. 3. Segurança nas empresas é responsabilidade de todos. É necessário que o comportamento das pessoas seja um reflexo de suas responsabilidades. Por estas razão a empresa cria _________________________________, para homogeneizar o comportamento de todos em relação a algo que ela quer preservar. Aponte a expressão que complementa o texto acima. Políticas de RH; Políticas Comerciais; Políticas Administrativas, Políticas de Cargos e Salários; Políticas Orçamentárias 4. Quanto à classificação das informações, identifique as que são públicas ou irrestritas (PUB) e as que são de uso interno (INT) I - Data de aniversário dos colaboradores. II - Endereço do CPD da empresa. III - Organograma da empresa. INT, INT, PUB INT, PUB, INT PUB, PUB, INT PUB, INT, PUB INT, PUB, PUB Explicação: Informações de uso interno => não devem sair do âmbito da empresa. Se sairem não são críticas. Informações públicas ou de uso irrestrito => podem ser divulgadas publicamente (para fora da empresa) 5. Dentre as alternativas abaixo, assinale aquela que corresponde ao processo de Identificação dos recursos críticos Definir o que precisa ser desenvolvido Definir o que precisa ser duplicado; Definir o que precisa implantado; Definir o que precisa ser protegido; Definir o que precisa ser orçado; 6. Informações cuja violação seja extremamente crítica são classificadas como: de uso irrestrito internas secretas confidenciais de uso restrito Gabarito Comentado 7. As ferramentas utilizadas nas auditorias de Tecnologia da Informação normalmente auxiliam na extração e seleção de dados e podem fornecer relatórios com indicativos de desvios. Essas ferramentas e as técnicas por elas utilizadas proporcionam ao usuário vantagens como: ganho na produtividade, redução de custo e qualidade. Quanto as técnicas e ferramentas utilizadas nas auditorias de TI (Tecnologia da Informação) é correto afirmar que a técnica denominada "Rastreamento e Mapeamento" envolve .................................... Marque a opção abaixo que completa a afirmativa: o desenvolvimento e implementação de uma trilha de auditoria para acompanhar certos pontos da lógica do processamento de algumas transações. a verificação da lógica de programação para certificar que as instruções dadas ao computador são as mesmas já identificadas nas documentações do sistema a inclusão de lógicas de auditoria nos sistemas quando são desenvolvidos. o uso de um programa especialmente desenvolvido para processar transações e dados anteriormente executados numa rotina normal e operacional com o objetivo de verifi car se os resultados são idênticos a simulação de operações normais com o objetivo de estimular a verificação de resultados recorrentes que são inconsistentes.8. Analisando o texto das politicas abaixo, identifique os que estão corretos (C) e os errados (E). I - O acesso aos sistemas da empresa deve ser realizado através de senha contendo no mínimo 6 digitos. II - O acesso aos sistemas da empresa deve ser realizado através de senha individual, trocada a cada 30 dias. III - O acesso aos sistemas da empresa deve ser realizado através de senha individual. E, E, C C, E, E C, E, C E, C, C C, C, E Explicação: Uma politica de segurança deve ser clara o suficiente para que todos entendam a sua proposta. Detalhes, números, como agir para cumprir as politicas, devem estar contidos nos procedimentos da politica e não no seu enunciado. 1. A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno: Controle de acesso físico ao ambiente de informática Controle sobre os recursos instalados Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle de back-up e off-site Controle de aquisição e disposição do equipamento Gabarito Comentado 2. A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. · Considere as seguintes proposições: 1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. 2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. 3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. 4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: Física, Aplicação, Enlace e Lógica. Física, Lógica, Enlace e Aplicação. Física, Biométrica, Enlace e Aplicação. Física, Enlace, Lógica e Aplicação. Física, Biométrica, Lógica e Aplicação. Gabarito Comentado 3. Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO listagens jogadas no lixo acesso aos back-ups acesso à fitoteca acesso à biblioteca externa acesso à central telefonica Explicação: O acesso à central telefonica da empresa não é específico do ambiente de TI 4. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança fisica, de protocolos e de reposição lógica, de enlace e de monitoramento de desempenho, de configuração e física fisica, de enlace e de aplicação lógica, de desempenho e de protocolos 5. Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle sobre o firewall instalado Controle sobre os recursos instalados Controle sobre nível de acesso a aplicativos Localização e infraestrutura do CPD 6. Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Todas as sentenças estão corretas Apenas as sentenças I e III estão corretas Apenas a sentença I está correta Apenas as sentenças II e III estão corretas Apenas a sentença III está correta Gabarito Comentado 7. Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Cidade onde nasceu? Nome do pai? Data de seu nascimento? Número de seu RG? Data de vencimento da fatura do cartão? Gabarito Comentado 8. Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Apenas a sentença III está correta Apenas a sentença II está correta Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas Apenas as sentenças II e III estão corretas 1. A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Fornecer treinamento de segurança ao pessoal de portaria Colocar cartazes sobre segurança nas dependências da empresa Solicitar ao setor de RH listagem de funcionários para uso na portaria Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Gabarito Comentado 2. Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança de atualização de senhas Segurança da criação de arquivos log Segurança de programas de atualização Segurança da emissão e distribuição de relatórios Segurança quanto à disponibilidade da rede Gabarito Comentado 3. Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F). I - Conversa em sala de bate papo na internet. II - Telefonema de falsos sequestros. III - Levar uma pessoa a visitar sites erroneos. V, F, F V, V, F F, F, V F, V, F V, F, V Explicação: A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas afim delas obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc. Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.) 4. Devemos considerar os seguintes processos na auditoria de redes, EXCETO Desenho das arquiteturas e da topologia de rede. Monitoramento dos desempenhos e possíveis interceptações nas redes. Levantamento dos problemas operacionais e sua resolução. Replanejamento da arquitetura da rede. Replanejamento da capacidade da rede. Explicação: O replanejamento da arquitetura da rede é um projeto e não um processo rotineiro da auditoria. 5. O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. · Escolha a alternativa que preencha corretamente a lacuna: Software de controle de perfil. Software de controle de trilha de auditoria. Software de controle de inventário. Software de controle de acesso. Software de controle de rede. Gabarito Comentado 6. Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Monitoramento dos desempenhod e possíveis interceptações nas redes; Desenho das arquiteturas e topologia da rede; Processo de escolha do Gerente do Projeto. Implementação dos projetos físicos e lógicos; Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; 7. Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. Os auditores devem preocupar-se com a localização e infraestrutura do CPD Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física 8. Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. · Agora assinale a resposta correta: Somente I, II e III são proposições verdadeiras Somente I e II são proposições verdadeiras I, II, III e IV são proposições verdadeiras Somente I é proposição verdadeira Somente II e III são proposições verdadeiras 1. Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Destino dos relatórios gerados Relatórios de clientes jogados no lixo Entrada de visitantes no CPD Processamento de um sistema por pessoas não autorizadas Guarda de arquivos back-ups vencidos na biblioteca externa Gabarito Comentado 2. Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: Marque verdadeiro (V) ou falso (F) I - biometria II - cartão com tarja magnética III - cracha com foto V, F, F F, V, V V, F, V F, V, F V, V, F Explicação: A biometria serve tanto para acesso lógico como para acesso físico Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa eletronico, por exemplo. Cracha com foto é utilizado somente para controle de acesso físico 3. Falando em técnicas de auditoria, podemos afirmar que: A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time A técnica de dados simulados de teste deve prever somente situações incorretas O mapeamento estatístico é uma técnica de verificação de transações incompletas A gravação de arquivos logs poderia ser incluida na técnica de teste integrado A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto 4. Em relação a controle de acesso, identifique a única afirmativa correta. O assédio moral é um exemplo de engenharia social Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico A biometria é usada para assegurar o controle lógico das informações Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico 5. Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada? Marque a opção correta: Auditoria de controle Auditoria online Auditoria de redes Auditoria de dados Auditoria de informações Gabarito Comentado 6. Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é: Data de seu nascimento? Número de seu RG? Cidade onde nasceu? Nome do pai? Data de vencimento da fatura do cartão? Gabarito Comentado 7. A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente. · Considere as seguintes proposições: 1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição. 2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos. 3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional. 4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa. Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança: Física, Aplicação, Enlace e Lógica. Física, Lógica, Enlace e Aplicação. Física, Biométrica, Lógica e Aplicação. Física, Enlace, Lógica e Aplicação. Física, Biométrica, Enlace e Aplicação. Gabarito Comentado 8. Avaliar se o acesso ao local de instalação do CPDé restrito é preocupação do controle interno chamado: Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle sobre o firewall instalado Controle sobre nível de acesso a aplicativos Localização e infraestrutura do CPD Controle sobre os recursos instalados 1. Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta: I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria. II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas. III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito. Apenas a sentença III está correta Apenas as sentenças II e III estão corretas Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Todas as sentenças estão corretas Gabarito Comentado 2. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança de desempenho, de configuração e física fisica, de enlace e de aplicação lógica, de enlace e de monitoramento fisica, de protocolos e de reposição lógica, de desempenho e de protocolos 3. Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO acesso à biblioteca externa acesso à central telefonica listagens jogadas no lixo acesso aos back-ups acesso à fitoteca Explicação: O acesso à central telefonica da empresa não é específico do ambiente de TI 4. Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta: I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento. II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros. III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos. Apenas as sentenças II e III estão corretas Apenas a sentença III está correta Apenas a sentença II está correta Todas as sentenças estão corretas Apenas as sentenças I e II estão corretas Gabarito Comentado 5. Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F). I - Conversa em sala de bate papo na internet. II - Telefonema de falsos sequestros. III - Levar uma pessoa a visitar sites erroneos. V, F, F F, F, V V, F, V V, V, F F, V, F Explicação: A engenharia social caracteriza-se por técnicas que usem de persuasão para abusar da ingenuidade de pessoas a fim delas obter dados pessoais que podem ser usados para acesso não autorizado a computadores, sistemas, etc. Levar uma pessoa a visitar sites erroneos.=> é phishing (envio de e-mails falsos ou direcionando você a websites falsos.) 6. Devemos considerar os seguintes processos na auditoria de redes, EXCETO Desenho das arquiteturas e da topologia de rede. Replanejamento da arquitetura da rede. Monitoramento dos desempenhos e possíveis interceptações nas redes. Levantamento dos problemas operacionais e sua resolução. Replanejamento da capacidade da rede. Explicação: O replanejamento da arquitetura da rede é um projeto e não um processo rotineiro da auditoria. 7. O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc. · Escolha a alternativa que preencha corretamente a lacuna: Software de controle de inventário. Software de controle de acesso. Software de controle de rede. Software de controle de trilha de auditoria. Software de controle de perfil. Gabarito Comentado 8. Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes: Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; Implementação dos projetos físicos e lógicos; Processo de escolha do Gerente do Projeto. Monitoramento dos desempenhod e possíveis interceptações nas redes; Desenho das arquiteturas e topologia da rede; 1. Analise as proposições a seguir e depois marque a alternativa correta: I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis. II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente. III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente. IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI. · Agora assinale a resposta correta: Somente II e III são proposições verdadeiras I, II, III e IV são proposições verdadeiras Somente I, II e III são proposições verdadeiras Somente I é proposição verdadeira Somente I e II são proposições verdadeiras Gabarito Comentado 2. Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a: Segurança de programas de atualização Segurança da criação de arquivos log Segurança de atualização de senhas Segurança da emissão e distribuição de relatórios Segurança quanto à disponibilidade da rede Gabarito Comentado 3. A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria: Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa Solicitar ao setor de RH listagem de funcionários para uso na portaria Colocar cartazes sobre segurança nas dependências da empresa Fornecer treinamento de segurança ao pessoal de portaria Gabarito Comentado 4. Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA Os auditores devem preocupar-se com a localização e infraestruturado CPD Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador 5. O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança, EXCETO de segurança de enlace segurança de aplicação segurança lógica segurança de complexidade segurança física Explicação: O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança física, lógica, de enlace e de aplicações. 6. Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada? Marque a opção correta: Auditoria de informações Auditoria online Auditoria de dados Auditoria de redes Auditoria de controle Gabarito Comentado 7. Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico Processamento de um sistema por pessoas não autorizadas Entrada de visitantes no CPD Relatórios de clientes jogados no lixo Guarda de arquivos back-ups vencidos na biblioteca externa Destino dos relatórios gerados Gabarito Comentado 8. Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos: Marque verdadeiro (V) ou falso (F) I - biometria II - cartão com tarja magnética III - cracha com foto V, V, F F, V, V V, F, V F, V, F V, F, F Explicação: A biometria serve tanto para acesso lógico como para acesso físico Cartões com tarja magnética podem ser utilizados para acesso físico como para acesso lógico, quando em saques de caixa eletronico, por exemplo. Cracha com foto é utilizado somente para controle de acesso físico 1. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. Planejamento das solicitações ; Pagamento de Fatura; Administração do contrato ; Planejamento das aquisições ; Solicitação ; 2. Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos: contratação de profissionais e infra-estrutura risco e implementação de uma política de segurança riscos envolvidos e ao custo-benefício de ambas as alternativas. riscos de perda de informação e custo-benefício riscos envolvidos e ao custo Gabarito Comentado 3. Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de manutenção de sistemas Auditoria de operações de sistemas Auditoria de desenvolvimnto de sistemas Auditoria de redes Auditoria de suporte técnico 4. Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO revisão documental entrevista teste dos controles internos observação questionários Explicação: A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria 5. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica. III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Todas as sentenças estão corretas Apenas a sentença I está correta Apenas as sentenças I e II estão corretas Apenas as sentenças I e III estão corretas Apenas as sentenças II e III estão corretas Gabarito Comentado 6. O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de: Regressão Sistema Completude Unidade Acuidade Gabarito Comentado 7. Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde obtemos as cotações. II - Planejamento das aquisições - onde definimos as declarações de trabalho III - Solicitação - onde escolhemos a melhor proposta V, F, V V, V, F F, V, F F, F, V V, F, F Explicação: São processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. 8. Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde identificamosfontes potenciais.. II - Fechamento do contrato - onde obtemos as cotações. III - Seleção da fonte - onde procedemos à administração do contrato V, V, V F, V, V F, F, V V, F, F V, V, F Explicação: São seguintes os processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. 1. Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que: Marque a alternativa INCORRETA requisitos de segurança de informação sejam adequadamente considerados. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. ambientes de software e hardware apropriados sejam especificados. tenha sido fornecido treinamento para operar o sistema e então realiza-lo. os usuários dos sistemas estejam envolvidos. Explicação: O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado. 2. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. · Entre as alternativas abaixo, qual delas descreve três desses critérios? Eficiência, responsabilidade e atitude Conformidade, efetividade e responsabilidade Integridade, confidencialidade e responsabilidade Confidencialidade, integridade e disponibilidade Responsabilidade, habilidade e atitude Gabarito Comentado 3. As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa? Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários? O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? Gabarito Comentado 4. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Rotineiras e Funções Integradas Funções Integradas e Funções Superficiais Funções Rotineiras e Funções Esporádicas Funções Rotineiras e Funções Superficiais Funções Superficiais e Funções Esporádicas Gabarito Comentado 5. Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como: teste paralelo teste de sistema integrado teste de unidade teste de regressão teste de significância Explicação: teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento 6. Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação. testes de regressão evidências de participação do usuário na definição e testes do projeto existência de plano de teste, incluindo os casos de teste testes de controles e características de segurança evidências de acompanhamento número de erros nos testes de lógica de programas 7. Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre custo benefício custo operacional custo do investimento custo de upgrade de equipamentos custo de instalações operacionais Explicação: Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software. 8. se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir. Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.: A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação; Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;; Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema. Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.; 1. Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que: Marque a alternativa INCORRETA tenha sido fornecido treinamento para operar o sistema e então realiza-lo. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. ambientes de software e hardware apropriados sejam especificados. os usuários dos sistemas estejam envolvidos. requisitos de segurança de informação sejam adequadamente considerados. Explicação: O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado. 2. se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir. Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema. A codificação de programas novos ou alterados deverão estar sujeitaà revisão pelos supervisores de programação; Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.; Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;; Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.: 3. Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como: teste de regressão teste paralelo teste de unidade teste de sistema integrado teste de significância Explicação: teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento 4. Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre custo operacional custo de instalações operacionais custo benefício custo do investimento custo de upgrade de equipamentos Explicação: Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software. 5. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Rotineiras e Funções Superficiais Funções Rotineiras e Funções Esporádicas Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Integradas Funções Integradas e Funções Superficiais Gabarito Comentado 6. Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação. existência de plano de teste, incluindo os casos de teste testes de regressão testes de controles e características de segurança evidências de acompanhamento número de erros nos testes de lógica de programas evidências de participação do usuário na definição e testes do projeto 7. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. · Entre as alternativas abaixo, qual delas descreve três desses critérios? Conformidade, efetividade e responsabilidade Integridade, confidencialidade e responsabilidade Eficiência, responsabilidade e atitude Confidencialidade, integridade e disponibilidade Responsabilidade, habilidade e atitude Gabarito Comentado 8. As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem ser respondidas, COM EXCEÇÃO DE: Há procedimentos de formalização da real necessidade para um novo sistema?; Há informações apresentadas para que os usuários possam decidir entre aquisição e desenvolvimento interno? Os desenvolvimentos de testes e instalação do sistema na produção são feitos sem traumas para os usuários?; O desenvolvimento segue os padrões existentes e utiliza todas as ferramentas para alinhá-lo com os sistemas já existentes? As questões básicas sobre funcionalidade, operacionalidade, tecnologia, pós-venda, segurança e de análise de custo-benefício, entre outras, são esclarecidas quando da decisão de compra externa?; A documentação é consistente e disponível para orientar os usuários? O hardware e software são considerados como custo ou investimento?; O marketing de produtos e serviços da empresa deve utilizar verbas relacionadas a auditoria ou verbas próprias? Os usuários são treinados para utilizar os sistemas com todos os potenciais que possuem?; As manutenções são feitas sem interrupção das operações normais da empresa? 1. Dentre as opções abaixo assinale aquela não se aplica, aos grandes grupos de processos a serem seguidos para que uma empresa faça uma aquisição de bem ou serviço que não esteja disponível dentro da empresa. Solicitação ; Planejamento das aquisições ; Planejamento das solicitações ; Pagamento de Fatura; Administração do contrato ; 2. Analise as sentenças sobre Auditoria de Aquisição, Desenvolvimento, Manutenção e Documentação de sistemas e, em seguida, assinale a alternativa correta: I. Uma das dúvidas atrozes de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos riscos envolvidos e ao custo-benefício de ambas as alternativas. II. Em qualquer das opções citadas na sentença acima (desenvolvimento em casa ou aquisição), não se faz necessário fazer um estudo preliminar para o sistema em questão, já que é pouco relevante considerarmos a viabilidade econômica, operacional e técnica. III. A aquisição de software pode abranger um sistema/programa novo (com ou sem modificações de customização) ou alterações em algum software já existente na empresa. Todas as sentenças estão corretas Apenas as sentenças II e III estão corretas Apenas as sentenças I e II estão corretas Apenas a sentença I está correta Apenas as sentenças I e III estão corretas Gabarito Comentado 3. Em que tipo de auditoria, os auditores esperam encontrar procedimentos para assegurar que os serviços sejam programados (para execução) e processados adequadamente, sendo os relatórios e outros outputs distribuídos em tempo e forma controlada e tendo os meios de arquivos de dados devidamente protegidos ? Auditoria de desenvolvimnto de sistemas Auditoria de manutenção de sistemas Auditoria de redes Auditoria de suporte técnico Auditoria de operações de sistemas 4. Para avaliarmos os sistemas aplicativos geralmente usamos as seguintes ferramentas EXCETO entrevista questionários revisão documental observação teste dos controles internos Explicação: A avaliação dos sistemas aplicativos geralmente usa a entrevista, a observação, a revisão documental, teste dos controles internos e programados como ferramentas de auditoria 5. Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde obtemos as cotações. II - Planejamento das aquisições - onde definimos as declarações de trabalho III- Solicitação - onde escolhemos a melhor proposta F, F, V V, F, F F, V, F V, F, V V, V, F Explicação: São processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. 6. Uma das dúvidas de um gestor de sistemas é decidir sobre comprar ou desenvolver em casa um determinado aplicativo. Vários pontos devem ser considerados, principalmente em relação aos: _____________________________________________________. Marque a opção que complementa corretamente a citação Com base na afirmativa complete-a respondendo quais são esses pontos: riscos de perda de informação e custo-benefício risco e implementação de uma política de segurança riscos envolvidos e ao custo-benefício de ambas as alternativas. contratação de profissionais e infra-estrutura riscos envolvidos e ao custo Gabarito Comentado 7. O Sistema de Contabilidade estava na fase final de teste quando o cliente solicitou a inclusão de alguns cálculos provenientes de interface com o Sistema de Contas a Pagar. O auditor, ao verificar que a solicitação estava completa, solicitou que fossem feitos os testes de: Sistema Completude Regressão Acuidade Unidade Gabarito Comentado 8. Para adquirirmos um software é recomendado seguir a metodologia PMBOK (Project Management Body of Knowledge) do PMI (Project Management Institute), em seu capítulo específico sobre aquisições. Neste capítulo, Gerência de Aquisições, temos alguns grandes grupos de processos dentre os quais: Indique se falsas (F) ou verdadeiras (V) as afirmativas I - Planejamento das solicitações, onde identificamos fontes potenciais.. II - Fechamento do contrato - onde obtemos as cotações. III - Seleção da fonte - onde procedemos à administração do contrato V, F, F F, F, V F, V, V V, V, F V, V, V Explicação: São seguintes os processos da Gerencia de Aquisições: 1. Planejamento das aquisições - Define o que adquirir e quando fazê-lo. Definimos as declarações de trabalho 2. Planejamento das solicitações - Documenta os requisitos dos produtos ou bens e identifica fontes potenciais. 3. Solicitação - Obtém a cotação, ofertas, propostas. 4. Seleção da fonte - Escolhe a melhor proposta. 5. Administração do contrato - Gerencia e relaciona-se com o fornecedor. 6. Fechamento do contrato - Finaliza o contrato, incluindo itens abertos. 1. Quando auditamos sistemas em desenvolvimento ou mudanças sendo executadas em sistemas existentes, devemos verificar se há controles para assegurar que: Marque a alternativa INCORRETA tenha sido fornecido treinamento para operar o sistema e então realiza-lo. requisitos de segurança de informação sejam adequadamente considerados. ambientes de software e hardware apropriados sejam especificados. os usuários dos sistemas estejam envolvidos. dados de entrada e o meio de entrada desses dados no sistema sejam identificados. Explicação: O treinamento para operar o sistema deve ser feito após o sistema ter sido desenvolvido ou alterado. 2. se uma empresa faz desenvolvimento ou modificações de sistemas aplicativos internamente. Assinale .a unica opção que não está correta em relação aos controles que deverão existir. A codificação de programas novos ou alterados deverão estar sujeita à revisão pelos supervisores de programação; Os programas deverão ser desenvolvidos de maneira consistente e de acordo com os padrões de programação ou outras orientações usadas pela empresa.; Os testes doa programas para efeito de crionograma deverão ser realizados somente na implantação do sistema. Toda a documentação deverá estar concluída e aprovada pelo gerente do Sistema;; Os sistemas novos ou modificados não deverão ser colocados em operação antes de estarem autorizados e aprovados para implantação.: 3. Ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento. A auditoria deve buscar evidencias desses testes que são conhecidos como: teste de regressão teste de significância teste de unidade teste paralelo teste de sistema integrado Explicação: teste de regressão = ao fazermos alguma modificação nos requisitos de um sistema e alterarmos programas já testados, devemos retestar o que foi testado para assegurarmos que as mudanças não afetaram o que já estava funcionado a contento 4. Se vamos desenvolver um sistema em casa ou se vamos comprar um sistema pronto, antes de qualquer coisa devemos fazer um estudo preliminar para o sistema em questão EXCETO sobre custo operacional custo de upgrade de equipamentos custo benefício custo de instalações operacionais custo do investimento Explicação: Devemos fazer a viabilidade economica, técnia e operacional do sistema a ser desenvolvido ou comprado antes de qualquer passo inicial para obter o sistema. O upgrade de equipamentos não é condição necessária e suficiente para aquisição/desenvolviemnto do software. 5. A função de suporte refere-se aos usuários de tecnologia da informação e o nome dos indivíduos com responsabilidade de implantar, manipular e supervisionar os recursos de alta tecnologia e de dar apoio a sua utilização nas empresas. As funções de suporte técnico dividem-se em dois grandes grupos: Funções Integradas e Funções Superficiais Funções Superficiais e Funções Esporádicas Funções Rotineiras e Funções Integradas Funções Rotineiras e Funções Superficiais Funções Rotineiras e Funções Esporádicas Gabarito Comentado 6. Quando adquirimos softwares, nas rotinas e procedimentos estabelecidos para testar aplicativos novos ou que sofreram mudanças significativas, os auditores devem preocupar-se em verificar se vários testes foram executados. Indique qual a opção de testes que NÃO SÃO RELEVANTES nesta situação. evidências de acompanhamento número de erros nos testes de lógica de programas testes de controles e características de segurança evidências de participação do usuário na definição e testes do projeto existência de plano de teste, incluindo os casos de teste testes de regressão 7. O COBIT define sete critérios de informação que podem ser adotados como objetivo de uma auditoria de sistemas. · Entre as alternativas abaixo, qual delas descreve três desses critérios? Confidencialidade, integridade e disponibilidade Integridade, confidencialidade e responsabilidade Conformidade, efetividade e responsabilidade Eficiência, responsabilidade e atitude Responsabilidade, habilidade e atitude Gabarito Comentado 8. As questões abaixo, referentes aos objetivos de auditoria dos controles e processos de aquisição, desenvolvimento, manutenção e documentação de sistema aplicativos, devem
Compartilhar