UVA A2 Segurança e Auditoria de Sistemas

Prévia do material em texto

UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
 
1) A auditoria de contas hospitalares é um processo utilizado nas instituições de saúde, pois se 
trata de uma ferramenta controladora de custos. Os profissionais da enfermagem têm se 
envolvido nessa questão e trabalhado para contribuir de forma que o fluxo de documentos 
utilizados seja adequado, dos quais o principal são as anotações de enfermagem no prontuário 
do paciente. 
 
Santos MP, Rosa CDP. Auditoria de contas hospitalares: análise dos principais motivos de 
glosas em uma instituição privada. Rev Fac Ciênc Méd [Internet]. 2013 
 
Com vista na temática supracitada, analise as ações que são pertinentes à auditoria de contas 
hospitalares. 
 
I. Sistematizar a organização do faturamento enviado para os planos de saúde. 
II. Efetuar visitas de rotina a pacientes internados, cruzando as informações recebidas com as 
que constam no prontuário do paciente. 
III. Investigar a propriedade dos gastos e os processos de pagamentos. 
IV. Analisar as estatísticas, os indicadores hospitalares e os específicos da organização. 
V. Conferir os sistemas de faturamento das contas médicas e ainda elaborar processos de 
glosas contratuais e administrativas. 
 
É correto o que se afirma em 
Alternativas 
A) I e II, apenas. 
 
B) III e V, apenas. 
 
C) I, III, IV e V, apenas. 
 
D) I, II e V, apenas. 
 
E) III, IV e V, apenas. 
 
 
Gabarito: E (sem feedback) 
 
2) “Um fator que limita a auditoria, pelo menos na fase inicial, é a dificuldade de manter o 
departamento de auditoria separado e funcionalmente independente dos demais 
departamentos. Deve, entretanto, haver afinidade entre o Serviço de Enfermagem e o de 
Auditoria, para que os resultados correspondam ao objetivo”. 
KURCGANT, P. Auditoria em Enfermagem. Revista Brasileira de Enfermagem, 29(5):330-333, 
1977. 
 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
Considerando o texto acima, pode-se afirmar que são condições essenciais para o 
funcionamento da auditoria nos Serviços de Enfermagem 
 
(I) os Recursos Humanos. 
(II) a inexistência de estrutura e planejamento. 
(III) a inexistência de estrutura de recursos materiais. 
(IV) os recursos financeiros. 
(V) o mau entrosamento entre a equipe. 
 
Considerando os itens acima, é correto apenas o que se apresenta em 
Alternativas 
A) I e III. 
 
B) IV e V. 
 
C) I e IV. 
 
D) I e II. 
 
E) II e III. 
 
Gabarito: C (sem feedback) 
 
3) “Alguns fatos podem acontecer por falta de segurança adequada, como o furto 
de senhas e números de cartões de crédito, dados pessoais ou comerciais podem 
ser alterados, a conta de acesso à internet ou sistema operacional utilizados por 
pessoas não autorizadas e, por último, o computador pode até deixar de funcionar, 
por comprometimento e corrompimento de arquivos essenciais.” 
(Fonte: <http://seguranca-da-informacao.info/politicas-de-seguranca.html>. 
Acesso em: 30 out. 2018.) 
 
Existem diversas razões para que um terceiro queira invadir um sistema ou 
máquina. Identifique entre as razões listadas abaixo aquelas que remetem a isso e 
marque a alternativa que as apresenta: 
I. Utilização para fim de práticas ilegais. 
II. Utilização do computador de outros para promover ataques. 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
III. Destruição de informações. 
IV. Furto de números de cartões de crédito e senhas de banco. 
V. Furto de informações salvas nas máquinas. 
Alternativas 
A) I, II, III, IV e V. 
B) II, III, IV e V. 
C) I, II, III e V. 
D) I, III, IV e V. 
E) I, II, III e IV. 
 
Feedback: 
 
Resposta correta: 
A) I, II, III, IV e V. 
Utilização para fim de práticas ilegais. Correta. A utilização desse computador 
permitirá que vários usos indevidos sejam realizados. 
Utilização do computador de outros para promover ataques. Correta. Ele faz uma 
ponte, como se outro usuário fosse o invasor e o causador dos possíveis danos. 
Destruição de informações. Correta. Com acesso ao HD, o hacker pode destruir 
tudo ou parte dos conteúdos. 
Furto de números de cartões de crédito e senhas de banco. Correta. O hacker se 
utiliza dessas informações para furtar dinheiro. 
Furto de informações salvas nas máquinas. Correta. O usuário pode ter várias 
informações importantes tanto de cunho quanto profissional. 
 
 
 
 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
4) A efetivação da auditoria de enfermagem facilita a avaliação da assistência oferecida ao 
cliente, sendo que as anotações de enfermagem têm um papel fundamental e representam uma 
das fontes de dados de investigação na sua execução. Por isso, as anotações de enfermagem 
precisam estar dispostas de maneira clara, objetiva e coerente com a assistência prestada. 
 
Disponível em: <https://www.revistas.ufg.br/fen/article/viewFile/33258/17594> Acesso em: 
28/02/19 
 
Nesse contexto, sobre os tipos de auditoria, assinale a alternativa correta. 
Alternativas 
A) Auditoria operacional ou concorrente é aquela realizada enquanto o cliente recebe o serviço. 
 
B) A auditoria retrospectiva é realizada antes do cliente receber os serviços. 
 
C) A auditoria prospectiva ou auditoria prévia avalia os procedimentos depois de sua 
realização. 
 
D) Auditoria prospectiva e retrospectiva dizem respeito à situação do paciente. 
 
E) Auditoria prospectiva e retrospectiva são antônimas. 
 
Gabarito: E (sem feedback) 
 
5) Temos uma norma que estabelece diretrizes e princípios gerais para se iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma 
organização. Essa norma possui uma seção introdutória sobre o processo de 
avaliação e tratamento de riscos e está dividida em onze seções específicas, que 
são: política de segurança da informação; organização da segurança da 
informação; gestão de ativos; segurança em recursos humanos; segurança física e 
do ambiente; gestão das operações e comunicações; controle de acesso; 
aquisição, desenvolvimento e manutenção de sistemas de informação; gestão de 
incidentes de segurança da informação; gestão da continuidade do negócio, e 
conformidade. 
Indique qual norma está sendo abordada no texto. 
Alternativas 
A) ISO 27001. 
B) ISO 10011. 
C) ISO 9000. 
https://www.revistas.ufg.br/fen/article/viewFile/33258/17594
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
D) ISO 9001. 
E) ISO 9004. 
 
 
Feedback: 
 
Gabarito 
A) ISO 27001. Correto, pois estabelece diretrizes e princípios gerais para se iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma 
organização. Todo o seu processo de organização permite qe o trâmite executado 
no sistema garante toda a integridade e confidencialidade dos dados. 
Distratores 
ISO 9001. Errado, pois é uma norma de padronização para um determinado 
serviço ou produto. Esta norma faz parte do conjunto de normas 
designado ISO 9000 e pode ser implementada por organizações de qualquer 
tamanho, independentemente da sua área de atividade. 
ISO 9000. Errado, pois é ligada a sistemas de gestão da qualidade cujos princípios 
essenciais e vocabulário da norma ISO 9000 descrevem a base de um sistema de 
gerenciamento da qualidade e definem a terminologia global. 
 
ISO 9004. Errado, pois é ligada a sistemas de gestão da qualidade - Linhas 
diretivas para a melhoria do desempenho. Esta norma, prevista para uso interno e 
não com fins contratuais, versa principalmente sobre a melhoria contínua dos 
desempenhos. 
 
ISO 10011. Errado, pois pertence a linhas diretivas para a auditoria dos sistemas 
de gestão da qualidade e/ou de gestãoambiental. 
6) Os sistemas de informação que utilizamos no dia a dia são cenários vitais na maioria dos 
processos empresariais, sobretudo quando se precisa tomar uma decisão. Como esses recursos 
de TI são primordiais para o sucesso de uma empresa, é fundamental que os serviços fornecidos 
por esses sistemas possam operar efetivamente sem interrupção excessiva. Para tal, é preciso 
que o plano de contingência apoie essa exigência, estabelecendo planos, procedimentos e 
medidas técnicas que permitam que um sistema seja recuperado rápida e efetivamente após 
uma interrupção do serviço ou desastre. 
Diante do exposto, analise os itens a seguir: 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
I - Falhas no equipamento. 
II - Roubo. 
III - Cibercrime. 
IV - Impactos ambientais. 
V - Erro humano. 
São itens referentes a eventos que podem afetar a infraestrutura de TI em uma empresa: 
Alternativas 
A) I, II, IV e V. 
 
B) I, II, III, IV e V. 
C) II, IV e V. 
 
D) I, III, IV e V. 
 
E) II, III, IV e V. 
 
 
Feedback: 
 
Resposta correta: 
B) I, II, III, IV e V. 
Falhas no equipamento. Correta. Há vírus que danificam diretamente o hardware da empresa. 
Roubo. Correta. Roubar informações significa que a empresa está tendo suas informações 
sigilosas violadas. 
Cibercrime. Correta. Isso impacta na página da empresa, nas redes sociais da empresa e 
também no acesso a informações sigilosas. 
Impactos ambientais. Correta. A questão da sustentabilidade pode interferir nos processos de 
uma TI Verde. 
Erro humano. Correta. Quem faz boa parte da programação do ambiente de segurança da 
empresa é o próprio funcionário. 
 
7) “O processo auditoral exige pessoal devidamente credenciado com certas 
características de eficiência e desempenho. Isto supõe reestruturação no 
planejamento econômico, além da possibilidade de implementação de um outro 
setor de trabalho com área física independente”. PERRONE, O. Auditoria Médica. 
Rio de Janeiro, 1976. 
 
Considerando as informações do texto acima, pode-se afirmar que entre as 
dificuldades de ordem administrativa ligadas à auditoria está 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
Alternativas 
A) a facilidade na mensuração dos dados. 
B) o parâmetro não corresponde à realidade global. 
C) a existência de fatores imponderáveis. 
 
D) a existência de fatores ponderáveis. 
E) o valor referente a cada clínica e não a cada hospital. 
 
Gabarito: C (sem feedback) 
 
8) "Para que a cultura da empresa seja mudada em relação à segurança da 
informação, é fundamental que os funcionários estejam preparados para a 
mudança, por meio de avisos, palestras de conscientização, elaboração de guias 
rápidos de consulta e treinamento direcionado. (FREITAS E ARAUJO, 2008, P. 47). A 
política deve ser escrita de forma clara, não gerando qualquer dúvida entre os 
usuários. Todos os funcionários da organização, incluindo aqueles que são 
terciários e prestadores de serviço, deverão receber um treinamento adequado 
para que se adequem às mudanças. De acordo com a NBR ISSO IEC 27002 (2005), 
os usuários devem estar cientes das ameaças e das vulnerabilidades de segurança 
da informação e estejam equipados para apoiar a política de segurança da 
informação da organização durante a execução normal do trabalho." 
Fonte: Politica de Segurança da Informação: Definição, Importância, Elaboração e 
Implementação. Disponível em: 
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/> Acesso em 26 
de nov. de 2019. 
Com base no texto exposto, assinale o ponto do sistema de gestão de segurança 
da informação retratado: 
Alternativas 
A) Definição de Risco. 
B) Compreensão de ativos. 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
C) Implantação da política de segurança. 
D) Utilização da Segurança física. 
E) Preparação do Backup. 
 
Feedback: 
 
Resposta correta: C) Implantação da política de segurança. 
Correto, pois toda e qualquer empresa necessita que uma política de segurança 
seja implementada para garantir a segurança das informações. 
Distratores: 
Compreensão de ativos. 
Incorreto, pois deve-se formar um comitê de segurança da informação, 
constituído por profissionais de diversos departamentos, como informática, 
jurídico, engenharia, infraestrutura, recursos humanos e outro que for necessário. 
Utilização da Segurança física. 
Incorreto, pois o objetivo é prevenir o acesso físico não autorizado. Convém que 
sejam utilizados perímetros de segurança para proteger as áreas que contenham 
informações e instalações de processamento da informação, segundo a ISO/IEC 
27002:2005(2005). 
Preparação do Backup. 
Incorreto, pois a ISO/IEC 27002 (2005) recomenda que o backup dos sistemas seja 
armazenado em outro local, o mais longe possível do ambiente atual, como em 
outro prédio. É evidente que o procedimento de backup é um dos recursos mais 
efetivos para assegurar a continuidade das operações em caso de paralisação na 
ocorrência de um sinistro. 
Definição de Risco. 
Incorreto, pois com relação a segurança, os riscos são compreendidos como 
condições que criam ou aumentam o potencial de danos e perdas. É medido pela 
possibilidade de um evento vir a acontecer e produzir perdas. 
Fonte: Politica de Segurança da Informação: Definição, Importância, Elaboração e 
Implementação. Disponível em: 
<https://www.profissionaisti.com.br/2013/06/politica-de-seguranca-da-
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
informacao-definicao-importancia-elaboracao-e-implementacao/> Acesso em 26 
de nov. de 2019. 
 
9) "A fraude corporativa é um câncer que existe em praticamente todas as 
organizações. O percentual de organizações e a maneira como cada organização é 
afetada, variam de pesquisa para pesquisa, mas sempre os percentuais são altos. 
A Kroll Advisory, em recente trabalho indica que 74% das empresas latinas 
americanas são afetadas por fraudes corporativas. Mas, se sua organização é 
afetada pela fraude, este percentual pouco importa. Para você este percentual se 
torna 100%. Sua organização é o que existe de mais importante. 
Para ser efetiva no combate a fraude, é mandatório que a organização considere o 
processo de segurança da informação. Este processo é um elemento 
eficiente/eficaz em função dos controles que ele exige e quando bem gerenciado 
possibilita que organização minimize o risco de fraude." 
Fonte: Fontes, Edison. Segurança da Informação para a prevenção e combate de 
fraudes! Disponível em: 
<http://www.techoje.com.br/site/techoje/categoria/detalhe_artigo/1370> Acesso 
em 27 de nov. de 2019. 
Alguns controles do Processo de Segurança da Organização são de excelência 
crítica para o combate à fraude corporativa. Identifique as alternativas que 
caracterizam este controle: 
I - Identificação, autenticação e autorização do usuário. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. 
III - Gestão de recursos e dependência operacional. 
 
É correto o que se afirma em: 
Alternativas 
A) II, apenas. 
B) II e III, apenas. 
C) III, apenas. 
D) I, II e III. 
E) I, apenas. 
UNIVERSIDADE VEIGA DE ALMEIDA 
ANÁLISE E DESENVOLVIMENTO DE SISTEMAS – EAD 
Prova A2 de Segurança e Auditoria de Sistemas 
2024-1 
 
 
Feedback: 
Resposta: D) I, II e III. 
I - Identificação, autenticação e autorização do usuário. Correto, pois o usuário 
precisa ter identificação única, intransferível e válida apenas enquanto o usuário 
está ativo no ambiente da informação. 
II - Registro do que acontece no ambiente e gestão sobre estes registros. Correto, 
pois os acessos realizados pelo usuário devem serregistrados bem como as 
alterações realizadas nas informações. 
III - Gestão de recursos e dependência operacional. Correto, pois o Processo de 
Segurança da Informação exige que exista uma gestão de recursos e uma 
identificação de dependência. 
 
10) “A maior parte das empresas tem dúvidas exatamente sobre o que desejam 
contratar: não sabem se precisam de um plano de recuperação de desastres, de 
contingência operacional ou de continuidade de negócios. 
A confusão é comum e mais que normal, considerando-se que o mercado insiste 
em falar de contingência como sinônimo da solução, quando, na verdade, o 
conceito do dicionário é de que se trata do problema em si.” 
(Fonte: <https://blogsucessoempresarial.com/lano-de-contingencia-
continuidade-ou-recuperacao-de-desastres-o-que-e-mesmo-que-eu-preciso/>. 
Acesso em: 25 out. 2018.) 
 
Defina plano de recuperação de desastres. 
Expectativa da resposta: Plano de recuperação de desastres é a documentação formal de 
recuperação de ativos, normalmente aqueles que suportam as atividades (ou sistemas) críticos 
(exigidos para funcionamento) da organização. Essa criticidade é indicada pela análise do tempo 
de tolerância (por quanto tempo o ativo ou processo pode ser interrompido sem que acarrete 
perdas significativas para a organização) e pelo custo de parada.