A rede empresarial é onde se encontram as informações que alimentam as transações e os processos do negócio. É o local onde trafegam informações importantes para a execução de transações estratégicas, táticas e operacionais. O auditor deve avaliar com atenção as questões fundamentais que se relacionam com esse ambiente.
Considere as seguintes proposições:
1. Equipamentos e periféricos, arquitetura da rede, sua construção e distribuição.
2. As linhas e canais de transmissão entre unidades e localidades remotas obedecendo aos limites estabelecidos.
3. Customização de recursos de software, desempenho, acompanhamento e rendimento operacional.
4. Disponibilidade da rede, isto é, pode confiar que ela estará disponível quando necessária, mesmo em situação adversa.
Tais proposições podem ser associadas respectivamente aos seguintes tipos de segurança:
Física, Biométrica, Enlace e Aplicação. Física, Biométrica, Enlace e Aplicação. Física, Biométrica, Lógica e Aplicação. Física, Lógica, Enlace e Aplicação. Física, Enlace, Lógica e Aplicação. Física, Aplicação, Enlace e Lógica.
Um dos principais objetivos da auditoria de redes é assegurar a confiabilidade da rede no tocante a:
Segurança de atualização de senhas Segurança da criação de arquivos log Segurança de programas de atualização Segurança quanto à disponibilidade da rede Segurança da emissão e distribuição de relatórios .
Analise as sentenças sobre Auditoria de Hardware e, em seguida, assinale a alternativa correta:
I. O controle de hardware objetiva implantar procedimentos de segurança lógica sobre equipamentos instalados na empresa, incluindo funções que possuem mecanismo para liberar acesso para toda e qualquer pessoa ao ambiente dos computadores da empresa, sem se preocupar inclusive com os controles referentes à proteção de vida de pessoas.
II. Entre os recursos utilizados para amenizar os riscos de segurança lógica temos: extintores de incêndio (gás carbônico, gás halon, etc), detectores de fumaça e aumento de temperatura, sprinklers, etc.
III. Dentro desse contexto, existe a necessidade de controle de acionamento e desligamento de máquinas, que consiste na preocupação em saber se quem liga e desliga os equipamentos está devidamente autorizado para tanto.
Todas as sentenças estão corretas Apenas as sentenças I e III estão corretas Apenas a sentença I está correta Apenas as sentenças I e II estão corretas Apenas a sentença III está correta.
O ______________________________ avalia procedimentos de segurança com relação a: cadastramento, bloqueio e exclusão de usuários do sistema; solicitação e alteração de senhas; atualização de senha de usuários; log de tentativas de acessos frustradas; e, etc.
Escolha a alternativa que preencha corretamente a lacuna: Software de controle de inventário.
Software de controle de trilha de auditoria.
Software de controle de perfil.
Software de controle de acesso.
Software de controle de rede.
Analise as sentenças sobre Auditoria de Redes e, em seguida, assinale a alternativa correta:
I. As informações que as empresas possuem estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Proteger estas informações que refletem a vida da empresa não tem tanta importância assim e demanda pouco investimento.
II. A gestão efetiva das redes concentra-se nos controles relacionados com comunicação de dados e informações nas camadas físicas e de enlace utilizando-se dos protocolos de camada de rede IP e OSI, de camada de transporte TCP e UDP e dos protocolos de aplicação DNS, SNMP, HTTP, entre outros.
III. Dentro do contexto apresentado nas sentenças acima, o trabalho do auditor deve ser documentado para que possamos ter evidências do que escreveremos em nossos relatórios. Trata-se de um trabalho baseado essencialmente em opiniões pessoais e não em fatos.
Apenas a sentença II está correta Apenas as sentenças I e II estão corretas Todas as sentenças estão corretas Apenas a sentença III está correta Apenas as sentenças II e III estão corretas.
Em relação à AUDITORIA de HARDWARE, identifique a única sentença FALSA
Os auditores devem verificar se há contratos formais de upgrade dos equipamentos e se os mesmos são adequados para manter a continuidade das operações de cada área. Os auditores devem verificar a existência de políticas organizacionais sobre aquisição de equipamentos e se há evidencias de que ela está sendo aplicada A empresa deve possuir mecanismo para restringir acessos de pessoas ao ambiente de computador Os auditores devem preocupar-se com a localização e infraestrutura do CPD Na sala do CPD deve haver detectores de fumaça e aumento de temperatura para amenizar riscos de segurança física.
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante à segurança, EXCETO de
segurança de complexidade
segurança de aplicação
segurança de enlace
segurança lógica
segurança física.
Indique os exemplos de engenharia social usando a legenda verdadeiro (V) e falso (F).
I - Conversa em sala de bate papo na internet.
II - Telefonema de falsos sequestros.
III - Levar uma pessoa a visitar sites erroneos.
F, V, F
F, F, V
V, V, F
V, F, F
V, F, V.
Identifique entre as sentenças abaixo qual a que não se refere às preocupações quanto ao acesso físico
Relatórios de clientes jogados no lixo Guarda de arquivos back-ups vencidos na biblioteca externa Entrada de visitantes no CPD Destino dos relatórios gerados Processamento de um sistema por pessoas não autorizadas.
Em serviços de teleatendimento, os scripts do call center devem verificar se a pessoa que ligou é quem realmente diz ser. Para tanto, são feitas perguntas que possam identificar a pessoa. Para o call center de um cartão de crédito, um exemplo eficaz destas perguntas é:
Nome do pai? Data de seu nascimento? Data de vencimento da fatura do cartão? Número de seu RG? Cidade onde nasceu? .
Os controles de acesso físico ao ambiente de Tecnologia de Informação abrange as preocupações abaixo EXCETO
acesso à fitoteca
acesso aos back-ups
acesso à biblioteca externa
listagens jogadas no lixo
acesso à central telefonica.
Analise as proposições a seguir e depois marque a alternativa correta:
I) Em se tratando de transmissão remota de dados, a criptografia é aconselhável quando lidamos com dados sensíveis.
II) O administrador de ambiente deve forçar a expiração da senha através de software, para que essa possa ser trocada periodicamente.
III) O usuário deve trocar a senha imediatamente após o primeiro acesso ao ambiente.
IV) As empresas devem incentivar a prática da engenharia social para aumentar o relacionamento entre os funcionários, principalmente os da área de TI.
Agora assinale a resposta correta:
Somente I, II e III são proposições verdadeiras
Somente I é proposição verdadeira Somente II e III são proposições verdadeiras Somente I e II são proposições verdadeiras
I, II, III e IV são proposições verdadeiras.
Analise as sentenças sobre Controle de Acesso e, em seguida, assinale a alternativa correta:
I. O controle de acesso físico, que compreende a entrada de pessoas a algum recinto da empresa, pode ser feito de várias formas: crachás com tarja magnética lida por catracas, bottom de identificação, biometria.
II. Quanto ao acesso lógico, a forma mais comum e efetiva de garantirmos o acesso lógico a pessoas que são autorizadas a lerem e/ou gravarem informações é através de senhas.
III. Quanto ao uso de senhas, usar senhas corriqueiras como data de nascimento não é eficiente. Um ladrão que roube a carteira de alguém, onde se encontram os documentos e o cartão do banco, poderia tentar acessar sua conta corrente e acabaria tendo sucesso. Aliás, um erro muito comum é as pessoas guardarem na carteira os documentos e cartões de banco e de crédito.
Todas as sentenças estão corretas Apenas a sentença III está correta Apenas as sentenças I e III estão corretas Apenas as sentenças II e III estão corretas Apenas a sentença I está correta.
O controle de hardware objetiva implantar procedimentos de segurança física sobre equipamento instalados na empresa. Neste sentido, os auditores devem verificar
I - Se há controles de acesso físico ao ambiente de computadores
II - Se há controles de acesso lógico ao ambiente de computadores
III - Se há uso de recursos para amenizar os riscos de segurança física tais como extintores de incendio e portas corta-fogo.
F, V, V
V, F, V
V, F, F
F, F, V
V, V, F.
O salário do funcionário Matheus é conhecido por seu chefe e pelo responsável pelo processamento do Sistema Folha de Pagamento. Tal procedimento reflete um objetivo geral de auditoria de sistemas aplicativos, que se chama:
Confidencialidade Integridade Acuidade Auditabilidade Privacidade .
A fim de organizar e poder melhor controlar o acesso físico de pessoas na empresa o comitê de segurança decidiu que a primeira coisa a fazer seria:
Fornecer treinamento de segurança ao pessoal de portaria Solicitar ao setor de RH listagem de funcionários para uso na portaria Colocar cartazes sobre segurança nas dependências da empresa Criar políticas de segurança quanto a entrada e circulação de pessoas na empresa Instruir os porteiros a solicitarem identidade dos fornecedores na entrada da empresa.
Servem para controle tanto de acesso lógico como para acesso físico os seguintes dispositivos:
Marque verdadeiro (V) ou falso (F)
I - biometria
II - cartão com tarja magnética
III - cracha com foto F, V, V
F, V, F
V, V, F
V, F, F
V, F, V.
Devemos considerar os seguintes processos na auditoria de redes, EXCETO
Levantamento dos problemas operacionais e sua resolução.
Replanejamento da arquitetura da rede.
Monitoramento dos desempenhos e possíveis interceptações nas redes.
Replanejamento da capacidade da rede.
Desenho das arquiteturas e da topologia de rede.
Há uma tendência de se medir a empresa pelo acervo de informações que ela possui. Estas informações estão nas redes de comunicação da empresa, seja via intranet (rede interna da empresa), via extranet (quando a empresa libera parte de sua rede interna para alguns clientes) ou internet. Esta afirmativa refere-se a que tipo de auditoria direcionada?
Marque a opção correta:
Auditoria de redes Auditoria online Auditoria de dados Auditoria de controle Auditoria de informações.
Falando em técnicas de auditoria, podemos afirmar que:
A técnica de simulação paralela usa dados preparados pelo auditor e pelo gerente do projeto A técnica Integrated Test facility (ITF) é processada com maior eficiência em ambiente on-line e real time A gravação de arquivos logs poderia ser incluida na técnica de teste integrado O mapeamento estatístico é uma técnica de verificação de transações incompletas A técnica de dados simulados de teste deve prever somente situações incorretas.
A preocupação com o destino das listagens geradas e encaminhadas aos usuários e listagens jogadas no lixo é verificada na execução do seguinte controle interno:
Controle de back-up e off-site Controle sobre os recursos instalados Controle de acesso físico ao ambiente de informática Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle de aquisição e disposição do equipamento .
O principal objetivo da auditoria de redes é assegurar a confiabilidade da rede no tocante a segurança
fisica, de enlace e de aplicação lógica, de desempenho e de protocolos lógica, de enlace e de monitoramento de desempenho, de configuração e física fisica, de protocolos e de reposição.
Em relação a controle de acesso, identifique a única afirmativa correta.
Um arquivo de log de acessos ao banco de dados é utilizado para controle de acesso físico A biometria é usada para assegurar o controle lógico das informações O assédio moral é um exemplo de engenharia social Em um banco, o cartão com tarja magnética do correntista pode ser usado tanto para acesso físico como lógico Um detector de porte de metais é necessário para evitar acesso físico indevido ao CPD.
Assinale dentre as opções abaixo aquela que não corresponde a um processos na auditoria de redes:
Implementação dos projetos físicos e lógicos; Planejamento da concepção da rede com visão estratégica ao integrar ao plano diretor de informática; Monitoramento dos desempenhod e possíveis interceptações nas redes; Desenho das arquiteturas e topologia da rede; Processo de escolha do Gerente do Projeto.
Avaliar se o acesso ao local de instalação do CPD é restrito é preocupação do controle interno chamado:
Controle sobre o firewall instalado Controle sobre nível de acesso a aplicativos Controle de acesso físico a equipamentos de hardware, periféricos e de transporte Controle sobre os recursos instalados Localização e infraestrutura do CPD .
|
