SEGURANÇA E AUDITORIA DE SISTEMAS (prova n2)

Prévia do material em texto

PERGUNTA 1 
1. A Auditoria de Sistemas é um processo realizado por profissionais 
capacitados e consiste em revisar e avaliar controles para determinar se um 
sistema suporta adequadamente um ativo de negócio e atinge os objetivos 
esperados, mantendo a integridade dos dados, utilizando eficientemente os 
recursos e cumprindo as regulamentações e leis estabelecidas. As principais 
técnicas utilizadas são entrevistas, análise documental e observação direta. Outras 
técnicas comumente utilizadas são os testes de sistema e análises de código-fonte 
(programas). 
 
 TCU. Auditoria de 
Sistemas. 2018. 
A partir do conceito de auditoria de sistemas, cite CINCO benefícios de sua 
aplicação. JUSTIFIQUE suas respostas, sendo uma justificativa para cada 
benefício. 
RESPOSTA: 
1- Cria uma base sólida para a empresa e a torna mais competitiva 
1- Diminuição de possíveis falhas e fraudes, e melhoria nos sistemas, sabendo que hoje 
em dia é cada vez mais importante manter a integridade dos dados nas empresas. 
2- Certifica que os sistemas estão seguindo a legislação e outras normas de qualidade, 
minimizando problemas judiciais que poderiam ocorrer 
3- A confiabilidade dos sistemas de informação também são de extrema importância. 
Saber que eles estão seguindo os padrões desejados pela empresa dá mais 
estabilidade para enfrentar eventuais adversidades. 
5- Uma empresa com auditoria também é bem vista no mercado, se você pensa em 
investir ou adquirir investidores, a auditoria provavelmente será um dos pontos chaves 
para conseguir esses financiamentos e investidores. 
PERGUNTA 2 
1. Um sistema seguro é aquele que fornece informações íntegras somente a usuários 
autenticados e autorizados, no momento em que elas são solicitadas através de 
requisições válidas e identificadas, não permitindo que estas informações sejam 
recebidas e identificadas ou alteradas por terceiros não autorizados. 
Do ponto de vista da segurança, os sistemas operacionais possuem três objetivos 
gerais, que são: 
 
 a. Autenticidade, Integridade e Disponibilidade. 
 b. Autenticidade, Autorização e Disponibilidade. 
 c. Autenticidade, Integridade e Privacidade. 
 d. Confidencialidade, Integridade e Disponibilidade. 
 e. Confidencialidade, Autenticidade e Disponibilidade 
 
TEXTO I 
A matriz de Planejamento é um conjunto de questões de auditoria 
classificadas por tópico (Ex. Gestão de Tecnologia da Informação). Uma vez 
importada as questões para a matriz de planejamento o usuário informará a 
ordem de serviço, o objeto, o objetivo da auditoria, a metodologia, as fontes 
de informações, as limitações e o resultado da análise. 
TJCE. Manter Matriz de Planejamento. 2018. Disponível em: 
www. portaladmin.tjce.jus.br/. Acesso em: 25 abr. 2021. 
TEXTO II 
A Matriz de Planejamento é o documento que orienta o desenvolvimento dos 
trabalhos de auditoria com base nos principais riscos identificados, utilizada 
não apenas como um roteiro detalhado dos procedimentos que serão 
efetivados pelos auditores e servidores responsáveis pela auditoria, mas 
também, como uma etapa de pesquisa e estudo dos assuntos a serem 
abordados em cada auditoria. 
CGM. Matriz de Planejamento. 2021. Disponível 
em: www.controladoria.niteroi.rj.gov.br/. Acesso em: 22 abr. 2021. 
Tendo em vista os textos e nosso conhecimento acerca da matriz de 
planejamento, assinale a alternativa incorreta. 
 
 a. 
Matriz de Planejamento é uma ferramenta cujo objetivo é delinear as 
informações relevantes de um trabalho de auditoria, que servirão de base 
para sua execução e para o detalhamento do escopo. 
 b. 
A Matriz de Planejamento é o papel de trabalho em que são registrados os 
passos e procedimentos a serem realizados na fase de execução para que o 
objetivo da auditoria seja alcançado. 
 c. 
A Matriz de Planejamento, por integrar a fase de planejamento de uma 
auditoria, é um documento imutável, não podendo ser adaptada no curso da 
fase de execução para melhor adequar-se à realidade encontrada pelos 
servidores responsáveis pela sua aplicação. 
 d. 
A Matriz de Planejamento é uma fase importante para a auditoria de 
sistemas. 
 e. 
A Matriz de Planejamento amplia a possibilidade de alcançar bons 
resultados com o trabalho. 
1. (ENADE, 2008) O código de ética da Organização Internacional de Instituições 
Supremas de Auditoria (INTOSAI) define como valores e princípios básicos da 
atuação da auditoria a independência, a objetividade, a imparcialidade, o segredo 
profissional e a competência. Ao iniciar um trabalho de auditoria sem definir 
claramente a finalidade da auditoria e o modelo de conformidade no qual a 
auditoria se apoia, qual valor ou princípio um auditor estaria primariamente 
falhando em atender? 
 
 a. Independência 
 b. Competência 
 c. Imparcialidade 
 d. Segredo profissional 
 e. Objetividade 
PERGUNTA 5 
1. Sabemos que a auditoria de sistemas está calcada em 
confiança e em controles internos. Tem como objetivo analisar se as 
operações e processos de determinada organização estão em 
conformidade com as diretrizes e visam confirmar se os controles 
internos foram implementados e se existem, e, caso afirmativo, se 
são efetivos. 
Mediante o que já conhecemos, qual o objetivo de uma auditoria de 
sistemas? 
RESPOSTA 
A Auditoria de Sistemas tem como objetivo analisar se as operações da área de 
TI estão em conformidade com objetivos, políticas institucionais, orçamentos, regras, 
normas, padrões e melhores práticas da empresa. 
A Auditoria de Sistemas engloba o exame das operações, processos, sistemas 
e responsabilidades de uma das áreas mais críticas e dispendiosas das empresas. 
Verifica o retorno dos investimentos em Tecnologia da Informação. Exerce uma função 
preventiva e saneadora ao confirmar a veracidade e integridade dos registros e a 
confiabilidade das informações. 
Através da Auditoria de Sistemas, a empresa promove transparência na 
governança de Tecnologia da Informação, permite o controle de gastos e identifica a 
adoção de ferramentas e sistemas mais adequados. Garante melhores controles 
internos e uma análise mais apurada dos riscos em TI. 
PERGUNTA 6 
1. De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve 
programar auditorias internas a fim de verificar a aderência da conformidade do 
sistema de gestão da segurança da informação aos seus requisitos e à legislação 
vigente. 
Sobre a realização da auditoria interna, é correto afirmar que: 
 
 a. 
Os auditores não devem conhecer e considerar os resultados das 
auditorias anteriores para não influenciarem o trabalho de 
verificação 
 b. 
Os critérios de verificação devem ser sempre os mesmos, 
independentemente do escopo ou do processo da organização 
a ser auditado. 
 
 c. 
Os resultados das auditorias devem ser de conhecimento da 
direção responsável pelo setor auditado 
 d. 
Os relatórios das auditorias podem ser descartados na ausência 
de inconformidades. 
 e. 
Os auditores devem ser do próprio setor auditado a fim de 
possibilitar o aproveitamento de seu conhecimento acerca das 
atividades desenvolvidas 
 
 
PERGUNTA 7 
1. Você foi contratado pela empresa GTI_Seg, para tentar avaliar 
uma problemática que ocorreu no sistema deles, que é uma rede 
social em que há o upload de vídeos e fotos. 
O problema identificado foi: O sistema não está conseguindo 
armazenar vídeos com mais de 10 segundos de duração. 
Agora, crie sua matriz de planejamento, identificando: 
Nº: 
Questões de Auditoria: Inf. Requeridas e Fontes: Possíveis Achados: 
RESPOSTA: 
Questões de Auditoria: 
- Se tem alguma formatação que esteja causando esse problema? 
- Qual está sendo o remetente do envio? 
 
Inf. Requeridas e Fontes 
- Problemas com o envio em certo horário 
- Vídeos muito grande 
 
Possíveis Achados: 
- Existe uma formatação de vídeo que causa esse problema 
- Grande quantidadede informações que são recebias ao mesmo tempo 
PERGUNTA 8 
1. Um plano de contingência é um meio de garantir que a empresa possa agir com 
rapidez e segurança para evitar riscos, reduzir danos e recuperar o máximo de 
dados possível caso enfrente algum problema. Assim sendo, um plano de 
contingência de TI é um documento elaborado com base na análise dos riscos aos 
quais a empresa está sujeito, considerando os recursos disponíveis para a definição 
das melhores maneiras de lidar com possíveis problemas como falhas técnicas, 
invasões, falta de energia e outros. 
LIMA, Presleyson. Você sabe o que é um Plano de 
Contingência de TI? Entenda e evite prejuízos!. 2017. 
Disponível em: www.administradores.com.br. Acesso em: 07 
mai. 2021. 
Analisando o texto, compreendemos que o plano é, um entre vários requisitos de 
segurança, necessário para que os aspectos de integridade e disponibilidade 
sejam preservados durante todo o tempo. Agora responda, acerca do plano de 
contingência 
 a. 
Um programa destinado a manter o ambiente de informações 
da organização totalmente seguro contra qualquer ameaça a 
sua integridade e sobrevivência. 
 b. 
Um programa de caráter preventivo, que tem a finalidade de atender 
determinado evento inesperado, apontando as ações e as 
responsabilidades para o enfrentamento do evento. 
 c. 
Um programa destinado ao desenvolvimento de sistemas de 
informações gerenciais de suporte a decisões contingenciais. 
 d. 
Um programa de identificação de perdas decorrentes de ameaças à 
integridade das informações. 
 e. 
Um programa para o sistema, gerado de forma a evitar que hajam 
eventuais falhas no seu funcionamento ou nos equipamentos. 
PERGUNTA 9 
1. A Auditoria de Sistemas é um processo realizado por profissionais capacitados e 
consiste em revisar e avaliar controles para determinar se um sistema suporta 
adequadamente um ativo de negócio e atinge os objetivos esperados, mantendo a 
integridade dos dados, utilizando eficientemente os recursos e cumprindo as 
regulamentações e leis estabelecidas. As principais técnicas utilizadas são 
entrevistas, análise documental e observação direta. Outras técnicas comumente 
utilizadas são os testes de sistema e análises de código-fonte (programas). 
TCU. Auditoria de Sistemas. 
2018. 
A partir do conceito de auditoria de sistemas, avalie as asserções a seguir e a relação 
proposta entre elas. 
I. Na auditoria de sistemas, é necessário ter conhecimento das regras do negócio 
suportado pelo sistema e também da legislação relacionada. 
PORQUE 
II. O foco da Auditoria de Sistemas é a avaliação das funcionalidades de um sistema, 
levando a uma diversidade de situações, pois cada sistema implementa 
funcionalidades específicas do negócio para o qual foi desenvolvido. 
A respeito dessas asserções, assinale a opção correta. 
 
 a. 
A asserção I é uma proposição falsa, e a II é uma proposição 
verdadeira. 
 b. 
As asserções I e II são proposições verdadeiras, e a II é uma 
justificativa correta da I. 
 c. As asserções I e II são proposições falsas. 
 d. 
A asserção I é uma proposição verdadeira, e a II é uma 
proposição falsa. 
 e. 
As asserções I e II são proposições verdadeiras, mas a II não é 
uma justificativa correta da I. 
PERGUNTA 10 
1. Resumindo, a computação em nuvem é o fornecimento de serviços de 
computação, incluindo servidores, armazenamento, bancos de dados, rede, 
software, análise e inteligência, pela Internet (“a nuvem”) para oferecer inovações 
mais rápidas, recursos flexíveis e economias de escala. Você normalmente paga 
apenas pelos serviços de nuvem que usa, ajudando a reduzir os custos 
operacionais, a executar sua infraestrutura com mais eficiência e a escalonar 
conforme as necessidades da sua empresa mudam. 
O tipo de rede onde é possível armazenar dados sigilosos por meio do sistema 
local e pela nuvem, é chamado de 
 
 a. Rede alternada. 
 b. 
Rede privada. 
 
 
 c. Rede pública. 
 d. Nenhuma das alternativas. 
 e. Rede híbrida.