Prova de Segurança e Auditoria de Sistemas

Prévia do material em texto

Prova de Segurança e Auditoria de Sistemas - Objetiva - Tentativa 1 de 3
Questão 1 de 10
Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que:
A - A auditoria deve ser baseada na norma NBR ISO/IEC 27001:2013.
B - A auditoria deve ser realizada pelo agente (gestor do patrimônio do principal).
C - A auditoria deve ser realizada por pessoas com independência em relação ao seu objeto, de modo a assegurar imparcialidade no julgamento.
D - A auditoria deve ser realizada por pessoas que tenham profundo conhecimento das regras de negócio, de modo a assegurar a fidelidade no julgamento.
E - A auditoria deve ser realizada somente por órgãos governamentais, como o TCU.
Questõeslist
Questão 2 de 10
As diferentes abordagens de auditoria de sistemas de informação possuem, em geral, 3 fases. Assinale a alternativa que apresenta estas fases:
A - Entrevistas, Planejamento, Execução.
B - Execução, Conclusão, Revisão.
C - Planejamento, Conclusão, Revisão.
D - Planejamento, Entrevistas, Revisão.
E - Planejamento, Execução, Conclusão.
Questão 3 de 10
Quanto à conceitos complementares relacionados a auditoria de sistemas de informação, o exame independente e objetivo afirma que:
A - IEEE.
B - INMETRO
C - INTOSAI
D - ISSO
E - TCU
Questão 4 de 10
Quanto ao perfil do auditor de sistemas de informação, NÃO é correto afirmar que:
A - A ISACA mantém um código de ética, o qual serve como um balizador para as ações do auditor. Para associados que desrespeitam a este código, as ações podem resultar em investigação e medidas disciplinares.
B - Deve efetuar uma avaliação equilibrada de todas as circunstâncias relevantes e não indevidamente influenciados pelos interesses próprios ou de terceiros.
C - O auditor de sistemas de informação, durante a execução do seu trabalho, não terá acesso a informações sigilosas sobre a empresa, portanto não é necessário zelo excessivo com a confidencialidade.
D - O auditor deve servir aos interesses do contratante e partes envolvidas de uma maneira objetiva e condizente com a legislação vigente.
E - Um auditor deve ter a integridade como característica.
Questão 5 de 10
O IT Assurance Guide é um guia focado na avaliação dos controles internos de TI descritos no COBIT, e pode ser traduzido como Guia de Auditoria de TI. Assinale a alternativa que apresenta o órgão responsável por este guia:
A - INMETRO.
B - INTOSAI
C - ISACA
D - ISSO
E - TCU
Questão 6 de 10
A norma ISO que apresenta um guia para auditoria de sistemas de gestão é a norma:
A - ISO 19011
B - ISO 27001
C - ISO 27002
D - ISO 9001
E - ISO 9002
Questão 7 de 10
A auditoria de sistemas de informação torna-se uma atividade importante e necessária ao proprietário que delega um patrimônio para ser gerido por um terceiro. Assinale a alternativa que apresenta o conceito de auditoria:
A - É o processo de assegurar se o desenvolvimento, implantação e manutenção de sistemas atingem os objetivos de negócio, segurança dos itens de informação e mantem a integridade dos dados.
B - É o processo que implementa a teoria da agência.
C - É o processo que verifica somente informações da área contábil.
D - É o processo que visa implementar os controles contidos no COBIT, entre eles confidencialidade, integridade e disponibilidade.
E - É o um instrumento de governança com o intuito de verificar se os interesses do agente (gestor do patrimônio do proprietário) estão sendo atendidos.
Questão 8 de 10
Uma das principais associações que auxiliam os profissionais auditores de sistemas de informação, responsável pela certificação CISA (Certified Information Systems Auditor) é a:
A - ACL
B - COBIT
C - INMETRO
D - ISACA
E - ISSO
Questão 9 de 10
Faça a devida correlação entre as fases de um projeto ACL:
1.Planejar o projeto
2.Adquirir os dados
3.Acessar os dados com o ACL
4.Verificar a integridade dos dados
5.Analisar os dados
6.Reportar os achados
I - Assegurar-se de que os dados não contenham elementos corrompidos.
II - Identificar o objetivo em termos comerciais e técnicos.
III - Preparar os resultados para apresentação formal.
IV - Obter acesso físico e lógico identificando a localização e o formato dos dados de origem necessários.
V - Interrogar e manipular os dados para identificar exceções.
VI - Adicionar dados ao projeto como tabelas, que definem como a ACL lê os dados de origem.
A - I – 1, II – 4, III – 2, IV – 6, V – 5, VI - 3
B - I – 3, II – 2, III – 6, IV – 1, V – 5, VI – 4
C - I – 4, II – 1, III – 6, IV – 2, V – 5, VI – 3
D - I – 4, II – 2, III – 3, IV – 1, V – 5, VI – 6
E - I – 5, II – 1, III –3, IV – 2, V – 4, VI – 6
Questão 10 de 10
Quanto às melhores práticas para auditoria de sistemas de informação, analise as sentenças abaixo:
I- Existe um único padrão mundial que deve ser seguido pelos auditores de sistemas de informação, descrito nas normas da família ISO 27000.
II- A reunião de abertura com a alta administração é muito importante. Ela define o tom para toda a auditoria e fornece a oportunidade de estabelecer o ambiente adequado para começar a construir relações de trabalho eficazes.
III- As entrevistas são uma parte fundamental do processo de auditoria. Existem dois tipos de entrevista: diretivas e não-diretivas.
Está correto o que consta em:
A - I e II, somente.
B - I, somente.
C - I,II,III.
D - II e III, somente.
E - III, somente.
Questão 11
As Normas de Auditoria e Garantia dos Sistemas de Informação (SI) e as Diretrizes de Auditoria e Garantia de SI, são publicadas pela organização denominada:
A - IEEE.
B - INMETRO.
C - INTOSAI.
D - ISACA.
E - ISO.
Questão 12
O Ciclo de Auditoria Operacional (ANOp) é uma abordagem para avaliação com foco na gestão pública. Assinale a alternativa que apresenta o órgão responsável por este guia:
A - IEEE.
B - INMETRO
C - INTOSAI
D - ISSO
E - TCU
Questão 13
Quanto à ferramenta IDEA (Interactive Data Extraction & Analisys) para auditoria de sistemas de informação, assinale a alternativa INCORRETA:
A - A ferramenta oferece a capacidade de importar quantidades massivas de dados de fontes diversas, incluindo sistemas ERP, planilhas, mainframes com sistemas legados, arquivos impressos, entre outros.
B - O IDEA permite criar dois tipos de projetos de área de trabalho local: Gerenciado e Externo.
C - O software IDEA inclui uma ferramenta de desenvolvimento conhecida como IDEAScript para criar macros a fim de estender a funcionalidade do IDEA.
D - O software usa projetos para organizar os arquivos a serem auditados.
E - Trata-se de uma ferramenta específica de auditoria de SI, ou seja, desenvolvida especificamente para execução de uma tarefa determinada.
Questão 14
Em um relatório de auditoria de sistemas de informação, a seção de metodologia de auditoria:
A - Descreve o tipo de auditoria e o que está a ser auditado.
B - Fornece uma conclusão geral.
C - Fornece uma explicação de alto nível sobre como a auditoria foi realizada para cada objetivo.
D - Fornece uma explicação detalhada dos resultados da auditoria.
E - Identifica os itens a serem avaliados pela auditoria.
Questão 1 de 10
Sobre política de backup é correto afirmar:
A - A guarda de backup em local físico diferente da sede de uma organização não é recomendada, visto a dificuldade de recuperação em caso de desastre.
B - Backup em discos são mais seguros do que backup em fitas.
C - Backups completos devem ser realizados diariamente.
D - De um modo geral as políticas de backup consistem em capturar um backup completo inicial de dados em disco e/ou fita, seguido de uma série de backups diários incrementais ou diferenciais.
E - Somente dados críticos necessitam de backup.
Questão 2 de 10
Quanto às categorias de malwares, analise as sentenças abaixo:
I. Vírus é um programa que se autorreplica após alguma ação do usuário.
II. Worm é um programa que se autorreplica sem a necessidade de ação do usuário.
III. Ransomware é um malware menos perigoso, pois sua função é exibir publicidade ao usuário.
IV. Spyware é um malware que monitora o equipamento do usuário e efetuacoleta de informações do mesmo.
 Está correto o que consta em:
A -
I e II, apenas.
B -
I e IV, apenas.
C -
I,II e IV, apenas.
D -
I,II,III,IV.
E -
IV, apenas.
Questão 3 de 10
Quanto à segurança no tratamento de mídias, é correto afirmar:
A - Não existem normas que tratam do descarte de mídias de forma segura.
B - O descarte correto de mídias é minuciosamente tratado na norma ISO 31000.
C - Quanto menor o nível de classificação da informação, maior deverá ser a garantia de que as informações não podem ser recuperadas após a eliminação.
D - Sempre que uma mídia de armazenamento seja descartada, deve-se considerar o uso de procedimentos para assegurar a eliminação adequada da informação.
E - Uma das boas práticas, no caso de mídias ópticas, é a utilização de ferramentas de formatação de baixo nível.
Questão 4 de 10
Sobre autenticação de fator múltiplo, analise as sentenças abaixo:
I O fator de conhecimento inclui algo que o usuário sabe, como por exemplo, uma senha.
II O fator de herança inclui algo que o usuário possui, como um token.
III O PIN é um fator de posse.
IV A biometria é um fator de herança.
Está correto o que consta em:
A - I e IV, somente.
B - I, III e IV, somente.
C - I, somente.
D - III e IV, somente.
E - IV, somente.
Questão 5 de 10
Sobre tipos de backup é correto afirmar:
A - Backup completo é a soma de um backup diferencial com um backup incremental.
B - Os backups diferenciais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
C - Os backups diferenciais são mais seguros que os backups incrementais.
D - Os backups incrementais consistem em backups de todos os dados que foram alterados desde o último backup completo.
E - Os backups incrementais realizam apenas backup dos dados que foram alterados desde a última tarefa de backup.
Questão 6 de 10
Quanto a conceitos complementares de criptografia, selecione a alternativa que descreve um ataque de força bruta:
A - Consiste de verificação sistemática de todas as possíveis chaves e senhas até que as corretas sejam encontradas. No pior dos casos, isto envolveria percorrer todo o espaço de busca.
B - É um ataque onde são utilizadas senhas armazenadas em um dicionário.
C - É um ataque que consiste na tentativa de reverter um algoritmo de chave simétrico.
D - É um ataque que necessita alto poder de processamento, não sendo possível realiza-lo com um computador doméstico.
E - É um tipo de ataque híbrido, onde são utilizadas palavras de dicionário e caracteres especiais.
Questão 7 de 10
Quanto aos softwares antivírus, é correto afirmar:
A - É um tipo de malware.
B - Funciona somente com detecção de assinatura de malware estática.
C - Os vírus são criados pelas próprias empresa de antivírus, que visam o lucro pela venda de suas ferramentas.
D - Soluções gratuitas não oferecem proteção contra malwares.
E - Uma assinatura de vírus é baseada em um segmento único de código-fonte dentro do malware.
Questão 8 de 10
Quanto ao desenvolvimento de aplicações seguras, dentro de um ambiente seguro, podemos elencar algumas boas práticas de programação. Assinale a alternativa que contém algumas destas boas práticas:
A - Maximizar o uso de strings inseguras e funções de buffer, operar com menos privilégio, evitar concatenações de strings para cláusulas de SQL dinâmicas.
B - Operar com menos privilégio, minimizar o uso de strings inseguras e funções de buffer, tratar entrada e saída de dados.
C - Operar com menos privilégio, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
D - Utilizar criptografia fraca, operar com menos privilégio, tratar entrada e saída de dados.
E - Utilizar registros de acesso (log) e rastreamento, utilizar concatenações de strings para cláusulas de SQL dinâmicas, evitar o uso de criptografia fraca.
Questão 9 de 10
Quanto a certificados digitais, NÃO é correto afirmar:
A - Existem autoridades certificadores abaixo do ICP-Brasil, como por exemplo Serpro, Certsign, Serasa Experian.
B - No Brasil, o órgão da autoridade certificadora raiz é o ICP-Brasil.
C - O certificado digital contém, além da chave pública, informações sobre seu proprietário, como nome, endereço e outros dados pessoais.
D - O certificado digital só pode ser emitido por uma Autoridade Certificadora Raiz (AC-Raiz).
E - O certificado é assinado por alguém em quem o proprietário deposita sua confiança, ou seja, uma autoridade certificadora (Certification Authority - CA), funcionando como uma espécie de “cartório virtual”.
Questão 10 de 10
Quanto a estratégias para mitigação de riscos, no contexto de gerenciamento de riscos em segurança da informação, é correto afirmar:
A - Se o custo do ataque é maior que o ganho, então o risco não é aceitável.
B - Se o custo do ataque é menor que o ganho, então o risco não é aceitável.
C - Se o projeto do sistema é vulnerável e explorável, o risco é inexistente.
D - Se o projeto do sistema é vulnerável e não explorável, o risco é existente.
E - Se o projeto do sistema não é vulnerável, o risco é existente.
Questão 9 de 10
Sobre gerenciamento de riscos em segurança da informação, é correto afirmar:
A - É baseado em controles, para servir como referência a uma organização que deseja ter uma governança de TI mais controlada.
B - É o padrão atual da indústria para implantar o gerenciamento de serviços de TI.
C - É o processo que habilita os administradores a identificar, priorizar e avaliar os custos operacionais de implantação de medidas de proteção aos sistemas de informação, bem como os dados que dão suporte à missão de uma organização.
D - É um conjunto de políticas, procedimentos e vários outros controles que definem as regras de segurança da informação em uma organização.
E - É um sistema de apoio à decisão para o negócio de uma organização.
Questão 10 de 10
Sobre a integração do gerenciamento de riscos com o ciclo de vida de desenvolvimento de sistemas (CVDS), no contexto da segurança da informação, é correto afirmar:
A - A metodologia de gerenciamento de riscos não pode ser integrada ao CVDS.
B - Na fase 2 do CVDS (desenvolvimento ou aquisição), as atividades de gerenciamento de risco são executadas para componentes do sistema que serão descartados ou substituídos.
C - Na fase 4 do CVDS (operação ou manutenção), os riscos identificados são usados para suportar o desenvolvimento dos requisitos do sistema, incluindo os requisitos de segurança, e conceitos de segurança de operações.
D - O gerenciamento de riscos é um processo que deve ser realizado de forma única para cada fase principal do CVDS.
E - O gerenciamento de riscos é um processo que pode ser realizado de forma iterativa para cada fase principal do CVDS.
Questão 1 de 10
A confidencialidade é um dos pilares básicos da Segurança da Informação. Assinale a alternativa que corresponde ao seu conceito:
A - É a capacidade de provar que um usuário foi responsável por determinada ação.
B - É a garantia de que a informação armazenada é verdadeira e não está corrompida.
C - É a propriedade de que a informação deve estar disponível sempre que alguém autorizado, no exercício de suas funções, necessitar dela.
D - É a propriedade que garante que a informação está de acordo com a legislação pertinente.
E - É o conceito de que determinadas informações só podem ser acessadas por quem é de direito conhecê-las.