Auditoria de sistemas

Prévia do material em texto

Auditoria de sistemas Professor(a): Priscilla Labanca (Mestrado acadêmico) Prepare-se! Chegou a hora de você testar o conhecimento adquirido nesta disciplina. A Avaliação Virtual (AV) é composta por questões objetivas e corresponde a 100% da média final. Você tem até cinco tentativas para "Enviar" as questões, que são automaticamente corrigidas. Você pode responder as questões consultando o material de estudos, mas lembre-se de cumprir o prazo estabelecido. Boa prova! 1) processamento de informações é cada vez mais essencial para a consecução dos objetivos de negócios das empresas, e a indisponibilidade dos serviços pode comprometer seriamente a viabilidade das organizações. Esta continuidade possui um plano gestor que também é conhecido por: Alternativas: Plano de processos, procedimentos e atividades. Gestão de continuidade e recuperação de desastres. CORRETO Plano de continuidade de falhas e desastres. Plano de continuidade de negócios. Plano de auditoria de sistemas de Resolução comentada: o plano gestor, que também é conhecido por gestão de continuidade e recuperação de desastres, ou simplesmente gestão de continuidade, deve ser previsto e obrigatoriamente inserido no plano de continuidade de negócios (ou plano de recuperação de desastres), com o processamento de informações sendo visto como um recurso crítico, mas não o único, para a sobrevivência contínua da organização. Nesse aspecto, gestão de continuidade pode ser vista como uma solução parcialmente técnica para um problema de negócios. Código da questão: 57649 2) processo de auditoria de sistemas de é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são: Alternativas: Auditoria no computador, auditoria ao redor do computador e pós-auditoria. Pré-auditoria, auditoria e pós-auditoria. CORRETO Planejamento, auditoria e conclusão. Auditoria e pós-auditoria. Pré-auditoria, abordagem ao redor do computador, auditoria e pós-auditoria. Resolução comentada: o processo de auditoria de sistemas de é composto por um modelo denominado modelo de processo de auditoria de sistemas, que é formado por um ciclo, denominado ciclo de auditoria, em que suas fases são pré-auditoria, auditoria e pós-auditoria. Cada qual possui processos, procedimentos, atividades e responsabilidades a serem executados. Código da questão: 57643 3) Os controles internos versam a segurança física e lógica, a a obediência às e a eficácia e a eficiência. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Assegurar; confidencialidade; legislações - normas administrativas. CORRETO Configurar; qualidade; missões; normas administrativas. Confidencialidade; legislações; normas administrativas; aos requisitos. segurança; clareza; coesão. Assegurar; qualidade; missões; ética. Resolução comentada:os controles internos versam assegurar a segurança física e lógica, a confidencialidade, a obediência às legislações e normas administrativas, a eficácia e a eficiência. Exemplos de pontos de controle internos que o auditor de sistemas de TI verifica neste tipo de auditoria são: metodologia de desenvolvimento de sistema adotada no projeto, especificação do sistema, questões que envolvem a administração do projeto, homologação do sistema etc. Código da questão: 57638 4) Sobre o perfil do auditor de sistemas de TI, podemos afirmar que: I. objetivo do auditor é verificar se os processos, procedimentos e atividades estão sendo executadas de acordo com as normas, missões, objetivos da empresa e as legislações às quais a empresa é submetida. Para isso, o auditor deverá ser discreto e imparcial quando conversar com os colaboradores, pois se houver alguma suspeita de que algum esteja desviando-se daquilo que a empresa preza, ele fará de tudo para que esta suspeita não se torne uma certeza. II. auditor de sistemas de TI não precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar, pois as conversas que ele terá com todos os envolvidos para coletar informações não exigirá tantas estratégias para conseguir atingir seu objetivo. III. auditor de sistemas de não precisa identificar os pontos de falha e pontuá-los de maneira assertiva, pois somente os conhecimentos prévios que ele possui já bastam para que ele desempenhe seu papel. IV. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. ambiguidades são muito malquistas, tanto na escrita quanto na fala. V. auditor de sistemas de TI lidará com informações sigilosas, logo, ele precisa agir com ética. São verdadeiras: Alternativas: II III. IV V. IV V. CORRETO Resolução comentada: a afirmação é verdadeira, pois discrição e parcialidade são requisitos imprescindíveis ao cargo, uma vez que entrevistará colaboradores e relatará os resultados dessas conversas no relatório final; a IV é verdadeira, pois o auditor de sistemas de deve saber muito bem ler, escrever e interpretar. Um texto mal escrito, por exemplo, dá a impressão de relaxo e falta de comprometimento com o trabalho para o qual foi contratado. A afirmação V é verdadeira, pois auditor de sistemas de precisa ser ético, no sentido de possuir zelo profissional, pois ele trabalhará com dados sigilosos. A II está errada, pois o auditor de sistemas de precisa saber expressar com objetividade e raciocínio lógico aquilo que deseja analisar e verificar. Neste ponto, é preciso saber equilibrar estas habilidades com as demais que compõem seu perfil; isso significa que ele precisa ser objetivo e possuir raciocínio lógico. A afirmativa III é falsa, pois o auditor de sistemas de TI deve possuir sólidos conhecimentos em todas as fases do ciclo de desenvolvimento de sistemas, de forma que poderá identificar os pontos de falha e pontuá-los de maneira assertiva. Código da questão: 57634 5) Para qualquer projeto, o gerenciamento de mudanças organizacionais e de processos, geralmente, é o elemento mais importante a ser gerenciado e, de fato, pode representar o maior risco para um sistema. Os cenários mais complexos incluem a alteração de um processo de negócios e os sistemas de informações relacionados. Bons processos de governança de gerenciamento de projetos permitem gerenciamentos eficazes de mudanças. Acerca dos pontos de controles internos da auditoria de manutenção de sistemas, considere as seguintes afirmações e classifique-as em verdadeiras (V) ou falsas (F): Um dos aspectos mais críticos do processo de gerenciamento de mudanças no sistema, é gerenciar a comunicação em um sentido amplo. Os auditores de sistemas de não precisam preocupar-se sobre a dissolução da equipe do projeto de manutenção do sistema, pois isso não é alvo de preocupação, uma vez que não gerará pontos de controle. Exemplos de pontos de controle internos que podem ser avaliados após a realização das mudanças no sistema: relatórios de demonstrativos financeiros, gestão de inventário e atos regulatórios como a Lei Sarbanes-Oxley. Finalizados os trabalhos deste tipo de auditoria, os auditores de sistemas de devem apenas documentar os impactos das mudanças no sistema, não realizando qualquer tipo de recomendação para auxiliar na melhoria de seus processos de qualidade de manutenção e desenvolvimento Os auditores de sistemas de podem executar uma variedade de análises diferentes, dependendo do risco do projeto de manutenção do sistema e das necessidades da organização. Assinale a alternativa que contenha a sequência correta: Alternativas:CORRETO V-F-V-F-F Resolução comentada: a primeira assertiva está correta, pois um dos aspectos mais críticos do processo de gerenciamento de mudanças no sistema é gerenciar a comunicação em um sentido amplo, iniciando com a obtenção de participação de todas as partes interessadas, apresentando os benefícios e/ou razões para a realização da mudança. Reunindo-se com todos aqueles que fazem parte da mudança do sistema, é possível deparar-se com algumas questões, por exemplo, quais processos serão impactados pela mudança no sistema e que impacto as alterações terão sobre fornecedores ou clientes? Perguntas como estas devem ser consideradas tanto no planejamento da mudança quanto na lista de possíveis pontos de controles internos do auditor de sistemas de A terceira assertiva é verdadeira, pois outros aspectos que podem ser avaliados após a realização das mudanças no sistema são relatórios de demonstrativos financeiros, gestão de inventário, atos regulatórios, como a Lei Sarbanes-Oxley, geração de receita e principais transformações comerciais ou de que afetam dados financeiros ou sistemas que produzem dados financeiros na empresa. A quinta assertiva está correta, pois quando os auditores de sistemas de encontram problemas, suas recomendações, geralmente, incluem a adição de controles automatizados ou alterações no sistema. Para realizar este tipo de auditoria, os auditores de sistemas de Tl podem executar uma variedade de análises diferentes, dependendo do risco do projeto de manutenção do sistema e das necessidades da organização. Os tipos mais comuns de auditorias ou avaliações relacionadas ao projeto de manutenção de sistemas a serem consideradas são: avaliação de risco do projeto de manutenção (avaliar a probabilidade de sucesso), revisão pós-implementação das mudanças e avaliação geral da metodologia de gerenciamento de projetos sob o plano de gerência de mudanças. A segunda e a quarta assertivas estão incorretas, pois é importante que os auditores de de tenham consciência de que a equipe do projeto de manutenção do sistema se dissolverá e identifiquem quem assumirá a documentação do projeto do sistema e gerenciará a transição para uma fase normal de manutenção ou melhoria contínua. Já a quarta assertiva está incorreta, pois uma vez finalizados os trabalhos deste tipo de auditoria, a conclusão à qual os auditores de devem chegar e documentar são que as mudanças no sistema sejam observadas como oportunidades para explorar suas principais competências em novas áreas, enquanto ajudam a garantir o gerenciamento eficaz de riscos, a contenção de custos e o sucesso organizacional dos projetos. Código da questão: 57639 6) A atividade de auditoria dos controles de banco de dados objetiva monitorar e registrar ações de banco de dados para garantir a segurança destes. Ao executar uma atividade de auditoria para verificar possível ocorrência de phishing, Alternativas: Realizar o data exfiltration. Verificar a cadeia da engenharia social. CORRETO Verificar o servidor de temporaneidade. Verificar rotinas de backup. Realizar consultas NoSQL no banco de dados. Resolução comentada: phishing é um método de fraude no qual o autor envia e-mails de aparência legítima. Os sites frequentemente fraudados por phishers incluem PayPal, eBay, MSN, Yahoo e Best Buy, por exemplo. Uma das causas deste problema é a comunicação inocente/não interpessoal, ou seja, a cadeia gerada pela engenharia social. Código da questão: 57656 7) Acerca dos pontos de controles internos da auditoria dos controles de banco de dados, complete as lacunas a seguir: Na análise de modelagem do banco de dados, são verificadas questões de consistências, normalizações, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, nomes, tipos e tamanhos de atributos, nomes de e triggers. Assinale a alternativa que completa adequadamente as lacunas: Alternativas: Cardinalidades; procedures; tipo de dados. Integridade referencial; cardinalidades; procedures. CORRETO Tipos de tabelas; cardinalidades; procedures.Integridade referencial; cardinalidades; views. Cardinalidades; procedures; tipo de tabelas. Resolução comentada: no ponto de controle interno análise de modelagem do banco de dados, são verificadas questões de integridade referencial, consistências, normalizações, cardinalidades, opcionalidades, nomenclatura de definição das tabelas, nomes de relacionamentos, tipos e tamanhos de atributos, nomes de procedures e triggers. Código da questão: 57652 8) Segundo Isaca (2017), as vulnerabilidades podem ser definidas como "fragilidades presentes ou associadas a ativos que manipulam e/ou processam informações, que podem ser exploradas por ameaças, permitem a ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: caráter confidencial, integridade e As vulnerabilidades de são aquelas em que é possível observar se as condições estão adequadas (boa conservação) e se são produzidos erros durante a de sistemas em geral devido às condições do Refletindo sobre a definição de vulnerabilidades, assinale a alternativa que completa adequadamente as lacunas: Alternativas: Software; lógicas; publicação; hardware. Hardware; físicas; instalação; hardware. CORRETO Redes sociais; físicas; disponibilização; hardware. Recursos humanos; físicas; instalação; software. Mídias; lógicas; instalação; hardware. Resolução comentada: as vulnerabilidades de hardware são aquelas em que é possível observar se as condições físicas (HD e insumos de redes de computadores) estão adequadas (boa conservação, instalação dos equipamentos de maneira adequada cabos não descascados, por exemplo, etc.) e se são produzidos erros durante a instalação de sistemas em geral devido às condições do hardware. Código da questão: 57631 9) Acerca da definição de auditoria do desenvolvimento de sistemas de TI, pode-se defini-la como: Alternativas: É aquela que tem como objetivo revisar e avaliar o processo de construção de sistemas de informação, desde o levantamento e estudo de viabilidade do sistema a ser computadorizado até seu teste de implantação. CORRETO É aquela em que é verificado se o sistema fornecerá um conjunto de telas para que o usuário tenha acesso aos documentos armazenados no repositório de documentos. São as normas e diretrizes de uma empresa ou de um determinado setor/departamento/seção da empresa que são verificadas e comparadas aos sistemas de informações existentes em sua totalidade. É uma atividade que analisa cuidadosamente os requisitos para que não haja conflito entre eles. É um conjunto de atividades em que é verificado tudo aquilo que é preciso para que o sistema seja executado de maneira adequada. Resolução comentada: na literatura, é possível observar uma quantidade considerável de definições a respeito da auditoria do desenvolvimento de sistemas de TI, dentre elas está a definição de Aslam (2019), por exprimir de maneira mais clara e didática este tipo de auditoria. Código da questão: 57637 10) A natureza e a sensibilidade dos dados armazenados em bancos de dados nas empresas influencia os critérios usados para auditá-los, principalmente no que diz respeito ao exame de controles de segurança ou privacidade, como a criptografia de dados, o controle de acesso, o backup e a recuperação de dados. Sobre os objetivos da auditoria dos controles de banco de dados, assinale a alternativa correta. Alternativas: Identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades incomuns, etc.Proteger os dados ou informações contra modificações intencionais ou acidentais não autorizadas. Estabelecer quais itens devem ser revisados, de acordo com as necessidades da companhia, para garantir a segurança do sistema. Compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que o utilizam e relacioná-la com os objetivos/estratégias da empresa. CORRETO Observar, identificar, analisar os pontos de controles internos candidatos às vulnerabilidades. Resolução comentada: a auditoria dos controles de banco de dados objetiva compreender a modelagem do banco de dados em todos os seus níveis, os sistemas que o utilizam e relacioná-la com os objetivos/estratégias da empresa. Neste tipo de auditoria, são identificadas eventuais discrepâncias, anomalias, violações de segurança, atividades incomuns, etc. Todos estes exemplos podem ser bem compreendidos como vulnerabilidade e, consequentemente, pontos de controles internos a serem observados, identificados, analisados, coletados e documentados. Código da questão: 57651 Arquivos e Links